Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

Ransomware BlackCat mengklaim serangan terhadap Creos Luxembourg S.A.

by

Geng ransomware ALPHV, alias BlackCat, mengaku bertanggung jawab atas serangan siber terhadap Creos Luxembourg S.A. pekan lalu, operator jaringan pipa gas alam dan listrik di negara Eropa tengah itu.

Pemilik Creos, Encevo, yang beroperasi sebagai pemasok energi di lima negara Uni Eropa, mengumumkan pada 25 Juli bahwa mereka telah mengalami serangan siber pada akhir pekan sebelumnya, antara 22 dan 23 Juli.

Sementara serangan siber telah mengakibatkan portal pelanggan Encevo dan Creos menjadi tidak tersedia, tidak ada gangguan dalam layanan yang disediakan.

Pada tanggal 28 Juli, perusahaan memposting pembaruan tentang serangan siber, dengan hasil awal penyelidikan mereka menunjukkan bahwa penyusup jaringan telah mengekstrak “sejumlah data” dari sistem yang diakses.

Pada saat itu, Encevo tidak dalam posisi untuk memperkirakan cakupan dampak dan dengan ramah meminta pelanggan untuk bersabar sampai penyelidikan selesai, di mana setiap orang akan menerima pemberitahuan yang dipersonalisasi.

Karena tidak ada pembaruan lebih lanjut yang diposting di portal media Encevo, prosedur ini kemungkinan masih berlangsung. Encevo mengatakan bahwa ketika lebih banyak informasi tersedia, itu akan diposting di halaman web khusus untuk serangan siber.

Untuk saat ini, semua pelanggan disarankan untuk mengatur ulang kredensial akun online mereka, yang mereka gunakan untuk berinteraksi dengan layanan Encevo dan Creos. Selanjutnya, jika kata sandi tersebut sama di situs lain, pelanggan juga harus mengubah kata sandi mereka di situs tersebut.

Grup ransomware ALPHV/BlackCat menambahkan Creos ke situs pemerasannya pada hari Sabtu, mengancam akan menerbitkan 180.000 file curian dengan ukuran total 150 GB, termasuk kontrak, perjanjian, paspor, tagihan, dan email.

Meskipun tidak ada waktu pasti yang diumumkan untuk pemenuhan ancaman ini, para peretas berjanji pengungkapan akan terjadi hari ini (Senin).

ALPHV ransomware adding Creos on extortion site

ALPHV/BlackCat baru-baru ini meluncurkan platform pemerasan baru di mana mereka membuat data yang dicuri dapat dicari oleh pengunjung, dengan tujuan untuk meningkatkan tekanan pada korban mereka agar mereka membayar uang tebusan.

Sementara BlackCat terus berinovasi pemerasan data, mereka tampaknya tidak pernah belajar dari kesalahan mereka dan terus menargetkan perusahaan-perusahaan terkenal yang kemungkinan akan menempatkan mereka di persimpangan lembaga penegak hukum internasional.

BlackCat diyakini sebagai operasi rebranding DarkSide, yang ditutup di bawah tekanan dari penegak hukum setelah serangan ransomware yang dipublikasikan di Colonial Pipeline.

Setelah menutup DarkSide, mereka berganti nama menjadi BlackMatter untuk menghindari penegakan hukum, tetapi tekanan berlanjut dengan geng ditutup lagi.

Sejak November 2021, ketika pelaku ancaman diluncurkan kembali sebagai BlackCat/ALPHV, pelaku ancaman cenderung menghindari target besar Amerika dan malah menargetkan entitas Eropa, seperti negara bagian Austria, rantai mode Italia, dan penyedia layanan bandara Swiss.

Namun, tampaknya mereka belum belajar dari kesalahan mereka dan terus menyerang infrastruktur penting, seperti perusahaan pemasok bensin Jerman Oiltanking pada Februari dan sekarang Creos Luxembourg.

Sumber: Bleeping Computer

Ransomware LockBit Menyalahgunakan Windows Defender untuk Memuat Cobalt Strike

by Leave a Comment

Pelaku ancaman yang terkait dengan operasi ransomware LockBit 3.0 menyalahgunakan alat baris perintah Windows Defender untuk memuat suar Cobalt Strike pada sistem yang disusupi dan menghindari deteksi oleh perangkat lunak keamanan.

