Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

TellYouThePass ransomware kembali sebagai ancaman Golang lintas platform

by

TellYouThePass ransomware telah muncul kembali sebagai malware yang dikompilasi Golang, membuatnya lebih mudah untuk menargetkan lebih banyak sistem operasi, khususnya macOS dan Linux.

Kembalinya jenis malware ini terlihat bulan lalu, ketika pelaku ancaman menggunakannya bersama dengan eksploitasi Log4Shell untuk menargetkan mesin yang rentan.

Crowdstrike menjelaskan lebih banyak tentang pengembalian ini, dengan fokus pada perubahan tingkat kode yang membuatnya lebih mudah untuk dikompilasi untuk platform lain selain Windows.

Mengapa Golang?

Golang adalah bahasa pemrograman yang pertama kali diadopsi oleh pembuat malware pada tahun 2019 karena keserbagunaan lintas platformnya.

Golang memungkinkan pustaka dependensi lapisan ke dalam satu file biner, yang mengarah ke jejak yang lebih kecil dari komunikasi server perintah dan kontrol (C2), sehingga mengurangi tingkat deteksi.

Sampel TellYouThePass baru
Analis Crowdstrike melaporkan kesamaan kode sebesar 85% antara sampel Linux dan Windows dari TellYouThePass, menunjukkan penyesuaian minimal yang diperlukan untuk membuat ransomware berjalan di sistem operasi yang berbeda.

Functions on the Windows and Linux samples
Source: Crowdstrike

Satu perubahan penting dalam sampel ransomware terbaru adalah pengacakan nama semua fungsi selain dari yang ‘utama’, yang mencoba menggagalkan analisis.

Sebelum memulai rutinitas enkripsi, TellYouThePass mematikan tugas dan layanan yang dapat mempertaruhkan proses atau mengakibatkan enkripsi yang tidak lengkap, seperti klien email, aplikasi database, server web, dan editor dokumen.

Selain itu, beberapa direktori dikecualikan dari enkripsi untuk mencegah membuat sistem tidak dapat di-boot dan dengan demikian menyia-nyiakan kesempatan untuk mendapatkan bayaran.

Direktori dikecualikan dari enkripsi
Sumber: Crowdstrike

Catatan tebusan dijatuhkan dalam infeksi TellYouThePass baru-baru ini meminta 0,05 Bitcoin, saat ini dikonversi menjadi sekitar $2,150, sebagai ganti alat dekripsi.

Sumber : Bleeping Computer

Magniber ransomware menggunakan file APPX yang ditandatangani untuk menginfeksi sistem

by

Ransomware Magniber menggunakan file paket aplikasi Windows (.APPX) yang ditandatangani dengan sertifikat yang valid untuk menghapus malware yang berpura-pura sebagai pembaruan browser web Chrome dan Edge.

Metode distribusi ini menandai pergeseran dari pendekatan sebelumnya yang terlihat dengan aktor ancaman ini, yang biasanya bergantung pada eksploitasi kerentanan Internet Explorer.

Infeksi dimulai dengan mengunjungi situs web yang menjatuhkan muatan, para peneliti di perusahaan keamanan siber AhnLab mencatat dalam sebuah laporan yang diterbitkan hari ini.

Dua dari URL yang mendistribusikan payload adalah “hxxp://b5305c364336bqd.bytesoh.cam”, dan “hxxp://hadhill.quest/376s53290a9n2j”, tetapi ini mungkin bukan satu-satunya.

Pengunjung situs ini menerima peringatan untuk memperbarui browser Edge/Chrome mereka secara manual, dan ditawari file APPX untuk menyelesaikan tindakan.

Peringatan untuk mengunduh pembaruan Edge palsu
Sumber: ASEC

Dalam kasus ransomware Magniber, file APPX yang disamarkan ditandatangani secara digital dengan sertifikat yang valid, sehingga Windows melihatnya sebagai file tepercaya yang tidak memicu peringatan.

