Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

Night Sky adalah Ransomware Terbaru yang Menargetkan Jaringan Perusahaan

by

Ini adalah tahun baru, dan dengan itu datang ransomware baru untuk mengawasi disebut ‘Night Sky’ yang menargetkan jaringan perusahaan dan mencuri data dalam serangan pemerasan ganda.

Menurut MalwareHunterteam, yang pertama kali melihat ransomware baru, operasi Night Sky dimulai pada 27 Desember dan sejak itu menerbitkan data dua korban.

Salah satu korban telah menerima permintaan tebusan awal sebesar $ 800.000 untuk mendapatkan decryptor dan untuk data yang dicuri yang tidak dipublikasikan.

Bagaimana Night Sky mengenkripsi perangkat

Sampel ransomware Night Sky yang dilihat oleh BleepingComputer disesuaikan untuk berisi catatan tebusan yang dipersonalisasi dan kredensial login hardcoded untuk mengakses halaman negosiasi korban.

Ketika diluncurkan, ransomware akan mengenkripsi semua file kecuali yang diakhiri dengan ekstensi file .dll atau .exe. Ransomware juga tidak akan mengenkripsi file atau folder dalam daftar di bawah ini:

  • AppData
  • Boot
  • Windows
  • Windows.old
  • Tor Browser
  • Internet Explorer
  • Google
  • Opera
  • Opera Software
  • Mozilla
  • Mozilla Firefox
  • $Recycle.Bin
  • ProgramData
  • All Users
  • autorun.inf
  • boot.ini
  • bootfont.bin
  • bootsect.bak
  • bootmgr
  • bootmgr.efi
  • bootmgfw.efi
  • desktop.ini
  • iconcache.db
  • ntldr
  • ntuser.dat
  • ntuser.dat.log
  • ntuser.ini
  • thumbs.db
  • Program Files
  • Program Files (x86)
  • #recycle

Saat mengenkripsi file, Night Sky akan menambahkan ekstensi .nightsky ke nama file terenkripsi, seperti yang ditunjukkan pada gambar di bawah ini.

Di setiap folder, catatan tebusan bernama NightSkyReadMe.hta berisi informasi yang terkait dengan apa yang dicuri, email kontak, dan kredensial berkode keras di halaman negosiasi korban.

Alih-alih menggunakan situs Tor untuk berkomunikasi dengan korban, Night Sky menggunakan alamat email dan situs web yang jelas yang menjalankan Rocket.Chat. Kredensial digunakan untuk masuk ke URL Rocket.Chat yang disediakan dalam catatan tebusan.

Taktik pemerasan ganda

Taktik umum yang digunakan oleh operasi ransomware adalah mencuri data yang tidak terenkripsi dari korban sebelum mengenkripsi perangkat di jaringan.

Para pelaku ancaman kemudian menggunakan data curian ini dalam strategi “pemerasan ganda”, di mana mereka mengancam akan membocorkan data jika uang tebusan tidak dibayar.

Untuk membocorkan data korban, Night Sky telah membuat situs kebocoran data Tor yang saat ini mencakup dua korban, satu dari Bangladesh dan satu lagi dari Jepang.

Meskipun belum ada banyak aktivitas dengan operasi ransomware Night Sky yang baru, itu adalah salah satu yang perlu kita awasi saat kita menuju tahun baru.

Sumber: Bleepingcomputer

AvosLocker Ransomware Group Memberikan Decryptor Setelah Melanggar Polisi AS

by

Grup Ransomware AvosLocker telah memberikan decryptor gratis setelah secara tidak sengaja mengenkripsi agen pemerintah AS. Kelompok ransomware AvosLocker menyerang departemen kepolisian AS dan perangkat terenkripsi.

Kelompok ini juga mencuri data dari perangkat terenkripsi tersebut.

AvosLocker Ransomware Group dan niatnya

Menurut seorang peneliti keamanan pancak3, kelompok ransomware AvosLocker menyerahkan decryptor setelah menyadari bahwa korban adalah lembaga pemerintah.