Cobalt Strike adalah rangkaian pengujian penetrasi yang sah dengan fitur ekstensif yang populer di kalangan pelaku ancaman untuk melakukan pengintaian jaringan tersembunyi dan gerakan lateral sebelum mencuri data dan mengenkripsinya.

Namun, solusi keamanan menjadi lebih baik dalam mendeteksi suar Cobalt Strike, menyebabkan pelaku ancaman mencari cara inovatif untuk menerapkan toolkit.

Dalam kasus respons insiden baru-baru ini untuk serangan ransomware LockBit, para peneliti di Sentinel Labs memperhatikan penyalahgunaan alat baris perintah Microsoft Defender “MpCmdRun.exe” untuk memuat DLL berbahaya yang mendekripsi dan menginstal beacon Cobalt Strike.

Kompromi jaringan awal dalam kedua kasus dilakukan dengan mengeksploitasi kelemahan Log4j pada Server VMWare Horizon yang rentan untuk menjalankan kode PowerShell.

Beacon Cobalt Strike yang dimuat di samping pada sistem yang disusupi bukanlah hal baru bagi LockBit, karena ada laporan tentang rantai infeksi serupa yang mengandalkan penyalahgunaan utilitas baris perintah VMware.
Menyalahgunakan Microsoft Defender

Setelah membuat akses ke sistem target dan mendapatkan hak pengguna yang diperlukan, pelaku ancaman menggunakan PowerShell untuk mengunduh tiga file: salinan bersih utilitas Windows CL, file DLL, dan file LOG.

MpCmdRun.exe adalah utilitas baris perintah untuk melakukan tugas Microsoft Defender, dan mendukung perintah untuk memindai malware, mengumpulkan informasi, memulihkan item, melakukan pelacakan diagnostik, dan banyak lagi.

Saat dijalankan, MpCmdRun.exe akan memuat DLL sah bernama “mpclient.dll” yang diperlukan agar program dapat beroperasi dengan benar.

Dalam kasus yang dianalisis oleh SentinelLabs, pelaku ancaman telah membuat versi mpclient.dll mereka sendiri yang dipersenjatai dan menempatkannya di lokasi yang memprioritaskan pemuatan versi berbahaya dari file DLL.

Kode yang dieksekusi memuat dan mendekripsi muatan Cobalt Strike terenkripsi dari file “c00000015.log”, yang dijatuhkan bersama dengan dua file lainnya dari tahap serangan sebelumnya.

Meskipun tidak jelas mengapa afiliasi LockBit beralih dari VMware ke alat baris perintah Windows Defender untuk pemuatan samping suar Cobalt Strike, mungkin saja untuk melewati perlindungan yang ditargetkan yang diterapkan sebagai tanggapan terhadap metode sebelumnya.

Menggunakan alat “hidup di luar negeri” untuk menghindari deteksi EDR dan AV sangat umum akhir-akhir ini; maka organisasi perlu memeriksa kontrol keamanan mereka dan menunjukkan kewaspadaan dengan melacak penggunaan executable yang sah yang dapat digunakan oleh penyerang.

Sumber: BleepingComputer

Raksasa Keamanan Digital “Entrust” Dilanggar oleh Geng Ransomware

by

Raksasa keamanan digital Entrust telah mengkonfirmasi bahwa mereka mengalami serangan siber di mana pelaku ancaman menembus jaringan mereka dan mencuri data dari sistem internal.

Entrust adalah perusahaan keamanan yang berfokus pada kepercayaan online dan manajemen identitas, menawarkan berbagai layanan, termasuk komunikasi terenkripsi, pembayaran digital yang aman, dan solusi penerbitan ID.

Bergantung pada data apa yang dicuri, serangan ini dapat berdampak pada sejumlah besar organisasi penting dan sensitif yang menggunakan Entrust untuk manajemen identitas dan autentikasi.

Ini termasuk lembaga pemerintah AS, seperti Departemen Energi, Departemen Keamanan Dalam Negeri, Departemen Keuangan, Departemen Kesehatan & Layanan Kemanusiaan, Departemen Urusan Veteran, Departemen Pertanian, dan banyak lagi.

Peretas menerobos jaringan Entrust pada bulan Juni
Sekitar dua minggu lalu, sebuah sumber mengatakan kepada BleepingComputer bahwa Entrust telah dibobol pada 18 Juni dan para peretas mencuri data perusahaan selama serangan siber.

