Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

Operasi Ransomware Holy Ghost terkait dengan peretas Korea Utara

by

Selama lebih dari setahun, peretas Korea Utara telah menjalankan operasi ransomware yang disebut HolyGhost, menyerang usaha kecil di berbagai negara.

Para peneliti di Microsoft Threat Intelligence Center (MSTIC) melacak geng ransomware Holy Ghost sebagai DEV-0530. Dalam sebuah laporan sebelumnya hari ini, mereka mengatakan bahwa muatan pertama dari aktor ancaman ini terlihat tahun lalu pada bulan Juni.

Diklasifikasikan sebagai SiennaPurple (BTLC_C.exe), varian Ransomware Holy Ghost awal tidak datang dengan banyak fitur dibandingkan dengan versi berbasis Go berikutnya yang muncul pada Oktober 2021.

Microsoft melacak varian yang lebih baru sebagai SiennaBlue (HolyRS.exe, HolyLocker.exe, dan BTLC.exe) dan mencatat bahwa fungsinya diperluas dari waktu ke waktu untuk menyertakan beberapa opsi enkripsi, kebingungan string, manajemen kunci publik, dan dukungan internet/intranet.

Muatan ransomware Holy Ghost
Microsoft

Para peneliti mengatakan bahwa DEV-0530 berhasil mengkompromikan beberapa target, terutama usaha kecil hingga menengah. Di antara korban adalah bank, sekolah, organisasi manufaktur, dan perusahaan perencanaan acara dan pertemuan.

Aktor Holy Ghost mengikuti pola serangan ransomware yang khas dan mencuri data sebelum menerapkan rutin enkripsi pada sistem yang terinfeksi.

Penyerang meninggalkan catatan tebusan pada mesin yang disusupi dan mereka juga mengirim email kepada korban dengan tautan ke sampel data yang dicuri untuk mengumumkan bahwa mereka bersedia menegosiasikan uang tebusan dengan imbalan kunci dekripsi.

Catatan tebusan Roh Kudus
Microsoft

Biasanya, para pelaku menuntut pembayaran kecil antara 1,2 hingga 5 bitcoin, atau hingga sekitar $100.000 dengan nilai tukar saat ini.

Detail ini, tingkat serangan yang jarang, dan pemilihan korban secara acak menambah teori bahwa operasi ransomware HolyGhost mungkin tidak dikendalikan oleh pemerintah Korea Utara.

Sebaliknya, peretas yang bekerja untuk rezim Pyongyang mungkin melakukan ini sendiri, untuk keuntungan finansial pribadi.

Koneksi dengan kelompok peretas yang didukung negara hadir, karena MSTIC menemukan komunikasi antara akun email milik HolyGhost dan Andariel, aktor ancaman bagian dari Grup Lazarus di bawah Biro Umum Pengintaian Korea Utara.

Hubungan antara kedua kelompok menjadi lebih kuat dengan fakta bahwa keduanya “beroperasi dari set infrastruktur yang sama, dan bahkan menggunakan pengontrol malware khusus dengan nama yang mirip,” kata para peneliti.

Situs web Holy Ghost sedang down saat ini tetapi penyerang menggunakan visibilitas kecil yang dimilikinya untuk berpura-pura sebagai entitas yang sah yang mencoba membantu korban meningkatkan postur keamanan mereka.

Seperti aktor lain dalam bisnis ransomware, Holy Ghost meyakinkan para korban bahwa mereka tidak akan menjual atau membocorkan data yang dicuri jika mereka dibayar.

Laporan Microsoft mencakup serangkaian tindakan yang direkomendasikan untuk mencegah infeksi dengan muatan HolyGhost serta beberapa indikator kompromi yang ditemukan saat menyelidiki malware.