DLL code part responsible for downloading and decoding the payload
Source: ASEC

File-file ini menjalankan fungsi yang mengambil muatan ransomware Magniber, mendekodekannya, dan kemudian menjalankannya. Setelah mengenkripsi data pada sistem, ancaman membuat catatan tebusan berikut:

Magniber ransom note dropped onto encrypted systems
Source: ASEC

Meskipun catatan dalam bahasa Inggris, perlu dicatat bahwa ransomware Magniber menargetkan pengguna Asia secara eksklusif akhir-akhir ini. Saat ini tidak ada kemungkinan untuk mendekripsi file yang dikunci oleh malware ini secara gratis.

Tidak seperti kebanyakan operasi ransomware, Magniber tidak mengadopsi taktik pemerasan ganda, sehingga tidak mencuri file sebelum mengenkripsi sistem.

Mencadangkan data secara teratur adalah solusi yang baik untuk memulihkan dari serangan dengan ransomware tingkat rendah seperti Magniber.

Sumber : Bleeping Computer

Serangan ransomware membuat penjara New Mexico offline, membuat narapidana terkunci

by

Serangan ransomware minggu lalu telah membuat penjara area Albuquerque tanpa akses ke umpan kameranya dan membuat mekanisme pintu otomatis tidak dapat digunakan. Akibatnya, narapidana dikurung di sel mereka, sementara teknisi berjuang untuk mengembalikan sistem online.

Seperti yang pertama kali dilaporkan oleh Source New Mexico, akses pengunjung ke Pusat Penahanan Metropolitan sepenuhnya ditangguhkan karena penjara dikunci. Semua layanan internet di penjara juga dimatikan, membuat staf tidak dapat mencari catatan narapidana.

Berdasarkan kurangnya liputan kamera, semua narapidana di dalam fasilitas tersebut dikunci sejak pagi hari tanggal 5 Januari. Selain itu database pelacakan insiden yang berisi semua laporan pertempuran, penggunaan kekuatan, dan tuduhan penyerangan seksual tidak tersedia dan diyakini telah dirusak oleh serangan tersebut.

Pusat penahanan hanyalah satu titik dampak dalam serangan ransomware yang lebih besar yang melanda Bernalillo County, daerah terpadat di New Mexico, pada tanggal 5 Januari. Pegawai kabupaten tidak dapat mengakses basis data pemerintah daerah, dan semua kantor publik ditutup sementara. Siaran pers tertanggal 10 Januari mencatat bahwa kantor pusat kantor daerah masih dibuka kembali sebagian.

Penguncian yang tidak terduga menempatkan penjara dalam potensi pelanggaran persyaratan penyelesaian dalam gugatan atas kondisi kurungan, memaksa Bernalillo County untuk mengajukan pemberitahuan darurat di pengadilan federal. Sebuah kesepakatan penyelesaian dari gugatan tahun 1995 mengharuskan penjara daerah untuk mengadopsi protokol baru dalam menanggapi keluhan yang lebih luas tentang kepadatan penduduk dan kondisi lainnya, termasuk jaminan bahwa narapidana diberikan akses reguler ke telepon dan perangkat komunikasi lainnya.

Tetapi kegagalan total jaringan komputer internal penjara dapat memaksa fasilitas tersebut untuk melanggar perjanjian itu.

Rahn mengatakan dia tidak segera dapat dihubungi untuk dimintai komentar. Email dan pesan suara yang dikirim ke pejabat Bernalillo County belum dijawab pada saat pers.

Ransomware semakin dilihat sebagai salah satu ancaman utama yang dihadapi bisnis swasta dan institusi pemerintah di seluruh AS. Tahun lalu Departemen Kehakiman membentuk Ransomware dan Satuan Tugas Pemerasan Digital untuk mengoordinasikan pembagian informasi antara divisi DOJ dan dengan lembaga luar, menandakan pendekatan baru untuk mengatasi masalah tersebut. Meskipun demikian, laporan dari Departemen Keuangan AS memperkirakan bahwa pembayaran ransomware untuk tahun 2021 masih akan melampaui semua rekor sebelumnya.

Selengkapnya : The Verge

Ransomware Night Sky Menggunakan Bug Log4j untuk Meretas Server VMware Horizon

by

Geng ransomware Night Sky telah mulai mengeksploitasi kerentanan CVE-2021-44228 yang kritis di perpustakaan penebangan Log4j, juga dikenal sebagai Log4Shell, untuk mendapatkan akses ke sistem VMware Horizon.