Namun, baru kemarin pelanggaran itu dikonfirmasi secara publik ketika peneliti keamanan Dominic Alvieri men-tweet tangkapan layar dari pemberitahuan keamanan yang dikirim ke pelanggan Entrust pada 6 Juli.

“Saya menulis untuk memberi tahu Anda bahwa pada tanggal 18 Juni, kami mengetahui bahwa pihak yang tidak berwenang mengakses sistem tertentu kami yang digunakan untuk operasi internal. Kami telah bekerja tanpa lelah untuk memulihkan situasi ini sejak saat itu,” bunyi pemberitahuan keamanan dari CEO Entrust Todd Wilkinson.

“Hal pertama yang ingin saya sampaikan kepada Anda adalah, meskipun penyelidikan kami sedang berlangsung, kami tidak menemukan indikasi hingga saat ini bahwa masalah tersebut telah memengaruhi operasi atau keamanan produk dan layanan kami.”

Pemberitahuan keamanan mengonfirmasi bahwa data dicuri dari sistem internal Entrust. Namun, saat ini belum diketahui apakah ini murni data perusahaan atau juga data pelanggan dan vendor.

“Kami telah menentukan bahwa beberapa file diambil dari sistem internal kami. Saat kami terus menyelidiki masalah ini, kami akan menghubungi Anda secara langsung jika kami mengetahui informasi yang kami yakini akan memengaruhi keamanan produk dan layanan yang kami berikan kepada organisasi Anda.” – Percayakan.

Hari ini, Entrust mengatakan kepada BleepingComputer bahwa mereka bekerja dengan perusahaan keamanan siber terkemuka dan penegak hukum untuk menyelidiki serangan itu tetapi itu tidak mempengaruhi operasi mereka.

“Sementara penyelidikan kami sedang berlangsung, kami tidak menemukan indikasi hingga saat ini bahwa masalah tersebut telah memengaruhi operasi atau keamanan produk dan layanan kami, yang dijalankan di lingkungan yang terpisah dengan celah udara dari sistem internal kami dan beroperasi penuh,” Entrust kepada BleepingComputer.

Sumber: BleepingComputer

Ransomware Redeemer Versi Baru Dipromosikan di Forum Peretas

by

Seorang pelaku ancaman mempromosikan versi baru pembuat ransomware ‘Penebus’ mereka yang gratis di forum peretas, menawarkan pelaku ancaman yang tidak terampil akses mudah ke dunia serangan pemerasan yang didukung enkripsi.

Menurut penulisnya, rilis versi 2.0 yang baru ditulis seluruhnya dalam C++ dan bekerja pada Windows Vista, 7, 8, 10, dan 11, menampilkan kinerja multi-utas dan tingkat deteksi AV menengah.

Tidak seperti banyak operasi Ransomware-as-a-Service (RaaS), siapa pun dapat mengunduh dan menggunakan pembuat ransomware Redeemer untuk meluncurkan serangan mereka sendiri. Namun, ketika seorang korban memutuskan untuk membayar uang tebusan, penulis menerima 20% dari biaya dan membagikan kunci master untuk digabungkan dengan kunci pembuatan pribadi yang dipegang oleh afiliasi untuk dekripsi.

Selain itu, versi baru ini menampilkan antarmuka pengguna grafis baru bagi afiliasi untuk membangun alat dekripsi dan eksekusi ransomware, sementara semua petunjuk tentang cara menggunakannya terlampir dalam ZIP.

Penulis mengatakan proyek akan menjadi open-source jika mereka kehilangan minat, persis seperti yang terjadi dengan Redeemer 1.0 pada Juni 2021, ketika aktor ancaman merilis kode sumbernya secara publik.

Detail Penebus 2.0

Versi pembuat ransomware baru menampilkan beberapa tambahan seperti dukungan untuk Windows 11, alat GUI, dan lebih banyak opsi komunikasi seperti XMPP dan Obrolan Tox.

Selain itu, sekarang ada sistem pelacakan ID kampanye, menambahkan data ke dalam executable, memungkinkan pelaku ancaman untuk melacak berbagai kampanye yang mungkin mereka lakukan.

