Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

Bug ransomware Conti, REvil, LockBit dieksploitasi untuk memblokir enkripsi

by

Peretas biasanya mengeksploitasi kerentanan di jaringan perusahaan untuk mendapatkan akses, tetapi seorang peneliti telah membalikkan keadaan dengan menemukan eksploitasi di ransomware dan malware paling umum yang didistribusikan saat ini.

Malware dari operasi ransomware terkenal seperti Conti, REvil, Black Basta, LockBit, atau AvosLocker, semuanya datang dengan masalah keamanan yang dapat dieksploitasi untuk menghentikan langkah terakhir dan paling merusak dari serangan, enkripsi file.

Menganalisis jenis malware dari geng ransomware ini, seorang peneliti keamanan bernama hyp3rlinx menemukan bahwa sampel tersebut rentan terhadap DLL hijacking, sebuah metode yang biasanya dimanfaatkan oleh penyerang untuk menyuntikkan kode berbahaya ke dalam aplikasi yang sah.

Untuk setiap bagian malware yang dianalisis, peneliti memberikan laporan yang menjelaskan jenis kerentanan yang ditemukan, hash sampel, eksploitasi proof-of-concept (PoC), dan video demo.

Untuk sampel ransomware yang rentan dari Conti, REvil, LockBit, Black Basta, LockiLocker, dan AvosLocker, peneliti mengatakan bahwa exploit mereka memungkinkan mengeksekusi kode untuk “mengendalikan dan menghentikan pra-enkripsi malware.”

Di bawah ini adalah video dari peneliti yang mengeksploitasi kerentanan DLL hijacking di REvil ransomware untuk menghentikan malware sebelum proses enkripsi dimulai.

Untuk bertahan melawan keluarga ransomware ini, hyp3rlinx mengatakan bahwa DLL dapat ditempatkan di lokasi di mana penjahat siber cenderung menjalankan ransomware mereka, seperti lokasi jaringan dengan data penting.

Berikut adalah laporan kerentanan untuk sampel ransomware yang dianalisis: Conti, REvil, LockBit, Black Basta, LockiLocker, dan AvosLocker.

Selengkapnya: Bleeping Computer

Stormous: Geng Ransomware Pro-Rusia Menargetkan AS dan Ukraina

by

Sebagai bagian dari penelitian Dark Web dan cybercriminal reguler kami, Trustwave SpiderLabs telah menemukan dan menganalisis postingan dari grup ransomware pro-Rusia yang bermotivasi politik bernama Stormous. Kelompok tersebut baru-baru ini menyatakan dukungan untuk Rusia dalam perangnya dengan Ukraina, menyerang Kementerian Luar Negeri Ukraina dan diduga memperoleh dan membuat nomor telepon umum, alamat email, dan kartu identitas nasional. Kelompok itu juga mengklaim memiliki operasi ransomware yang sukses terhadap merek-merek besar Amerika Coca-Cola, Mattel dan Danaher. Secara total, Stormous mengklaim telah mengakses dan merusak 700 situs web AS dan menyerang 44 perusahaan Amerika.

Siapa Stormous?

Stormous, yang mungkin telah mulai beroperasi pada pertengahan 2021, telah memposting pernyataan misi yang menyatakan tujuannya adalah untuk menyerang target di AS dan negara-negara barat lainnya. Tujuan ini bergeser pada tahun 2022, menambahkan Ukraina dan India ke daftar targetnya. Cara mereka mendiskusikan negara sebagai target mereka dibandingkan dengan bisnis atau industri tertentu menunjukkan bahwa politik lebih memengaruhi perubahan target ini daripada keuntungan finansial.

Analisis awal kami terhadap Stormous menunjukkan geng tersebut kemungkinan memiliki anggota yang berlokasi di negara-negara Timur Tengah dan Rusia. Beberapa postingan kelompok itu ditulis dalam bahasa Arab bersama dengan sikap publiknya yang pro-Rusia, yang konsisten dengan wilayah tersebut. Apalagi, dua anggota kelompok yang ditangkap berasal dari negara-negara timur tengah.

Grup berkomunikasi melalui saluran Telegram dan situs web .onion di Tor. Ada sedikit obrolan di saluran Telegram, dengan percakapan yang sebagian besar terdiri dari proklamasi grup. Meskipun grup tersebut mengidentifikasi dirinya sebagai grup ransomware, grup tersebut tidak beroperasi sebagai Ransomware-as-a-Service (RaaS), dan tidak diketahui jenis ransomware apa yang mungkin digunakan dalam kampanye mereka.

