Ransomware

Kontraktor Apple dan Tesla Taiwan terkena ransomware Conti

January 28, 2022 by Eevee

Delta Electronics, perusahaan elektronik Taiwan dan penyedia Apple, Tesla, HP, dan Dell, mengungkapkan bahwa mereka adalah korban serangan siber yang ditemukan pada Jumat pagi.

Pada 22 Januari 2022, perusahaan mengatakan insiden itu hanya berdampak pada sistem yang tidak kritis, yang tidak berdampak signifikan pada operasinya. Platform AdvIntel “Andariel” mendeteksi serangan pada 18 Januari.

Saat ini Delta bekerja untuk memulihkan sistem yang rusak selama serangan dan mengatakan telah menyewa jasa pakar keamanan pihak ketiga untuk membantu penyelidikan dan proses pemulihan.

Sementara pernyataan Delta tidak mengatakan siapa yang berada di balik serangan itu, sebuah perusahaan keamanan informasi yang dirahasiakan menemukan sampel ransomware Conti yang disebarkan di jaringan perusahaan, seperti yang dilaporkan pertama kali oleh CTWANT.

Catatan tebusan Delta Electronics Conti (BleepingComputer)

Menurut negosiasi antara Conti dan Delta, operator Conti mengklaim telah mengenkripsi 1.500 server dan 12.000 komputer dari sekitar 65.000 perangkat di jaringan Delta.

Geng ransomware Conti meminta Delta untuk membayar tebusan $15 juta untuk decryptor dan berhenti membocorkan file yang dicuri dari jaringannya. Juga dijanjikan diskon jika perusahaan mau membayar dengan cepat.

Sementara Delta dilaporkan masih bekerja dengan Trend dan tim keamanan Microsoft untuk menyelidiki insiden tersebut dan mengklaim bahwa produksinya tidak terpengaruh, situs webnya masih tidak aktif satu minggu setelah serangan tersebut.

Pelanggan Delta dapat menggunakan domain alternatif ini saat perusahaan menghidupkan kembali situs web utamanya, yang masih down setelah serangan ransomware, seperti yang ditemukan The Record.

“Grup Conti ransomware mengungkapkan bagian pola tertentu dari serangan Delta yang memanfaatkan Cobalt Strike dengan Atera untuk kegigihan seperti yang diungkapkan oleh visibilitas permusuhan platform kami. Tentu saja, serangan ini mengingatkan pada REvil Quanta yang memengaruhi salah satu pemasok Apple,” Vitali Kremez , CEO AdvIntel, mengatakan kepada BleepingComputer.

Conti adalah operasi Ransomware-as-a-Service (RaaS) yang terkait dengan kelompok kejahatan dunia maya Wizard Spider yang berbahasa Rusia.

Sumber : Bleeping Computer

Ransomware LockBit versi Linux menargetkan server VMware ESXi

January 27, 2022 by Eevee

Geng ransomware kini telah mengembangkan taktik mereka untuk membuat enkripsi Linux yang secara khusus menargetkan platform virtualisasi VMware vSphere dan ESXi yang populer selama setahun terakhir.

Meskipun ESXi tidak sepenuhnya Linux, ia memiliki banyak karakteristik yang sama, termasuk kemampuan untuk menjalankan executable ELF64 Linux.

Pada bulan Oktober, LockBit mulai mempromosikan fitur baru dari operasi Ransomware-as-a-Service mereka di forum peretasan RAMP, termasuk encryptor Linux baru yang menargetkan mesin virtual VMware ESXi.

Peneliti Trend Micro menganalisis encryptor Linux geng ransomware dan menjelaskan bagaimana itu digunakan untuk menargetkan instalasi VMWare ESXi dan vCenter.

Seperti encryptor Linux lainnya, LockBits menyediakan antarmuka baris perintah yang memungkinkan afiliasi untuk mengaktifkan dan menonaktifkan berbagai fitur untuk menyesuaikan serangan mereka.

Argumen baris perintah enkripsi LockBit Linux
Sumber: Trend Micro

Yang membuat encryptor linux LockBit menonjol adalah penggunaan luas utilitas baris perintah VMware ESXI dan VMware vCenter untuk memeriksa mesin virtual apa yang sedang berjalan dan untuk mematikannya dengan bersih sehingga tidak rusak saat dienkripsi.

Trend Micro menyatakan bahwa encryptor menggunakan AES untuk mengenkripsi file dan algoritma elliptic-curve cryptography (ECC) untuk mengenkripsi kunci dekripsi.

