Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

Decryptor gratis dirilis untuk korban HermeticRansom di Ukraina

by

Avast telah merilis decryptor untuk jenis ransomware HermeticRansom yang digunakan dalam serangan yang ditargetkan terhadap sistem Ukraina selama sepuluh hari terakhir.

Decryptor ditawarkan sebagai alat unduh gratis dari situs web Avast dan dapat membantu orang Ukraina memulihkan data mereka dengan cepat dan andal.

Tanda-tanda pertama distribusi HermeticRansom diamati oleh para peneliti ESET pada 23 Februari, hanya beberapa jam sebelum invasi pasukan Rusia terjadi di Ukraina.

Jenis ransomware dikirimkan bersama dengan worm komputer bernama HermeticWizard dan lebih berfungsi sebagai umpan dalam serangan penghapus daripada alat untuk mendukung pemerasan finansial. Namun, infeksinya telah mengganggu sistem vital Ukraina.

Crowdstrike dengan cepat menemukan kelemahan dalam skema kriptografi dari strain yang ditulis GO dan menawarkan skrip untuk mendekripsi file yang dienkripsi oleh HermeticRansom (alias PartyTicket).

HermeticRansom berisi banyak nama string berorientasi politik dalam biner ransomware, catatan tebusan, dan email kontak (vote2024forjb@protonmail.com dan stephanie.jones2024@protonmail.com).

HermeticRansom tidak pernah dimaksudkan untuk berfungsi sebagai jenis ransomware modern yang akan menjadi dasar bagi pemerasan ganda, yang menimbulkan kerusakan finansial dan reputasi.

Di atas tidak berarti bahwa infeksi HermeticRansom tidak berdampak pada mesin yang ditargetkan.

Sebaliknya, jenis ini masih dapat mengenkripsi file berharga di luar File Program dan folder Windows, menggunakan kunci RSA-2048.

Catatan tebusan yang dilihat oleh para korban memiliki bentuk dan isi yang khas, meminta mereka untuk menghubungi alamat ProtonMail untuk mendapatkan decryptor.

Catatan tebusan HermeticRansom/PartyTicket

Meskipun skrip Crowdstrike dapat diandalkan, tidak mudah bagi semua orang untuk menggunakannya dalam situasi ini. Untuk mempermudahnya, Avast telah merilis GUI decryptor yang memudahkan untuk mendekripsi file yang dienkripsi oleh HermeticRansom.

Selain itu, alat ini menawarkan opsi untuk mencadangkan file yang dienkripsi untuk menghindari berakhirnya file yang rusak secara permanen jika terjadi kesalahan dengan proses enkripsi.

Dekripsi grafis Avast

Sumber : Bleeping Computer

Pelanggaran simultan: berurusan dengan dua kelompok ransomware pada hari yang sama

by

Meskipun umum bagi kelompok ransomware untuk menerapkan taktik pemerasan ganda dan tiga kali lipat terhadap korban mereka, sangat jarang beberapa kelompok berbeda menyerang target yang sama pada waktu yang sama.

Menurut Sean Gallagher, Peneliti Ancaman Senior di Sophos, pada awal Desember, penyedia layanan kesehatan di Kanada dihantam oleh dua pelaku ransomware menggunakan taktik yang berbeda.

Sementara kelompok ransomware Karma mengekstrak data tetapi memilih untuk tidak mengenkripsi data karena korban berada dalam perawatan kesehatan, Conti, secara mengejutkan, tidak menahan diri seperti itu.

Menurut laporan itu, kedua penyerang memperoleh akses melalui eksploitasi ProxyShell. ProxyShell adalah rantai serangan yang dirancang untuk mengeksploitasi tiga kerentanan terpisah (CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207) pada platform Exchange Server Microsoft.

Sementara menurut Gallagher, tidak jarang geng ransomware menggunakan eksploitasi ProxyShell untuk menembus jaringan korban, sangat jarang terlihat beberapa kelompok yang fokus pada target yang sama.

Sophos percaya bahwa broker akses awal kemungkinan menembus jaringan pada 10 Agustus. Tiga bulan kemudian, pada 30 November, Karma muncul dan mengekstrak 52 gigabyte data.

