Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

Penawaran Hadiah Bagi Pembawa Informasi Co-Conspirator Variant Ransomware DarkSide ke Pengadilan

by

Departemen Luar Negeri AS mengumumkan tawaran hadiah hingga $10.000.000 untuk informasi yang mengarah ke identifikasi atau lokasi setiap individu yang memegang posisi kepemimpinan kunci dalam kelompok kejahatan terorganisir transnasional varian ransomware DarkSide.

Selain itu, Departemen juga menawarkan tawaran hadiah hingga $5.000.000 untuk informasi yang mengarah pada penangkapan dan/atau hukuman di negara mana pun dari individu mana pun yang berkonspirasi untuk berpartisipasi atau mencoba berpartisipasi dalam insiden ransomware varian DarkSide.

Grup ransomware DarkSide bertanggung jawab atas insiden ransomware Colonial Pipeline Company pada Mei 2021, yang menyebabkan keputusan perusahaan untuk secara proaktif dan sementara menutup pipa sepanjang 5.500 mil yang membawa 45 persen bahan bakar yang digunakan di Pantai Timur Amerika Serikat.

Dalam menawarkan hadiah ini, Amerika Serikat menunjukkan komitmennya untuk melindungi korban ransomware di seluruh dunia dari eksploitasi oleh penjahat cyber.

Amerika Serikat mencari negara-negara yang menampung penjahat ransomware yang bersedia membawa keadilan bagi bisnis dan organisasi korban yang terkena ransomware.

Hadiah ini ditawarkan di bawah Program Hadiah Kejahatan Terorganisir Transnasional (TOCRP) Departemen Luar Negeri.

Departemen mengelola TOCRP dalam koordinasi yang erat dengan mitra penegak hukum federal kami sebagai bagian dari keseluruhan upaya pemerintah untuk mengganggu dan membongkar kejahatan terorganisir transnasional secara global, termasuk kejahatan dunia maya.

Lebih dari 75 penjahat transnasional dan pengedar narkoba utama telah diadili di bawah TOCRP dan Program Hadiah Narkotika (NRP) sejak 1986. Departemen telah membayar hadiah lebih dari $135 juta hingga saat ini.

Selengkapnya: US Departement of State

Geng Ransomware ‘Groove’ Adalah Tipuan

by

Groove pertama kali diumumkan pada 22 Agustus di RAMP, forum cybercrime darknet berbahasa Rusia yang baru dan cukup eksklusif.

“GROOVE adalah yang pertama dan terutama organisasi kriminal agresif bermotivasi finansial yang berurusan dengan spionase industri selama sekitar dua tahun,” tulis administrator RAMP “Oranye” dalam sebuah posting yang meminta anggota forum untuk bersaing dalam kontes merancang situs web untuk grup baru.

Menurut sebuah laporan yang diterbitkan oleh McAfee, Orange meluncurkan RAMP untuk menarik pelaku ancaman terkait ransomware yang dikeluarkan dari forum kejahatan dunia maya utama karena terlalu beracun, atau kepada penjahat dunia maya yang mengeluhkan perubahan singkat atau kaku sama sekali oleh program afiliasi ransomware yang berbeda. .

Laporan itu mengatakan RAMP adalah produk dari perselisihan antara anggota geng ransomware Babuk, dan bahwa anggotanya kemungkinan memiliki koneksi ke grup ransomware lain yang disebut BlackMatter.

“[McAfee] percaya, dengan keyakinan tinggi, bahwa geng Groove adalah mantan afiliasi atau subkelompok geng Babuk, yang bersedia bekerja sama dengan pihak lain, selama ada keuntungan finansial bagi mereka,” kata laporan itu. “Jadi, kemungkinan berafiliasi dengan geng BlackMatter.”

Pada minggu pertama bulan September, Groove memposting di blog darknetnya hampir 500.000 kredensial masuk untuk pelanggan produk Fortinet VPN, nama pengguna, dan kata sandi yang dapat digunakan untuk terhubung dari jarak jauh ke sistem yang rentan. Fortinet mengatakan kredensial dikumpulkan dari sistem yang belum menerapkan tambalan yang dikeluarkan pada Mei 2019.