Era Baru Penjahat Dunia Maya

Gaya baru kelompok ancaman Stormous yang tidak takut — dan bahkan mencari pujian publik — dapat membuat anggotanya lebih rentan untuk ditemukan dan ditangkap.

Meskipun mungkin ada sisi positif dari perspektif pengaruh dan branding untuk membuat aktivitas peretasan menjadi publik, penegak hukum dapat menggunakan informasi komunikasi untuk membawa penjahat dunia maya lebih cepat ke pengadilan.

Trustwave SpiderLabs akan terus melacak ancaman Stormous dan aktivitas grup saat lebih banyak informasi tersedia.

Sumber: Trustwave

Sampel malware baru mengonfirmasi bahwa REvil telah kembali

by

Operasi ransomware REvil yang terkenal telah kembali di tengah meningkatnya ketegangan antara Rusia dan AS, dengan infrastruktur baru dan encryptor yang dimodifikasi memungkinkan serangan yang lebih bertarget.

Pada bulan Oktober, geng ransomware REvil ditutup setelah operasi penegakan hukum membajak server Tor mereka, diikuti oleh penangkapan salah satu anggota oleh penegak hukum Rusia.

Namun, setelah invasi ke Ukraina, Rusia menyatakan bahwa AS telah menarik diri dari proses negosiasi mengenai geng REvil dan menutup saluran komunikasi.

Segera setelah itu, infrastruktur REvil Tor yang lama mulai beroperasi kembali, tetapi alih-alih menampilkan situs web lama, mereka mengarahkan pengunjung ke URL untuk operasi ransomware baru yang tidak disebutkan namanya.

Sementara situs-situs ini tidak terlihat seperti situs web REvil sebelumnya, fakta bahwa infrastruktur lama dialihkan ke situs baru menunjukkan bahwa REvil kemungkinan akan beroperasi kembali.

Satu-satunya cara untuk mengetahui dengan pasti apakah REvil telah kembali adalah dengan menemukan contoh enkripsi ransomware dan menganalisisnya.

Sebuah sampel dari enkripsi operasi ransomware baru akhirnya ditemukan minggu ini oleh penelitian AVAST Jakub Kroustek dan telah mengkonfirmasi hubungan operasi baru dengan grup REvil.

BleepingComputer telah diberitahu oleh beberapa peneliti keamanan dan analis malware bahwa sampel REvil yang ditemukan yang digunakan oleh operasi baru dikompilasi dari kode sumber dan mencakup perubahan baru.

BleepingComputer juga menguji sampel ransomware, dan meskipun tidak mengenkripsi, sampel tersebut membuat catatan tebusan, yang identik dengan catatan tebusan lama REvil.

Tidak mengherankan bahwa REvil telah berganti nama di bawah operasi baru, terutama dengan menurunnya hubungan antara AS dan Rusia.

Selengkapnya: Bleeping Computer

Ransomware: Bagaimana Penyerang Melanggar Jaringan Perusahaan

by

Symantec, sebuah divisi dari Broadcom Software, melacak berbagai ancaman ransomware; namun, tiga kelompok ransomware berikut diamati di sebagian besar serangan baru-baru ini yaitu: Hive, Conti, dan Avoslocker.

Mirip dengan banyak keluarga ransomware lainnya, Hive, Conti, dan Avoslocker mengikuti model bisnis ransomware-as-a-service (RaaS). Dalam model RaaS, operator ransomware mempekerjakan afiliasi yang bertanggung jawab meluncurkan serangan ransomware atas nama mereka. Dalam kebanyakan kasus, afiliasi tetap berpegang pada buku pedoman yang berisi langkah-langkah serangan terperinci yang ditetapkan oleh operator ransomware.

Afiliasi untuk operator ransomware Hive, Conti, dan Avoslocker menggunakan berbagai teknik untuk mendapatkan pijakan awal di jaringan korban. Beberapa teknik tersebut antara lain: spear phishing, kredensial RDP yang lemah, dan eksploitasi kelemahan.

