Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

Ransomware Cerber baru menargetkan server Confluence dan GitLab

by

Cerber ransomware kembali, karena keluarga ransomware baru mengadopsi nama lama dan menargetkan server Atlassian Confluence dan GitLab menggunakan kerentanan eksekusi kode jarak jauh.

Ketika ransomware mulai meningkat pada tahun 2016, operasi ransomware Cerber baru muncul dan dengan cepat menjadi salah satu geng paling produktif pada saat itu. Namun, aktivitasnya perlahan mereda hingga menghilang pada akhir tahun 2019.

Mulai bulan lalu, sebuah ransomware bernama Cerber sekali lagi muncul, karena mulai menginfeksi korban di seluruh dunia dengan encryptor Windows dan Linux.

Versi baru Cerber membuat catatan tebusan bernama __$$RECOVERY_README$$__.html dan menambahkan ekstensi .locked ke file terenkripsi.

Cerber Tor payment site
Source: BleepingComputer

CTO Emsisoft dan ahli ransomware Fabian Wosar memeriksa varian baru dan mengatakan itu tidak cocok dengan kode keluarga yang lebih lama. Versi baru menggunakan pustaka Crypto+++, sedangkan varian yang lebih lama menggunakan pustaka Windows CryptoAPI.

Perbedaan kode ini dan fakta bahwa Cerber asli tidak memiliki varian Linux membuktikan bahwa aktor ancaman baru telah mengadopsi nama, catatan tebusan, dan situs pembayaran Tor, dan bukan operasi asli.

Para peneliti dan vendor keamanan telah melihat server peretasan operasi ransomware Cerber yang baru menggunakan kerentanan eksekusi kode jarak jauh di Atlassian Confluence dan GitLab.

Peneliti keamanan BoanBird juga membagikan sampel ransomware Cerber baru yang menunjukkan strain baru ini secara khusus menargetkan folder Atlassian Confluence yang tercantum di bawah ini.

C:\Program Files\Atlassian\Application Data
C:\Program Files\Atlassian\Application Data\Confluence
C:\Program Files\Atlassian\Application Data\Confluence\backups

BoanBird juga membagikan tautan ke forum GitLab di mana admin mengungkapkan bahwa Cerber mengeksploitasi kerentanan yang baru-baru ini diungkapkan dalam komponen ExifTool GitLab.

Kerentanan ini dilacak sebagai CVE-2021-26084 (Confluence) dan CVE-2021-22205 (GitLab) dan dapat dieksploitasi dari jarak jauh tanpa otentikasi. Selain itu, kedua kerentanan telah secara terbuka mengungkapkan eksploitasi proof-of-concept (PoC), memungkinkan penyerang untuk menembus server dengan mudah.

Para peneliti di Tencent menunjukkan bahwa serangan yang menyebarkan ransomware Cerber baru sebagian besar menargetkan Amerika Serikat, Jerman, dan China.

Meskipun versi Cerber sebelumnya mengecualikan target di CIS (Commonwealth of Independent States), data telemetri Tencent dari serangan baru-baru ini menunjukkan sebaliknya.

Saat ini, pendekatan terbaik untuk melindungi dari Cerber adalah dengan menerapkan pembaruan keamanan yang tersedia untuk Atlassian Confluence dan GitLab.

Selengkapnya : Bleeping Computer

STOP Vaksin Ransomware dirilis untuk memblokir enkripsi

by

Perusahaan keamanan perangkat lunak Jerman G DATA merilis vaksin yang akan memblokir STOP Ransomware dari mengenkripsi file korban setelah infeksi.

Analis malware G DATA Karsten Hahn dan John Parol menjelaskan “Alat ini tidak mencegah infeksi itu sendiri. STOP ransomware masih akan menempatkan catatan tebusan dan dapat mengubah pengaturan pada sistem,”

Vaksin ini dapat menyebabkan perangkat lunak keamanan percaya bahwa sistem Anda terinfeksi karena ia bekerja dengan menambahkan file yang biasanya disebarkan malware pada sistem yang terinfeksi untuk mengelabui ransomware yang telah disusupi perangkat.