Dengan meluasnya penggunaan VMware ESXI di perusahaan, semua pembela jaringan dan profesional keamanan harus mengharapkan bahwa setiap operasi ransomware besar telah mengembangkan varian Linux.

Dengan membuat asumsi ini, admin dan profesional keamanan dapat membuat pertahanan dan rencana yang sesuai untuk melindungi semua perangkat di jaringan mereka, bukan hanya perangkat Windows.

Hal ini terutama berlaku untuk operasi LockBit, yang telah menjadi operasi ransomware paling menonjol sejak REvil ditutup dan membanggakan kecepatan dan rangkaian fitur enkripsinya.

Penting juga untuk diingat bahwa sebanyak kita menonton geng ransomware, mereka juga mengawasi kita kembali.

Ini berarti bahwa mereka memantau umpan sosial peneliti dan jurnalis untuk taktik, pertahanan, dan kerentanan terbaru yang kemudian dapat mereka gunakan terhadap target perusahaan.

Selengkapnya : Bleeping Computer

VMware: Patch Server Horizon Terhadap Serangan Log4j yang Sedang Berlangsung!

January 26, 2022 by Eevee

VMware mendesak pelanggan untuk menambal kerentanan keamanan Log4j kritis yang berdampak pada server VMware Horizon yang terpapar internet yang ditargetkan dalam serangan yang sedang berlangsung.

Setelah eksploitasi yang berhasil, aktor ancaman menyebarkan cangkang web khusus ke dalam layanan VM Blast Secure Gateway untuk mendapatkan akses ke jaringan organisasi, menurut laporan NHS Digital baru-baru ini tentang sistem VMware Horizon yang diserang dengan eksploitasi Log4Shell.

Hal ini memungkinkan mereka untuk melakukan berbagai kegiatan berbahaya, termasuk exfiltration data dan penyebaran payload malware tambahan seperti ransomware.

Microsoft juga memperingatkan dua minggu lalu tentang aktor ancaman berbahasa China yang dilacak sebagai DEV-0401 yang menyebarkan ransomware Night Sky di server VMware Horizon yang terpapar internet menggunakan eksploitasi Log4Shell.

Dalam sebuah email ke Bleeping Computer hari ini, VMware mengatakan mereka sangat mendesak pelanggan untuk menambal server Horizon mereka untuk bertahan melawan serangan aktif ini.

“Bahkan dengan Peringatan Keamanan VMware dan upaya berkelanjutan untuk menghubungi pelanggan secara langsung, kami terus melihat bahwa beberapa perusahaan belum ditambal,” kerry Tuttle, Manajer Komunikasi Korporat VMware, mengatakan kepada BleepingComputer.

“Produk VMware Horizon rentan terhadap kerentanan Apache Log4j / Log4Shell yang kritis kecuali ditambal atau dikurangi dengan benar menggunakan informasi yang diberikan dalam penasihat keamanan kami, VMSA 2021-0028, yang pertama kali diterbitkan pada 10 Desember 2021, dan diperbarui secara teratur dengan informasi baru.”

“Pelanggan yang belum menerapkan patch atau solusi terbaru yang disediakan penasihat keamanan VMware berisiko dikompromikan – atau mungkin telah dikompromikan – oleh aktor ancaman yang memanfaatkan kerentanan Apache Log4shell untuk secara aktif mengkompromikan lingkungan Horizon yang tidak ditambal dan menghadap internet.”

Admin memperingatkan untuk tidak lengah

Seruan VMware untuk bertindak mengikuti peringatan serupa yang dikeluarkan pekan lalu oleh Pusat Cybersecurity Nasional Belanda (NCSC), mendesak organisasi Belanda untuk tetap waspada dalam menghadapi ancaman yang sedang berlangsung yang diwakili oleh serangan Log4j.

Badan pemerintah Belanda memperingatkan bahwa aktor jahat akan terus mencari server yang rentan yang dapat mereka langgar dalam serangan yang ditargetkan dan meminta organisasi untuk menerapkan pembaruan keamanan Atau tindakan mitigasi jika diperlukan.

Menurut Shodan, ada puluhan ribu server VMware Horizon yang terpapar internet, yang semuanya perlu ditambal terhadap upaya eksploitasi Log4j.

“VMware sangat menyarankan agar pelanggan mengunjungi VMSA-2021-0028 dan menerapkan panduan untuk Horizon. VMware memprioritaskan keamanan pelanggan kami karena kami terus menanggapi dampak industri dari kerentanan Apache Log4j.”

