Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

Operasi Ransomware Yanluowang Tumbuh Dengan Afiliasi Berpengalaman

by

Afiliasi dari operasi ransomware Yanluowang yang baru-baru ini ditemukan memfokuskan serangannya pada organisasi AS di sektor keuangan menggunakan malware BazarLoader dalam tahap pengintaian.

Berdasarkan taktik, teknik, dan prosedur yang diamati, aktor ancaman berpengalaman dengan operasi ransomware-as-a-service (RaaS) dan dapat dikaitkan dengan kelompok Fivehands.

Koneksi ransomware Fivehands

Para peneliti di Symantec, sebuah divisi dari Broadcom Software, mencatat bahwa aktor tersebut telah mencapai target profil yang lebih tinggi di AS setidaknya sejak Agustus.

Selain lembaga keuangan, afiliasi ransomware Yanluowang juga menargetkan perusahaan di sektor manufaktur, layanan TI, konsultasi, dan teknik.

Melihat taktik, teknik, dan prosedur (TTP), para peneliti melihat kemungkinan hubungan dengan serangan yang lebih tua dengan Thieflock, operasi ransomware yang dikembangkan oleh kelompok Fivehands.

Fivehands ransomware sendiri relatif baru di skena ini, dikenal pada bulan April – pertama kali dalam laporan dari Mandiant, yang melacak pengembangnya sebagai UNC2447, dan kemudian saat dapat peringatan dari CISA.

Pada saat itu, Mandiant mengatakan bahwa UNC2447 menunjukkan “kemampuan canggih untuk menghindari deteksi dan meminimalkan forensik pasca-intrusi,” dan bahwa afiliasinya telah menyebarkan ransomware RagnarLocker.

Alat perdagangan

Setelah mendapatkan akses ke jaringan target, penyerang menggunakan PowerShell untuk mengunduh alat, seperti malware BazarLoader untuk membantu bergerak secara lateral.

BazarLoader dikirim ke target perusahaan oleh botnet TrickBot, yang juga menyebarkan ransomware Conti. Baru-baru ini, operator TrickBot mulai membantu membangun kembali botnet Emotet.

Aktor ancaman Yanluowang memungkinkan layanan desktop jarak jauh (RDP) dari registri dan menginstal alat ConnectWise untuk akses jarak jauh.

Para peneliti mengatakan bahwa afiliasi menemukan sistem yang menarik dengan alat AdFind – untuk query Active Directory, dan SoftPerfect Network Scanner – untuk menemukan nama host dan layanan jaringan.

Beberapa alat digunakan untuk mencuri kredensial dari browser (Firefox, Chrome, Internet Explorer) dari mesin yang dikompromikan: GrabFF, GrabChrome, BrowserPassView.

Peneliti Symantec juga memperhatikan bahwa penyerang menggunakan KeeThief untuk mencuri kunci utama untuk pengelola kata sandi KeePass, alat tangkapan layar, dan utilitas exfiltrasi data Filegrab.

Dalam laporan sebelumnya tentang serangan Yanluowang, perusahaan mengatakan bahwa peretas mengancam dengan serangan denial-of-service (DDoS) dan data wiping jika korban tidak memenuhi tuntutan.

Sumber: Bleepingcomputer

FBI menyita $2,2 juta dari afiliasi REvil, geng ransomware Gandcrab

by

FBI menyita $2,2 juta pada bulan Agustus dari afiliasi ransomware REvil dan GandCrab. Dalam pengaduan yang dibuka hari ini, FBI menyita 39.89138522 bitcoin senilai sekitar $2,2 juta dari dompet Exodus pada 3 Agustus 2021.

Exodus adalah dompet desktop atau seluler yang dapat digunakan pemiliknya untuk menyimpan cryptocurrency, termasuk Bitcoin, Ethereum, Solana, dan banyak lainnya.

“Amerika Serikat mengajukan keluhan terverifikasi ini dalam rem terhadap 39.89138522 Bitcoin yang Disita Dari Dompet Keluaran (“Properti Tergugat”) yang sekarang berada dan dalam pengawasan dan pengelolaan Biro Investigasi Federal (“FBI”) Divisi Dallas, One Justice Way, Dallas Texas,” demikian bunyi Complaint for Forfeiture Amerika Serikat.