Sementara decryptor juga dirilis untuk STOP Ransomware pada Oktober 2019 oleh Emsisoft dan Michael Gillespie untuk mendekripsi file yang dienkripsi oleh 148 varian secara gratis, namun tidak lagi berfungsi dengan varian yang lebih baru.

STOP ransomware vaccine (BleepingComputer)

Namun, karena pelaku ancaman biasanya mengabaikan vaksin setelah dirilis, vaksin tersebut mungkin berhenti bekerja untuk versi ransomware ini di masa mendatang.

Karena itu, setelah menerapkan vaksin, Anda harus memastikan bahwa file penting Anda juga dicadangkan.

Dari ribuan pengiriman ID Ransomware per hari selama aktivitas ransomware tinggi, antara 60 dan 70% adalah STOP pengiriman ransomware.

Ini karena ransomware ini terutama menargetkan pengguna rumahan melalui situs teduh dan bundel adware yang mendorong celah perangkat lunak berbahaya atau bundel adware yang disamarkan sebagai program gratis.

Yang terakhir biasanya menginstal berbagai perangkat lunak yang tidak diinginkan ke komputer pengguna, dan, lebih sering daripada tidak, salah satu program yang diinstal adalah malware seperti STOP Ransomware.

Retak yang dilaporkan telah digunakan dalam pengiriman STOP Ransomware termasuk KMSPico, Cubase, Photoshop, dan perangkat lunak antivirus.

Selain menggunakan metode penyebaran ini, STOP hanyalah ransomware biasa, yang mengenkripsi file, menambahkan ekstensi, dan menjatuhkan catatan yang meminta tebusan mulai dari $500 hingga $1000.

Sumber : Bleeping Computer

Sekarang Emotet Menyebar Melalui Paket Adobe Windows App Installer Palsu

by Leave a Comment

Malware Emotet sekarang terdistribusi melalui paket Windows App Installer berbahaya yang berpura-pura menjadi perangkat lunak Adobe PDF.

Emotet adalah infeksi malware terkenal yang menyebar melalui email phishing dan lampiran berbahaya. Setelah terinstal, ia akan mencuri email korban untuk kampanye spam lainnya dan menyebarkan malware, seperti TrickBot dan Qbot, yang biasanya menyebabkan serangan ransomware.

Aktor ancaman di belakang Emotet sekarang menginfeksi sistem dengan menginstal paket berbahaya menggunakan fitur bawaan Windows 10 dan Windows 11 yang disebut App Installer.

Para peneliti sebelumnya melihat metode yang sama digunakan untuk mendistribusikan malware BazarLoader di mana ia menginstal paket berbahaya yang dihosting di Microsoft Azure.

Emotet adalah malware yang paling banyak didistribusikan di masa lalu sampai operasi penegakan hukum ditutup dan merebut infrastruktur botnet. Sepuluh bulan kemudian, Emotet bangkit kembali dengan bantuan trojan TrickBot.

Sehari kemudian, kampanye spam Emotet dimulai, dengan email berisi berbagai umpan dan dokumen berbahaya yang menginstal malware.

Kampanye ini telah memungkinkan Emotet untuk membangun kehadirannya dengan cepat, dan sekali lagi, melakukan kampanye phishing skala besar yang menginstal TrickBot dan Qbot.

Kampanye emotet biasanya mengarah pada serangan ransomware. Admin Windows harus tetap berhati-hati dan melatih karyawan untuk melihat kampanye Emotet.

Selengkapnya: Bleepingcomputer

Operasi Ransomware Yanluowang Tumbuh Dengan Afiliasi Berpengalaman

by

Afiliasi dari operasi ransomware Yanluowang yang baru-baru ini ditemukan memfokuskan serangannya pada organisasi AS di sektor keuangan menggunakan malware BazarLoader dalam tahap pengintaian.