Perlu dicatat bahwa para aktor hanya menyediakan decryptor dan bukan daftar file yang dicuri dan proses di mana mereka melanggar jaringan agensi. Menurut aktor AvosLocker, mereka biasanya tidak menargetkan badan pemerintah dan lembaga kesehatan.

AvosLocker juga menyebutkan bahwa mereka sengaja menghindari badan pemerintah karena uang pembayar pajak umumnya sulit didapat. Namun, penegak hukum telah menangkap beberapa anggota ransomware dalam beberapa waktu terakhir, yang mencakup kelompok ransomware Netwalker, REvil, Egregor dan Clop.

Tindakan penegakan hukum terhadap aktor ransomware

Tindakan ini telah membuat kelompok ransomware tertentu untuk menutup operasi mereka termasuk avaddon, REvil, BlackMatter dan kelompok DarkSide. Sementara kita tahu bahwa sebagian besar kelompok-kelompok ini mengubah citra diri mereka untuk melompat lagi untuk operasi lain, tekanan dari penegakan hukum harus dihargai.

Sumber: The Cyber Security Times

Ransomware Rook adalah bibit lain dari kode Babuk yang bocor

by

Operasi ransomware baru bernama Rook baru-baru ini muncul di ruang kejahatan dunia maya, menyatakan kebutuhan mendesak untuk menghasilkan “banyak uang” dengan menerobos jaringan perusahaan dan mengenkripsi perangkat.

Meskipun pernyataan pengantar di portal kebocoran data mereka sedikit lucu, pengumuman korban pertama di situs tersebut telah memperjelas bahwa Rook tidak sedang bermain-main.

Sumber: BleepingComputer

Para peneliti di SentinelLabs telah mendalami jenis baru ini, mengungkapkan detail teknisnya, rantai infeksi, dan bagaimana ini tumpang tindih dengan ransomware Babuk.

Muatan ransomware Rook biasanya dikirimkan melalui Cobalt Strike, dengan email phishing dan unduhan torrent yang tidak jelas dilaporkan sebagai vektor infeksi awal.

Payload dikemas dengan UPX atau crypter lain untuk membantu menghindari deteksi. Saat dieksekusi, ransomware mencoba menghentikan proses apa pun yang dapat mengganggu proses enkripsi.

Rook juga menggunakan vssadmin.exe untuk menghapus volume shadow copy, taktik standar yang digunakan oleh operasi ransomware untuk mencegah volume shadow digunakan untuk memulihkan file.

SentinelLabs telah menemukan banyak kesamaan kode antara Rook dan Babuk, RaaS yang sudah tidak berfungsi yang kode sumber lengkapnya bocor di forum berbahasa Rusia pada September 2021.

Misalnya, Rook menggunakan panggilan API yang sama untuk mengambil nama dan status setiap layanan yang berjalan dan fungsi yang sama untuk menghentikannya.

Juga, daftar proses dan layanan Windows yang dihentikan sama untuk kedua ransomware. Ini termasuk platform game Steam, klien email Microsoft Office dan Outlook, serta Mozilla Firefox dan Thunderbird.

Selengkapnya: Bleeping Computer

TellYouThePass ransomware revived in Linux, Windows Log4j attacks

by

Pelaku ancaman telah menghidupkan kembali keluarga ransomware lama dan relatif tidak aktif yang dikenal sebagai TellYouThePass, menyebarkannya dalam serangan terhadap perangkat Windows dan Linux yang menargetkan bug eksekusi kode jarak jauh yang kritis di perpustakaan Apache Log4j.

Heige dari Tim KnownSec 404 pertama kali melaporkan serangan ini di Twitter pada hari Senin setelah mengamati bahwa ransomware dijatuhkan pada sistem Windows lama menggunakan eksploitasi yang menyalahgunakan kelemahan yang dilacak sebagai CVE-2021-44228 dan dikenal sebagai Log4Shell.