Keluhan selanjutnya mengatakan bahwa dompet berisi pembayaran tebusan REvil milik afiliasi yang diidentifikasi sebagai “Aleksandr Sikerin, a/k/a Alexander Sikerin, a/k/a Oleksandr Sikerin” dengan alamat email ‘engfog1337@gmail.com .’

Sementara FBI tidak menunjukkan alias online dari pelaku ancaman, nama ‘engfog’ di alamat email terkait dengan afiliasi GandCrab dan REvil/Sodinokibi yang terkenal yang dikenal sebagai ‘Lalartu.’

Organisasi GandCrab dan REvil beroperasi sebagai Ransomware-as-a-Service (RaaS), di mana operator inti bermitra dengan peretas pihak ketiga, yang dikenal sebagai afiliasi.

Operator inti akan mengembangkan dan mengelola perangkat lunak enkripsi/dekripsi, portal pembayaran, dan situs kebocoran data. Afiliasinya ditugaskan untuk meretas jaringan perusahaan, mencuri data, dan menyebarkan ransomware untuk mengenkripsi perangkat.

Setiap pembayaran tebusan kemudian akan dibagi antara afiliasi dan operator inti, dengan operator umumnya mendapatkan 20-30% dari tebusan dan afiliasi membuat sisanya.

Dalam laporan REvil oleh McAfee, para peneliti mengikuti jejak uang untuk aktor ancaman terkenal yang dikenal sebagai ‘Lalartu,’ afiliasi untuk operasi ransomware GandCrab dan REvil.

Pada tahun 2019, aktor ancaman memposting ke forum peretasan berbahasa Rusia yang mengakui bahwa mereka bekerja dengan GandCrab dan beralih ke REvil setelah operasi sebelumnya ditutup.

Posting oleh Lalartu di forum peretasan berbahasa Rusia
Sumber: McAfee

Gal melacak Lalartu ke alias ‘Engfog’ atau ‘Eng_Fog’, yang cocok dengan alamat email ‘engfog1337@gmail.com’ yang tercantum dalam pengaduan FBI.

Pada bulan November, Departemen Kehakiman mengumumkan bahwa FBI menyita $6 juta uang tebusan yang dibayarkan kepada geng ransomware REvil. Strategi lanjutan penegakan hukum untuk mengganggu ekonomi dan sistem afiliasi operasi ransomware membuahkan hasil.

Kegiatan ini telah menyebabkan banyak penangkapan dan pencopotan infrastruktur, termasuk:

  • Gangguan operasi ransomware Netwalker dan penangkapan afiliasi di Kanada.
  • Penangkapan dua anggota operasi Egregor menyebabkan penutupan organisasi.
  • Penangkapan 12 orang yang diyakini terkait dengan serangan ransomware terhadap 1.800 korban di 71 negara.
  • Penangkapan seorang warga negara Ukraina yang diyakini berada di balik serangan ransomware Kaseya.

Penangkapan dan penyitaan infrastruktur juga menakut-nakuti geng ransomware untuk menutup operasi mereka, termasuk REvil pada bulan Oktober dan BlackMatter pada bulan Juli.

Sorotan Dark Web: Serangan Ransomware Grup Eberspcher

by

Produsen suku cadang otomotif multinasional Eberspächer Group telah diserang oleh ransomware. Tidak diketahui sejauh mana serangan itu atau siapa yang bertanggung jawab.

Pada publikasi ini, infrastruktur TI mereka telah dinonaktifkan secara efektif.

Grup Eberspacher mempekerjakan lebih dari 10.000 pekerja dengan 80 pabrik yang tersebar di 28 negara.

Grup Eberspacher menyediakan suku cadang untuk banyak perusahaan otomotif Jerman terkemuka seperti Audi, Volkswagen, BMW, dan lainnya.

Dengan infrastruktur TI mereka yang lumpuh, Eberspacher Group terpaksa menghentikan produksi dan memulangkan karyawannya. Tidak diketahui kapan sistem akan kembali online.

Grup Eberspacher tidak dapat dihubungi melalui telepon atau email karena sistem tersebut juga dinonaktifkan.