Berdasarkan taktik, teknik, dan prosedur yang diamati, aktor ancaman berpengalaman dengan operasi ransomware-as-a-service (RaaS) dan dapat dikaitkan dengan kelompok Fivehands.

Koneksi ransomware Fivehands

Para peneliti di Symantec, sebuah divisi dari Broadcom Software, mencatat bahwa aktor tersebut telah mencapai target profil yang lebih tinggi di AS setidaknya sejak Agustus.

Selain lembaga keuangan, afiliasi ransomware Yanluowang juga menargetkan perusahaan di sektor manufaktur, layanan TI, konsultasi, dan teknik.

Melihat taktik, teknik, dan prosedur (TTP), para peneliti melihat kemungkinan hubungan dengan serangan yang lebih tua dengan Thieflock, operasi ransomware yang dikembangkan oleh kelompok Fivehands.

Fivehands ransomware sendiri relatif baru di skena ini, dikenal pada bulan April – pertama kali dalam laporan dari Mandiant, yang melacak pengembangnya sebagai UNC2447, dan kemudian saat dapat peringatan dari CISA.

Pada saat itu, Mandiant mengatakan bahwa UNC2447 menunjukkan “kemampuan canggih untuk menghindari deteksi dan meminimalkan forensik pasca-intrusi,” dan bahwa afiliasinya telah menyebarkan ransomware RagnarLocker.

Alat perdagangan

Setelah mendapatkan akses ke jaringan target, penyerang menggunakan PowerShell untuk mengunduh alat, seperti malware BazarLoader untuk membantu bergerak secara lateral.

BazarLoader dikirim ke target perusahaan oleh botnet TrickBot, yang juga menyebarkan ransomware Conti. Baru-baru ini, operator TrickBot mulai membantu membangun kembali botnet Emotet.

Aktor ancaman Yanluowang memungkinkan layanan desktop jarak jauh (RDP) dari registri dan menginstal alat ConnectWise untuk akses jarak jauh.

Para peneliti mengatakan bahwa afiliasi menemukan sistem yang menarik dengan alat AdFind – untuk query Active Directory, dan SoftPerfect Network Scanner – untuk menemukan nama host dan layanan jaringan.

Beberapa alat digunakan untuk mencuri kredensial dari browser (Firefox, Chrome, Internet Explorer) dari mesin yang dikompromikan: GrabFF, GrabChrome, BrowserPassView.

Peneliti Symantec juga memperhatikan bahwa penyerang menggunakan KeeThief untuk mencuri kunci utama untuk pengelola kata sandi KeePass, alat tangkapan layar, dan utilitas exfiltrasi data Filegrab.

Dalam laporan sebelumnya tentang serangan Yanluowang, perusahaan mengatakan bahwa peretas mengancam dengan serangan denial-of-service (DDoS) dan data wiping jika korban tidak memenuhi tuntutan.

Sumber: Bleepingcomputer

FBI menyita $2,2 juta dari afiliasi REvil, geng ransomware Gandcrab

by

FBI menyita $2,2 juta pada bulan Agustus dari afiliasi ransomware REvil dan GandCrab. Dalam pengaduan yang dibuka hari ini, FBI menyita 39.89138522 bitcoin senilai sekitar $2,2 juta dari dompet Exodus pada 3 Agustus 2021.

Exodus adalah dompet desktop atau seluler yang dapat digunakan pemiliknya untuk menyimpan cryptocurrency, termasuk Bitcoin, Ethereum, Solana, dan banyak lainnya.

“Amerika Serikat mengajukan keluhan terverifikasi ini dalam rem terhadap 39.89138522 Bitcoin yang Disita Dari Dompet Keluaran (“Properti Tergugat”) yang sekarang berada dan dalam pengawasan dan pengelolaan Biro Investigasi Federal (“FBI”) Divisi Dallas, One Justice Way, Dallas Texas,” demikian bunyi Complaint for Forfeiture Amerika Serikat.