Aktor ancaman menargetkan mesin rentan yang terpapar di web publik dari domain yang meniru perusahaan yang sah, beberapa di antaranya di sektor teknologi dan cybersecurity.

Serangan dimulai pada awal Januari

Terlihat pada akhir Desember 2021 oleh peneliti keamanan MalwareHunterTeam, ransomware Night Sky berfokus pada penguncian jaringan perusahaan. Ini telah mengenkripsi beberapa korban, meminta tebusan $ 800.000 dari salah satu dari mereka.

Pada hari Senin, Microsoft menerbitkan peringatan tentang kampanye baru dari aktor yang berbasis di China yang dilacaknya sebagai DEV-0401 untuk mengeksploitasi kerentanan Log4Shell pada sistem VMware Horizon yang terpapar di internet, dan menyebarkan ransomware Night Sky.

VMware Horizon digunakan untuk virtualisasi desktop dan aplikasi di cloud, memungkinkan pengguna untuk mengaksesnya dari jarak jauh melalui klien khusus atau browser web.

Ini juga merupakan solusi bagi administrator untuk manajemen yang lebih baik, kepatuhan keamanan, dan otomatisasi di seluruh armada sistem virtual.

VMware telah menambal produk Log4Shell in Horizon dan menyediakan solusi untuk pelanggan yang tidak dapat menginstal versi baru yang berisi perbaikan (2111, 7.13.1, 7.10.3). Namun, beberapa perusahaan belum menerapkan perbaikan.

Perusahaan menambahkan bahwa kelompok ini dikenal karena menyebarkan keluarga ransomware lainnya di masa lalu, seperti LockFile, AtomSilo, dan Rook.

Serangan sebelumnya dari aktor ini juga mengeksploitasi masalah keamanan dalam sistem yang menghadap internet seperti Confluence (CVE-2021-26084) dan server Exchange di tempat (CVE-2021-34473 – ProxyShell). Hal ini diyakini bahwa Night Sky adalah kelanjutan dari operasi ransomware tersebut.

Hubungan dengan rook ransomware telah ditetapkan. Setelah merekayasa balik malware, Jiří Vinopal – analis forensik di CERT Republik Ceko, menemukan bahwa Night Sky adalah garpu dari ransomware Rook.

Microsoft mencatat bahwa operator ransomware Night Sky mengandalkan server perintah dan kontrol yang meniru domain yang digunakan oleh perusahaan yang sah seperti perusahaan cybersecurity Sophos, Trend Micro, perusahaan teknologi Nvidia dan Rogers Corporation.

Vektor serangan yang menarik

Log4Shell adalah vektor serangan yang menarik bagi peretas negara-bangsa dan penjahat dunia maya karena komponen Log4J open-source hadir dalam berbagai sistem dari puluhan vendor.

Mengeksploitasi bug untuk mencapai eksekusi kode tanpa otentikasi membutuhkan upaya minimum. Aktor ancaman dapat memulai panggilan balik atau permintaan ke server berbahaya yang lewat hanya perlu mengunjungi situs atau mencarinya untuk string tertentu untuk menyebabkan panggilan balik server ke lokasi berbahaya.

Kelemahan keamanan dapat dimanfaatkan dari jarak jauh pada mesin rentan yang terpapar di internet publik atau dari jaringan lokal, oleh musuh lokal untuk bergerak secara lateral ke sistem internal yang sensitif.

Salah satu geng ransomware “top-tier” pertama yang mengintegrasikan Log4Shell dalam serangan mereka adalah Conti, yang menunjukkan minat di dalamnya sebagai jalan serangan potensial pada 12 Desember, hanya tiga hari setelah eksploitasi proof-of-concept (PoC) pertama menjadi publik.

Geng ransomware lain, pendatang baru bernama Khonsari, mulai memanfaatkan eksploitasi pada hari berikutnya PoC muncul di GitHub.

Pada hari-hari setelah pengungkapannya, beberapa aktor ancaman mulai memanfaatkan bug Log4j. Yang pertama mengambil keuntungan adalah penambang cryptocurrency, dengan peretas yang didukung negara dan geng ransomware mengikutinya.