Beberapa pakar keamanan mengatakan posting nama pengguna dan kata sandi Fortinet VPN ditujukan untuk menarik afiliasi baru ke Groove. Tapi sepertinya kredensial itu diposting untuk menarik perhatian peneliti keamanan dan jurnalis.

Suatu saat dalam seminggu terakhir, blog darknet Groove menghilang. Dalam sebuah posting di forum kejahatan dunia maya Rusia XSS, seorang penjahat dunia maya yang mapan menggunakan pegangan “Boriselcin” menjelaskan bahwa Groove tidak lebih dari sebuah proyek hewan peliharaan untuk mengacaukan industri media dan keamanan.

Selengkapnya: Krebs on Security

Organisasi Diserang oleh Pelaku Ransomware Selama Acara Pembelian dan Penggabungan, FBI Memperingatkan

by

FBI memperingatkan bahwa aktor ancaman di balik kampanye ransomware menyerang organisasi yang mengambil bagian dalam peristiwa keuangan penting seperti penggabungan dan akuisisi perusahaan, untuk memeras target mereka dengan lebih mudah.

Pada hari Senin, FBI mengeluarkan pemberitahuan industri swasta yang memperingatkan bahwa pelaku ancaman ransomware akan memanfaatkan data keuangan yang diperoleh sebelum serangan sebagai pengaruh untuk menekan korban agar membayar uang tebusan yang diminta.

FBI menyatakan: “FBI menilai pelaku ransomware kemungkinan besar menggunakan peristiwa keuangan yang signifikan, seperti merger dan akuisisi, untuk menargetkan dan memanfaatkan perusahaan korban untuk infeksi ransomware.”

“Selama fase pengintaian awal, penjahat dunia maya mengidentifikasi informasi yang tidak tersedia untuk umum, yang mereka ancam untuk dilepaskan atau digunakan sebagai pengungkit selama pemerasan untuk membujuk korban agar mematuhi tuntutan tebusan.”

“Peristiwa yang akan datang yang dapat mempengaruhi nilai saham korban, seperti pengumuman, merger, dan akuisisi, mendorong pelaku ransomware untuk menargetkan jaringan atau menyesuaikan garis waktu mereka untuk pemerasan di mana akses dibuat.”

Selengkapnya: Heimdal Security

Eksploitasi Microsoft Exchange ProxyShell yang digunakan untuk menyebarkan ransomware Babuk

by

Aktor ancaman baru meretas server Microsoft Exchange dan menerobos jaringan perusahaan menggunakan kerentanan ProxyShell untuk menyebarkan Ransomware Babuk.

Serangan ProxyShell terhadap server Microsoft Exchange yang rentan dimulai beberapa bulan yang lalu, dengan LockFile dan Conti menjadi salah satu kelompok ransomware pertama yang mengeksploitasinya.

Menurut sebuah laporan oleh para peneliti di Cisco Talos, afiliasi ransomware Babuk yang dikenal sebagai ‘Tortilla’ telah bergabung dengan klub pada bulan Oktober, ketika aktor tersebut mulai menggunakan web shell ‘China Chopper’ di server Exchange yang dilanggar.

Nama Tortilla didasarkan pada executable berbahaya yang terlihat dalam kampanye menggunakan nama Tortilla.exe.

Dimulai dengan Exchange

Serangan ransomware Babuk dimulai dengan DLL, atau .NET executable yang dijatuhkan di server Exchange menggunakan kerentanan ProxyShell. Proses pekerja Exchange IIS w3wp.exe kemudian mengeksekusi muatan berbahaya ini untuk menjalankan perintah PowerShell yang dikaburkan yang menampilkan perlindungan titik akhir yang melewati, yang akhirnya menjalankan permintaan web untuk mengambil pemuat muatan bernama ‘tortilla.exe.’