Keluhan selanjutnya mengatakan bahwa dompet berisi pembayaran tebusan REvil milik afiliasi yang diidentifikasi sebagai “Aleksandr Sikerin, a/k/a Alexander Sikerin, a/k/a Oleksandr Sikerin” dengan alamat email ‘engfog1337@gmail.com .’

Sementara FBI tidak menunjukkan alias online dari pelaku ancaman, nama ‘engfog’ di alamat email terkait dengan afiliasi GandCrab dan REvil/Sodinokibi yang terkenal yang dikenal sebagai ‘Lalartu.’

Organisasi GandCrab dan REvil beroperasi sebagai Ransomware-as-a-Service (RaaS), di mana operator inti bermitra dengan peretas pihak ketiga, yang dikenal sebagai afiliasi.

Operator inti akan mengembangkan dan mengelola perangkat lunak enkripsi/dekripsi, portal pembayaran, dan situs kebocoran data. Afiliasinya ditugaskan untuk meretas jaringan perusahaan, mencuri data, dan menyebarkan ransomware untuk mengenkripsi perangkat.

Setiap pembayaran tebusan kemudian akan dibagi antara afiliasi dan operator inti, dengan operator umumnya mendapatkan 20-30% dari tebusan dan afiliasi membuat sisanya.

Dalam laporan REvil oleh McAfee, para peneliti mengikuti jejak uang untuk aktor ancaman terkenal yang dikenal sebagai ‘Lalartu,’ afiliasi untuk operasi ransomware GandCrab dan REvil.

Pada tahun 2019, aktor ancaman memposting ke forum peretasan berbahasa Rusia yang mengakui bahwa mereka bekerja dengan GandCrab dan beralih ke REvil setelah operasi sebelumnya ditutup.

Posting oleh Lalartu di forum peretasan berbahasa Rusia
Sumber: McAfee

Gal melacak Lalartu ke alias ‘Engfog’ atau ‘Eng_Fog’, yang cocok dengan alamat email ‘engfog1337@gmail.com’ yang tercantum dalam pengaduan FBI.

Pada bulan November, Departemen Kehakiman mengumumkan bahwa FBI menyita $6 juta uang tebusan yang dibayarkan kepada geng ransomware REvil. Strategi lanjutan penegakan hukum untuk mengganggu ekonomi dan sistem afiliasi operasi ransomware membuahkan hasil.

Kegiatan ini telah menyebabkan banyak penangkapan dan pencopotan infrastruktur, termasuk:

  • Gangguan operasi ransomware Netwalker dan penangkapan afiliasi di Kanada.
  • Penangkapan dua anggota operasi Egregor menyebabkan penutupan organisasi.
  • Penangkapan 12 orang yang diyakini terkait dengan serangan ransomware terhadap 1.800 korban di 71 negara.
  • Penangkapan seorang warga negara Ukraina yang diyakini berada di balik serangan ransomware Kaseya.

Penangkapan dan penyitaan infrastruktur juga menakut-nakuti geng ransomware untuk menutup operasi mereka, termasuk REvil pada bulan Oktober dan BlackMatter pada bulan Juli.

Sorotan Dark Web: Serangan Ransomware Grup Eberspcher

by

Produsen suku cadang otomotif multinasional Eberspächer Group telah diserang oleh ransomware. Tidak diketahui sejauh mana serangan itu atau siapa yang bertanggung jawab.

Pada publikasi ini, infrastruktur TI mereka telah dinonaktifkan secara efektif.

Grup Eberspacher mempekerjakan lebih dari 10.000 pekerja dengan 80 pabrik yang tersebar di 28 negara.

Grup Eberspacher menyediakan suku cadang untuk banyak perusahaan otomotif Jerman terkemuka seperti Audi, Volkswagen, BMW, dan lainnya.

Dengan infrastruktur TI mereka yang lumpuh, Eberspacher Group terpaksa menghentikan produksi dan memulangkan karyawannya. Tidak diketahui kapan sistem akan kembali online.

