Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

Geng ransomware OldGremlin menargetkan Rusia dengan malware baru

by

OldGremlin telah membuat comeback bulan lalu setelah diam lebih dari satu tahun.

Grup ini membedakan dirinya dari operasi ransomware lainnya melalui sejumlah kecil kampanye – kurang dari lima sejak awal 2021 – yang hanya menargetkan bisnis di Rusia dan penggunaan pintu belakang khusus yang dibuat sendiri.

Meskipun kurang aktif, yang mungkin menunjukkan bahwa bisnis ransomware lebih dekat ke bisnis sampingan, OldGremlin telah menuntut uang tebusan setinggi $3 juta dari salah satu korbannya.

Peneliti keamanan di perusahaan keamanan siber Group-IB yang berbasis di Singapura mengatakan bahwa kali ini OldGremlin menyamar sebagai akuntan senior di organisasi keuangan Rusia yang memperingatkan bahwa sanksi baru-baru ini yang dijatuhkan pada Rusia akan menangguhkan operasi sistem pemrosesan pembayaran Visa dan Mastercard.

Email tersebut mengarahkan penerima ke dokumen berbahaya yang disimpan di Dropbox yang mengunduh pintu belakang bernama TinyFluff, yang meluncurkan interpreter Node.js dan memberi penyerang akses jarak jauh ke sistem target.

TinyFluff adalah varian baru dari backdoor lama, TinyNode, yang digunakan dalam serangan sebelumnya.

Kedua varian backdoor tersebut saat ini terdeteksi oleh lebih dari 20 mesin antivirus di platform pemindaian Virus Total.

Dalam laporan yang dibagikan dengan BleepingComputer, Group-IB memberikan indicators of compromise (IoC) dan analisis teknis terperinci dari alat yang digunakan OldGremlin dalam dua kampanye phishing yang digunakan bulan lalu.

Selengkapnya: Bleeping Computer

Geng ransomware LockBit mengintai di jaringan pemerintah AS selama berbulan-bulan

by

Sebuah badan pemerintah regional A.S. yang dikompromikan dengan ransomware LockBit memiliki aktor ancaman di jaringannya setidaknya selama lima bulan sebelum muatan disebarkan, menurut temuan peneliti keamanan.

Log yang diambil dari mesin yang disusupi menunjukkan bahwa dua kelompok ancaman telah mengkompromikan mereka dan terlibat dalam operasi pengintaian dan akses jarak jauh.

Para penyerang mencoba menghapus jejak mereka dengan menghapus Log Peristiwa tetapi potongan-potongan file tetap memungkinkan analis ancaman untuk melihat sekilas aktor dan taktik mereka.

Akses awal yang memungkinkan serangan itu adalah fitur pelindung yang salah satu teknisi agensi biarkan dinonaktifkan setelah operasi pemeliharaan.

Menurut peneliti di perusahaan keamanan siber Sophos, pelaku mengakses jaringan melalui port desktop jarak jauh (RDP) terbuka pada firewall yang salah konfigurasi dan kemudian menggunakan Chrome untuk mengunduh alat yang diperlukan dalam serangan itu.

Toolset termasuk utilitas untuk brute-forcing, scanning, VPN komersial, dan alat gratis yang memungkinkan manajemen file dan eksekusi perintah, seperti PsExec, FileZilla, Process Explorer, dan GMER.

Selain itu, para peretas menggunakan desktop jarak jauh dan perangkat lunak manajemen jarak jauh seperti ScreenConnect, dan kemudian dalam serangan itu, AnyDesk.

Dari sana, para penyerang menghabiskan waktu untuk bersembunyi dan hanya mencoba mencuri kredensial akun yang berharga untuk memperluas kompromi jaringan mereka.

Pada titik tertentu, mereka mengambil kredensial dari admin server lokal yang juga memiliki izin Administrator Domain, sehingga mereka dapat membuat akun baru di sistem lain dengan hak administrator.