Sumber: Bleepingcomputer

Geng Ransomware meningkatkan upaya untuk meminta orang dalam untuk menyerang

January 25, 2022 by Eevee

Sebuah survei terhadap 100 perusahaan IT Amerika Utara besar (lebih dari 5.000 karyawan) menunjukkan bahwa pelaku ransomware melakukan upaya yang lebih besar untuk merekrut orang dalam di perusahaan yang ditargetkan untuk membantu dalam serangan.

Dibandingkan dengan survei sebelumnya, terdapat peningkatan 17% dalam jumlah karyawan yang menawarkan uang untuk membantu serangan ransomware terhadap majikan mereka.

Persentase perusahaan yang didekati oleh pelaku ransomware
Sumber: Hitachi ID

Pelaku ancaman biasanya menggunakan email dan media sosial untuk menghubungi karyawan, tetapi 27% dari upaya pendekatan mereka dilakukan melalui panggilan telepon, cara kontak langsung dan berani.

Adapun uang yang ditawarkan kepada karyawan, sebagian besar menerima tawaran di bawah $500.000, tetapi beberapa proposal berada di utara satu juta USD.

Jumlah yang ditawarkan kepada karyawan nakal
Sumber: Hitachi ID

Sebagaimana tercermin dalam temuan survei Hitachi ID, ancaman orang dalam umumnya diabaikan, diremehkan, dan tidak diperhitungkan saat mengembangkan rencana keamanan siber.

Ketika eksekutif TI ditanyai tentang seberapa khawatir mereka tentang ancaman internal, 36% menjawab dengan lebih khawatir tentang ancaman eksternal, dengan 3% tidak khawatir tentang ancaman sama sekali.

Apa yang eksekutif TI pikirkan tentang ancaman orang dalam
Sumber: Hitachi ID

CISA merilis alat yang dapat membantu perusahaan menilai sikap mereka terhadap ancaman orang dalam pada September 2021, memperingatkan bahwa tren tertentu sedang meningkat.

Entitas yang memutuskan untuk meningkatkan pelatihan karyawan dan mengirim email palsu kepada karyawan di area kritis dengan laporan karyawan yang tidak puas atau indikator kinerja rendah. Namun, sebagian besar belum menerapkan langkah-langkah keamanan khusus untuk mengatasi masalah tersebut.

Fakta bahwa Amerika Serikat sedang mengalami lonjakan berhenti dari pekerjaan yang disebut “Pengunduran Diri Hebat” meningkatkan peluang keberhasilan bagi aktor ransomware dalam negosiasi yang aneh ini.

Banyak orang yang merasa stres berlebihan, dibayar rendah, dieksploitasi, kelelahan, atau merasa bahwa pekerjaan tidak lagi sepadan dengan waktu dan energi mereka.

Orang-orang ini terlihat sebagai kandidat ideal untuk geng ransomware yang membujuk mereka dengan bayaran besar untuk menjadi kaki tangan jangka pendek.

Sumber : Bleeping Computer

FBI menautkan ransomware Diavol ke grup kejahatan dunia maya TrickBot

January 21, 2022 by Eevee

FBI telah secara resmi menghubungkan operasi ransomware Diavol ke Grup TrickBot, pengembang malware di balik trojan perbankan TrickBot yang terkenal kejam.

Geng TrickBot, alias Wizard Spider, adalah pengembang infeksi malware yang telah merusak jaringan perusahaan selama bertahun-tahun, umumnya mengarah pada serangan ransomware Conti dan Ryuk, penyusupan jaringan, penipuan keuangan, dan spionase perusahaan.

Pada Juli 2021, peneliti dari FortiGuard Labs merilis analisis ransomware baru bernama Diavol (bahasa Rumania untuk Iblis) yang terlihat menargetkan korban perusahaan.

Para peneliti melihat muatan ransomware Diavol dan Conti disebarkan di jaringan dalam serangan ransomware yang sama pada awal Juni 2021.

Setelah menganalisis dua sampel ransomware, kesamaan ditemukan, seperti penggunaan operasi I/O asinkron untuk antrian enkripsi file dan parameter baris perintah yang hampir identik untuk fungsi yang sama.

Sebulan kemudian, peneliti IBM X-Force membangun hubungan yang lebih kuat antara ransomware Diavol dan malware TrickBot Gang lainnya, seperti Anchor dan TrickBot.

FBI menghubungkan ransomware Diavol ke geng TrickBot
FBI telah secara resmi mengumumkan bahwa mereka telah menghubungkan operasi Ransomware Diavol ke Geng TrickBot dalam indikator berbagi penasehat baru dari kompromi yang terlihat pada serangan sebelumnya.