Sumber: Bleeping Computer

BlackCat Menambahkan Penerbit Elden Ring Sebagai Korban Terbarunya

by

Bandai Namco, penerbit Jepang di balik game Ace Combat, Dragon Ball Z, dan Dark Souls, tampaknya menjadi perusahaan game besar terbaru yang mengalami peretasan besar. Kelompok ransomware BlackCat menambahkan penerbit Elden Ring ke daftar korbannya hari ini, meskipun belum jelas tingkat kerusakan atau berapa banyak uang yang diminta kelompok itu.

Bandai Namco tidak segera menanggapi permintaan komentar. Vx-underground sebelumnya telah melaporkan peretasan lain, termasuk Lapsu$ yang terkenal, sebelum perusahaan itu sendiri mengonfirmasinya.

Grup pengawas ransomware DarkFeed juga membagikan tangkapan layar peretasan yang diklaim BlackCat sebelumnya hari ini. Vx-underground dan DarkFeed juga tidak segera menanggapi permintaan komentar.

BlackCat, yang anggotanya diyakini juga terlibat dalam peretasan Colonial Pipeline tahun lalu, telah meningkatkan serangan ransomware, menurut beberapa analis keamanan komputer serta FBI.

Baru-baru ini, peretasan telah mengakibatkan BlackCat memposting data karyawan pribadi secara online jika para korban menolak untuk membayar. Di masa lalu, kelompok tersebut telah menuntut jutaan, dan menargetkan distrik sekolah dan entitas publik lainnya selain perusahaan nirlaba.

Jika sah, ini akan menjadi yang terbaru dari serangkaian peretasan baru-baru ini di perusahaan game besar. Capcom dipukul pada akhir 2020, dengan beberapa rilis yang tidak diumumkan yang akan datang seperti Dragon’s Dogma 2 bocor pada saat itu.

Peretasan produsen chip grafis Nvidia yang sekarang terkenal akhirnya membocorkan banyak proyek game besar lainnya seperti Kingdom Hearts 4. CD Projekt Red, studio Polandia di belakang The Witcher 3 dan Cyberpunk 2077, memiliki data karyawan dan kode sumber untuk salah satu gamenya dicuri pada awal 2021. Bahkan penerbit FIFA Electronic Arts dipukul, dengan para pelaku yang diduga mencoba membuat outlet media Vice memeras perusahaan atas namanya.

Tidak jelas berapa banyak peningkatan yang tampak dalam pelanggaran keamanan disebabkan oleh teknik baru yang digunakan oleh peretas vs. tantangan yang lebih besar yang dihadapi perusahaan ketika pindah ke bekerja dari rumah selama pandemi global. Capcom menyalahkan sebagian dari kerentanannya pada pekerjaan jarak jauh.

Pada saat yang sama, jaringan blockchain yang menampung raksasa game crypto Axie Infinity mengalami salah satu peretasan paling mahal dalam sejarah awal tahun ini, dilaporkan semua karena seorang karyawan jatuh ke skema phishing yang rumit.

Awal tahun ini, Bandai Namco membuat server untuk Dark Souls I, II, dan III offline setelah eksploitasi eksekusi kode jarak jauh (RCE) yang berbahaya ditemukan.

Sumber: Kotaku

Ransomware 0mega baru menargetkan bisnis dalam serangan pemerasan ganda

by

Operasi ransomware baru bernama ‘0mega’ menargetkan organisasi di seluruh dunia dalam serangan pemerasan ganda dan menuntut uang tebusan jutaan dolar.

0mega adalah operasi ransomware baru yang diluncurkan pada Mei 2022 dan telah menyerang banyak korban sejak saat itu.

Sampel ransomware untuk operasi 0mega belum ditemukan, oleh karena itu tidak banyak informasi tentang bagaimana file dienkripsi.

Namun, kita tahu bahwa ransomware menambahkan ekstensi .0mega ke nama file terenkripsi dan membuat catatan tebusan bernama DECRYPT-FILES.txt.