Pemuat ini akan terhubung ke ‘pastebin.pl’ dan mengunduh muatan yang dimuat ke dalam memori dan disuntikkan ke dalam proses NET Framework, yang pada akhirnya mengenkripsi perangkat dengan Babuk Ransomware.

Infection chain diagram
Source: Cisco

Meskipun analis Cisco menemukan bukti eksploitasi kerentanan ProxyShell di sebagian besar merupakan infeksi, terutama web shell ‘China Chopper’, data telemetri mencerminkan spektrum luas dari upaya eksploitasi.

Lebih khusus lagi, Tortilla mengikuti jalur ini untuk menghapus modul DLL dan NET:

  • Microsoft Exchange menemukan upaya pemalsuan permintaan sisi server secara otomatis
  • Upaya eksekusi kode jarak jauh injeksi Atlassian Confluence OGNL
  • Upaya eksekusi kode jarak jauh Apache Struts
  • Akses wp-config.php WordPress melalui upaya traversal direktori
  • Upaya bypass otentikasi SolarWinds Orion
  • Upaya eksekusi perintah jarak jauh Oracle WebLogic Server
  • Upaya deserialisasi objek Java sewenang-wenang Liferay

Serangan ini bergantung pada kerentanan yang ditambal, maka sangat disarankan agar admin meningkatkan server mereka ke versi terbaru untuk mencegahnya dieksploitasi dalam serangan.

Menggunakan Babuk dalam serangan baru

Babuk Locker adalah operasi ransomware yang diluncurkan pada awal 2021 ketika mulai menargetkan bisnis dan mengenkripsi data mereka dalam serangan pemerasan ganda.

Setelah melakukan serangan terhadap Departemen Kepolisian Metropolitan (MPD) Washinton DC, dan merasakan panas dari penegakan hukum AS, geng ransomware menutup operasi mereka.

Setelah kode sumber untuk versi pertama Babu dan pembuatnya bocor di forum peretasan, pelaku ancaman lainnya mulai memanfaatkan ransomware untuk meluncurkan serangan mereka sendiri.

Tidak jelas apakah Tortilla adalah afiliasi dari Babuk saat RaaS aktif atau apakah mereka hanya mengambil kode sumber strain ketika keluar untuk melakukan serangan baru.

Namun, karena catatan tebusan yang digunakan dalam serangan ini meminta uang $10.000 yang rendah di Monero, kemungkinan itu tidak dilakukan oleh operasi Babuk yang asli, yang menuntut uang tebusan yang jauh lebih besar dalam Bitcoin.

Tortilla’s ransom note
Source: Cisco

Menargetkan AS

Meskipun peneliti Talos melihat beberapa serangan di Jerman, Thailand, Brasil, dan Inggris, sebagian besar target Tortilla berbasis di AS.

I.P. alamat server unduhan terletak di Moskow, Rusia, yang dapat menunjukkan asal serangan ini, tetapi tidak ada kesimpulan atribusi dalam laporan tersebut. Domain ‘pastebin.pl’ yang digunakan untuk tahap pembongkaran sebelumnya telah disalahgunakan oleh kampanye distribusi AgentTesla dan FormBook.

Victim heatmap
Source: Cisco

Meskipun decryptor sebelumnya dirilis untuk ransomware Babuk, ia hanya dapat mendekripsi korban yang kunci pribadinya merupakan bagian dari kebocoran kode sumber.

Oleh karena itu, pelaku ancaman dapat terus menggunakan ransomware Babuk untuk meluncurkan operasi mereka sendiri, seperti ypelaku ancaman Tortilla.

SUMBER : Bleeping Computer

10 Cara Penyerang Ransomware Menekan Anda Untuk Membayar Uang Tebusan

by

Di masa lalu, ransomware adalah masalah yang relatif mudah. Seorang penyerang akan melanggar organisasi dan mengenkripsi data penting. Tanpa cadangan yang andal atau terbaru, organisasi itu akan memiliki beberapa pilihan selain membayar uang tebusan dengan harapan data akan didekripsi.