Sumber: Bleepingcomputer

FIN7 Mengirimkan USB Sticks Berbahaya untuk Menjatuhkan Ransomware

by

Geng ransomware mengirimkan drive USB berbahaya, menyamar sebagai Departemen Kesehatan dan Layanan Kemanusiaan AS (HHS) dan / atau Amazon untuk menargetkan industri transportasi, asuransi dan pertahanan untuk infeksi ransomware, FBI memperingatkan pada hari Jumat.

Dalam peringatan keamanan yang dikirim ke organisasi, FBI mengatakan bahwa FIN7 – alias Carbanak atau Navigator Group, geng cybercrime yang terkenal dan termotivasi secara finansial di balik malware backdoor Carbanak – adalah pihak yang bersalah.

FIN7 telah ada setidaknya sejak 2015. Awalnya, geng membuat reputasinya dengan mempertahankan akses terus-menerus di perusahaan target dengan malware backdoor kustom, dan untuk menargetkan point-of-sale (PoS) sistem dengan perangkat lunak skimmer. Ini sering menargetkan restoran santai, kasino dan hotel. Tetapi pada tahun 2020, FIN7 juga masuk ke permainan ransomware / eksfiltrasi data, dengan kegiatannya melibatkan REvil atau Ryuk sebagai muatan.

FBI mengatakan bahwa selama beberapa bulan terakhir, FIN7 telah mengirimkan perangkat USB berbahaya ke perusahaan AS, dengan harapan bahwa seseorang akan mencolokkan drive, menginfeksi sistem dengan malware dan dengan demikian mengaturnya untuk serangan ransomware di masa depan.

“Sejak Agustus 2021, FBI telah menerima laporan beberapa paket yang berisi perangkat USB ini, dikirim ke bisnis AS di industri transportasi, asuransi, dan pertahanan,” kata fbi dalam peringatan keamanan.

Infeksi BadUSB yang Dikirim Siput

“Paket-paket itu dikirim menggunakan Layanan Pos Amerika Serikat dan Layanan Paket Amerika Serikat,” tambah FBI.

Para penyerang menyemburkan paket, menyamarkan mereka sebagai terkait pandemi atau sebagai barang dari Amazon, biro itu mengatakan: “Ada dua variasi paket – yang meniru HHS sering disertai dengan surat-surat yang merujuk pedoman COVID-19 yang disertakan dengan USB; Dan mereka yang meniru Amazon tiba di kotak hadiah dekoratif yang berisi surat terima kasih palsu, kartu hadiah palsu dan USB.

Yang pasti, paket berisi perangkat USB bermerek LilyGO.

FBI mengatakan bahwa perangkat mengeksekusi serangan BadUSB. Serangan BadUSB mengeksploitasi kerentanan yang melekat pada firmware USB yang memungkinkan aktor jahat untuk memprogram ulang perangkat USB sehingga dapat bertindak sebagai perangkat antarmuka manusia – yaitu, sebagai keyboard USB berbahaya yang dimuat dengan penekanan tombol yang dieksekusi secara otomatis. Setelah pemrograman ulang, USB dapat digunakan untuk diam-diam mengeksekusi perintah atau menjalankan program jahat pada komputer korban.

Serangan terbaru ini adalah salinan karbon dari serangan 2020, ketika FBI juga mengeluarkan peringatan publik yang menyebut FIN7 sebagai pelakunya.

Cara Mengalahkan Kembali Tongkat BadUSB

Karl Sigler, manajer riset keamanan senior Trustwave SpiderLabs, mengatakan kepada Threatpost pada hari Senin bahwa pelatihan kesadaran keamanan yang sedang berlangsung “harus mencakup jenis serangan dan memperingatkan agar tidak menghubungkan perangkat aneh ke komputer Anda.”

Perangkat lunak perlindungan endpoint juga dapat membantu mencegah serangan ini, katanya.

“Serangan ini dipicu oleh stik USB yang meniru keyboard USB, sehingga perangkat lunak perlindungan titik akhir yang dapat memantau akses ke command shell harus mengurus sebagian besar masalah,” kata Sigler melalui email.

