Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

Decryptor gratis dirilis untuk korban ransomware Yanluowang

by

Kaspersky hari ini mengungkapkan menemukan kerentanan dalam algoritma enkripsi ransomware Yanluowang, yang memungkinkan untuk memulihkan file yang dienkripsi.

Perusahaan keamanan siber Rusia telah menambahkan dukungan untuk mendekripsi file yang dikunci oleh jenis ransomware Yanluowang ke utilitas RannohDecryptor-nya.

Strain ransomware ini mengenkripsi file yang lebih besar dari 3GB dan yang lebih kecil dari 3GB menggunakan metode yang berbeda: yang lebih besar sebagian dienkripsi dalam strip 5MB setelah setiap 200MB, sementara yang lebih kecil sepenuhnya dienkripsi dari awal hingga akhir.

Karena itu, “jika file asli lebih besar dari 3 GB, dimungkinkan untuk mendekripsi semua file pada sistem yang terinfeksi, baik besar maupun kecil. Tetapi jika ada file asli yang lebih kecil dari 3 GB, maka hanya file kecil yang dapat didekripsi.”

Untuk mendekripsi file Anda, Anda memerlukan setidaknya satu file asli:

  • Untuk mendekripsi file kecil (kurang dari atau sama dengan 3 GB), Anda memerlukan sepasang file dengan ukuran 1024 byte atau lebih. Ini cukup untuk mendekripsi semua file kecil lainnya.
  • Untuk mendekripsi file besar (lebih dari 3 GB), Anda memerlukan sepasang file (terenkripsi dan asli) dengan ukuran masing-masing tidak kurang dari 3 GB. Ini akan cukup untuk mendekripsi file besar dan kecil.

Untuk mendekripsi file yang dienkripsi oleh ransomware Yanluowang, Anda harus menggunakan alat dekripsi Rannoh yang tersedia untuk diunduh dari server Kaspersky.

Kaspersky RannohDecryptor (BleepingComputer)

Ransomware Yanluowang, pertama kali terlihat pada Oktober 2021, telah digunakan dalam serangan yang dioperasikan manusia dan sangat ditargetkan terhadap entitas perusahaan.

Satu bulan kemudian, salah satu afiliasinya diamati menyerang organisasi AS di sektor keuangan setidaknya sejak Agustus, menggunakan malware BazarLoader untuk pengintaian.

Berdasarkan taktik, teknik, dan prosedur (TTP) yang digunakan dalam serangan ini, afiliasi Yanluowang ini terkait dengan operasi ransomware Thieflock yang dikembangkan oleh grup Fivehands (dilacak oleh Mandiant sebagai UNC2447).

Setelah digunakan pada jaringan yang disusupi, Yanluowang menghentikan mesin virtual hypervisor, mengakhiri semua proses, dan mengenkripsi file yang menambahkan ekstensi .yanluowang.

Itu juga menjatuhkan catatan tebusan bernama README.txt yang memperingatkan korban untuk tidak menghubungi penegak hukum atau meminta bantuan perusahaan negosiasi ransomware.

Jika permintaan penyerang tidak dipenuhi, operator ransomware mengancam untuk meluncurkan serangan penolakan layanan (DDoS) terdistribusi terhadap jaringan korban dan memberi tahu karyawan dan mitra bisnis mereka bahwa mereka telah dilanggar.

Sumber : Bleeping Computer

Penyerang melepaskan ransomware LockBit di komputer pemerintah AS

by

Temuan baru dari perusahaan keamanan siber Sophos menunjukkan beberapa metode yang digunakan oleh peretas dalam hal mengeksploitasi celah di perangkat federal. Satu serangan yang disorot dalam laporan tersebut menemukan bahwa kelompok ransomware menghabiskan setidaknya lima bulan untuk menyisir file dan sistem badan pemerintah regional AS sebelum menyebarkan serangan LockBit ke komputer yang terpengaruh.

“Ini adalah serangan yang sangat kacau,” kata Andrew Brandt, peneliti keamanan utama di Sophos. “Bekerja sama dengan target, peneliti Sophos mampu membangun gambaran yang dimulai dengan apa yang tampak seperti penyerang pemula yang membobol server, mengaduk-aduk jaringan dan menggunakan server yang dikompromikan ke Google, kombinasi versi bajakan dan gratis dari peretas dan alat admin yang sah untuk digunakan dalam serangan mereka.”