Laporan Heige dikonfirmasi oleh Tim Intelijen Ancaman Sangfor, yang berhasil menangkap salah satu sampel ransomware TellYouThePass yang digunakan dalam serangan menggunakan eksploitasi Log4Shell yang sebagian besar berdampak pada target China, menurut Curated Intelligence.

Ketika mereka menemukan lebih lanjut (temuan yang juga dikonfirmasi oleh CronUP’s Germán Fernández), ransomware memiliki versi Linux yang memanen kunci SSH dan bergerak secara lateral di seluruh jaringan korban.

“Perlu dicatat bahwa ini bukan pertama kalinya Tellyouthepass ransomware menggunakan kerentanan berisiko tinggi untuk meluncurkan serangan,” kata peneliti Sangfor. “Pada awal tahun lalu, ia telah menggunakan kerentanan Eternal Blue untuk menyerang beberapa unit organisasi.”

Peneliti keamanan lainnya [1, 2] juga telah menganalisis salah satu sampel ransomware yang digunakan dalam serangan ini dan menandainya sebagai “kemungkinan milik” keluarga TellYouThePass.

Menurut statistik pengiriman ke layanan ID Ransomware, ransomware TellYouThePass telah melihat lonjakan aktivitas yang besar dan tiba-tiba setelah eksploitasi proof-of-concept Log4Shell dirilis secara online.

Selengkapnya: Bleeping Computer

Bug Log4j Dimanfaatkan Oleh Ransomware Gang Untuk Menyerang Server Minecraft

by

Sejumlah kecil pelanggan Minecraft yang menjalankan server mereka sendiri dengan versi Log4j yang rentan telah terkena ransomware Khonsari, Microsoft melaporkan pada hari Rabu.

Raksasa perangkat lunak yang berbasis di Redmond, Wash. mengatakan bahwa musuh telah mengirim pesan berbahaya dalam game ke server Minecraft yang rentan. Server kemudian mengeksploitasi kerentanan Log4j untuk mengambil dan mengeksekusi muatan yang dihosting penyerang di server serta klien rentan yang terhubung, menurut Microsoft.

“Karena pergeseran lanskap ancaman, Microsoft mengulangi panduan bagi pelanggan Minecraft yang menjalankan server mereka sendiri untuk menerapkan pembaruan server Minecraft terbaru dan bagi pemain untuk berhati-hati dengan hanya menghubungkan ke server Minecraft yang tepercaya,” tulis tim intelijen ancaman terpadu Microsoft dalam sebuah posting blog.

Ransomware Khonsari dikemas sebagai Java class file berbahaya dan dieksekusi dalam konteks javaw.exe untuk menebus perangkat. Microsoft mengatakan temuannya mengkonfirmasi laporan sebelumnya dari Bucharest, Bitdefender yang berbasis di Rumania bahwa Khonsari ransomware dikirimkan sebagai muatan setelah eksploitasi kerentanan Log4j.

Minecraft telah mengarahkan pelanggan yang menghosting server mereka sendiri untuk mengunduh file ke direktori kerja tempat server mereka berjalan atau menambahkan argumen JVM ke baris perintah startup mereka tergantung pada versi yang mereka gunakan. Selain itu, klien yang dimodifikasi dan launcher pihak ketiga mungkin tidak diperbarui secara otomatis, dan Minecraft telah memberi tahu pengguna dalam posisi itu untuk mengikuti saran dari penyedia pihak ketiga mereka.

Selengkapnya: CRN

Ransomware baru sekarang digunakan dalam serangan Log4Shell

by

Kasus publik pertama dari kerentanan Log4j Log4Shell yang digunakan untuk mengunduh dan menginstal ransomware telah ditemukan oleh para peneliti.