Sekarang, bagaimanapun, organisasi menjadi lebih rajin membuat cadangan data penting, yang berarti mereka cenderung tidak membayar uang tebusan. Akibatnya, penjahat dunia maya telah beralih ke trik yang lebih agresif dan kuat untuk menuntut agar uang tebusan dibayarkan.

1. Bersumpah untuk merilis data secara publik

Bahkan jika korban memiliki cadangan yang andal, mereka mungkin merasakan tekanan untuk membayar uang tebusan daripada mengambil risiko malu dan kemungkinan terlibat hukum jika data bocor.

2. Menghubungi karyawan secara langsung

Untuk lebih menekan organisasi, penyerang akan menghubungi eksekutif senior dan karyawan lain untuk memperingatkan mereka bahwa data pribadi mereka akan bocor jika uang tebusan tidak dibayarkan.

Menghubungi mitra, pelanggan, dan media

Dalam kasus lain, penyerang akan menjangkau mitra bisnis, pelanggan dan bahkan media dan memberitahu mereka untuk mendesak korban untuk membayar.

Memperingatkan korban untuk tidak menghubungi penegak hukum

Banyak organisasi akan menghubungi aparat penegak hukum atau pihak lain untuk meminta bantuan mereka dalam menyelesaikan insiden tersebut. Langkah tersebut dapat membantu korban memulihkan data mereka tanpa membayar uang tebusan. Khawatir karena ini, banyak penjahat akan memperingatkan korban mereka untuk tetap diam.

Memperkerjakan orang dalam

Beberapa penjahat akan mencoba meyakinkan karyawan atau orang dalam untuk membantu mereka menyusup ke organisasi untuk melakukan serangan ransomware. Harapannya adalah mereka akan menemukan beberapa karyawan yang tidak puas atau tidak jujur yang dengan sukarela mengeksploitasi majikan mereka sendiri.

Selengkapnya: Tech Republic

Geng Peretas Menciptakan Perusahaan Palsu Untuk Menyewa Pentester Untuk Serangan Ransomware

by

Grup peretas FIN7 mencoba untuk bergabung dengan ruang ransomware yang sangat menguntungkan dengan menciptakan perusahaan keamanan siber palsu yang melakukan serangan jaringan dengan kedok pentesting.

FIN7 (alias ‘Carbanak’) telah terlibat dalam serangan siber dan kampanye pencurian uang sejak 2015 ketika mereka pertama kali muncul di ruang kejahatan siber, termasuk menginfeksi ATM dengan malware yang mendukung MITM.

Karena ransomware telah menjadi bidang yang menguntungkan bagi penjahat dunia maya, dan memiliki pengalaman sebelumnya dengan perusahaan palsu seperti “Combi Security”, grup tersebut mendirikan perusahaan baru untuk memikat spesialis TI yang sah.

Tabir tipis legitimasi di sekitar entitas perusahaan baru ini diangkat oleh para peneliti di Gemini Advisory, yang menemukan bahwa situs web untuk perusahaan keamanan siber palsu yang dikenal sebagai Bastion Security terdiri dari konten yang dicuri dan dikompilasi ulang dari situs web lain.

Yang lebih terlihat adalah bahwa perusahaan tersebut menyatakan bahwa mereka berbasis di Inggris, tetapi situs tersebut menyajikan halaman kesalahan 404 berbahasa Rusia.

Para peneliti Gemini menemukan bahwa FIN7 menawarkan antara $800 dan $1,200 per bulan untuk merekrut programmer C++, PHP, dan Python, administrator sistem Windows, dan spesialis rekayasa balik dengan mengikuti tip dari sumber yang tidak disebutkan namanya.

Dalam persyaratan pekerjaan, para peneliti percaya bahwa kelompok peretas sedang mencari untuk menyewa pentester, karena administrator sistem juga akan memiliki kemampuan untuk memetakan sistem perusahaan yang disusupi, melakukan pengintaian jaringan, dan menemukan server dan file cadangan.

Semua keterampilan ini diperlukan untuk tahap pra-enkripsi serangan ransomware, jadi tampaknya inilah yang FIN7 kejar melalui putaran perekrutan ini.