Untuk sistem penting yang tidak memerlukan aksesori USB, pemblokir port USB fisik dan berbasis perangkat lunak juga dapat membantu mencegah serangan ini, Sigler menambahkan.

Untuk bagiannya, ACA Group telah menciptakan akronim “CAPs” untuk merujuk pada kebersihan standar yang harus dipantau secara aktif oleh semua organisasi untuk mencegah serangan ransomware. CAPs mengacu pada Konfigurasi, Akses dan Patching, dengan kesadaran karyawan dan pendidikan lagi dianggap penting juga. CAPs mengacu pada:

Manajemen konfigurasi – Kurangi jumlah titik masuk yang dapat digunakan penyerang untuk mendapatkan akses ke sistem Anda. Banyak serangan berhasil karena ada kesalahan konfigurasi pada perangkat keamanan, konfigurasi cloud dan sebagainya.

Akses – Kurangi jumlah titik akses internal untuk penyerang yang telah memasuki sistem Anda.

Patching – Mengurangi kemungkinan serangan terjadi melalui titik yang tidak diketahui atau masuk, dasar dalam memperbaiki dan kerentanan keamanan dan bug lainnya.

Sumber: Threatpost

Ransomware AvosLocker versi Linux menargetkan server VMware ESXi

by

AvosLocker adalah geng ransomware terbaru yang telah menambahkan dukungan untuk mengenkripsi sistem Linux ke varian malware terbaru, yang secara khusus menargetkan mesin virtual VMware ESXi.

Beberapa bulan yang lalu, geng AvosLocker juga terlihat mengiklankan varian ransomware terbarunya, Windows Avos2 dan AvosLinux, sambil memperingatkan afiliasi untuk tidak menyerang target pasca-soviet/CIS.

VM ESXi dihentikan sebelum enkripsi
Setelah diluncurkan pada sistem Linux, AvosLocker akan menghentikan semua mesin ESXi di server menggunakan perintah berikut:

esxcli –formatter=csv –format-param=fields==”WorldID,DisplayName” daftar proses vm | ekor -n +2 | awk -F $’,’ ‘{system(“esxcli vm process kill –type=force –world-id=” $1)}’

Setelah mulai beroperasi pada sistem yang disusupi, ransomware akan menambahkan ekstensi .avoslinux ke semua file terenkripsi.

Itu juga menjatuhkan catatan tebusan yang meminta para korban untuk tidak mematikan komputer mereka untuk menghindari korupsi file dan mengunjungi situs bawang untuk rincian lebih lanjut tentang cara membayar uang tebusan.

AvosLocker adalah geng baru yang pertama kali muncul selama musim panas 2021, menyerukan afiliasi ransomware di forum bawah tanah untuk bergabung dengan operasi Ransomware-as-a-Service (RaaS) mereka yang baru diluncurkan.

Langkah untuk menargetkan mesin virtual ESXi sejalan dengan target perusahaan mereka, yang baru-baru ini bermigrasi ke mesin virtual untuk pengelolaan perangkat yang lebih mudah dan penggunaan sumber daya yang lebih efisien.

Dengan menargetkan VM, operator ransomware juga memanfaatkan enkripsi beberapa server yang lebih mudah dan lebih cepat dengan satu perintah.

Sejak Oktober, ransomware Hive mulai mengenkripsi sistem Linux dan FreeBSD menggunakan varian malware baru, dalam beberapa bulan setelah peneliti melihat encryptor Linux REvil ransomware menargetkan VMware ESXi VM.

Emsisoft CTO Fabian Wosar mengatakan bahwa geng ransomware lain, termasuk Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide, dan Hellokitty, juga telah membuat dan menggunakan enkripsi Linux mereka sendiri.

Varian Linux ransomware HelloKitty dan BlackMatter juga ditemukan di alam liar oleh peneliti keamanan pada bulan Juli dan Agustus, yang lebih lanjut mengkonfirmasi pernyataan Wosar. Operasi ransomware Snatch dan PureLocker juga telah diamati menggunakan enkripsi Linux di masa lalu.