Sejak itu, FBI telah melihat tuntutan tebusan berkisar antara $10.000 dan $500.000, dengan pembayaran yang lebih rendah diterima setelah negosiasi tebusan.

Warning.txt ransom note dari Diavol ransomware

Jumlah ini sangat kontras dengan tebusan yang lebih tinggi yang diminta oleh operasi ransomware lain yang terkait dengan TrickBot, seperti Conti dan Ryuk, yang secara historis meminta tebusan jutaan dolar.

FBI dapat secara resmi menghubungkan Diavol ke Geng TrickBot setelah penangkapan Alla Witte, seorang wanita Latvia yang terlibat dalam pengembangan ransomware untuk geng malware.

“Alla Witte memainkan peran penting untuk operasi TrickBot dan berdasarkan wawasan permusuhan mendalam AdvIntel sebelumnya, dia bertanggung jawab atas pengembangan ransomware Diavol dan proyek frontend/backend yang dimaksudkan untuk mendukung operasi TrickBot dengan ransomware khusus yang disesuaikan dengan bot backconnectivity antara TrickBot dan Diavol,” kata Kremez

“Nama lain untuk ransomware Diavol disebut ransomware “Enigma” yang dimanfaatkan oleh kru TrickBot sebelum merek ulang Diavol.”

Perlu dicatat bahwa ransomware Diavol awalnya membuat catatan tebusan bernama ‘README_FOR_DECRYPT.txt’ seperti yang ditunjukkan oleh penasihat FBI, tetapi geng ransomware beralih pada bulan November ke catatan tebusan bernama ‘Warning.txt.’

FBI juga mendesak semua korban, terlepas dari apakah mereka berencana untuk membayar uang tebusan, untuk segera memberi tahu penegak hukum tentang serangan untuk mengumpulkan IOC baru yang dapat mereka gunakan untuk tujuan investigasi dan operasi penegakan hukum.

Jika Anda terkena serangan Diavol, penting juga untuk memberi tahu FBI sebelum membayar karena mereka “mungkin dapat memberikan sumber daya mitigasi ancaman kepada mereka yang terkena dampak ransomware Diavol.”

Sumber : Bleeping Computer

Conti Ransomware Menambahkan Bank Indonesia Ke Dalam Daftar Korbannya

January 20, 2022 by Winnie the Pooh

Bank Indonesia, yang merupakan bank sentral Indonesia, diumumkan sebagai korban ransomware Conti, dalam sebuah posting yang diterbitkan oleh pelaku ancaman. Postingan tersebut dipublikasikan di situs kebocoran dark web geng ransomware Conti, bersama dengan 838 file dengan ukuran 487,09 megabyte.

[ALERT] Conti ransomware gang has announced "BANK OF INDONESIA" on the victim list. pic.twitter.com/qv2iJswis5

— DarkTracer : DarkWeb Criminal Intelligence (@darktracer_int) January 19, 2022

Menurut catatan yang dibuat oleh geng ransomware Conti, ini hanya mewakili satu persen dari total data yang telah dicuri. Jika itu benar, volume yang dicuri berjumlah seratus kali lipat, atau 48,7 gigabyte.

Dilaporkan oleh Bleeping Computer, Bank Indonesia (BI) telah mengkonfirmasi bahwa serangan ransomware memang menyerang jaringannya bulan lalu.

Selama insiden tersebut, para penyerang mencuri “data non-kritis” milik pegawai Bank Indonesia sebelum menyebarkan muatan ransomware di lebih dari selusin sistem di jaringan bank, seperti yang dilaporkan CNN Indonesia.

Namun, menurut juru bicara bank, insiden itu telah dimitigasi sebelum berdampak pada layanan publik BI, seperti yang dilaporkan pertama kali oleh Reuters.

Conti adalah operasi Ransomware-as-a-Service (RaaS) yang memiliki kaitan dengan kelompok kejahatan dunia maya Wizard Spider Rusia, yang juga dikenal dengan malware terkenal lainnya, termasuk Ryuk, TrickBot, dan BazarLoader.

Afiliasi grup ransomware melanggar jaringan target setelah perangkat perusahaan terinfeksi malware BazarLoader atau TrickBot, memberi mereka akses jarak jauh ke sistem yang disusupi.

Setelah mendapatkan akses ke jaringan internal korban, operator Conti akan mengkompromikan perangkat lain yang menyebar melalui jaringan korban.

Rusia Tuntut 8 Tersangka Anggota Geng Ransomware REvil

January 18, 2022 by Eevee

Delapan anggota operasi ransomware REvil yang telah ditahan oleh petugas Rusia saat ini menghadapi tuntutan pidana atas aktivitas ilegal mereka.