Meskipun geng Karma menjatuhkan catatan ransomware pada 3 Desember, kelompok itu tidak mengenkripsi data milik penyedia layanan kesehatan. Pada saat yang sama, Conti ransomware sedang mengekstrak data. Pada tanggal 4 Desember, grup tersebut menyebarkan ransomware dari server yang disusupi dan data organisasi yang dienkripsi.

18 bulan terakhir penuh dengan serangan siber besar-besaran, seperti peretasan SolarWinds, serangan terhadap Colonial Pipeline, perusahaan pemrosesan daging JBS, dan perusahaan perangkat lunak Kaseya.

Sementara para pakar berbicara tentang demam emas ransomware, penelitian menunjukkan bahwa 74% yang mengejutkan dari semua pendapatan ransomware masuk ke pelaku ancaman yang berafiliasi dengan Rusia tahun lalu.

Dengan kata lain, cryptocurrency senilai sekitar $400 juta akhirnya mengisi kantong penjahat dunia maya yang terhubung ke Rusia dalam beberapa bentuk.

Conti juga merupakan geng ransomware yang terkait dengan Rusia. Setelah Rusia menginvasi Ukraina, kelompok tersebut menyatakan dukungan penuhnya kepada pemerintah Rusia.

Ternyata, tidak semua orang senang dengan pengumuman tersebut. Seorang peretas tak dikenal merilis bocoran komunikasi selama 13 bulan dari anggota grup Conti dan afiliasinya.

“Isi dump [informasi] pertama berisi komunikasi obrolan saat ini, mulai hari ini dari geng ransomware Conti. Kami berjanji itu sangat menarik,” kata pernyataan tentang kebocoran itu.

Sumber : Cybernews

Cadangan ‘tidak lagi efektif’ untuk menghentikan serangan ransomware

by

Pertumbuhan pemerasan ganda dan bahkan pemerasan tiga kali lipat serangan ransomware berada dalam bahaya menghadirkan metode tradisional yang umum untuk mengurangi dampak serangan ransomware, seperti pencadangan yang terpelihara dengan baik, kurang efektif, menurut laporan dari spesialis identitas mesin Venafi .

Data yang dikumpulkan dari survei dunia TI dan pembuat keputusan keamanan Venafi mengungkapkan bahwa 83% serangan ransomware yang berhasil sekarang melibatkan metode pemerasan alternatif –misalnya, menggunakan data curian untuk memeras pelanggan (38%), membocorkan data ke web gelap (35% ), dan memberi tahu pelanggan bahwa data mereka telah disusupi (32%). Hanya 17% dari serangan hanya meminta uang untuk kunci dekripsi.

Venafi mengatakan bahwa serangan ransomware sekarang bergantung pada eksfiltrasi data, strategi pencadangan yang efektif sampai batas tertentu “tidak lagi efektif” untuk mengatasi pelanggaran.

Venafi juga menemukan bahwa penjahat cyber semakin menindaklanjuti ancaman mereka apakah mereka dibayar atau tidak. Memang, 18% korban mengalami kebocoran data meskipun telah membayar, sementara lebih dari 16% yang menolak untuk membayar apa pun dan datanya bocor. Sekitar 8% menolak mentah-mentah, tetapi kemudian pelanggan mereka diperas; dan 35% dibayar, tetapi dibiarkan menggantung, tidak dapat mengambil data mereka.

Penyerang sekarang memahami bahwa korban mereka kemungkinan telah menerapkan sistem pemulihan dan pencadangan, dan menyadari bahwa taktik semacam ini adalah cara terbaik mereka untuk menang.

“Organisasi tidak siap untuk bertahan melawan ransomware yang mengekstrak data, jadi mereka membayar uang tebusan, tetapi ini hanya memotivasi penyerang untuk mencari lebih banyak. Berita buruknya adalah bahwa penyerang menindaklanjuti ancaman pemerasan, bahkan setelah uang tebusan dibayarkan. Ini berarti CISO berada di bawah tekanan yang lebih besar karena serangan yang berhasil kemungkinan besar akan menciptakan gangguan layanan skala penuh yang memengaruhi pelanggan,” kata Bocek.