Pada tahap kedua serangan, dimulai lima bulan setelah kompromi awal, aktor yang lebih canggih tampaknya telah mengambil alih, membuat Sophos berasumsi bahwa aktor tingkat yang lebih tinggi sekarang bertanggung jawab atas operasi tersebut.

Fase baru dimulai dengan menginstal alat pasca-eksploitasi Mimikatz dan LaZagne untuk mengekstrak set kredensial dari server yang disusupi.

Penyerang membuat kehadiran mereka lebih jelas dengan menghapus log dan melakukan reboot sistem melalui perintah jarak jauh, memperingatkan admin sistem yang membuat 60 server offline dan membagi jaringan.

Kesalahan kedua selama respons insiden ini menonaktifkan keamanan titik akhir. Dari titik ini, kedua pihak terlibat dalam konfrontasi terbuka tentang tindakan dan tindakan balasan.

Sophos bergabung dengan upaya respons dan mematikan server yang menyediakan akses jarak jauh ke musuh, tetapi bagian dari jaringan telah dienkripsi dengan LockBit.

Pada beberapa mesin, meskipun file telah diganti namanya dengan akhiran LockBit, tidak ada enkripsi yang terjadi, jadi memulihkannya adalah masalah membalikkan tindakan penggantian nama.

Para peneliti mengatakan bahwa menerapkan perlindungan otentikasi multi-faktor (MFA) akan menghasilkan hasil yang berbeda, karena akan menghentikan peretas untuk bergerak bebas atau setidaknya secara signifikan menghambat tindakan mereka di jaringan yang disusupi.

Fitur keamanan penting lainnya yang dapat memperlambat pelaku ancaman adalah aturan firewall yang memblokir akses jarak jauh ke port RDP.

Sumber : Bleeping Computer

Geng ransomware Hive telah mengumumkan “Kementerian Luar Negeri Republik Indonesia” pada daftar korban.

by

Geng ransomware Hive baru saja mengumumkan bahwa Kementerian Luar Negeri Republik Indonesia masuk kedalam pada daftar korban mereka.

Ransomware Hive merupakan ransomware-as-a-service (RaaS) bertarget tipikal yang menggunakan ancaman untuk mempublikasikan data yang dieksfiltrasi sebagai pengungkit ekstra untuk membuat korban membayar. Grup ransomware diketahui bekerja dengan afiliasi yang menggunakan berbagai metode untuk menyusup ke jaringan perusahaan.

Berdasarkan postingan @darktracer_int diketahui bahwa data Kementerian Luar Negeri Republik Indonesia sudah terenkripsi sejak 27 Januari 2022 lalu dan diungkapkan pada tanggal 22 Maret 2020 kemarin.

Sumber : @darktracer_int (twitter)

Info: Artikel ini masih dalam pengembangan, apabila ada info tambahan akan segera di update.

Sumber : Dark Tracer

Data CaddyWiper baru yang menghapus malware menyerang jaringan Ukraina

by

Malware penghancur data yang baru ditemukan telah diamati sebelumnya hari ini dalam serangan yang menargetkan organisasi Ukraina dan menghapus data di seluruh sistem pada jaringan yang disusupi.

“Malware baru ini menghapus data pengguna dan informasi partisi dari drive yang terpasang,” jelas ESET Research Labs.

Meskipun dirancang untuk menghapus data di seluruh domain Windows yang digunakan, CaddyWiper akan menggunakan fungsi DsRoleGetPrimaryDomainInformation() untuk memeriksa apakah perangkat adalah pengontrol domain. Jika demikian, data pada kontroler domain tidak akan dihapus.

Ini kemungkinan taktik yang digunakan oleh penyerang untuk mempertahankan akses di dalam jaringan organisasi yang disusupi yang mereka pukul sementara masih sangat mengganggu operasi dengan menghapus perangkat penting lainnya.

Saat menganalisis header PE dari sampel malware yang ditemukan di jaringan organisasi Ukraina yang dirahasiakan, juga ditemukan bahwa malware tersebut disebarkan dalam serangan pada hari yang sama saat kompilasi.