Catatan tebusan ini disesuaikan per korban, biasanya berisi nama perusahaan dan menjelaskan berbagai jenis data yang dicuri dalam serangan. Selain itu, beberapa catatan termasuk ancaman tentang bagaimana geng 0mega akan mengungkapkan serangan kepada mitra bisnis dan asosiasi perdagangan jika uang tebusan tidak dibayarkan.

Catatan tebusan ini mencakup tautan ke situs negosiasi pembayaran Tor dengan obrolan “dukungan” yang dapat digunakan korban untuk menghubungi geng ransomware.

Untuk masuk ke situs ini, korban harus mengunggah catatan tebusan mereka yang menyertakan gumpalan unik yang disandikan Base64 yang digunakan oleh situs untuk mengidentifikasi korban.

Situs negosiasi tebusan 0mega
Sumber: BleepingComputer

Seperti hampir semua operasi ransomware penargetan perusahaan, 0mega menjalankan situs kebocoran data khusus yang digunakan pelaku ancaman untuk mempublikasikan data curian jika uang tebusan tidak dibayarkan.

Situs kebocoran 0mega saat ini menampung 152 GB data yang dicuri dari perusahaan perbaikan elektronik dalam serangan Mei.

Situs kebocoran data 0mega
Situs: BleepingComputer

Namun, minggu lalu ada korban tambahan yang telah dihapus, menunjukkan bahwa perusahaan mungkin telah membayar uang tebusan.

Sumber: Bleeping Computer

Decryptor gratis dirilis untuk AstraLocker, korban ransomware Yashma

by

Perusahaan keamanan siber yang berbasis di Selandia Baru Emsisoft telah merilis alat dekripsi gratis untuk membantu korban ransomware AstraLocker dan Yashma memulihkan file mereka tanpa membayar uang tebusan.

Alat gratis ini tersedia untuk diunduh dari server Emsisoft, dan memungkinkan Anda memulihkan file terenkripsi menggunakan instruksi yang mudah diikuti yang tersedia dalam panduan penggunaan ini [PDF].

“Pastikan untuk mengkarantina malware dari sistem Anda terlebih dahulu, atau mungkin berulang kali mengunci sistem Anda atau mengenkripsi file,” Emsisoft memperingatkan.

Decryptor ransomware akan memungkinkan Anda untuk menyimpan file yang dienkripsi dalam serangan sebagai failsafe jika file yang didekripsi tidak identik dengan dokumen asli.

Emsisoft juga menyarankan korban AstraLocker dan Yashma yang sistemnya disusupi melalui Windows Remote Desktop untuk mengubah kata sandi untuk semua akun pengguna yang memiliki izin untuk masuk dari jarak jauh dan untuk mencari akun lokal lain yang mungkin telah ditambahkan oleh operator ransomware.

Dekripsi AstraLocker (Emsisoft)

Decryptor dirilis setelah aktor ancaman di balik ransomware AstraLocker mengatakan bahwa mereka menutup operasi dengan rencana untuk beralih ke cryptomining.

Pengembang ransomware membagikan arsip ZIP dengan dekripsi AstraLocker dan Yashma yang mereka kirimkan ke platform analisis malware VirusTotal.

Meskipun mereka tidak mengungkapkan alasan di balik penutupan AstraLocker, penyebab yang paling mungkin adalah publisitas tiba-tiba yang dibawa oleh laporan baru-baru ini yang akan membuat operasi tersebut menjadi sasaran penegakan hukum.

AstraLocker didasarkan pada ransomware Babuk Locker (Babyk), jenis buggy namun masih berbahaya yang kode sumbernya bocor pada bulan September di forum peretas.

Sumber: Bleeping Computer

Pemerintah AS peringatkan serangan ransomware Maui terhadap organisasi Health Services

by

FBI, CISA, dan Departemen Keuangan A.S. hari ini mengeluarkan peringatan bersama tentang aktor ancaman yang didukung Korea Utara yang menggunakan ransomware Maui dalam serangan terhadap organisasi Kesehatan dan Kesehatan Masyarakat (HPH).