Serangan yang tidak terampil tetapi efektif kemudian mencoba menggunakan perangkat lunak manajemen TI untuk menghindari deteksi, melalui penggunaan alat seperti ScreenConnect dan AnyDesk, yang biasanya digunakan untuk tujuan akses jarak jauh. Kemudian ditemukan oleh Sophos bahwa dalam pengaturan sistem itu sendiri, tim TI membiarkan port RDP terbuka di firewall untuk akses publik ke server, memungkinkan penyusupan oleh kelompok peretasan yang bersangkutan.

Setelah akses jarak jauh diaktifkan, ransomware LockBit kemudian disebarkan pada sistem dengan memanfaatkan kerentanan sistem. Pihak-pihak jahat berusaha untuk menutupi jejak mereka setelah selesai dengan menghapus file log, tetapi Sophos dapat merekonstruksi langkah-langkah yang diambil agar peretasan terjadi, karena diduga telah dilakukan oleh penyerang cyber yang tidak canggih.

Selengkapnya; Tech Republic

Geng ransomware OldGremlin menargetkan Rusia dengan malware baru

by

OldGremlin telah membuat comeback bulan lalu setelah diam lebih dari satu tahun.

Grup ini membedakan dirinya dari operasi ransomware lainnya melalui sejumlah kecil kampanye – kurang dari lima sejak awal 2021 – yang hanya menargetkan bisnis di Rusia dan penggunaan pintu belakang khusus yang dibuat sendiri.

Meskipun kurang aktif, yang mungkin menunjukkan bahwa bisnis ransomware lebih dekat ke bisnis sampingan, OldGremlin telah menuntut uang tebusan setinggi $3 juta dari salah satu korbannya.

Peneliti keamanan di perusahaan keamanan siber Group-IB yang berbasis di Singapura mengatakan bahwa kali ini OldGremlin menyamar sebagai akuntan senior di organisasi keuangan Rusia yang memperingatkan bahwa sanksi baru-baru ini yang dijatuhkan pada Rusia akan menangguhkan operasi sistem pemrosesan pembayaran Visa dan Mastercard.

Email tersebut mengarahkan penerima ke dokumen berbahaya yang disimpan di Dropbox yang mengunduh pintu belakang bernama TinyFluff, yang meluncurkan interpreter Node.js dan memberi penyerang akses jarak jauh ke sistem target.

TinyFluff adalah varian baru dari backdoor lama, TinyNode, yang digunakan dalam serangan sebelumnya.

Kedua varian backdoor tersebut saat ini terdeteksi oleh lebih dari 20 mesin antivirus di platform pemindaian Virus Total.

Dalam laporan yang dibagikan dengan BleepingComputer, Group-IB memberikan indicators of compromise (IoC) dan analisis teknis terperinci dari alat yang digunakan OldGremlin dalam dua kampanye phishing yang digunakan bulan lalu.

Selengkapnya: Bleeping Computer

Geng ransomware LockBit mengintai di jaringan pemerintah AS selama berbulan-bulan

by

Sebuah badan pemerintah regional A.S. yang dikompromikan dengan ransomware LockBit memiliki aktor ancaman di jaringannya setidaknya selama lima bulan sebelum muatan disebarkan, menurut temuan peneliti keamanan.

Log yang diambil dari mesin yang disusupi menunjukkan bahwa dua kelompok ancaman telah mengkompromikan mereka dan terlibat dalam operasi pengintaian dan akses jarak jauh.

Para penyerang mencoba menghapus jejak mereka dengan menghapus Log Peristiwa tetapi potongan-potongan file tetap memungkinkan analis ancaman untuk melihat sekilas aktor dan taktik mereka.

Akses awal yang memungkinkan serangan itu adalah fitur pelindung yang salah satu teknisi agensi biarkan dinonaktifkan setelah operasi pemeliharaan.

Menurut peneliti di perusahaan keamanan siber Sophos, pelaku mengakses jaringan melalui port desktop jarak jauh (RDP) terbuka pada firewall yang salah konfigurasi dan kemudian menggunakan Chrome untuk mengunduh alat yang diperlukan dalam serangan itu.

Toolset termasuk utilitas untuk brute-forcing, scanning, VPN komersial, dan alat gratis yang memungkinkan manajemen file dan eksekusi perintah, seperti PsExec, FileZilla, Process Explorer, dan GMER.

Selain itu, para peretas menggunakan desktop jarak jauh dan perangkat lunak manajemen jarak jauh seperti ScreenConnect, dan kemudian dalam serangan itu, AnyDesk.