“CaddyWiper tidak memiliki kesamaan kode yang signifikan dengan HermeticWiper, IsaacWiper, atau malware lain yang kami ketahui. Sampel yang kami analisis tidak ditandatangani secara digital,” tambah ESET.

“Serupa dengan penyebaran HermeticWiper, kami mengamati CaddyWiper disebarkan melalui GPO, menunjukkan penyerang memiliki kendali sebelumnya atas jaringan target sebelumnya.”


Tanggal kompilasi CadddyWiper (ESET)

CaddyWiper adalah malware penghapus data keempat yang digunakan dalam serangan di Ukraina sejak awal 2022, dengan analis ESET Research Labs sebelumnya menemukan dua lainnya dan Microsoft yang ketiga.

Satu hari sebelum invasi Rusia ke Ukraina dimulai, pada 23 Februari, peneliti ESET melihat malware penghapus data yang sekarang dikenal sebagai HermeticWiper, yang digunakan untuk menargetkan Ukraina bersama dengan umpan ransomware.

Mereka juga menemukan penghapus data yang mereka beri nama IsaacWiper dan worm baru bernama HermeticWizard yang digunakan penyerang untuk menjatuhkan muatan penghapus HermeticWiper, yang dikerahkan pada hari Rusia menginvasi Ukraina.

Microsoft juga menemukan penghapus yang sekarang dilacak sebagai WhisperGate, yang digunakan dalam serangan penghapusan data terhadap Ukraina pada pertengahan Januari, yang disamarkan sebagai ransomware.

Seperti yang dikatakan Presiden dan Wakil Ketua Microsoft Brad Smith, serangan berkelanjutan dengan malware destruktif terhadap organisasi Ukraina “telah tepat sasaran.”

Ini kontras dengan serangan malware NotPetya di seluruh dunia yang menyerang Ukraina dan negara lain pada tahun 2017, serangan yang kemudian dikaitkan dengan Sandworm, grup peretasan Direktorat Intelijen Utama GRU Rusia.

Serangan destruktif semacam itu adalah bagian dari “gelombang besar perang hibrida”, seperti yang dijelaskan oleh Dinas Keamanan Ukraina (SSU) tepat sebelum perang dimulai.

Sumber : Bleeping Computer

Raksasa otomotif DENSO terkena geng ransomware Pandora baru

by

Produsen suku cadang otomotif DENSO telah mengkonfirmasi bahwa mereka mengalami serangan siber pada 10 Maret setelah operasi ransomware Pandora baru mulai membocorkan data yang diduga dicuri selama serangan tersebut.

DENSO adalah salah satu produsen komponen otomotif terbesar di dunia, memasok merek seperti Toyota, Mercedes-Benz, Ford, Honda, Volvo, Fiat, dan General Motors dengan berbagai macam kelistrikan, elektronik, kontrol powertrain, dan berbagai suku cadang khusus lainnya.

DENSO mengkonfirmasi akhir pekan ini bahwa jaringan perusahaan mereka di Jerman dibobol pada 10 Maret 2022. Perusahaan mengklaim telah mendeteksi akses ilegal dan segera merespon untuk memutuskan penyusup dari perangkat jaringan lainnya, membatasi dampaknya hanya pada divisi Jerman.

Gangguan dalam rantai pasokan DENSO akan menyebabkan efek domino dalam produksi mobil di berbagai fasilitas secara global, memukul industri yang sudah berjuang karena kekurangan chip dan penutupan pabrik yang berbasis di Ukraina.

Sementara DENSO menyatakan bahwa serangan siber tidak berdampak pada operasi mereka, geng ransomware Pandora baru mulai membocorkan 1,4 TB file yang diduga dicuri selama pelanggaran jaringan.

Pengumuman DENSO di portal kebocoran Pandora

Pandora ransomware adalah operasi baru yang diluncurkan pada Maret 2022 yang menargetkan jaringan perusahaan dan mencuri data untuk serangan pemerasan ganda.

Begitu mereka mendapatkan akses ke jaringan, pelaku ancaman akan menyebar secara lateral melalui jaringan sambil mencuri file tidak terenkripsi untuk digunakan dalam tuntutan pemerasan.