Pada hari Jumat, Dinas Keamanan Federal (FSB) Federasi Rusia – dinas intelijen domestik negara itu, mengumumkan penggerebekan di rumah 14 orang yang diduga menjadi bagian dari geng ransomware REvil.

Operasi itu dilakukan bekerja sama dengan Kementerian Dalam Negeri Rusia setelah pihak berwenang AS melaporkan pemimpin kelompok itu dan menuntut tindakan terhadap penjahat dunia maya yang tinggal di Rusia.

Nama-nama para tersangka tidak diketahui sampai hari ini ketika Pengadilan Tverskoi Moskow mengidentifikasi delapan orang dari dokumen penangkapan mereka:

Muromsky Romawi
Bessonov Andrey
Golovachuk Mikhail A.
Zayets Artem N.
Khansvyarov Ruslan A.
Korotayev Dmitry V.
Puzyrevsky D.D.
Malozemov Alexei V.

Para tersangka telah dipenjara selama dua bulan sebagai tindakan pencegahan dan semuanya diselidiki karena peredaran ilegal alat pembayaran (kartu kredit palsu dan dokumen pembayaran lainnya, cryptocurrency).

Yelisey Boguslavskiy, kepala penelitian di advIntel threat prevention, mengatakan bahwa individu yang ditangkap kemungkinan adalah afiliasi tingkat rendah dan bukan inti dari operasi REvil, yang mengembangkan malware dan mempertahankan operasi ransomware-as-a-service (RaaS).

Semua orang yang ditangkap dituduh melakukan kejahatan berdasarkan Bagian 2 dari Pasal 187 KUHP Federasi Rusia, kata Kantor Berita Rusia TASS, yang membawa hukuman antara lima dan delapan tahun penjara.

Menurut Martin Matishak dari The Record, seorang pejabat senior pemerintahan Biden mengatakan bahwa salah satu dari 14 tersangka yang digerebek juga bertanggung jawab atas serangan ransomware yang mengganggu operasi Colonial Pipeline. Malware ini digunakan oleh geng ransomware DarkSide, kemudian berganti nama menjadi BlackMatter.

Selengkapnya: Bleepingcomputer

Layanan Keamanan Ukraina menangkap kelompok ransomware karena menyerang 50 perusahaan

January 15, 2022 by Søren

Spesialis Siber Ukraina dari Dinas Keamanan Ukraina melakukan operasi bersama dengan polisi siber, mitra Amerika dan Inggris untuk melenyapkan sekelompok peretas yang kuat.

Dan mereka berhasil menahan lima penjahat yang tergabung dalam geng ransomware yang bertanggung jawab melancarkan serangan terhadap 50 perusahaan milik Amerika dan Eropa. Namun, geng ransomware milik mereka belum diungkapkan.

Penangkapan terjadi awal pekan ini dengan peretas utama adalah warga Kyiv berusia 36 tahun, pasangannya dan tiga orang lainnya. Penangkapan tersebut dibenarkan oleh kelompok-kelompok yang melakukan tindakan ilegal dan jahat terhadap badan-badan pemerintah dan swasta untuk mengenkripsi dan mencuri data, dengan serangan ransomware dan DDOS.

Sesuai pernyataan pihak berwenang Ukraina, Seluruh tindakan itu dilakukan dari perangkat pribadi mereka, dan untuk menghindari klaim ilegal, mereka menyamar dengan nama berbeda di jaringan Darknet.

Selain itu, mereka memiliki koneksi dan jaringan untuk mencuci uang dan keuntungan mereka ke kartu pembayaran yang dimiliki oleh individu fiktif.

Setelah beberapa analisis, pihak berwenang Ukraina mengklaim bahwa geng tersebut telah menghasilkan sekitar satu juta dollar dari serangan tersebut.

Pihak berwenang melakukan pencarian menyeluruh di sembilan lokasi berbeda yang penggerebekan dilakukan dengan bantuan dari lembaga penegak hukum AS dan Inggris. Peralatan yang disita meliputi laptop, desktop, ponsel, kartu kredit/debit, flash drive, dan tiga mobil.

Pihak berwenang dari negara lain juga siap untuk menahan dan menyelidiki para penjahat karena serangan itu juga dilakukan di luar negeri.

Namun, kita perlu apresiasi pihak berwenang Ukraina atas penyaringan berkelanjutan dan prosedur perang siber yang telah mereka lakukan sejak awal tahun 2021.

Selengkapnya: The Cybersecurity Times

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Ransomware

Admin memperingatkan untuk tidak lengah

Cookies Settings