Responden survei Venafi setuju dengan beberapa margin bahwa serangan pemerasan ganda dan tiga kali lipat semakin populer, dan ini membuat lebih sulit untuk menolak tuntutan tebusan, menciptakan masalah lebih lanjut bagi tim keamanan.

Responden juga cenderung setuju bahwa serangan ransomware berkembang lebih cepat daripada yang dapat diikuti oleh teknologi keamanan. Akibatnya, 76% merencanakan pengeluaran lebih lanjut untuk kontrol khusus ransomware yang melampaui dan melampaui penyimpanan dengan celah udara.

“Aktor ancaman terus mengembangkan serangan mereka untuk membuatnya lebih kuat, dan inilah saatnya bagi industri keamanan siber untuk merespons dengan cara yang sama,” kata Bocek. “Ransomware sering menghindari deteksi hanya karena berjalan tanpa identitas mesin yang tepercaya. Menggunakan manajemen identitas mesin untuk mengurangi penggunaan skrip yang tidak ditandatangani, meningkatkan penandatanganan kode, dan membatasi eksekusi makro jahat sangat penting untuk perlindungan ransomware yang menyeluruh.”

Sumber : Computer Weekly

Perangkat penyimpanan jaringan Asustor sedang terkena serangan ransomware jahat

by

Pemilik berbagai model perangkat Asustor Network Attached Storage (NAS) turun ke Reddit dan forum resmi perusahaan hari ini, memperingatkan orang lain tentang serangan ransomware aktif yang menyandera perpustakaan media mereka dan data tersimpan lainnya (melalui Windows Central dan Tom’s Hardware). Pada awalnya, diduga bahwa pengguna yang menggunakan fitur konfigurasi EZConnect Asustor rentan, tetapi menurut akun dari beberapa pengguna Reddit yang terpengaruh, mereka menonaktifkan layanan di NAS mereka.

Komunitas r/asustor melacak informasi yang tersedia di sini, dan setelah merujuk silang layanan pada perangkat yang terpengaruh, mencurigai Plex sebagai salah satu kemungkinan vektor serangan.

Asustor secara aktif menyelidiki serangan ransomware, yang dikenal sebagai Deadbolt, dan memposting blog di situsnya yang menunjukkan bahwa Layanan Nama Domain Dinamis (DDNS) myasustor.com telah dinonaktifkan sementara demi keamanan. Perusahaan menyarankan mereka yang belum terkena dampak Deadbolt untuk mengambil tindakan pencegahan berikut:

  • Ubah port default, termasuk port akses web NAS default 8000 dan 8001, serta port akses web jarak jauh 80 dan 443.
  • Nonaktifkan EZ Connect.
  • Membuat cadangan segera.
  • Matikan layanan Terminal/SSH dan SFTP.

Tetapi bagi mereka yang tidak cukup beruntung untuk melindungi diri mereka sendiri dan memiliki pesan ransomware yang tidak menyenangkan di GUI Asustor NAS, perusahaan menyarankan untuk sepenuhnya menonaktifkannya dengan mengambil langkah-langkah berikut:

  • Cabut kabel jaringan Ethernet
  • Matikan NAS Anda dengan aman dengan menekan dan menahan tombol daya selama tiga detik.
  • Jangan menginisialisasi NAS Anda, karena ini akan menghapus data Anda.

Serangan Ransomware telah meningkat yang mempengaruhi banyak orang, termasuk serangan Colonial Pipeline tahun lalu yang menyebabkan kekurangan gas dan kepanikan di sepanjang pantai tenggara, dan juga serangan Natal lalu di Kronos yang bisa membuat banyak orang kehilangan gaji.

Serangan Ransomware yang menargetkan produk jaringan konsumen khusus seperti Asustor NAS tidak terlalu terkenal, tetapi ini berfungsi sebagai pengingat untuk selalu mencadangkan data Anda. Dalam hal ini, orang mungkin kehilangan banyak media mereka dan kalah

Sumber : The Verge

San Francisco 49ers mengkonfirmasi insiden keamanan jaringan; geng ransomware mengaku bertanggung jawab

by

Tim sepak bola San Francisco 49ers mengatakan pada hari Minggu sebuah “insiden keamanan jaringan” telah mengganggu beberapa sistem komputer organisasi, setelah geng ransomware mengklaim waralaba NFL sebagai korban.