Grup Eberspacher tidak dapat dihubungi melalui telepon atau email karena sistem tersebut juga dinonaktifkan.

Industri Otomotif, dari merek besar hingga pemasok seperti Eberspacher Group, sangat rentan terhadap serangan rantai pasokan dan gangguan kerja dari Ransomware.

CybelAngel baru-baru ini menerbitkan laporan “Perlombaan Melawan Ancaman Eksternal dalam Rantai Pasokan Otomotif” yang mencakup risiko unik yang dihadapi oleh industri dan rekomendasi tentang bagaimana mereka dapat melindungi diri mereka sendiri.

Selengkapnya: CybelAngel

Ransomware Baru Memento Beralih ke WinRar Setelah Gagal Dalam Enkripsi

by Leave a Comment

Sebuah kelompok ransomware baru bernama Memento mengambil pendekatan yang tidak biasa untuk mengunci file di dalam arsip yang dilindungi kata sandi setelah metode enkripsi mereka terus terdeteksi oleh perangkat lunak keamanan.

Bulan lalu, kelompok ini menjadi aktif ketika mereka mulai mengeksploitasi cacat klien web VMware vCenter Server untuk akses awal ke jaringan korban.

Kerentanan vCenter dilacak sebagai ‘CVE-2021-21972’ dan merupakan bug eksekusi kode jarak jauh yang tidak diautistik dengan peringkat keparahan 9,8 (kritis).

Cacat ini memungkinkan siapa pun dengan akses jarak jauh ke port TCP / IP 443 pada server vCenter yang terbuka untuk menjalankan perintah pada OS yang mendasarinya dengan hak istimewa admin.

Sebuah patch untuk cacat ini keluar pada bulan Februari, tetapi seperti yang ditunjukkan oleh operasi Memento, banyak organisasi belum menambal instalasi mereka.

Kerentanan ini telah dieksploitasi oleh Memento sejak April, sementara pada bulan Mei, aktor yang berbeda terlihat mengeksploitasinya untuk menginstal penambang XMR melalui perintah PowerShell.
Memanfaatkan vCenter untuk menyebarkan ransomware

Memento meluncurkan operasi ransomware mereka bulan lalu ketika mereka memulai vCenter untuk mengekstrak kredensial administratif dari server target, membangun ketekunan melalui tugas yang dijadwalkan, dan kemudian menggunakan RDP melalui SSH untuk menyebar secara lateral di dalam jaringan.

Setelah tahap pengintaian, para aktor menggunakan WinRAR untuk membuat arsip file yang dicuri dan mengekratekannya.

Sumber: Sophos

Akhirnya, mereka menggunakan utilitas wiping data BCWipe Jetico untuk menghapus jejak yang tertinggal dan kemudian menggunakan strain ransomware berbasis Python untuk enkripsi AES.

Namun, upaya asli Memento pada file terenkripsi karena sistem memiliki perlindungan anti-ransomware, menyebabkan langkah enkripsi terdeteksi dan dihentikan sebelum kerusakan dilakukan.
Solusi

Untuk mengatasi deteksi ransomware komoditas oleh perangkat lunak keamanan, Memento datang dengan taktik yang menarik – lewati enkripsi sama sekali dan pindahkan file ke arsip yang dilindungi kata sandi.

Untuk melakukan ini, grup sekarang memindahkan file ke arsip WinRAR, menetapkan kata sandi srong untuk perlindungan akses, mengenkripsi kunci itu, dan akhirnya menghapus file asli.

“Alih-alih mengenkripsi file, kode “crypt” sekarang menempatkan file dalam bentuk yang tidak terenkripsi ke dalam file arsip, menggunakan salinan WinRAR, menyimpan setiap file dalam arsipnya sendiri dengan ekstensi file .vaultz,” jelas analis Sophos Sean Gallagher.

“Kata sandi dihasilkan untuk setiap file seperti yang diarsipkan. Kemudian kata sandi itu sendiri dienkripsi.”