Karena jumlah tebusan ditetapkan selama pembuatan yang dapat dieksekusi dan sesuai dengan ID tertentu, afiliasi tidak dapat membuat klaim sewenang-wenang kepada penulis, sehingga potongan 20% yang terakhir dijamin.

Penulis telah membuat halaman di situs web gelap bagi afiliasi untuk memperoleh kit, menjalin komunikasi, mengakses instruksi, dan menerima dukungan.

Para peneliti di Cyble, yang telah menganalisis versi baru, melaporkan bahwa ransomware membuat mutex saat diluncurkan untuk menghindari beberapa contoh yang berjalan di sistem korban dan menyalahgunakan Windows API untuk mengeksekusi dirinya sendiri dengan hak istimewa admin.

Sebelum enkripsi, malware menyalahgunakan perintah Windows untuk menghapus log peristiwa dan menghapus salinan bayangan dan cadangan status sistem apa pun, mencegah pemulihan yang mudah/gratis.

Selanjutnya, proses yang ditunjukkan di bawah ini dihentikan untuk mencegah membahayakan proses enkripsi dan untuk membebaskan semua file dan data target agar dapat dienkripsi.

Setelah itu, ransomware menjatuhkan ikon khusus untuk Windows yang digunakan untuk ekstensi file terenkripsi (redeem), menghasilkan catatan tebusan, dan menghitung semua file dan direktori.

Bleeping Computer menguji ransomware secara independen dan menemukan bahwa ransomware tidak menghapus semua file setelah mengenkripsinya, sehingga operasinya tampaknya tidak dapat diandalkan sekarang.

Saat mencoba membuka salah satu salinan terenkripsi, korban menerima pesan yang mengarahkan mereka untuk membuka catatan tebusan untuk instruksi tentang apa yang harus dilakukan.

Ransomware juga menambahkan catatan tebusan di kunci registri Winlogon untuk memperingatkan pengguna tentang apa yang terjadi saat sistem dihidupkan ulang.

Sumber: BleepingComputer

Serangan Siber di Pelabuhan Los Angeles Telah Berlipat Ganda Sejak Pandemi

by

Jumlah serangan bulanan yang menargetkan Pelabuhan Los Angeles sekarang sekitar 40 juta, direktur eksekutif pelabuhan Gene Seroka mengatakan kepada BBC.

Los Angeles adalah pelabuhan tersibuk di belahan bumi barat, menangani lebih dari $250 miliar (£210bn) kargo setiap tahun.

Ancaman diyakini datang terutama dari Eropa dan Rusia, dan bertujuan untuk mengganggu ekonomi AS, kata Seroka.

“Intelijen kami menunjukkan ancaman datang dari Rusia dan sebagian Eropa. Kami harus tetap selangkah di depan mereka yang ingin merusak perdagangan internasional,” katanya kepada BBC World Service.

Mereka menghadapi serangan ransomware, malware, spear phishing, dan pengumpulan kredensial setiap hari, dengan tujuan menyebabkan gangguan sebanyak mungkin dan memperlambat ekonomi.

Pelabuhan tersebut telah menginvestasikan jutaan dolar dalam perlindungan siber, mengembangkan salah satu Pusat Ketahanan Siber pertama di dunia, yang merupakan bagian dari FBI.

“Kita harus mengambil setiap tindakan pencegahan terhadap potensi insiden siber, terutama yang dapat mengancam atau mengganggu arus kargo,” kata Seroka.

Pusat Ketahanan Siber menyediakan pengumpulan intelijen yang ditingkatkan dan perlindungan yang ditingkatkan terhadap ancaman siber dalam rantai pasokan maritim.

Ini adalah hub bagi pelabuhan untuk menerima, menganalisis, dan berbagi informasi dengan mereka yang beroperasi di dermaga, seperti penangan kargo dan jalur pelayaran.

Ketegangan pada rantai pasokan telah mereda, kata Seroka. Pada Januari 2022 ada 109 kapal kontainer yang antri selama lebih dari dua hari untuk masuk ke Pelabuhan Los Angeles. Saat ini ada sekitar 20 orang yang menunggu untuk berlabuh.

Tapi Seroka yakin penyumbatan tidak akan hilang sepenuhnya sampai 2023. “Ada begitu banyak kargo masuk dan tidak cukup ruang,” katanya.

“Dua tahun terakhir telah membuktikan peran vital yang dimiliki pelabuhan terhadap infrastruktur kritis, rantai pasokan, dan ekonomi negara kita. Sangat penting bagi kita untuk menjaga sistem seaman mungkin,” tambahnya.