Setelah mendapatkan akses awal, Symantec telah mengamati afiliasi untuk ketiga keluarga ransomware menggunakan perangkat lunak pihak ketiga seperti AnyDesk dan ConnectWise Control (sebelumnya dikenal sebagai ScreenConnect) untuk mempertahankan akses ke jaringan korban.

Selama fase penemuan, pelaku ransomware mencoba menyapu jaringan korban untuk mengidentifikasi target potensial.

Mimikatz adalah alat masuk untuk sebagian besar grup ransomware dan Hive, Conti, dan Avoslocker tidak terkecuali. Peneliti telah mengamati mereka menggunakan versi PowerShell dari Mimikatz serta versi PE dari alat tersebut. Ada juga contoh di mana aktor ancaman secara langsung memuat versi PowerShell dari Mimikatz dari repositori GitHub.

Penyerang menggunakan alat seperti PsExec, WMI, dan BITSAdmin untuk menyebarkan dan mengeksekusi ransomware secara lateral di jaringan korban. Kami juga telah mengamati penyerang menggunakan beberapa teknik lain untuk bergerak secara lateral melintasi jaringan.

Untuk menghindar deteksi keamanan campur tangan dengan layanan keamanan menggunakan perintah net, taskkill, dan sc untuk menonaktifkan atau menghentikannya.

Musuh cenderung menonaktifkan atau mengutak-atik pengaturan sistem operasi untuk mempersulit administrator memulihkan data. Menghapus salinan bayangan adalah taktik umum yang dilakukan aktor ancaman sebelum memulai proses enkripsi. Mereka melakukan tugas ini dengan menggunakan alat seperti Vssadmin atau WMIC

Penyerang biasanya mengekstrak data penting dari lingkungan korban sebelum mengenkripsinya.

TTP yang diuraikan dalam blog ini adalah cuplikan lanskap ancaman ransomware saat ini. TTP yang digunakan oleh pelaku ancaman ini terus berkembang, dengan kelompok yang terus-menerus mengubah metode mereka dalam upaya untuk mengungguli pertahanan keamanan target mereka. Dengan demikian, organisasi perlu waspada dan menggunakan pendekatan keamanan berlapis-lapis.

Selengkapnya: Symantec

Malware Bumblebee baru menggantikan Conti’s BazarLoader dalam serangan siber

by

Pemuat malware yang baru ditemukan bernama Bumblebee kemungkinan merupakan pengembangan terbaru dari sindikat Conti, yang dirancang untuk menggantikan pintu belakang BazarLoader yang digunakan untuk mengirimkan muatan ransomware.

Munculnya Bumblebee dalam kampanye phishing pada bulan Maret bertepatan dengan penurunan penggunaan BazarLoader untuk mengirimkan malware enkripsi file, kata para peneliti.

BazarLoader adalah karya pengembang botnet TrickBot, yang menyediakan akses ke jaringan korban untuk serangan ransomware. Geng TrickBot sekarang bekerja untuk sindikat Conti.

Dalam sebuah laporan pada bulan Maret tentang aktor ancaman yang dilacak sebagai ‘Exotic Lily’ yang menyediakan akses awal untuk operasi ransomware Conti dan Diavol, Grup Analisis Ancaman Google mengatakan bahwa aktor tersebut mulai menjatuhkan Bumblebee, alih-alih malware BazarLoader biasa, untuk mengirimkan Cobalt Strike .

Eli Salem, pemimpin ancaman hunter dan malware reverse engineer di Cybereason mengatakan bahwa teknik penyebaran untuk Bumblebee sama seperti untuk BazarLoader dan IcedID, keduanya terlihat di masa lalu menyebarkan Conti ransomware.

Proofpoint mengkonfirmasi temuan Salem, dengan mengatakan bahwa mereka telah mengamati kampanye phishing di mana “Bumblebee [telah] digunakan oleh beberapa aktor ancaman crimeware yang sebelumnya diamati mengirimkan BazaLoader dan IcedID.”

Perusahaan juga mencatat bahwa “beberapa pelaku ancaman yang biasanya menggunakan BazaLoader dalam kampanye malware telah beralih ke Bumblebee” untuk menghapus shellcode dan kerangka kerja Cobalt Strike, Sliver, dan Meterpreter yang dirancang untuk penilaian keamanan tim merah.

Pada saat yang sama, BazaLoader telah hilang dari data Proofpoint sejak Februari.