Berita tentang insiden itu pecah hanya beberapa jam sebelum kickoff Super Bowl LVI, yang akan dimainkan 49ers jika mereka tidak kalah tipis dari Los Angeles Rams dua minggu lalu.

Insiden itu tampaknya “terbatas pada jaringan TI perusahaan kami” dan tidak memengaruhi sistem komputer yang terlibat dalam operasi stadion tim atau sistem yang terkait dengan pemegang tiket, kata 49ers dalam sebuah pernyataan kepada CNN.

Peretas di balik jenis ransomware yang dikenal sebagai BlackByte mencantumkan 49ers di situs web mereka yang diduga menjadi korban, sebuah taktik yang sering digunakan penjahat dunia maya untuk menekan organisasi agar membayar uang tebusan.

FBI dan Secret Service mengatakan kepada perusahaan-perusahaan AS dalam peringatan 11 Februari untuk waspada terhadap ransomware BlackByte, yang menurut badan-badan tersebut telah digunakan untuk mengkompromikan organisasi-organisasi AS di fasilitas pemerintah, keuangan, dan sektor pangan dan pertanian.

BlackByte hanyalah salah satu dari beberapa jenis ransomware yang pemiliknya mengoperasikan apa yang dikenal sebagai model bisnis “ransomware sebagai layanan”. Pemilik ransomware menjual akses ke kode berbahaya ke penjahat dunia maya lainnya, yang melakukan serangan ransomware dan biasanya membagi hasilnya dengan pemiliknya. Sifat operasi kriminal yang menyebar dapat mempersulit aparat penegak hukum untuk melacaknya.

Pemerintahan Biden telah berusaha untuk secara agresif menindak sistem yang memungkinkan ransomware berkembang mulai dari membantu menangkap dugaan operasi ransomware di Eropa hingga memberi sanksi pada pertukaran mata uang kripto yang memfasilitasi pembayaran uang tebusan.

Tetapi sementara beberapa kelompok ransomware telah mengurangi serangan, yang lain terus mencoba memeras bisnis AS. Penjahat dunia maya menerima lebih dari $1,2 miliar pembayaran tebusan pada tahun 2020 dan 2021 jika digabungkan, menurut perusahaan pelacak cryptocurrency Chainalysis.

Keamanan siber telah menjadi pertimbangan bagi pejabat federal untuk mempersiapkan Super Bowl hari Minggu. Departemen Keamanan Dalam Negeri mengatakan sekitar 500 personel yang membantu keamanan fisik dan siber di acara tersebut telah melakukan penilaian keamanan siber terhadap infrastruktur game-day.

Sumber : CNN

Inggris, AS, Australia mengeluarkan nasihat bersama: Ransomware berkeliaran, infrastruktur nasional kritis terpengaruh

by

Serangan Ransomware berkembang biak ketika penjahat beralih ke geng yang menyediakan layanan turnkey pasca-kompromi, Pusat Keamanan Siber Nasional Inggris (NCSC) telah memperingatkan.

Dalam penasehat bersama Inggris-AS-Australia yang dikeluarkan sore ini, ketiga negara tersebut mengatakan bahwa mereka telah “mengamati peningkatan insiden ransomware yang canggih dan berdampak tinggi terhadap organisasi infrastruktur penting secara global.”

Peringatan itu muncul setelah beberapa serangan profil tinggi terhadap perusahaan distribusi minyak dan juga bisnis yang mengoperasikan pelabuhan di Barat – meskipun catatan hari ini menegaskan ada langkah para penjahat dari “perburuan besar” terhadap target AS.

Di antara ancaman utama yang dihadapi organisasi-organisasi Barat adalah penggunaan “layanan-untuk-disewa kejahatan dunia maya”. Ini, sebagaimana dirinci dalam nasihat, termasuk “layanan independen untuk menegosiasikan pembayaran, membantu korban melakukan pembayaran, dan menengahi perselisihan pembayaran antara mereka dan penjahat dunia maya lainnya.”