Mulai Mei 2021, FBI telah menanggapi dan mendeteksi beberapa serangan ransomware Maui yang berdampak pada organisasi Sektor HPH di seluruh AS.

Menurut laporan ancaman yang ditulis oleh reverse engineer utama Stairwell Silas Cutler, ransomware Maui disebarkan secara manual di seluruh jaringan korban yang disusupi, dengan operator jarak jauh menargetkan file tertentu yang ingin mereka enkripsi.

Sementara Stairwell mengumpulkan sampel Maui pertama pada awal April 2022, semua sampel ransomware Maui memiliki stempel waktu kompilasi yang sama pada 15 April 2021.

Maui juga menonjol dibandingkan dengan jenis ransomware lainnya dengan tidak menjatuhkan catatan tebusan pada sistem terenkripsi untuk memberikan instruksi pemulihan data kepada korban.

File enkripsi ransomware Maui (BleepingComputer)

Tiga agen federal AS juga memberikan indikator kompromi (IOC) yang diperoleh FBI saat menanggapi serangan ransomware Maui sejak Mei 2021.

Mereka juga mendesak organisasi Sektor HPH untuk menerapkan mitigasi dan menerapkan serangkaian tindakan yang dibagikan dalam penasihat bersama untuk mempersiapkan, mencegah, dan menanggapi insiden ransomware.

Paling tidak, pembela jaringan disarankan untuk melatih pengguna untuk menemukan dan melaporkan upaya phishing, mengaktifkan dan menerapkan otentikasi multi-faktor di seluruh organisasi mereka, dan selalu memperbarui perangkat lunak antivirus dan antimalware di semua host.

Agen federal juga “sangat tidak menganjurkan” korban untuk membayar tuntutan tebusan dari pelaku ancaman di balik serangan ransomware Maui dan mengingatkan organisasi HPH tentang nasihat yang dikeluarkan oleh Departemen Keuangan mengenai risiko sanksi yang terkait dengan pembayaran ransomware.

Aktivitas ransomware Maui (ID-Ransomware)

Ransomware, kelompok peretas berpindah dari Cobalt Strike ke Brute Rate

by

Grup peretasan dan operasi ransomware beralih dari Cobalt Strike ke toolkit pasca-eksploitasi Brute Ratel yang lebih baru untuk menghindari deteksi oleh solusi EDR dan antivirus.

Tim keamanan siber perusahaan biasanya terdiri dari karyawan yang berusaha menembus jaringan perusahaan (tim merah) dan mereka yang secara aktif membela mereka (tim biru). Kedua tim kemudian berbagi catatan setelah pertemuan untuk memperkuat pertahanan keamanan siber jaringan.

Selama bertahun-tahun, salah satu alat paling populer dalam keterlibatan tim merah adalah Cobalt Strike, alat yang memungkinkan penyerang untuk menyebarkan “suar” pada perangkat yang disusupi untuk melakukan pengawasan jaringan jarak jauh atau menjalankan perintah.

Sementara Cobalt Strike adalah perangkat lunak yang sah, para pelaku ancaman telah membagikan versi crack secara online, menjadikannya salah satu alat paling populer yang digunakan oleh peretas dan operasi ransomware untuk menyebar secara lateral melalui jaringan perusahaan yang dilanggar.

Pada tahun 2020, Chetan Nayak, mantan tim merah di Mandiant dan CrowdStrike, merilis Pusat Komando dan Kontrol Brute Ratel (BRc4) sebagai alternatif Cobalt Strike untuk keterlibatan pengujian penetrasi tim merah.

Seperti Cobalt Strike, Brute Ratel adalah alat simulasi serangan permusuhan yang memungkinkan tim merah untuk menyebarkan ‘Badgers’ (mirip dengan suar di Cobalt Strike) pada host jarak jauh. Badger ini terhubung kembali ke server Command and Control penyerang untuk menerima perintah untuk mengeksekusi atau mengirimkan output dari perintah yang dijalankan sebelumnya.