Dalam sebuah laporan hari ini, Proofpoint mengatakan bahwa mereka mengamati beberapa kampanye email yang mendistribusikan Bumblebee dalam lampiran ISO yang berisi file pintasan dan DLL.

Satu kampanye memanfaatkan umpan dokumen DocuSign yang mengarah ke arsip ZIP dengan wadah ISO berbahaya yang dihosting di layanan penyimpanan cloud OneDrive Microsoft.

Para peneliti mengatakan bahwa email berbahaya itu juga menyertakan lampiran HTML yang muncul sebagai email ke faktur yang belum dibayar, kata Proofpoint.

URL yang disematkan dalam file HTML menggunakan layanan pengalihan yang mengandalkan Prometheus TDS (layanan distribusi lalu lintas) yang memfilter unduhan berdasarkan zona waktu dan cookie korban. Tujuan akhir juga adalah ISO berbahaya yang dihosting di OneDrive.

Pada bulan Maret, Proofpoint mengamati kampanye yang mengirimkan Bumblebee melalui formulir kontak di situs web target. Pesan tersebut mengklaim bahwa situs web menggunakan gambar curian dan menyertakan tautan yang pada akhirnya mengirimkan file ISO yang berisi malware.

Proofpoint mengaitkan kampanye ini dengan aktor ancaman lain yang dilacak perusahaan sebagai TA578 sejak Mei 2020 dan menggunakan kampanye email untuk mengirimkan malware seperti Ursnif, IcedID, KPOT Stealer, Buer Loader, dan BazaLoader, serta Cobalt Strike.

Para peneliti mendeteksi kampanye lain pada bulan April yang membajak utas email untuk mengirimkan pemuat malware Bumblebee sebagai balasan ke target dengan lampiran ISO yang diarsipkan.

Sumber: Proofpoint

Meskipun belum menemukan bukti yang tidak dapat disangkal, Proofpoint percaya bahwa pelaku ancaman yang menggunakan Bumblebee adalah pialang akses jaringan awal yang bekerja dengan pelaku ransomware.

Para peneliti setuju bahwa Bumblebee adalah “pemuat malware baru yang sangat canggih” yang mengintegrasikan teknik penghindaran yang rumit dan trik anti-analisis yang mencakup metode anti-virtualisasi yang kompleks.

Dalam analisis teknis pada hari Kamis, Eli Salem menunjukkan bahwa penulis Bumblebee menggunakan seluruh kode anti-analisis dari aplikasi ‘malware’ PoC al-khaser yang tersedia untuk umum.

Pemeriksaan kode Salem mengungkapkan bahwa malware mencari beberapa alat untuk analisis dinamis dan statis, mencoba mendeteksi “setiap jenis lingkungan virtualisasi” dengan mencari prosesnya, dan dengan memeriksa kunci registri dan jalur file.

Peneliti mencatat bahwa salah satu hal paling menarik yang dia temukan di komponen pemuat inti Bumblebee adalah adanya dua file DLL 32/64-bit yang disebut RapportGP.dll, nama yang digunakan oleh perangkat lunak keamanan Trusteer’s Rapport untuk melindungi data sensitif seperti kredensial.

Peneliti malware di perusahaan keamanan siber Proofpoint dan Cybereason menganalisis Bumblebee dan melihat kesamaan dengan malware TrickBot dalam kode, metode pengiriman, dan muatan yang dijatuhkan.

Salem membuat koneksi antara Bumblebee ke TrickBot setelah melihat bahwa kedua malware bergantung pada mekanisme instalasi yang sama untuk hook.

sumber: Eli Salem

Kesamaannya bahkan lebih jauh, karena Bumblebee menggunakan teknik penghindaran yang sama untuk RapportGP.DLL seperti TrickBot untuk modul web-inject-nya.

Selain itu, kedua malware mencoba menggunakan LoadLibrary dan mendapatkan alamat dari fungsi yang ingin mereka kaitkan, peneliti menemukan.

Salem mengatakan bahwa meskipun tidak ada cukup bukti untuk mengatakan bahwa Bumblebee dan TrickBot memiliki penulis yang sama, masuk akal untuk mengasumsikan bahwa pengembang Bumblebee memiliki kode sumber untuk modul web-inject TrickBot.