Pembayaran adalah intinya dan penasihat mengutuk pembayaran uang tebusan, dengan mengatakan: “Setiap kali uang tebusan dibayarkan, itu menegaskan kelayakan dan daya tarik finansial dari model bisnis kriminal ransomware.”

NCSC mengatakan kepada The Register bahwa peringatan hari ini tidak terkait dengan potensi invasi Rusia ke Ukraina, dengan penasehat menambahkan bahwa perpindahan dari AS oleh penjahat tidak benar-benar mempengaruhi Inggris: organisasi dari semua ukuran masih berada di garis tembak – bahkan mereka yang membuat jajanan favorit bangsa.

Rute umum ke infrastruktur TI organisasi untuk serangan ransomware berkisar dari kompromi aplikasi dan penyimpanan cloud (termasuk serangan yang memanfaatkan API yang tidak diamankan dengan benar), hingga serangan rantai pasokan seperti yang ditujukan terhadap MSP hulu, dan taktik kuno menyerang pada akhir pekan atau hari libur.

Selengkapnya: The Register

Pengembang Ransomware merilis Egregor, kunci dekripsi master Maze

by

Ransomware Maze mulai beroperasi pada Mei 2019 dan dengan cepat menjadi terkenal karena mereka bertanggung jawab atas penggunaan pencurian data dan taktik pemerasan ganda yang sekarang digunakan oleh banyak operasi ransomware.

Setelah Maze mengumumkan penutupannya pada Oktober 2020, mereka berganti nama pada September sebagai Egregor, yang kemudian menghilang setelah anggotanya ditangkap di Ukraina.

Maju cepat 14 bulan kemudian, dan kunci dekripsi untuk operasi ini sekarang telah bocor di forum BleepingComputer oleh pengguna bernama ‘Topleak’ yang mengaku sebagai pengembang untuk ketiga operasi tersebut.

Poster tersebut mengatakan bahwa ini adalah kebocoran yang direncanakan dan tidak terkait dengan operasi penegakan hukum baru-baru ini yang telah menyebabkan penyitaan server dan penangkapan afiliasi ransomware.

Mereka lebih lanjut menyatakan bahwa tidak ada anggota tim mereka yang akan kembali ke ransomware dan bahwa mereka menghancurkan semua kode sumber untuk ransomware mereka.

Forum post leaking Maze, Egregor, and Sekhmet decryption keys
Source: BleepingComputer

Postingan tersebut menyertakan tautan unduhan untuk file 7zip dengan empat arsip yang berisi kunci dekripsi Maze, Egregor, dan Sekhmet, dan kode sumber untuk malware ‘M0yv’ yang digunakan oleh geng ransomware.

Arsip yang berisi kunci dekripsi yang bocor
Sumber: BleepingComputer

Masing-masing arsip ini berisi kunci enkripsi master publik dan kunci dekripsi master pribadi yang terkait dengan “iklan” tertentu, atau afiliasi dari operasi ransomware.

Michael Gillespie dan Fabian Wosar dari Emsisoft telah meninjau kunci dekripsi dan mengonfirmasi ke BleepingComputer bahwa kunci tersebut sah dan dapat digunakan untuk mendekripsi file yang dienkripsi oleh tiga keluarga ransomware.

Gillespie memberi tahu kami bahwa kunci tersebut digunakan untuk mendekripsi kunci terenkripsi korban yang disematkan dalam catatan tebusan.

Encrypted key in Maze ransom note
Source: BleepingComputer

Emsisoft telah merilis decryptor untuk memungkinkan korban Maze, Egregor, dan Sekhmet yang telah menunggu untuk memulihkan file mereka secara gratis.

Emsisoft decryptor for Maze, Egregor, and Sekhmet

Untuk menggunakan dekripsi, korban akan memerlukan catatan tebusan yang dibuat selama serangan karena berisi kunci dekripsi terenkripsi.

Arsip juga menyertakan kode sumber untuk ‘modular x86/x64 file infector’ M0yv yang dikembangkan oleh operasi ransomware Maze dan digunakan sebelumnya dalam serangan.