Catatan tebusan yang dijatuhkan menuntut korban membayar 15,95 BTC ($ 940.000) untuk pemulihan lengkap atau 0,099 BTC ($ 5.850) per file.

Sumber: Sophos

Dalam kasus yang diselidiki Sophos, upaya pemerasan ini belum menyebabkan pembayaran tebusan, karena korban menggunakan cadangan mereka untuk memulihkan file.

Namun, Memento adalah kelompok baru yang baru saja menemukan pendekatan atipikal yang berhasil, jadi mereka mungkin akan mencobanya melawan organisasi lain.

Dengan demikian, jika Anda menggunakan VMware vCenter Server dan/ atau Cloud Foundation, pastikan untuk memperbarui alat Anda ke versi terbaru yang tersedia untuk menyelesaikan kerentanan yang diketahui.

Sumber: Bleepingcomputer

Phishing TikTok Mengancam Terhapusnya Akun Influencer

by

Para peneliti telah mengamati kampanye phishing baru yang terutama menargetkan akun TikTok menarik milik influencer, konsultan merek, studio produksi, dan manajer influencer.

Peneliti Keamanan Abnormal yang melihat serangan itu, mengamati dua puncak aktivitas saat mengamati distribusi email dalam kampanye khusus ini, pada 2 Oktober 2021, dan pada 1 November 2021, sehingga babak baru kemungkinan akan dimulai dalam beberapa minggu.

Surat masuk!

Dalam beberapa kasus yang dilihat oleh Abnormal Security, para aktor meniru karyawan TikTok, mengancam penerima dengan penghapusan akun yang akan segera terjadi karena dugaan pelanggaran persyaratan platform.

Sumber: Abnormal Security

Tema lain yang digunakan dalam email adalah menawarkan lencana ‘Verified’ yang menambah kredibilitas dan keaslian akun.

Lencana ‘Verified’ TikTok memberi bobot pada konten yang diposting oleh akun terverifikasi dan memberi sinyal pada algoritma platform untuk meningkatkan tingkat paparan posting dari akun ini.

Menggunakan umpan ini untuk phishing sangat efektif karena banyak orang akan senang menerima email yang menawarkan mereka kesempatan untuk mendapatkan lencana verifikasi.

Sumber: Abnormal Security

Dalam kedua kasus, penyerang menyediakan target mereka dengan cara untuk memverifikasi akun mereka dengan mengklik tautan yang disematkan.

Namun, mereka malah diarahkan ke ruang obrolan WhatsApp di mana mereka disambut oleh scammer yang berpura-pura menjadi karyawan TikTok yang sudah menunggu.

Sumber: Abnormal Security

Pengambilalihan akun atau pemerasan?

Tidak jelas apa tujuan aktor phishing dalam kampanye ini, tetapi bisa jadi upaya untuk mengambil alih akun target atau memeras pemilik akun dan memaksa mereka untuk membayar uang tebusan demi mendapatkan akum mereka kembali.

Persyaratan layanan TikTok memperjelas bahwa jika akun, terutama yang memiliki banyak pengikut, melanggar layanannya, itu akan ditangguhkan atau dihentikan secara permanen.

Ini berarti bahwa para aktor dapat dengan mudah mengancam untuk memposting sesuatu yang tidak pantas, berujung penghapusan profil yang pemiliknya mungkin telah menghabiskan banyak waktu dan uang untuk membangunnya.

Jika Anda memiliki dan / atau mengelola akun media sosial yang berharga, pastikan untuk mencadangkan semua konten dan data Anda di tempat yang aman.

Selain itu, Anda harus selalu mengamankan akun Anda dengan otentikasi dua faktor (2FA) atau verifikasi 2 langkah, seperti yang disebut TikTok, idealnya dengan kunci keamanan perangkat keras.

Jika Anda hanya dapat menggunakan opsi 2FA berbasis SMS (yang kurang aman), ambil nomor pribadi yang tidak Anda bagikan dengan siapa pun dan gunakan hanya untuk tujuan ini.

Sumber: Bleepingcomputer