Sumber: BBC

Ransomware Luna baru mengenkripsi sistem Windows, Linux, dan ESXi

by

Keluarga ransomware baru yang dijuluki Luna dapat digunakan untuk mengenkripsi perangkat yang menjalankan beberapa sistem operasi, termasuk sistem Windows, Linux, dan ESXi.

Ditemukan oleh peneliti keamanan Kaspersky melalui iklan forum ransomware web gelap yang ditemukan oleh sistem pemantauan aktif Darknet Threat Intelligence perusahaan, Luna ransomware tampaknya dirancang khusus untuk digunakan hanya oleh aktor ancaman berbahasa Rusia.

Luna (Rusia untuk bulan) adalah ransomware yang sangat sederhana yang masih dalam pengembangan dan dengan kemampuan terbatas berdasarkan opsi baris perintah yang tersedia.

Namun, ia menggunakan skema enkripsi yang tidak umum, menggabungkan kurva elips X25519 yang cepat dan aman, pertukaran kunci Diffie-Hellman menggunakan Curve25519 dengan algoritma enkripsi simetris Advanced Encryption Standard (AES).

Argumen baris perintah ransomware Luna (Kaspersky)

Grup di balik ransomware baru ini mengembangkan jenis baru di Rust dan memanfaatkan sifat platform-agnostiknya untuk memindahkannya ke berbagai platform dengan sangat sedikit perubahan pada kode sumber.

Menggunakan bahasa lintas platform juga memungkinkan Luna ransomware untuk menghindari upaya analisis kode statis otomatis.

Luna lebih lanjut mengkonfirmasi tren terbaru yang diadopsi oleh geng kejahatan dunia maya yang mengembangkan ransomware lintas platform yang menggunakan bahasa seperti Rust dan Golang untuk membuat malware yang mampu menargetkan beberapa sistem operasi dengan sedikit atau tanpa perubahan.

Kaspersky mengatakan ada sangat sedikit data tentang korban yang telah dienkripsi menggunakan Luna ransomware, jika ada, mengingat kelompok itu baru saja ditemukan dan aktivitasnya masih dipantau.

Keluarga ransomware baru lainnya di bulan ini termasuk Lilith, ransomware berbasis konsol C/C++ yang menargetkan perangkat Windows 64-bit, dan 0mega, operasi ransomware baru yang menargetkan perusahaan sejak Mei dan menuntut tebusan jutaan dolar.

Keduanya dikenal mencuri data dari jaringan korban sebelum mengenkripsi sistem mereka untuk mendukung serangan pemerasan ganda mereka.

Sumber: Bleeping Computer

Peretas Mendistribusikan Alat Pembobol Kata Sandi untuk PLC dan HMI untuk Menargetkan Sistem Industri

by

Insinyur dan operator industri menjadi target kampanye baru yang memanfaatkan perangkat lunak pembobol kata sandi untuk menguasai Programmable Logic Controllers (PLC) dan mengkooptasi mesin ke botnet.

Perangkat lunak itu “mengeksploitasi kerentanan dalam firmware yang memungkinkannya mengambil kata sandi sesuai perintah,” kata peneliti keamanan Dragos, Sam Hanson. “Selanjutnya, perangkat lunak itu adalah penetes malware, menginfeksi mesin dengan malware Sality dan mengubah host menjadi rekan di botnet peer-to-peer Sality.”

Perusahaan industri keamanan siber mengatakan bahwa eksploitasi pengambilan kata sandi yang tertanam dalam penetes malware dirancang untuk memulihkan kredensial yang terkait dengan Automation Direct DirectLOGIC 06 PLC.

Eksploitasi, dilacak sebagai CVE-2022-2003 (skor CVSS: 7,7), telah digambarkan sebagai kasus transmisi teks yang jelas dari data sensitif yang dapat menyebabkan pengungkapan informasi dan perubahan yang tidak sah. Masalah ini telah diatasi dalam firmware Versi 2.72 yang dirilis bulan lalu.

Infeksi memuncak dalam penyebaran malware Sality untuk melakukan tugas-tugas seperti penambangan cryptocurrency dan peretasan kata sandi secara terdistribusi, sementara juga mengambil langkah-langkah untuk tetap tidak terdeteksi dengan menghentikan perangkat lunak keamanan yang berjalan di workstation yang disusupi.