Industri Otomotif, dari merek besar hingga pemasok seperti Eberspacher Group, sangat rentan terhadap serangan rantai pasokan dan gangguan kerja dari Ransomware.

CybelAngel baru-baru ini menerbitkan laporan “Perlombaan Melawan Ancaman Eksternal dalam Rantai Pasokan Otomotif” yang mencakup risiko unik yang dihadapi oleh industri dan rekomendasi tentang bagaimana mereka dapat melindungi diri mereka sendiri.

Selengkapnya: CybelAngel

Ransomware Baru Memento Beralih ke WinRar Setelah Gagal Dalam Enkripsi

by Leave a Comment

Sebuah kelompok ransomware baru bernama Memento mengambil pendekatan yang tidak biasa untuk mengunci file di dalam arsip yang dilindungi kata sandi setelah metode enkripsi mereka terus terdeteksi oleh perangkat lunak keamanan.

Bulan lalu, kelompok ini menjadi aktif ketika mereka mulai mengeksploitasi cacat klien web VMware vCenter Server untuk akses awal ke jaringan korban.

Kerentanan vCenter dilacak sebagai ‘CVE-2021-21972’ dan merupakan bug eksekusi kode jarak jauh yang tidak diautistik dengan peringkat keparahan 9,8 (kritis).

Cacat ini memungkinkan siapa pun dengan akses jarak jauh ke port TCP / IP 443 pada server vCenter yang terbuka untuk menjalankan perintah pada OS yang mendasarinya dengan hak istimewa admin.

Sebuah patch untuk cacat ini keluar pada bulan Februari, tetapi seperti yang ditunjukkan oleh operasi Memento, banyak organisasi belum menambal instalasi mereka.

Kerentanan ini telah dieksploitasi oleh Memento sejak April, sementara pada bulan Mei, aktor yang berbeda terlihat mengeksploitasinya untuk menginstal penambang XMR melalui perintah PowerShell.
Memanfaatkan vCenter untuk menyebarkan ransomware

Memento meluncurkan operasi ransomware mereka bulan lalu ketika mereka memulai vCenter untuk mengekstrak kredensial administratif dari server target, membangun ketekunan melalui tugas yang dijadwalkan, dan kemudian menggunakan RDP melalui SSH untuk menyebar secara lateral di dalam jaringan.

Setelah tahap pengintaian, para aktor menggunakan WinRAR untuk membuat arsip file yang dicuri dan mengekratekannya.

Sumber: Sophos

Akhirnya, mereka menggunakan utilitas wiping data BCWipe Jetico untuk menghapus jejak yang tertinggal dan kemudian menggunakan strain ransomware berbasis Python untuk enkripsi AES.

Namun, upaya asli Memento pada file terenkripsi karena sistem memiliki perlindungan anti-ransomware, menyebabkan langkah enkripsi terdeteksi dan dihentikan sebelum kerusakan dilakukan.
Solusi

Untuk mengatasi deteksi ransomware komoditas oleh perangkat lunak keamanan, Memento datang dengan taktik yang menarik – lewati enkripsi sama sekali dan pindahkan file ke arsip yang dilindungi kata sandi.

Untuk melakukan ini, grup sekarang memindahkan file ke arsip WinRAR, menetapkan kata sandi srong untuk perlindungan akses, mengenkripsi kunci itu, dan akhirnya menghapus file asli.

“Alih-alih mengenkripsi file, kode “crypt” sekarang menempatkan file dalam bentuk yang tidak terenkripsi ke dalam file arsip, menggunakan salinan WinRAR, menyimpan setiap file dalam arsipnya sendiri dengan ekstensi file .vaultz,” jelas analis Sophos Sean Gallagher.

“Kata sandi dihasilkan untuk setiap file seperti yang diarsipkan. Kemudian kata sandi itu sendiri dienkripsi.”

Catatan tebusan yang dijatuhkan menuntut korban membayar 15,95 BTC ($ 940.000) untuk pemulihan lengkap atau 0,099 BTC ($ 5.850) per file.

Sumber: Sophos

Dalam kasus yang diselidiki Sophos, upaya pemerasan ini belum menyebabkan pembayaran tebusan, karena korban menggunakan cadangan mereka untuk memulihkan file.