Saat mengenkripsi perangkat, ransomware akan menambahkan ekstensi .pandora ke nama file terenkripsi, seperti yang ditunjukkan di bawah ini.

File yang dienkripsi oleh ransomware Pandora
Sumber: BleepingComputer

Saat ransomware mengenkripsi file, Pandora akan membuat catatan tebusan di setiap folder bernama ‘Restore_My_Files.txt’. Catatan tebusan ini menjelaskan apa yang terjadi pada perangkat dan menyertakan alamat email yang dapat dihubungi korban untuk melakukan negosiasi tebusan.

Pandora ransom note example
Source: BleepingComputer

Catatan tebusan juga menyertakan tautan ke situs kebocoran data yang digunakan oleh geng ransomware untuk melakukan kampanye pemerasan ganda mereka.

Peneliti keamanan pancak3 percaya bahwa Pandora adalah rebrand dari ransomware Rook karena kesamaan kode dan paket yang digunakan oleh operasi tersebut.

Contoh ransomware Pandora terdeteksi di VirusTotal oleh Intezer sebagai Rook, yang menunjukkan kesamaan kode.

Lebih lanjut, peneliti keamanan Arkbird menemukan bahwa Pandora menggunakan paket yang dapat dieksekusi yang sama dengan ‘NightSky,’ yang merupakan rebranding sebelumnya dari operasi ransomware LockFile/AtomSilo.

Anehnya, Rook juga telah menerbitkan data pada Desember 2021 yang diduga milik DENSO, jadi tidak jelas apakah perusahaan tersebut terkena dua kali oleh operasi ransomware yang sama.

Operasi Ransomware biasanya mengganti nama diri mereka sendiri dengan apa yang oleh komunitas keamanan disebut sebagai ‘rebrand’ dengan harapan hal itu akan membantu mereka menghindari penegakan hukum dan kemungkinan sanksi dari pemerintah.

Namun, kecuali jika pelaku ancaman benar-benar mengubah kode, alat, dan taktik malware mereka, akan selalu ada cara untuk mendeteksi saat geng mengubah citra, membuatnya lebih mudah untuk menautkan ke operasi ransomware sebelumnya.

Jika Pandora adalah rebrand dari Rook, kita mungkin akan melihat operasi berjalan di bawah nama ini untuk beberapa waktu sebelum sekali lagi berganti nama menjadi nama lain, seperti yang telah kita lihat sebelumnya dengan versi lain dari keluarga ransomware ini.

Sumber : Bleeping Computer

Decryptor gratis dirilis untuk korban HermeticRansom di Ukraina

by

Avast telah merilis decryptor untuk jenis ransomware HermeticRansom yang digunakan dalam serangan yang ditargetkan terhadap sistem Ukraina selama sepuluh hari terakhir.

Decryptor ditawarkan sebagai alat unduh gratis dari situs web Avast dan dapat membantu orang Ukraina memulihkan data mereka dengan cepat dan andal.

Tanda-tanda pertama distribusi HermeticRansom diamati oleh para peneliti ESET pada 23 Februari, hanya beberapa jam sebelum invasi pasukan Rusia terjadi di Ukraina.

Jenis ransomware dikirimkan bersama dengan worm komputer bernama HermeticWizard dan lebih berfungsi sebagai umpan dalam serangan penghapus daripada alat untuk mendukung pemerasan finansial. Namun, infeksinya telah mengganggu sistem vital Ukraina.

Crowdstrike dengan cepat menemukan kelemahan dalam skema kriptografi dari strain yang ditulis GO dan menawarkan skrip untuk mendekripsi file yang dienkripsi oleh HermeticRansom (alias PartyTicket).

HermeticRansom berisi banyak nama string berorientasi politik dalam biner ransomware, catatan tebusan, dan email kontak (vote2024forjb@protonmail.com dan stephanie.jones2024@protonmail.com).