Dari sana, para penyerang menghabiskan waktu untuk bersembunyi dan hanya mencoba mencuri kredensial akun yang berharga untuk memperluas kompromi jaringan mereka.

Pada titik tertentu, mereka mengambil kredensial dari admin server lokal yang juga memiliki izin Administrator Domain, sehingga mereka dapat membuat akun baru di sistem lain dengan hak administrator.

Pada tahap kedua serangan, dimulai lima bulan setelah kompromi awal, aktor yang lebih canggih tampaknya telah mengambil alih, membuat Sophos berasumsi bahwa aktor tingkat yang lebih tinggi sekarang bertanggung jawab atas operasi tersebut.

Fase baru dimulai dengan menginstal alat pasca-eksploitasi Mimikatz dan LaZagne untuk mengekstrak set kredensial dari server yang disusupi.

Penyerang membuat kehadiran mereka lebih jelas dengan menghapus log dan melakukan reboot sistem melalui perintah jarak jauh, memperingatkan admin sistem yang membuat 60 server offline dan membagi jaringan.

Kesalahan kedua selama respons insiden ini menonaktifkan keamanan titik akhir. Dari titik ini, kedua pihak terlibat dalam konfrontasi terbuka tentang tindakan dan tindakan balasan.

Sophos bergabung dengan upaya respons dan mematikan server yang menyediakan akses jarak jauh ke musuh, tetapi bagian dari jaringan telah dienkripsi dengan LockBit.

Pada beberapa mesin, meskipun file telah diganti namanya dengan akhiran LockBit, tidak ada enkripsi yang terjadi, jadi memulihkannya adalah masalah membalikkan tindakan penggantian nama.

Para peneliti mengatakan bahwa menerapkan perlindungan otentikasi multi-faktor (MFA) akan menghasilkan hasil yang berbeda, karena akan menghentikan peretas untuk bergerak bebas atau setidaknya secara signifikan menghambat tindakan mereka di jaringan yang disusupi.

Fitur keamanan penting lainnya yang dapat memperlambat pelaku ancaman adalah aturan firewall yang memblokir akses jarak jauh ke port RDP.

Sumber : Bleeping Computer

Geng ransomware Hive telah mengumumkan “Kementerian Luar Negeri Republik Indonesia” pada daftar korban.

by

Geng ransomware Hive baru saja mengumumkan bahwa Kementerian Luar Negeri Republik Indonesia masuk kedalam pada daftar korban mereka.

Ransomware Hive merupakan ransomware-as-a-service (RaaS) bertarget tipikal yang menggunakan ancaman untuk mempublikasikan data yang dieksfiltrasi sebagai pengungkit ekstra untuk membuat korban membayar. Grup ransomware diketahui bekerja dengan afiliasi yang menggunakan berbagai metode untuk menyusup ke jaringan perusahaan.

Berdasarkan postingan @darktracer_int diketahui bahwa data Kementerian Luar Negeri Republik Indonesia sudah terenkripsi sejak 27 Januari 2022 lalu dan diungkapkan pada tanggal 22 Maret 2020 kemarin.

Sumber : @darktracer_int (twitter)

Info: Artikel ini masih dalam pengembangan, apabila ada info tambahan akan segera di update.

Sumber : Dark Tracer

Keluarga Ransomware Baru Diidentifikasi: LokiLocker RaaS Menargetkan Sistem Windows

by

BlackBerry Threat Intelligence telah mengidentifikasi keluarga Ransomware-as-a-Service (Raas) baru, dan melacak garis keturunannya hingga kemungkinan rilis tahap beta.

Seperti banyak jenis ransomware lainnya, LokiLocker mengenkripsi file Anda dan akan membuat mesin Anda tidak dapat digunakan jika Anda tidak membayar tepat waktu.

Namun, seperti dewa senama Loki, ancaman ini tampaknya memiliki beberapa trik halus – paling tidak menjadi taktik “bendera palsu” potensial yang menuding pelaku ancaman Iran.

LokiLocker adalah keluarga ransomware yang relatif baru yang menargetkan korban berbahasa Inggris dan PC Windows®; ancaman pertama kali terlihat di alam liar pada pertengahan Agustus 2021.

Jangan bingung dengan keluarga ransomware yang lebih tua bernama Locky, yang terkenal pada tahun 2016, atau LokiBot, yang merupakan pencuri info. Ini memiliki beberapa kesamaan dengan ransomware LockBit (nilai registri, nama file catatan tebusan), tetapi tampaknya bukan turunan langsungnya.