Namun, Memento adalah kelompok baru yang baru saja menemukan pendekatan atipikal yang berhasil, jadi mereka mungkin akan mencobanya melawan organisasi lain.

Dengan demikian, jika Anda menggunakan VMware vCenter Server dan/ atau Cloud Foundation, pastikan untuk memperbarui alat Anda ke versi terbaru yang tersedia untuk menyelesaikan kerentanan yang diketahui.

Sumber: Bleepingcomputer

Phishing TikTok Mengancam Terhapusnya Akun Influencer

by

Para peneliti telah mengamati kampanye phishing baru yang terutama menargetkan akun TikTok menarik milik influencer, konsultan merek, studio produksi, dan manajer influencer.

Peneliti Keamanan Abnormal yang melihat serangan itu, mengamati dua puncak aktivitas saat mengamati distribusi email dalam kampanye khusus ini, pada 2 Oktober 2021, dan pada 1 November 2021, sehingga babak baru kemungkinan akan dimulai dalam beberapa minggu.

Surat masuk!

Dalam beberapa kasus yang dilihat oleh Abnormal Security, para aktor meniru karyawan TikTok, mengancam penerima dengan penghapusan akun yang akan segera terjadi karena dugaan pelanggaran persyaratan platform.

Sumber: Abnormal Security

Tema lain yang digunakan dalam email adalah menawarkan lencana ‘Verified’ yang menambah kredibilitas dan keaslian akun.

Lencana ‘Verified’ TikTok memberi bobot pada konten yang diposting oleh akun terverifikasi dan memberi sinyal pada algoritma platform untuk meningkatkan tingkat paparan posting dari akun ini.

Menggunakan umpan ini untuk phishing sangat efektif karena banyak orang akan senang menerima email yang menawarkan mereka kesempatan untuk mendapatkan lencana verifikasi.

Sumber: Abnormal Security

Dalam kedua kasus, penyerang menyediakan target mereka dengan cara untuk memverifikasi akun mereka dengan mengklik tautan yang disematkan.

Namun, mereka malah diarahkan ke ruang obrolan WhatsApp di mana mereka disambut oleh scammer yang berpura-pura menjadi karyawan TikTok yang sudah menunggu.

Sumber: Abnormal Security

Pengambilalihan akun atau pemerasan?

Tidak jelas apa tujuan aktor phishing dalam kampanye ini, tetapi bisa jadi upaya untuk mengambil alih akun target atau memeras pemilik akun dan memaksa mereka untuk membayar uang tebusan demi mendapatkan akum mereka kembali.

Persyaratan layanan TikTok memperjelas bahwa jika akun, terutama yang memiliki banyak pengikut, melanggar layanannya, itu akan ditangguhkan atau dihentikan secara permanen.

Ini berarti bahwa para aktor dapat dengan mudah mengancam untuk memposting sesuatu yang tidak pantas, berujung penghapusan profil yang pemiliknya mungkin telah menghabiskan banyak waktu dan uang untuk membangunnya.

Jika Anda memiliki dan / atau mengelola akun media sosial yang berharga, pastikan untuk mencadangkan semua konten dan data Anda di tempat yang aman.

Selain itu, Anda harus selalu mengamankan akun Anda dengan otentikasi dua faktor (2FA) atau verifikasi 2 langkah, seperti yang disebut TikTok, idealnya dengan kunci keamanan perangkat keras.

Jika Anda hanya dapat menggunakan opsi 2FA berbasis SMS (yang kurang aman), ambil nomor pribadi yang tidak Anda bagikan dengan siapa pun dan gunakan hanya untuk tujuan ini.

Sumber: Bleepingcomputer

Grup ransomware Conti telah mengalami pelanggaran data yang memungkinkan peneliti untuk mengaksesnya.

by

Para peneliti Prodaft dapat mengidentifikasi alamat IP asli dari salah satu server yang digunakan oleh grup ransomware Conti dan mengakses konsol selama lebih dari sebulan. Server yang terpapar menjadi tuan rumah portal pembayaran yang digunakan oleh geng untuk negosiasi tebusan dengan korbannya.