Jumat lalu, eksploitasi publik dirilis untuk kerentanan kritis zero-day bernama ‘Log4Shell’ di platform logging berbasis Apache Log4j Java. Log4j adalah kerangka kerja pengembangan yang memungkinkan pengembang untuk menambahkan log event dan error ke dalam aplikasi Java mereka.

Kerentanan ini memungkinkan aktor ancaman untuk membuat string JNDI khusus yang, ketika dibaca oleh Log4j, menyebabkan platform terhubung dan mengeksekusi kode di URL yang disertakan. Ini memungkinkan penyerang untuk dengan mudah mendeteksi perangkat yang rentan atau mengeksekusi kode yang disediakan oleh situs jarak jauh atau melalui string yang disandikan Base64.

Meskipun kerentanan ini telah diperbaiki di Log4j 2.15.0 dan bahkan diperketat lebih lanjut di Log4j 2.16.0, kerentanan ini dimanfaatkan secara luas oleh pelaku ancaman untuk menginstal berbagai malware, termasuk penambang koin, botnet, dan bahkan Cobalt Strike.

Kemarin, BitDefender melaporkan bahwa mereka menemukan keluarga ransomware pertama yang diinstal langsung melalui eksploitasi Log4Shell.

Eksploitasi mengunduh Java class dari hxxp://3.145.115[.]94/Main.class yang dimuat dan dijalankan oleh aplikasi Log4j.

Setelah dimuat, itu akan mengunduh binary .NET dari server yang sama untuk menginstal ransomware baru [VirusTotal] bernama ‘Khonsari.’

Dalam serangan selanjutnya, BitDefender memperhatikan bahwa pelaku ancaman ini menggunakan server yang sama untuk mendistribusikan Trojan Orcus Remote Access.

Selengkapnya: Bleeping Computer

Serangan ransomware Kronos dapat menyebabkan berhentinya solusi HR selama berminggu-minggu

by

Penyedia solusi manajemen tenaga kerja Kronos telah mengalami serangan ransomware yang kemungkinan akan mengganggu banyak solusi berbasis cloud mereka selama berminggu-minggu.

Kronos adalah penyedia manajemen tenaga kerja dan sumber daya manusia yang menyediakan solusi berbasis cloud untuk mengelola ketepatan waktu, penggajian, tunjangan karyawan, analitik, dan banyak lagi. Pada tahun 2020, Kronos bergabung dengan Ultimate Software untuk membuat perusahaan baru bernama UKG.

Hari ini, Kronos mengungkapkan bahwa solusi UKG yang menggunakan ‘Kronos Private Cloud’ (KPC) tidak tersedia karena serangan ransomware pada 11 Desember. Solusi UKG yang tidak menggunakan Kronos Private Cloud tidak terpengaruh, termasuk UKG Pro, UKG Ready, dan UKG Dimensions.

Menurut Kronos, KPC diamankan menggunakan firewall, otentikasi multi-faktor, dan transmisi terenkripsi untuk mencegah akses tidak sah ke sistem mereka. Sayangnya, pelaku ancaman dapat menembus sistem ini dan kemungkinan server yang terenkripsi adalah bagian dari serangan.

Karena itu, Kronos mengatakan solusi KPC mereka tidak tersedia dan kemungkinan akan memakan waktu beberapa minggu sebelum sistem tersedia lagi. Selama waktu ini, mereka menyarankan pelanggan “mengevaluasi dan menerapkan protokol kelangsungan bisnis alternatif yang terkait dengan solusi UKG yang terpengaruh.”

Selengkapnya: Bleeping Computer

Diduga Afiliasi Ransomware Ditangkap Karena Serangan Kesehatan

by

Seorang warga negara Kanada berusia 31 tahun telah didakwa sehubungan dengan serangan ransomware terhadap organisasi di Amerika Serikat dan Kanada, sebuah dakwaan federal yang dibuka hari ini menunjukkan.

Investigasi paralel dari Biro Investigasi Federal dan Kepolisian Provinsi Ontario (OPP) mengungkapkan bahwa Matthew Philbert dari Ottawa terlibat dalam berbagai serangan cyber.