Dalam laporan baru oleh Palo Alto Unit 42, para peneliti telah melihat aktor ancaman pindah dari Cobalt Strike menggunakan Brute Ratel sebagai toolkit pilihan pasca-eksploitasi mereka.

Perubahan taktik ini signifikan karena BRc4 dirancang untuk menghindari deteksi oleh EDR dan solusi antivirus, dengan hampir semua perangkat lunak keamanan tidak mendeteksinya sebagai berbahaya saat pertama kali terlihat di alam liar.

Dalam serangan yang diduga terkait dengan kelompok peretas yang disponsori negara Rusia APT29 (alias CozyBear and Dukes), pelaku ancaman mendistribusikan ISO berbahaya yang diduga berisi resume (CV) yang dikirimkan.

Isi file ISO berbahaya
Sumber: BleepingComputer

Namun, file resume ‘Roshan-Bandara_CV_Dialog’ sebenarnya adalah pintasan Windows yang akan meluncurkan file OneDriveUpdater.exe yang dibundel, seperti yang ditunjukkan pada properti file di bawah ini.

Pintasan Windows menyamar sebagai CV untuk meluncurkan program
Sumber: BleepingComputer

Sementara OneDriveUpdater.exe adalah sah Microsoft executable, termasuk version.dll yang dimuat oleh program telah dimodifikasi untuk bertindak sebagai loader untuk Brute Ratel badger, yang dimuat ke dalam proses RuntimeBroker.exe.

Setelah badger Brute Ratel dimuat, pelaku ancaman dapat mengakses perangkat yang disusupi dari jarak jauh untuk menjalankan perintah dan menyebar lebih jauh di jaringan yang sekarang dilanggar.

Brute Rate saat ini berharga $2.500 per pengguna untuk lisensi satu tahun, dengan pelanggan diharuskan memberikan alamat email bisnis dan diverifikasi sebelum lisensi diterbitkan.

Karena ini adalah proses verifikasi manual, ini menimbulkan pertanyaan tentang bagaimana pelaku ancaman menerima lisensi perangkat lunak.

Pengembang Brute Ratel Chetan Nayak mengatakan bahwa lisensi yang digunakan dalam serangan yang dilaporkan oleh Unit 42 dibocorkan oleh karyawan yang tidak puas dari salah satu pelanggannya.

Karena muatan memungkinkan Nayak untuk melihat kepada siapa mereka dilisensikan, dia dapat mengidentifikasi dan mencabut lisensi tersebut.

Namun, menurut CEO AdvIntel Vitali Kremez, mantan anggota ransomware Conti juga mulai memperoleh lisensi dengan membuat perusahaan AS palsu untuk melewati sistem verifikasi lisensi.

Sumber: Bleeping Computer

Ransomware AstraLocker dimatikan dan melepaskan decryptors

by

Pelaku ancaman di balik ransomware AstraLocker yang kurang dikenal mengatakan kepada BleepingComputer bahwa mereka menghentikan operasi dan berencana untuk beralih ke cryptojacking.

Pengembang ransomware mengirimkan arsip ZIP dengan dekripsi AstraLocker ke platform analisis malware VirusTotal.

BleepingComputer mengunduh arsip dan mengonfirmasi bahwa decryptor itu sah dan berfungsi setelah menguji salah satunya terhadap file yang dienkripsi dalam kampanye AstroLocker baru-baru ini.

Meskipun kami hanya menguji satu decryptor yang berhasil mendekripsi file yang dikunci dalam satu kampanye, decryptor lain dalam arsip kemungkinan dirancang untuk mendekripsi file yang dienkripsi dalam kampanye sebelumnya.

Dekripsi AstraLocker (BleepingComputer)

Sementara pengembang tidak mengungkapkan alasan di balik penutupan AstraLocker, kemungkinan karena publisitas tiba-tiba yang dibawa oleh laporan baru-baru ini yang akan mendaratkan operasi di garis bidik penegakan hukum.