Sumber: Bleeping Computer

PSA: Onyx ransomware menghancurkan file besar alih-alih mengenkripsinya

by

Operasi ransomware Onyx baru menghancurkan file besar alih-alih mengenkripsinya, mencegah file tersebut didekripsi bahkan jika uang tebusan dibayarkan.

Pekan lalu, peneliti keamanan MalwareHunterTeam menemukan bahwa operasi ransomware baru telah diluncurkan bernama Onyx.

Seperti kebanyakan operasi ransomware saat ini, pelaku ancaman Onyx mencuri data dari jaringan sebelum mengenkripsi perangkat. Data ini kemudian digunakan dalam skema pemerasan ganda di mana mereka mengancam akan merilis data tersebut ke publik jika uang tebusan tidak dibayarkan.

Situs kebocoran data ransomware Onyx

Geng ransomware telah cukup berhasil sejauh ini, dengan enam korban terdaftar di halaman kebocoran data mereka.

Namun, fungsionalitas teknis ransomware tidak diketahui hingga hari ini, ketika MalwareHunterTeam menemukan sampel penyandi.

Apa yang ditemukan mengkhawatirkan, karena ransomware menimpa file besar dengan data sampah acak daripada mengenkripsinya.

Seperti yang Anda lihat dari kode sumber di bawah, Onyx mengenkripsi file yang berukuran lebih kecil dari 200MB. Namun, menurut MalwareHunterteam, Onyx akan menimpa file apa pun yang lebih besar dari 200MB dengan data acak.

Kode sumber ransomware Onyx

Karena ini hanya data yang dibuat secara acak dan tidak dienkripsi, tidak ada cara untuk mendekripsi file yang berukuran lebih dari 200MB.

Bahkan jika korban membayar, decryptor hanya dapat memulihkan file terenkripsi yang lebih kecil.

Berdasarkan kode sumber, sifat destruktif dari rutin enkripsi lebih disengaja daripada bug. Oleh karena itu, disarankan agar korban menghindari membayar uang tebusan.

Sumber: Bleeping Computer

Ransomware Black Basta baru beraksi dengan selusin pelanggaran

by

Geng ransomware baru yang dikenal sebagai Black Basta dengan cepat diluncurkan ke dalam operasi bulan ini, melanggar setidaknya dua belas perusahaan hanya dalam beberapa minggu.

Serangan Black Basta pertama yang diketahui terjadi pada minggu kedua bulan April, saat operasi tersebut dengan cepat mulai menyerang perusahaan di seluruh dunia.

Sementara tuntutan tebusan kemungkinan bervariasi antara korban, Salah satu korban yang menerima lebih dari $ 2 juta permintaan dari geng Black Basta untuk mendekripsi file dan tidak membocorkan data.

Seperti operasi ransomware penargetan perusahaan lainnya, Black Basta akan mencuri data dan dokumen perusahaan sebelum mengenkripsi perangkat perusahaan.

Data yang dicuri ini kemudian digunakan dalam serangan pemerasan ganda, di mana pelaku ancaman meminta uang tebusan untuk menerima decryptor dan mencegah penerbitan data korban yang dicuri.

Bagian pemerasan data dari serangan ini dilakukan di situs ‘Black Basta Blog’ atau ‘Basta News’ Tor, yang berisi daftar semua korban yang belum membayar uang tebusan. Black Basta perlahan akan membocorkan data setiap korban untuk mencoba dan menekan mereka agar membayar uang tebusan.

Situs kebocoran data Black Basta
Sumber: BleepingComputer

Situs kebocoran data Black Basta saat ini memuat halaman kebocoran data sepuluh perusahaan yang mereka langgar.

Korban terbaru mereka yang terdaftar adalah Deutsche Windtechnik, yang mengalami serangan cyber pada 11 April tetapi tidak mengungkapkan bahwa itu adalah serangan ransomware.

Kemarin, situs pembocor data juga mulai membocorkan data American Dental Association, yang diserang pada 22 April, tetapi halaman itu telah dihapus. Penghapusan halaman mereka menunjukkan bahwa perusahaan sedang bernegosiasi dengan pelaku ancaman.