HermeticRansom tidak pernah dimaksudkan untuk berfungsi sebagai jenis ransomware modern yang akan menjadi dasar bagi pemerasan ganda, yang menimbulkan kerusakan finansial dan reputasi.

Di atas tidak berarti bahwa infeksi HermeticRansom tidak berdampak pada mesin yang ditargetkan.

Sebaliknya, jenis ini masih dapat mengenkripsi file berharga di luar File Program dan folder Windows, menggunakan kunci RSA-2048.

Catatan tebusan yang dilihat oleh para korban memiliki bentuk dan isi yang khas, meminta mereka untuk menghubungi alamat ProtonMail untuk mendapatkan decryptor.

Catatan tebusan HermeticRansom/PartyTicket

Meskipun skrip Crowdstrike dapat diandalkan, tidak mudah bagi semua orang untuk menggunakannya dalam situasi ini. Untuk mempermudahnya, Avast telah merilis GUI decryptor yang memudahkan untuk mendekripsi file yang dienkripsi oleh HermeticRansom.

Selain itu, alat ini menawarkan opsi untuk mencadangkan file yang dienkripsi untuk menghindari berakhirnya file yang rusak secara permanen jika terjadi kesalahan dengan proses enkripsi.

Dekripsi grafis Avast

Sumber : Bleeping Computer

Pelanggaran simultan: berurusan dengan dua kelompok ransomware pada hari yang sama

by

Meskipun umum bagi kelompok ransomware untuk menerapkan taktik pemerasan ganda dan tiga kali lipat terhadap korban mereka, sangat jarang beberapa kelompok berbeda menyerang target yang sama pada waktu yang sama.

Menurut Sean Gallagher, Peneliti Ancaman Senior di Sophos, pada awal Desember, penyedia layanan kesehatan di Kanada dihantam oleh dua pelaku ransomware menggunakan taktik yang berbeda.

Sementara kelompok ransomware Karma mengekstrak data tetapi memilih untuk tidak mengenkripsi data karena korban berada dalam perawatan kesehatan, Conti, secara mengejutkan, tidak menahan diri seperti itu.

Menurut laporan itu, kedua penyerang memperoleh akses melalui eksploitasi ProxyShell. ProxyShell adalah rantai serangan yang dirancang untuk mengeksploitasi tiga kerentanan terpisah (CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207) pada platform Exchange Server Microsoft.

Sementara menurut Gallagher, tidak jarang geng ransomware menggunakan eksploitasi ProxyShell untuk menembus jaringan korban, sangat jarang terlihat beberapa kelompok yang fokus pada target yang sama.

Sophos percaya bahwa broker akses awal kemungkinan menembus jaringan pada 10 Agustus. Tiga bulan kemudian, pada 30 November, Karma muncul dan mengekstrak 52 gigabyte data.

Meskipun geng Karma menjatuhkan catatan ransomware pada 3 Desember, kelompok itu tidak mengenkripsi data milik penyedia layanan kesehatan. Pada saat yang sama, Conti ransomware sedang mengekstrak data. Pada tanggal 4 Desember, grup tersebut menyebarkan ransomware dari server yang disusupi dan data organisasi yang dienkripsi.

18 bulan terakhir penuh dengan serangan siber besar-besaran, seperti peretasan SolarWinds, serangan terhadap Colonial Pipeline, perusahaan pemrosesan daging JBS, dan perusahaan perangkat lunak Kaseya.

Sementara para pakar berbicara tentang demam emas ransomware, penelitian menunjukkan bahwa 74% yang mengejutkan dari semua pendapatan ransomware masuk ke pelaku ancaman yang berafiliasi dengan Rusia tahun lalu.

Dengan kata lain, cryptocurrency senilai sekitar $400 juta akhirnya mengisi kantong penjahat dunia maya yang terhubung ke Rusia dalam beberapa bentuk.

Conti juga merupakan geng ransomware yang terkait dengan Rusia. Setelah Rusia menginvasi Ukraina, kelompok tersebut menyatakan dukungan penuhnya kepada pemerintah Rusia.