Decryptor universal untuk ransomware AstraLocker saat ini sedang dalam pengerjaan, yang akan dirilis di masa mendatang oleh Emsisoft, sebuah perusahaan perangkat lunak yang dikenal membantu korban ransomware dengan dekripsi data.

Meskipun tidak terjadi sesering yang kami inginkan, grup ransomware lain telah merilis kunci dekripsi dan dekripsi ke BleepingComputer dan peneliti keamanan sebagai isyarat niat baik saat mematikan atau merilis versi baru.

Seperti yang baru-baru ini diungkapkan oleh firma intelijen ancaman ReversingLabs, AstraLocker menggunakan metode yang agak tidak lazim untuk mengenkripsi perangkat korbannya dibandingkan dengan jenis ransomware lainnya.

Alih-alih mengkompromikan perangkat terlebih dahulu (baik dengan meretasnya atau membeli akses dari pelaku ancaman lainnya), operator AstraLocker akan langsung menyebarkan muatan dari lampiran email menggunakan dokumen Microsoft Word yang berbahaya.

Umpan yang digunakan dalam serangan AstroLocker adalah dokumen yang menyembunyikan objek OLE dengan muatan ransomware yang akan disebarkan setelah target mengklik Jalankan dalam dialog peringatan yang ditampilkan saat membuka dokumen.

Catatan tebusan AstraLocker (ReversingLabs)

Sebelum mengenkripsi file pada perangkat yang sekarang disusupi, ransomware akan memeriksa apakah itu berjalan di mesin virtual, mematikan proses dan menghentikan pencadangan dan layanan AV yang akan menghambat proses enkripsi.

Berdasarkan analisis ReversingLabs, AstraLocker didasarkan pada kode sumber ransomware Babuk Locker (Babyk) yang bocor, jenis buggy tetapi masih berbahaya yang keluar dari ruang angkasa pada September 2021.

Selain itu, salah satu alamat dompet Monero dalam catatan tebusan AstraLocker juga terkait dengan operator ransomware Chaos.

Sumber: Bleeping Computer

LockBit 3.0 memperkenalkan program hadiah bug ransomware pertama

by

Operasi ransomware LockBit telah merilis ‘LockBit 3.0,’ memperkenalkan program hadiah bug ransomware pertama dan membocorkan taktik pemerasan baru dan opsi pembayaran cryptocurrency Zcash.

Operasi ransomware diluncurkan pada 2019 dan sejak itu berkembang menjadi operasi ransomware paling produktif, terhitung 40% dari semua serangan ransomware yang diketahui pada Mei 2022.

Selama akhir pekan, geng kejahatan dunia maya merilis operasi ransomware-as-a-service (RaaS) yang diubah yang disebut LockBit 3.0 setelah pengujian beta selama dua bulan terakhir, dengan versi baru sudah digunakan dalam serangan.

Meskipun tidak jelas perubahan teknis apa yang dilakukan pada encryptor, catatan tebusan tidak lagi bernama ‘Restore-My-Files.txt’ dan sebagai gantinya telah dipindahkan ke format penamaan, [id].README.txt, seperti yang ditunjukkan di bawah ini.

Catatan tebusan LockBit 3.0
Sumber: BleepingComputer

Dengan dirilisnya LockBit 3.0, operasi tersebut telah memperkenalkan program bug bounty pertama yang ditawarkan oleh geng ransomware, meminta peneliti keamanan untuk mengirimkan laporan bug dengan imbalan hadiah berkisar antara $1.000 dan $1 juta.

Program hadiah bug LockBit 3.0
Sumber: BleepingComputer

Namun, program bug bounty ini sedikit berbeda dari yang biasa digunakan oleh perusahaan yang sah, karena membantu perusahaan kriminal akan ilegal di banyak negara.