Sumber : Bleeping Computer

Jaringan hotel mengubah PC Windows ke Chrome OS menggunakan CloudReady setelah serangan ransomware

by

Pada akhir tahun 2020, Google mengakuisisi perusahaan yang menawarkan perangkat lunak untuk mengubah PC lama menjadi perangkat seperti Chrome OS.

Dalam satu contoh terkenal, jaringan hotel Norwegia beralih ke CloudReady untuk mengubah beberapa ribu laptop Windows yang dikunci dari ransomware menjadi Chromebook.

Nordic Choice Hotels adalah jaringan besar di Skandinavia, Finlandia, dan Baltik dengan 200 properti. Nordic Choice Hotels mengalami serangan ransomware pada bulan Desember, seperti yang dilaporkan E24, yang mengenkripsi file perangkat dan mengharuskan staf TI untuk menghapus internet/jaringan mereka.

Peretasan langsung ini menuntut grup hotel membayar uang tebusan untuk mendapatkan kembali file (catatan karyawan tetapi bukan informasi tamu) dan mencegah kebocoran.

Dalam hal dampak, staf harus menggunakan pena dan kertas (atau lebih tepatnya, spidol dan papan tulis), sementara sistem kartu kunci yang jatuh mengharuskan karyawan untuk “mengunci semua tamu dengan kartu kunci utama.”

Alih-alih menghabiskan beberapa jam untuk menghapus virus dari setiap perangkat, Nordic Choice memutuskan untuk mempercepat proyek migrasi Chrome yang sebelumnya sudah berlangsung.

Secara keseluruhan, 2.000 laptop Windows, yang terlihat seperti Lenovo ThinkPads, diubah dengan CloudReady menjadi pengalaman seperti Chromebook dalam 48 jam.

Google tampaknya telah membantu ini dengan membiarkan mereka “melompat dalam antrian untuk menjalankan dan menjalankan proyek.”

Selengkapnya: 9to5 Google

Aktor FIN7 mengirim drive USB Berbahaya ke perusahaan AS dengan ransomware

by

FBI telah mengidentifikasi perangkat USB berbahaya yang dikirim ke perusahaan AS dalam beberapa bulan terakhir dengan motif untuk menginfeksi jaringan perusahaan dengan malware dan penurunan muatan lebih lanjut.

Kelompok di balik operasi USB berbahaya ini diketahui sebagai aktor FIN7, yang berada di balik ransomware BlackMatter dan Darkside.

Sesuai laporan FBI, beberapa paket dengan drive USB telah dikirim ke perusahaan AS termasuk industri pertahanan, asuransi, dan transportasi.

Pengiriman dilakukan melalui United Parcel Service dan United States Postal Service. Paket datang dalam dua varian, satu dengan nama Departemen Kesehatan dan Layanan Kemanusiaan AS, dengan beberapa pedoman COVID-19 dan drive USB.

Yang lainnya disamarkan sebagai Paket Amazon dengan dekorasi hadiah, pesan terima kasih, kartu hadiah, dan drive USB. Satu hal yang umum di antara kedua paket ini adalah bahwa drive USB berasal dari merek LilyGo.

Setelah penerima menyambungkan drive USB ini ke perangkat mereka, serangan BadUSB dimulai.

Serangan BadUSB adalah serangan keamanan yang menginfeksi perangkat dengan memprogram ulang drive USB dengan perangkat lunak berbahaya.

Dengan program jahat ini, para aktor dapat mengunduh banyak muatan ke dalam perangkat dan menjadikannya sebagai pintu belakang untuk penyusupan lebih lanjut.

Setelah aktor mendapatkan hak istimewa admin untuk sistem, mereka melanjutkan serangan mereka dengan menyebarkan malware secara lateral di seluruh jaringan yang memengaruhi perangkat rekan lainnya.

Setelah distribusi lateral yang sukses, aktor FIN7 menggunakan beberapa alat untuk menyebarkan ransomware REvil dan BlackMatter. Alat-alat tersebut antara lain Cobalt Strike, Metasploit, Carbanak, TIRION, DICELOADER, GRIFFON, dan Carbanak.

Selengkapnya: The Cybersecurity Times