Terlebih lagi, artefak yang digali oleh Dragos menjatuhkan muatan crypto-clipper yang mencuri cryptocurrency selama transaksi dengan mengganti alamat dompet asli yang disimpan di clipboard dengan alamat dompet penyerang.

Automation Direct bukan satu-satunya vendor yang terkena dampak karena alat tersebut mengklaim mencakup beberapa PLC, human-machine interfaces (HMI), dan file proyek yang mencakup Omron, Siemens, ABB Codesys, Delta Automation, Fuji Electric, Mitsubishi Electric, Pro-face Schneider Electric , Vigor PLC, Weintek, Allen-Bradley dari Rockwell Automation, Panasonic, Fatek, IDEC Corporation, dan LG.

Ini jauh dari pertama kalinya perangkat lunak trojan memilih jaringan teknologi operasional (OT). Pada Oktober 2021, Mandiant mengungkapkan bagaimana binari executable portabel yang sah dikompromikan oleh berbagai malware seperti Sality, Virus, dan Ramnit, antara lain.

Sumber: The Hacker News

Peretas Korea Utara Menargetkan Bisnis Kecil dan Menengah dengan Ransomware H0lyGh0st

by

Grup yang menyebut dirinya H0lyGh0st sedang dilacak oleh Microsoft Threat Intelligence Center di bawah moniker DEV-0530, sebutan yang ditetapkan untuk grup aktivitas ancaman yang tidak diketahui, muncul, atau berkembang.

Entitas yang ditargetkan terutama mencakup usaha kecil hingga menengah seperti organisasi manufaktur, bank, sekolah, dan perusahaan perencanaan acara dan pertemuan.

“Bersama dengan muatan H0lyGh0st mereka, DEV-0530 memelihara situs .onion yang digunakan kelompok untuk berinteraksi dengan korban mereka,” kata para peneliti dalam analisis hari Kamis.

“Metodologi standar grup ini adalah mengenkripsi semua file pada perangkat target dan menggunakan ekstensi file .h0lyenc, mengirimkan sampel file kepada korban sebagai bukti, dan kemudian meminta pembayaran dalam Bitcoin sebagai imbalan untuk memulihkan akses ke file.”

Jumlah tebusan yang diminta oleh DEV-0530 berkisar antara 1,2 dan 5 bitcoin, meskipun analisis dompet cryptocurrency penyerang menunjukkan tidak ada pembayaran tebusan yang berhasil dari korbannya pada awal Juli 2022.

Sebagai tanda yang menunjukkan pengembangan aktif, empat varian berbeda dari ransomware H0lyGh0st dibuat antara Juni 2021 dan Mei 2022 untuk menargetkan sistem Windows: BTLC_C.exe, HolyRS.exe, HolyLock.exe, dan BLTC.exe.

Sementara BTLC_C.exe (dijuluki SiennaPurple) ditulis dalam C++, tiga versi lainnya (dengan nama kode SiennaBlue) diprogram dalam Go, menunjukkan upaya dari pihak musuh untuk mengembangkan malware lintas platform.

Strain yang lebih baru juga dilengkapi dengan peningkatan fungsionalitas intinya, termasuk kebingungan string dan kemampuan untuk menghapus tugas terjadwal dan menghapus dirinya sendiri dari mesin yang terinfeksi.

Penyusupan dikatakan telah difasilitasi melalui eksploitasi kerentanan yang belum ditambal dalam aplikasi web yang menghadap publik dan sistem manajemen konten (misalnya, CVE-2022-26352), memanfaatkan pembelian untuk menjatuhkan muatan ransomware dan mengekstrak data sensitif sebelum mengenkripsi file.

Temuan ini muncul seminggu setelah badan keamanan siber dan intelijen AS memperingatkan tentang penggunaan ransomware Maui oleh peretas yang didukung pemerintah Korea Utara untuk menargetkan sektor perawatan kesehatan setidaknya sejak Mei 2021.

Ekspansi dari perampokan finansial ke ransomware dipandang sebagai taktik lain yang disponsori oleh pemerintah Korea Utara untuk mengimbangi kerugian akibat sanksi, bencana alam, dan kemunduran ekonomi lainnya.

Sumber: The Hacker News