Selengkapnya: Bleeping Computer

Grup Ransomware REvil Yang Meretas Desain Apple Telah Diretas Oleh FBI

by

Grup Ransomware REvil mengatakan pada bulan April bahwa mereka telah meretas sistem milik pemasok Apple Quanta Computer dan memperoleh skema rekayasa internal untuk sejumlah produk baru yang belum dirilis. Ini mendukung klaim ini dengan berbagi contoh, yang awalnya tidak mengungkapkan hal baru.

REvil pertama kali mencoba memeras Quanta untuk $50 juta sebagai imbalan karena tidak membuat file tersedia untuk umum, dan kemudian mencoba hal yang sama dengan Apple.

Ketika ini gagal, REvil melanjutkan dan merilis skema yang mengungkapkan port baru yang ditemukan di MacBook Pro 2021. Skema terbukti akurat saat mesin diluncurkan dengan MagSafe, HDMI, dan slot kartu SD I/O ditampilkan.

Reuters melaporkan bahwa FBI dan lembaga penegak hukum lainnya kini telah membalikkan keadaan pada kelompok tersebut.

Kelompok ransomware REvil sendiri diretas dan dipaksa offline minggu ini oleh operasi multi-negara, menurut tiga pakar dunia maya sektor swasta yang bekerja dengan Amerika Serikat dan satu mantan pejabat […] Situs web kelompok kejahatan “Happy Blog”, yang telah digunakan untuk membocorkan data korban dan memeras perusahaan, tidak lagi tersedia […]

Kepala strategi keamanan siber VMWare Tom Kellermann mengatakan aparat penegak hukum dan intelijen menghentikan kelompok itu dari mengorbankan perusahaan tambahan.

“FBI, bersama dengan Komando Siber, Dinas Rahasia, dan negara-negara yang berpikiran sama, telah benar-benar terlibat dalam tindakan mengganggu yang signifikan terhadap kelompok-kelompok ini,” kata Kellermann, penasihat Dinas Rahasia AS untuk investigasi kejahatan dunia maya. “REvil berada di urutan teratas daftar.”

Selengkapnya: 9T05Mac

Evil Corp Menuntut $40 Juta pada Serangan Ransomware Baru “Macaw”

by

Evil Corp telah meluncurkan ransomware baru bernama Macaw Locker untuk menghindari sanksi AS yang mencegah korban melakukan pembayaran uang tebusan.

Kelompok peretasan Evil Corp, juga dikenal sebagai Indrik Spider dan geng Dridex, telah terlibat dalam kegiatan kejahatan dunia maya sejak 2007, tetapi sebagian besar sebagai afiliasi dengan organisasi lain.

Bulan ini, beberapa operasi Olympus dan Sinclair Broadcast Group sangat terganggu oleh serangan ransomware di akhir pekan.

Bagi Sinclair, itu menyebabkan siaran TV dibatalkan, berbagai acara ditayangkan, dan penyiar berita melaporkan cerita mereka dengan papan tulis dan kertas.

Minggu ini, ditemukan bahwa kedua serangan itu dilakukan oleh ransomware baru yang dikenal sebagai Macaw Locker.

Dalam percakapan dengan Emsisoft CTO Fabian Wosar, BleepingComputer diberitahu bahwa, berdasarkan analisis kode, MacawLocker adalah rebrand terbaru dari keluarga ransomware Evil Corp.

BleepingComputer juga mengetahui dari sumber di industri keamanan siber bahwa hanya dua korban Macaw Locker yang diketahui adalah Sinclair dan Olympus.

Sumber juga membagikan halaman pribadi korban Macaw Locker untuk dua serangan, di mana pelaku ancaman meminta tebusan 450 bitcoin, atau $28 juta, untuk satu serangan dan $40 juta untuk korban lainnya.

Tidak diketahui perusahaan apa yang terkait dengan setiap permintaan tebusan.

Ransomware Macaw Locker akan mengenkripsi file korban dan menambahkan ekstensi .macaw ke nama file saat melakukan serangan.

Selengkapnya: Bleeping Computer