“Tim PTI mengakses infrastruktur Conti dan Mengidentifikasi alamat IP sebenarnya dari server yang dimaksud.” membaca laporan yang diterbitkan oleh para ahli. “Tim kami mendeteksi kerentanan di server pemulihan yang digunakan Conti, dan memanfaatkan kerentanan itu untuk menemukan alamat IP asli dari tersembunyi yang menghosting situs web pemulihan grup”

Para peneliti dapat membuka kedok alamat IP yang sebenarnya dari layanan tersembunyi TOR Conti dan contirecovery.ws dan 217.12.204.135. Yang terakhir adalah alamat IP yang dimiliki oleh perusahaan hosting web Ukraina ITL LLC.

Peneliti Prodaft mampu mengkompromikan server dan menyatukan koneksi lintas jaringan untuk koneksi masuk, termasuk SSH yang digunakan oleh anggota Conti untuk mengakses server.

Namun, alamat IP yang terkait dengan koneksi SSH milik node keluar Tor yang digunakan oleh operator Conti untuk menyembunyikan identitasnya.

Para ahli juga dapat menentukan OS server di balik layanan tersembunyi, distro Debian dengan nama host ”dedic-cuprum-617836”. Para ahli berspekulasi nilai numerik dalam nama host adalah nomor faktur untuk server, yang ditetapkan oleh perusahaan hosting ITLDC.

“Linux version 4.9.0-16-amd64 (Debian 6.3.0-18deb9u1) #1 SMP Debian 4.9.272-2
(2021-07-19)

217.12.204.135 dedic-cuprum-617836.hosted-by-itldc.com dedic-cuprum-617836”

Para ahli juga membagikan konten file htpasswd dari host subjek yang dapat digunakan dalam penyelidikan selanjutnya pada operasi Conti.

Tim PTI juga dapat menemukan beberapa sesi obrolan korban dan menangkap kredensial login untuk akun MEGA yang digunakan saat menghubungi para korban. Para ahli dapat menemukan alamat IP penghubung, tanggal, metode pembelian, dan perangkat lunak yang digunakan untuk mengakses layanan berbagi dan mengunggah file.

Selengkapnya : Security Affairs

Ramalan Malware dan Ransomeware Mendatang

by

Laporan ancaman Sophos tahun 2022 menjelaskan Infeksi malware dan ransomware di masa depan akan terdiri dari “shotgun attacks with pinpoint targeting.”

Seolah itu tidak cukup, infosec biz Inggris menganggap serangan malware komoditas yang sudah mapan akan berakhir dengan memberikan lebih banyak ransomware, sementara taktik pemerasan yang digunakan oleh geng ransomware akan menjadi lebih beragam dan intens – dengan tujuan menggertak korban agar menyerahkan uang tunai.

“Ransomware berkembang pesat karena kemampuannya untuk beradaptasi dan berinovasi,” kata Chester Wisniewski seorang ilmuwan peneliti utama di Sophos. “Misalnya, meskipun penawaran RaaS bukanlah hal baru, di tahun-tahun sebelumnya kontribusi utama mereka adalah membawa ransomware ke dalam jangkauan penyerang berketerampilan rendah atau kurang didanai.”

Ancaman dunia maya yang hampir ada di mana-mana telah banyak ditampilkan dalam berita baru-baru ini, menyusul penghargaan AS senilai jutaan dolar untuk informasi yang mengarah pada penangkapan dan hukuman terhadap geng ransomware high profile tertentu. Selain itu, banyak polisi negara – terutama Ukraina – telah menangkap orang-orang yang diduga sebagai anggota geng.

Selain ransomware, Sophos mengatakan pada 2022 akan terjadi serangan ulang ProxyLogon dan ProxyShell di mana vuln dalam layanan dan produk TI yang banyak digunakan langsung dilompati oleh penjahat dan negara. Perusahaan mengharapkan untuk melihat “peningkatan minat kejahatan dalam sistem berbasis Linux selama tahun 2022, baik di cloud maupun di web dan server virtual.”

Serangan shotgun yang ditargetkan, seperti yang dijelaskan Sophos, juga dapat meningkat. Perusahaan menggunakan serangan Gootloader sebagai contoh, menyoroti bagaimana situs web berbahaya didorong ke atas peringkat hasil pencarian Google oleh kejahatan. Pemfilteran tanda yang mengklik tautan berbahaya ini mengesampingkan mereka yang tidak menjalankan kombinasi sistem operasi dan browser tertentu.