Ternyata, tidak semua orang senang dengan pengumuman tersebut. Seorang peretas tak dikenal merilis bocoran komunikasi selama 13 bulan dari anggota grup Conti dan afiliasinya.

“Isi dump [informasi] pertama berisi komunikasi obrolan saat ini, mulai hari ini dari geng ransomware Conti. Kami berjanji itu sangat menarik,” kata pernyataan tentang kebocoran itu.

Sumber : Cybernews

Cadangan ‘tidak lagi efektif’ untuk menghentikan serangan ransomware

by

Pertumbuhan pemerasan ganda dan bahkan pemerasan tiga kali lipat serangan ransomware berada dalam bahaya menghadirkan metode tradisional yang umum untuk mengurangi dampak serangan ransomware, seperti pencadangan yang terpelihara dengan baik, kurang efektif, menurut laporan dari spesialis identitas mesin Venafi .

Data yang dikumpulkan dari survei dunia TI dan pembuat keputusan keamanan Venafi mengungkapkan bahwa 83% serangan ransomware yang berhasil sekarang melibatkan metode pemerasan alternatif –misalnya, menggunakan data curian untuk memeras pelanggan (38%), membocorkan data ke web gelap (35% ), dan memberi tahu pelanggan bahwa data mereka telah disusupi (32%). Hanya 17% dari serangan hanya meminta uang untuk kunci dekripsi.

Venafi mengatakan bahwa serangan ransomware sekarang bergantung pada eksfiltrasi data, strategi pencadangan yang efektif sampai batas tertentu “tidak lagi efektif” untuk mengatasi pelanggaran.

Venafi juga menemukan bahwa penjahat cyber semakin menindaklanjuti ancaman mereka apakah mereka dibayar atau tidak. Memang, 18% korban mengalami kebocoran data meskipun telah membayar, sementara lebih dari 16% yang menolak untuk membayar apa pun dan datanya bocor. Sekitar 8% menolak mentah-mentah, tetapi kemudian pelanggan mereka diperas; dan 35% dibayar, tetapi dibiarkan menggantung, tidak dapat mengambil data mereka.

Penyerang sekarang memahami bahwa korban mereka kemungkinan telah menerapkan sistem pemulihan dan pencadangan, dan menyadari bahwa taktik semacam ini adalah cara terbaik mereka untuk menang.

“Organisasi tidak siap untuk bertahan melawan ransomware yang mengekstrak data, jadi mereka membayar uang tebusan, tetapi ini hanya memotivasi penyerang untuk mencari lebih banyak. Berita buruknya adalah bahwa penyerang menindaklanjuti ancaman pemerasan, bahkan setelah uang tebusan dibayarkan. Ini berarti CISO berada di bawah tekanan yang lebih besar karena serangan yang berhasil kemungkinan besar akan menciptakan gangguan layanan skala penuh yang memengaruhi pelanggan,” kata Bocek.

Responden survei Venafi setuju dengan beberapa margin bahwa serangan pemerasan ganda dan tiga kali lipat semakin populer, dan ini membuat lebih sulit untuk menolak tuntutan tebusan, menciptakan masalah lebih lanjut bagi tim keamanan.

Responden juga cenderung setuju bahwa serangan ransomware berkembang lebih cepat daripada yang dapat diikuti oleh teknologi keamanan. Akibatnya, 76% merencanakan pengeluaran lebih lanjut untuk kontrol khusus ransomware yang melampaui dan melampaui penyimpanan dengan celah udara.

“Aktor ancaman terus mengembangkan serangan mereka untuk membuatnya lebih kuat, dan inilah saatnya bagi industri keamanan siber untuk merespons dengan cara yang sama,” kata Bocek. “Ransomware sering menghindari deteksi hanya karena berjalan tanpa identitas mesin yang tepercaya. Menggunakan manajemen identitas mesin untuk mengurangi penggunaan skrip yang tidak ditandatangani, meningkatkan penandatanganan kode, dan membatasi eksekusi makro jahat sangat penting untuk perlindungan ransomware yang menyeluruh.”

Sumber : Computer Weekly