“Juga ada sedikit kode sumber yang tidak berbahaya dari file infector file EPO polimorfik x86/x64 modular m0yv yang terdeteksi di alam liar sebagai virus Win64/Expiro, tetapi sebenarnya bukan expiro, tetapi mesin AV mendeteksinya seperti ini, jadi tidak ada satu hal pun di dalamnya. sama dengan gazavat,” kata pengembang ransomware dalam posting forum.

Cuplikan kode sumber untuk malware M0yv
Sumber: BleepingComputer

File todo.txt menunjukkan kode sumber untuk malware ini terakhir diperbarui pada 19 Januari 2022.

Selengkapnya : Bleeping Computer

Puma terkena pelanggaran data setelah serangan ransomware Kronos

by

Pabrikan pakaian olahraga Puma terkena pelanggaran data menyusul serangan ransomware yang menghantam Kronos, salah satu penyedia layanan manajemen tenaga kerja Amerika Utara, pada Desember 2021.

Pemberitahuan pelanggaran data yang diajukan ke beberapa kantor jaksa agung awal bulan ini mengatakan penyerang juga mencuri informasi pribadi milik karyawan Puma dan tanggungan mereka dari lingkungan cloud Kronos Private Cloud (KPC) sebelum mengenkripsi data.

Kronos menggambarkan KPC sebagai penyimpanan aman yang dilindungi dari serangan menggunakan firewall, otentikasi multi-faktor, dan transmisi terenkripsi.

Ini digunakan sebagai fasilitas server untuk meng-hosting Workforce Central, Workforce TeleStaff, Enterprise Archive, TeleTime IP, Extensions for Healthcare (EHC), dan lingkungan FMSI.

“Pada 7 Januari 2022, Kronos mengonfirmasi bahwa beberapa informasi pribadi Anda termasuk di antara data yang dicuri. Kami memberi tahu PUMA tentang insiden ini pada 10 Januari 2022.”

Meskipun pemberitahuan pelanggaran tidak menyebutkan berapa banyak karyawan Puma yang informasinya dicuri selama serangan itu, informasi yang diberikan kepada Kantor Kejaksaan Agung Maine mengungkapkan bahwa operator ransomware mendapatkan data milik 6.632 orang.

Puma juga mengatakan bahwa dokumen yang dicuri selama serangan ransomware Kronos termasuk Nomor Jaminan Sosial dalam pengajuan dengan kantor yang sama.

Orang-orang yang terkena dampak pelanggaran data ini juga ditawarkan dua tahun keanggotaan Experian IdentityWorks gratis, yang dilengkapi dengan pemantauan kredit, pemulihan identitas, dan asuransi pencurian identitas.

Peretas juga mencuri kode sumber untuk aplikasi internal Puma pada bulan Agustus dan menjualnya di portal kebocoran data Marketo. Serangan itu dikonfirmasi oleh kepala komunikasi korporat Puma, Robert-Jan Bartunek.

Pembaruan 08 Februari, 04:41 EST: Kepala Komunikasi Senior Puma Kerstin Neuber mengatakan bahwa tidak ada data pelanggan Puma yang terpengaruh dalam pernyataan tindak lanjut yang dikirim setelah kami menerbitkan:

Pada 10 Januari 2022, PUMA Amerika Utara diberi tahu bahwa UKG/ Kronos, salah satu vendor PUMA, sedang mengurangi dampak insiden ransomware. Pelanggaran hanya terjadi di dalam sistem UKG/Kronos. Tidak ada sistem di jaringan PUMA yang dilanggar dan tidak ada data pelanggan PUMA yang terpengaruh. Insiden itu terbatas pada Private Cloud Kronos.

UKG/ Kronos telah melibatkan pakar keamanan siber, memberi tahu pihak berwenang, dan berkomunikasi dengan mereka yang terkena dampak. Setiap pertanyaan media terkait dengan pelanggaran UKG/Kronos yang mendasari harus diarahkan ke UKG karena masalah tersebut sedang diselidiki.

Sumber : Bleeping Computer