Saat dijalankan, encryptor Black Basta perlu dijalankan dengan hak administratif, atau ia tidak akan mengenkripsi file. Setelah diluncurkan, encryptor akan menghapus Volume Shadow Copies menggunakan perintah berikut:

C:\Windows\system32\cmd.exe /c C:\Windows\SysNative\vssadmin.exe hapus bayangan /all /quiet
Kemudian akan membajak layanan Windows yang ada dan menggunakannya untuk meluncurkan enkripsi ransomware yang dapat dieksekusi. Dalam pengujian kami, Layanan Windows yang dibajak adalah layanan ‘Faks’, seperti yang ditunjukkan di bawah ini.

Layanan Fax Windows yang dibajak digunakan untuk meluncurkan Black Basta
Sumber: BleepingComputer

Ransomware juga akan mengubah wallpaper untuk menampilkan pesan yang menyatakan, “Jaringan Anda dienkripsi oleh grup Black Basta. Petunjuk dalam file readme.txt.”

Wallpaper ditambahkan oleh encryptor Black Basta
Sumber: BleepingComputer

Ransomware sekarang akan mem-boot ulang komputer ke Safe Mode with Networking, di mana layanan Windows yang dibajak akan dimulai dan secara otomatis mulai mengenkripsi file pada perangkat.

Pakar Ransomware Michael Gillespie, yang menganalisis proses enkripsi Black Basta, mengatakan bahwa ia menggunakan algoritma ChaCha20 untuk mengenkripsi file. Kunci enkripsi ChaCha20 kemudian dienkripsi dengan kunci RSA-4096 publik yang disertakan dalam file yang dapat dieksekusi.

Saat mengenkripsi file, ransomware akan menambahkan ekstensi .basta ke nama file terenkripsi. Jadi, misalnya, test.jpg akan dienkripsi dan diganti namanya menjadi test.jpg.basta.

File terenkripsi Black Basta
Sumber: BleepingComputer

Untuk menampilkan ikon kustom yang terkait dengan ekstensi .basta, ransomware akan membuat ekstensi kustom di Windows Registry dan mengaitkan ikon dengan file ICO bernama acak di folder %Temp%. Ikon kustom ini sangat mirip dengan yang digunakan oleh aplikasi ice.tools.

Di setiap folder pada perangkat terenkripsi, ransomware akan membuat file readme.txt yang berisi informasi tentang serangan dan tautan serta ID unik yang diperlukan untuk masuk ke sesi obrolan negosiasi mereka.

Catatan Tebusan Basta Hitam
Sumber: BleepingComputer

Situs negosiasi Tor berjudul ‘Obrolan Black Basta’ dan hanya menyertakan layar masuk dan obrolan web yang dapat digunakan untuk bernegosiasi dengan pelaku ancaman.

Pelaku ancaman menggunakan layar ini untuk mengeluarkan pesan selamat datang yang berisi permintaan tebusan, ancaman bahwa data akan bocor jika pembayaran tidak dilakukan dalam tujuh hari, dan janji laporan keamanan setelah uang tebusan dibayarkan.

Sayangnya, Gillespie mengatakan bahwa algoritma enkripsi aman dan tidak ada cara untuk memulihkan file secara gratis.

Berdasarkan seberapa cepat Black Basta mengumpulkan korban dan gaya negosiasi mereka, ini kemungkinan besar merupakan rebranding dari operasi yang berpengalaman.

Satu teori yang dibahas antara peneliti keamanan MalwareHunterTeam dan penulis ini adalah bahwa Black Basta mungkin merupakan rebranding yang akan datang dari operasi ransomware Conti.

Conti telah berada di bawah pengawasan ketat selama dua bulan terakhir setelah seorang peneliti Ukraina membocorkan harta karun berupa percakapan pribadi dan kode sumber ransomware.

Karena itu, telah berspekulasi bahwa Conti akan mengubah citra operasi mereka untuk menghindari penegakan hukum dan memulai dari awal dengan nama yang berbeda.

Sementara encryptor Black Basta sangat berbeda dari Conti, MalwareHunterTeam percaya bahwa ada banyak kesamaan dalam gaya negosiasi dan desain situs web mereka.

Selanjutnya, Black Basta merilis data untuk korban baru setelah tangkapan layar negosiasi bocor.

Sementara koneksi ini lemah, geng Black Basta perlu diawasi secara ketat karena mereka baru saja memulai operasinya.