Selain itu, LockBit tidak hanya menawarkan hadiah untuk hadiah atas kerentanan tetapi juga membayar hadiah untuk “ide cemerlang” dalam meningkatkan operasi ransomware dan untuk melakukan doxxing kepada manajer program afiliasi.

Berikut ini adalah berbagai kategori karunia bug yang ditawarkan oleh operasi LockBit 3.0:

  • Bug Situs Web: Kerentanan XSS, injeksi mysql, mendapatkan shell ke situs dan banyak lagi, akan dibayar tergantung pada tingkat keparahan bug, arah utama adalah untuk mendapatkan decryptor melalui situs web bug, serta akses ke riwayat korespondensi dengan perusahaan terenkripsi.
  • Locker Bugs: Setiap kesalahan selama enkripsi oleh loker yang menyebabkan file rusak atau kemungkinan mendekripsi file tanpa mendapatkan decryptor.
  • Doxing: Kami membayar tepat satu juta dolar, tidak lebih dan tidak kurang, untuk doxing bos program afiliasi. Baik Anda seorang agen FBI atau peretas yang sangat pintar yang tahu cara menemukan siapa pun, Anda dapat mengirimi kami pesan TOX, memberi kami nama bos Anda, dan mendapatkan $1 juta dalam bentuk bitcoin atau monero untuk itu.

    • Selengkapnya

Saat membuka situs Tor untuk negosiasi LockBit 3.0 dan situs kebocoran data, pengunjung disajikan dengan logo animasi dengan berbagai ikon mata uang kripto yang berputar di sekitarnya.

Ikon cryptocurrency yang ditampilkan dalam animasi ini adalah Monero dan Bitcoin, yang sebelumnya diterima oleh operasi sebagai pembayaran tebusan, tetapi juga mencakup koin privasi yang dikenal sebagai Zcash.

Perusahaan pelacakan Cryptocurrency dan penyitaan penegakan hukum telah berulang kali menunjukkan bahwa Bitcoin dapat dilacak, dan sementara Monero adalah koin privasi, itu tidak ditawarkan untuk dijual oleh sebagian besar pertukaran crypto AS.

Zcash juga merupakan koin privasi, membuatnya lebih sulit untuk dilacak. Namun, saat ini ditawarkan untuk dijual di bursa crypto AS paling populer, Coinbase, sehingga memudahkan korban untuk membeli untuk pembayaran uang tebusan.

Namun, jika operasi ransomware beralih ke menerima pembayaran dalam koin ini, kemungkinan besar kita akan melihatnya dihapus dari bursa AS karena tekanan dari pemerintah AS.

Valery Marchive dari LeMagIT menemukan bahwa operasi LockBit 3.0 menggunakan model pemerasan baru, yang memungkinkan pelaku ancaman untuk membeli data yang dicuri selama serangan.

Salah satu file JavaScript yang digunakan oleh situs kebocoran data LockBit 3.0 baru menunjukkan dialog modal HTML baru yang memungkinkan orang untuk membeli data yang bocor di situs tersebut.

Seperti yang Anda lihat di bawah, modals akan menawarkan kemampuan untuk membeli data dan mengunduhnya baik melalui Torrent atau langsung di situs. Opsi yang tersedia dapat ditentukan berdasarkan ukuran data yang dicuri, dengan Torrent digunakan untuk dump data besar dan unduhan langsung untuk jumlah yang lebih kecil.

Sumber JavaScript menunjukkan metode pemerasan data baru
Sumber: BleepingComputer

Karena situs kebocoran data LockBit 3.0 saat ini tidak mengandung korban, tidak jelas bagaimana taktik pemerasan baru ini akan bekerja atau apakah itu diaktifkan.

LockBit adalah salah satu operasi ransomware paling aktif, dengan operator yang menghadap publik secara aktif terlibat dengan pelaku ancaman lain dan komunitas keamanan siber.

Sumber: Bleeping Computer