Seperti dewa yang dinamai, LokiLocker memasuki kehidupan korban tanpa diundang dan mulai mencari properti untuk dicuri. Ancaman kemudian mengenkripsi file mereka, dan menuntut mereka membayar uang tebusan untuk memulihkan akses.

Malware ini ditulis dalam .NET dan dilindungi dengan NETGuard (ConfuserEX yang dimodifikasi) menggunakan plugin virtualisasi tambahan yang disebut KoiVM. KoiVM dulunya adalah pelindung komersial berlisensi untuk aplikasi .NET, tetapi sekitar tahun 2018, kodenya bersumber terbuka (atau mungkin bocor), dan sekarang tersedia untuk umum di GitHub.

Meskipun Koi tampaknya populer dengan alat peretasan dan crack, kami belum melihat banyak malware lain menggunakannya hingga saat ini.

Selengkapnya: Blackberry

Data CaddyWiper baru yang menghapus malware menyerang jaringan Ukraina

by

Malware penghancur data yang baru ditemukan telah diamati sebelumnya hari ini dalam serangan yang menargetkan organisasi Ukraina dan menghapus data di seluruh sistem pada jaringan yang disusupi.

“Malware baru ini menghapus data pengguna dan informasi partisi dari drive yang terpasang,” jelas ESET Research Labs.

Meskipun dirancang untuk menghapus data di seluruh domain Windows yang digunakan, CaddyWiper akan menggunakan fungsi DsRoleGetPrimaryDomainInformation() untuk memeriksa apakah perangkat adalah pengontrol domain. Jika demikian, data pada kontroler domain tidak akan dihapus.

Ini kemungkinan taktik yang digunakan oleh penyerang untuk mempertahankan akses di dalam jaringan organisasi yang disusupi yang mereka pukul sementara masih sangat mengganggu operasi dengan menghapus perangkat penting lainnya.

Saat menganalisis header PE dari sampel malware yang ditemukan di jaringan organisasi Ukraina yang dirahasiakan, juga ditemukan bahwa malware tersebut disebarkan dalam serangan pada hari yang sama saat kompilasi.

“CaddyWiper tidak memiliki kesamaan kode yang signifikan dengan HermeticWiper, IsaacWiper, atau malware lain yang kami ketahui. Sampel yang kami analisis tidak ditandatangani secara digital,” tambah ESET.

“Serupa dengan penyebaran HermeticWiper, kami mengamati CaddyWiper disebarkan melalui GPO, menunjukkan penyerang memiliki kendali sebelumnya atas jaringan target sebelumnya.”


Tanggal kompilasi CadddyWiper (ESET)

CaddyWiper adalah malware penghapus data keempat yang digunakan dalam serangan di Ukraina sejak awal 2022, dengan analis ESET Research Labs sebelumnya menemukan dua lainnya dan Microsoft yang ketiga.

Satu hari sebelum invasi Rusia ke Ukraina dimulai, pada 23 Februari, peneliti ESET melihat malware penghapus data yang sekarang dikenal sebagai HermeticWiper, yang digunakan untuk menargetkan Ukraina bersama dengan umpan ransomware.

Mereka juga menemukan penghapus data yang mereka beri nama IsaacWiper dan worm baru bernama HermeticWizard yang digunakan penyerang untuk menjatuhkan muatan penghapus HermeticWiper, yang dikerahkan pada hari Rusia menginvasi Ukraina.

Microsoft juga menemukan penghapus yang sekarang dilacak sebagai WhisperGate, yang digunakan dalam serangan penghapusan data terhadap Ukraina pada pertengahan Januari, yang disamarkan sebagai ransomware.

Seperti yang dikatakan Presiden dan Wakil Ketua Microsoft Brad Smith, serangan berkelanjutan dengan malware destruktif terhadap organisasi Ukraina “telah tepat sasaran.”

Ini kontras dengan serangan malware NotPetya di seluruh dunia yang menyerang Ukraina dan negara lain pada tahun 2017, serangan yang kemudian dikaitkan dengan Sandworm, grup peretasan Direktorat Intelijen Utama GRU Rusia.

Serangan destruktif semacam itu adalah bagian dari “gelombang besar perang hibrida”, seperti yang dijelaskan oleh Dinas Keamanan Ukraina (SSU) tepat sebelum perang dimulai.