Serangan ransomware yang belum selesai

Philbert ditangkap pada 30 November 2021, menyusul penyelidikan yang dimulai pada Januari 2020, ketika FBI menghubungi OPP tentang insiden cyber yang berbasis di Kanada.

Menurut dakwaan, antara April 2018 hingga Mei 2018, Philbert menargetkan setidaknya sepuluh komputer dari sebuah organisasi di sektor perawatan kesehatan dari Distrik Alaska.

Terdakwa tidak berhasil menyebarkan ransomware di komputer korban, dakwaan menunjukkan, yang akan mempengaruhi “pemeriksaan medis, diagnosis, pengobatan dan perawatan” dari beberapa individu.

“Pada atau sekitar 28 April 2018, di dalam Distrik Alaska dan di tempat lain, terdakwa, MATTHEW PHILBERT, dengan sengaja menyebabkan dan berusaha menyebabkan transmisi program, informasi, kode, dan perintah, dan, sebagai akibat dari perilaku tersebut, dengan sengaja menyebabkan dan berusaha menyebabkan kerusakan tanpa otorisasi ke komputer yang dilindungi yang dimiliki oleh Negara Bagian Alaska, dan pelanggaran yang disebabkan dan akan, jika selesai, telah menyebabkan: (a) modifikasi, gangguan, dan modifikasi potensial dan gangguan pemeriksaan medis, diagnosis, pengobatan dan perawatan 1 atau lebih individu; (b) ancaman terhadap kesehatan dan keselamatan masyarakat; dan, (c) kerusakan yang mempengaruhi 10 atau lebih komputer yang dilindungi selama periode 1 tahun.

Mencari laporan serangan cyber yang menghantam organisasi terkait perawatan kesehatan dalam jangka waktu yang diberikan dalam dakwaan dan menemukan pemberitahuan pelanggaran dari Departemen Kesehatan dan Layanan Sosial negara bagian.

Intrusi, yang disematkan hingga 26 April, mengakibatkan pengungkapan informasi pribadi milik lebih dari 500 orang. Biasanya, ransomware digunakan pada tahap terakhir serangan setelah penyusup menentukan komputer apa yang akan dienkripsi.

Terlepas dari rincian yang cocok, BleepingComputer tidak dapat menentukan apakah serangan ransomware yang gagal dalam dakwaan Philbert sama dengan yang ada dalam pemberitahuan pelanggaran dari Departemen Kesehatan dan Layanan Sosial Alaska.

Bahkan jika dakwaan Philbert di AS menyebutkan serangan ransomware yang gagal, penyelidikan dari Polisi Provicial Ontario menetapkan bahwa terdakwa menyebarkan “banyak serangan ransomware” yang berdampak pada bisnis swasta dan lembaga pemerintah di Kanada.

Di AS, Philbert didakwa dengan satu tuduhan konspirasi untuk melakukan penipuan dan aktivitas terkait sehubungan dengan komputer dan satu tuduhan penipuan dan aktivitas terkait sehubungan dengan komputer.

Di Kanada, terdakwa menghadapi dakwaan atas kepemilikan perangkat untuk mendapatkan penggunaan sistem komputer yang tidak sah atau untuk melakukan kerusakan, penipuan, dan penggunaan komputer yang tidak sah.

Pada penangkapan Philbert, polisi di Kanada menyita komputer desktop dan laptop, tablet, beberapa perangkat penyimpanan, ponsel, frase benih untuk dompet Bitcoin, dan kartu kosong dengan strip magnetik.

Selama penyelidikannya, OPP menerima bantuan dari Unit Koordinasi Cybercrime Nasional Kepolisian Royal Canadian Mounted (NC3) dan Europol, yang menunjukkan bahwa Philbert mungkin telah terlibat dalam serangan ransomware di luar AS dan Kanada.

Sumber: Bleepingcomputer