Sumber: Bleeping Computer

Quantum ransomware terlihat digunakan dalam serangan jaringan yang cepat

by

Ransomware Quantum, jenis yang pertama kali ditemukan pada Agustus 2021, terlihat melakukan serangan cepat yang meningkat dengan cepat, meninggalkan sedikit waktu bagi para pembela untuk bereaksi.

Pelaku ancaman menggunakan malware IcedID sebagai salah satu vektor akses awal mereka, yang menyebarkan Cobalt Strike untuk akses jarak jauh dan mengarah ke pencurian data dan enkripsi menggunakan Quantum Locker.

Rincian teknis serangan ransomware Quantum dianalisis oleh peneliti keamanan di The DFIR Report, yang mengatakan serangan itu hanya berlangsung 3 jam 44 menit dari infeksi awal hingga penyelesaian perangkat enkripsi.

Serangan yang dilihat oleh The DFIR Report menggunakan malware IcedID sebagai akses awal ke mesin target, yang mereka yakini datang melalui email phishing yang berisi lampiran file ISO.

IcedID adalah trojan perbankan modular yang digunakan selama lima tahun terakhir, terutama untuk penyebaran payload tahap kedua, loader, dan ransomware.

Kombinasi arsip IcedID dan ISO telah digunakan dalam serangan lain baru-baru ini, karena file ini sangat baik untuk melewati kontrol keamanan email.

Dua jam setelah infeksi awal, pelaku ancaman menyuntikkan Cobalt Strike ke dalam proses C:\Windows\SysWOW64\cmd.exe untuk menghindari deteksi.

Langkah pertama dari rantai infeksi (DFIR)

Pada fase ini, penyusup mencuri kredensial domain Windows dengan membuang memori LSASS, yang memungkinkan mereka menyebar secara lateral melalui jaringan.

Akhirnya, pelaku ancaman menggunakan WMI dan PsExec untuk menyebarkan muatan ransomware Quantum dan mengenkripsi perangkat.

Serangan ini hanya memakan waktu empat jam, yang cukup cepat, dan karena serangan ini biasanya terjadi larut malam atau selama akhir pekan, serangan ini tidak memberikan jendela besar bagi admin jaringan dan keamanan untuk mendeteksi dan merespons serangan tersebut.

Untuk detail lebih lanjut tentang TTP yang digunakan oleh Quantum Locker, Laporan DFIR telah menyediakan daftar lengkap indikator kompromi serta alamat C2 yang terhubung dengan IcedID dan Cobalt Strike untuk komunikasi.

Ransomware Quantum Locker adalah rebrand dari operasi ransomware MountLocker, yang diluncurkan pada September 2020.

Sejak itu, geng ransomware telah mengubah nama operasinya menjadi berbagai nama, termasuk AstroLocker, XingLocker, dan sekarang dalam fase saat ini, Quantum Locker.

Perubahan nama menjadi Quantum terjadi pada Agustus 2021, ketika enkripsi ransomware mulai menambahkan ekstensi file .quantum ke nama file terenkripsi dan menjatuhkan catatan tebusan bernama README_TO_DECRYPT.html.

Catatan ini mencakup tautan ke situs negosiasi tebusan Tor dan ID unik yang terkait dengan korban. Catatan tebusan juga menyatakan bahwa data dicuri selama serangan, yang mengancam akan dipublikasikan oleh penyerang jika uang tebusan tidak dibayarkan.

Catatan tebusan Quantum Locker
Sumber: BleepingComputer

Sementara The DFIR Report menyatakan bahwa mereka tidak melihat aktivitas eksfiltrasi data dalam serangan yang mereka analisis, BleepingComputer telah mengkonfirmasi di masa lalu bahwa mereka mencuri data selama serangan dan membocorkannya dalam skema pemerasan ganda.

Tuntutan tebusan untuk geng ini bervariasi tergantung pada korban, dengan beberapa serangan menuntut $ 150.000 untuk menerima decryptor, sementara yang lain dilihat oleh BleepingComputer adalah tuntutan multi-juta dolar, seperti yang ditunjukkan di bawah ini.

Quantum Locker menuntut uang tebusan $3,8 juta
Sumber: BleepingComputer

Meskipun mereka mungkin tidak seaktif operasi ransomware lainnya, seperti Conti, LockBit, dan AVOS, mereka masih merupakan risiko yang signifikan dan penting bagi pembela jaringan untuk menyadari TTP yang terkait dengan serangan mereka.

Sumber : Bleeping Computer