Sumber : Bleeping Computer

Raksasa otomotif DENSO terkena geng ransomware Pandora baru

by

Produsen suku cadang otomotif DENSO telah mengkonfirmasi bahwa mereka mengalami serangan siber pada 10 Maret setelah operasi ransomware Pandora baru mulai membocorkan data yang diduga dicuri selama serangan tersebut.

DENSO adalah salah satu produsen komponen otomotif terbesar di dunia, memasok merek seperti Toyota, Mercedes-Benz, Ford, Honda, Volvo, Fiat, dan General Motors dengan berbagai macam kelistrikan, elektronik, kontrol powertrain, dan berbagai suku cadang khusus lainnya.

DENSO mengkonfirmasi akhir pekan ini bahwa jaringan perusahaan mereka di Jerman dibobol pada 10 Maret 2022. Perusahaan mengklaim telah mendeteksi akses ilegal dan segera merespon untuk memutuskan penyusup dari perangkat jaringan lainnya, membatasi dampaknya hanya pada divisi Jerman.

Gangguan dalam rantai pasokan DENSO akan menyebabkan efek domino dalam produksi mobil di berbagai fasilitas secara global, memukul industri yang sudah berjuang karena kekurangan chip dan penutupan pabrik yang berbasis di Ukraina.

Sementara DENSO menyatakan bahwa serangan siber tidak berdampak pada operasi mereka, geng ransomware Pandora baru mulai membocorkan 1,4 TB file yang diduga dicuri selama pelanggaran jaringan.

Pengumuman DENSO di portal kebocoran Pandora

Pandora ransomware adalah operasi baru yang diluncurkan pada Maret 2022 yang menargetkan jaringan perusahaan dan mencuri data untuk serangan pemerasan ganda.

Begitu mereka mendapatkan akses ke jaringan, pelaku ancaman akan menyebar secara lateral melalui jaringan sambil mencuri file tidak terenkripsi untuk digunakan dalam tuntutan pemerasan.

Saat mengenkripsi perangkat, ransomware akan menambahkan ekstensi .pandora ke nama file terenkripsi, seperti yang ditunjukkan di bawah ini.

File yang dienkripsi oleh ransomware Pandora
Sumber: BleepingComputer

Saat ransomware mengenkripsi file, Pandora akan membuat catatan tebusan di setiap folder bernama ‘Restore_My_Files.txt’. Catatan tebusan ini menjelaskan apa yang terjadi pada perangkat dan menyertakan alamat email yang dapat dihubungi korban untuk melakukan negosiasi tebusan.

Pandora ransom note example
Source: BleepingComputer

Catatan tebusan juga menyertakan tautan ke situs kebocoran data yang digunakan oleh geng ransomware untuk melakukan kampanye pemerasan ganda mereka.

Peneliti keamanan pancak3 percaya bahwa Pandora adalah rebrand dari ransomware Rook karena kesamaan kode dan paket yang digunakan oleh operasi tersebut.

Contoh ransomware Pandora terdeteksi di VirusTotal oleh Intezer sebagai Rook, yang menunjukkan kesamaan kode.

Lebih lanjut, peneliti keamanan Arkbird menemukan bahwa Pandora menggunakan paket yang dapat dieksekusi yang sama dengan ‘NightSky,’ yang merupakan rebranding sebelumnya dari operasi ransomware LockFile/AtomSilo.

Anehnya, Rook juga telah menerbitkan data pada Desember 2021 yang diduga milik DENSO, jadi tidak jelas apakah perusahaan tersebut terkena dua kali oleh operasi ransomware yang sama.

Operasi Ransomware biasanya mengganti nama diri mereka sendiri dengan apa yang oleh komunitas keamanan disebut sebagai ‘rebrand’ dengan harapan hal itu akan membantu mereka menghindari penegakan hukum dan kemungkinan sanksi dari pemerintah.

Namun, kecuali jika pelaku ancaman benar-benar mengubah kode, alat, dan taktik malware mereka, akan selalu ada cara untuk mendeteksi saat geng mengubah citra, membuatnya lebih mudah untuk menautkan ke operasi ransomware sebelumnya.

Jika Pandora adalah rebrand dari Rook, kita mungkin akan melihat operasi berjalan di bawah nama ini untuk beberapa waktu sebelum sekali lagi berganti nama menjadi nama lain, seperti yang telah kita lihat sebelumnya dengan versi lain dari keluarga ransomware ini.

Sumber : Bleeping Computer