“SophosLabs percaya bahwa ini mungkin merupakan cara baru bagi distributor malware untuk menggagalkan peneliti malware sambil memberi diri mereka sendiri tingkat kepastian yang lebih besar bahwa malware mereka akan menjadi bagian dari korban yang mungkin lebih diinginkan daripada populasi umum,” perusahaan menyimpulkan.

Linux dan sistem virtual dapat berada di bawah ancaman yang lebih besar pada tahun 2022, menurut pandangan Sophos, dengan peringatan tegas: “Satu ransomware yang kami temui pada tahun 2021 menargetkan platform VMware ESXi dan datang dalam bentuk skrip Python yang, ketika dijalankan pada hypervisor, mematikan semua mesin virtual yang berjalan dan kemudian mengenkripsi penyimpanan data tempat hard drive virtual, dan file konfigurasi lainnya, disimpan di hypervisor.”

Hal-hal yang menghebohkan – dan kejadian di atas terjadi pada perusahaan “logistik dan industri perkapalan” selama tahun ini. Trojan RansomEXX, yang menargetkan hypervisor VMware ESXi, ditemukan oleh Sophos pada Juni 2021 setelah serangan terhadap hypervisor ESXi yang berbeda “dijalankan oleh toko roti komersial besar”.

“Ancaman, mereka sedang berkembang. Keyakinan lama bahwa organisasi Anda terlalu kecil, tidak jelas, atau pendapatannya rendah untuk dijadikan target berbahaya akhir-akhir ini – jadi persiapkan diri.”

sumber: The Register

TrickBot bekerja sama dengan phisher Shatak untuk serangan ransomware Conti

by

Seorang aktor ancaman yang dilacak sebagai Shatak (TA551) baru-baru ini bermitra dengan geng ITG23 (alias TrickBot dan Wizard Spider) untuk menyebarkan Conti ransomware pada sistem yang ditargetkan.

Operasi Shatak bermitra dengan pengembang malware lain untuk membuat kampanye phishing yang mengunduh dan menginfeksi korban dengan malware.

Para peneliti dari IBM X-Force menemukan bahwa Shatak dan TrickBot mulai bekerja sama pada Juli 2021, dengan hasil yang tampaknya bagus, karena kampanye terus berlanjut hingga hari ini.

Rantai infeksi tipikal dimulai dengan email phishing yang dikirim oleh Shatak, membawa arsip yang dilindungi kata sandi yang berisi dokumen berbahaya.

Menurut laporan bulan Oktober oleh IBM X-Force, Shatak biasanya menggunakan email berantai balasan yang dicuri dari korban sebelumnya dan menambahkan lampiran arsip yang dilindungi kata sandi.

Lampiran ini berisi skrip yang mengeksekusi kode base-64 encoded untuk mengunduh dan menginstal malware TrickBot atau BazarBackdoor dari situs jarak jauh.

Situs distribusi yang digunakan dalam kampanye terbaru berbasis di negara-negara Eropa seperti Jerman, Slovakia, dan Belanda.

Setelah berhasil menerapkan TrickBot dan/atau BazarBackdoor, ITG23 mengambil alih dengan menerapkan suar Cobalt Strike pada sistem yang disusupi, menambahkannya ke task schedule untuk persistance.

Aktor Conti kemudian menggunakan BazarBackdoor yang dijatuhkan untuk pengintaian jaringan, menghitung pengguna, admin domain, komputer bersama, dan sumber daya bersama.

Kemudian mereka mencuri kredensial pengguna, hash kata sandi, dan data Active Directory, dan menyalahgunakan apa yang mereka bisa gunakan untuk menyebar secara lateral melalui jaringan.

Langkah selanjutnya adalah eksfiltrasi data, yang merupakan tahap terakhir sebelum enkripsi file, dengan Conti menggunakan alat ‘Rclone’ untuk mengirim semuanya ke endpoint jarak jauh di bawah kendali mereka.

Setelah mengumpulkan semua data berharga dari jaringan, pelaku ancaman menyebarkan ransomware untuk mengenkripsi perangkat.

Selengkapnya: Bleeping Computer