Ransomware

Ransomware Atom Silo baru menargetkan server Confluence yang rentan

October 5, 2021 by Winnie the Pooh

Atom Silo, grup ransomware yang baru ditemukan, menargetkan kerentanan Confluence Server dan Pusat Data yang baru-baru ini ditambal dan dieksploitasi secara aktif untuk menyebarkan muatan ransomware mereka.

Atlassian Confluence adalah ruang kerja tim perusahaan berbasis web yang sangat populer yang membantu karyawan berkolaborasi dalam berbagai proyek.

Pada 25 Agustus, Atlassian mengeluarkan pembaruan keamanan untuk menambal kerentanan eksekusi kode jarak jauh (RCE) Confluence yang dilacak sebagai CVE-2021-26084 dan sedang aktif dieksploitasi.

Eksploitasi yang berhasil memungkinkan penyerang yang tidak diautentikasi untuk menjalankan perintah pada server yang belum ditambal dari jarak jauh.

Penemuan ini dibuat oleh para peneliti SophosLabs saat menyelidiki insiden baru-baru ini. Mereka juga menemukan bahwa ransomware yang digunakan oleh grup baru ini hampir identik dengan LockFile, yang sangat mirip dengan yang digunakan oleh grup ransomware LockBit.

Namun, operator Atom Silo menggunakan “beberapa teknik baru yang membuatnya sangat sulit untuk diselidiki, termasuk side-loading library dynamic-link berbahaya yang dirancang untuk mengganggu perangkat lunak perlindungan titik akhir.”

Setelah mengkompromikan server Confluence dan memasang backdoor, pelaku ancaman menjatuhkan backdoor tersembunyi tahap kedua menggunakan side-loading DLL untuk meluncurkannya pada sistem yang dilanggar.

Payload Ransomware yang disebarkan oleh Atom Silo juga dilengkapi dengan driver kernel berbahaya yang digunakan untuk mengganggu solusi perlindungan titik akhir dan menghindari deteksi.

Rincian teknis lebih lanjut tentang Atom Silo dan taktik gerakan lateral dapat ditemukan dalam laporan SophosLabs.

Sumber: Bleeping Computer

Conti Ransomware Memperluas Kemampuan untuk Meledakkan Cadangan

September 30, 2021 by Winnie the Pooh

Pandai mengidentifikasi dan menghapus cadangan? Berbicara bahasa Rusia? Grup ransomware Conti yang terkenal mungkin menemukan Anda prospek perekrutan yang bagus.

Itu menurut sebuah laporan yang diterbitkan pada hari Rabu oleh perusahaan pencegahan risiko cyber Advanced Intelligence, yang merinci bagaimana Conti telah mengasah penghancuran cadangannya menjadi seni yang bagus – semakin baik untuk menemukan, menghancurkan, dan membunuh data yang dicadangkan. Bagaimanapun, cadangan adalah hambatan utama untuk mendorong pembayaran ransomware.

Palo Alto Networks telah menggambarkan geng itu sebagai geng yang menonjol, dan tidak dalam cara yang baik: “Ini adalah salah satu dari lusinan geng ransomware yang paling kejam yang kami ikuti,” kata perusahaan itu. Pada Juni, Conti telah menghabiskan lebih dari satu tahun menyerang organisasi di mana pemadaman TI dapat mengancam kehidupan: Rumah Sakit, operator pengiriman nomor darurat, layanan medis darurat, dan lembaga penegak hukum.

AdvIntel telah menemukan bahwa Conti membangun keahlian penghapusan cadangannya dari bawah ke atas, mulai dari “tingkat pengembangan tim”. Yaitu, ketika geng ransomware-as-a-service (RaaS) merekrut pekerja untuk menyerang jaringan, mereka jelas bahwa kandidat penguji penetrasi mereka membutuhkan keterampilan terbaik dalam menemukan dan menghapus cadangan.

Conti terutama berfokus pada pengembangan cara baru untuk mengkompromikan perangkat lunak cadangan dari perusahaan pemulihan bencana Veeam.

Selengkapnya: The Threat Post

REvil Mengkonfirmasi Adanya Kecurangan Pembayaran Tebusan Ransomware

September 27, 2021 by Winnie the Pooh

Sehari setelah tersiar kabar tentang REvil yang telah mengacaukan afiliasi mereka sendiri dari pembayaran ransomware – dengan menggunakan obrolan ganda dan pintu belakang yang memungkinkan operator REvil membajak pembayaran tebusan – afiliasi-afiliasi tersebut turun ke forum peretasan berbahasa Rusia teratas untuk memperbarui tuntutan mereka agar REvil membayar bagian mereka yang dicuri dari pembayaran tebusan.

Advanced Intelligence, firma intelijen ancaman yang mengungkapkan pintu belakang dan obrolan ganda, mengatakan kepada Threatpost pada hari Kamis bahwa aktor terkenal dengan reputasi mapan di forum peretasan bahasa Rusia – Exploit – menggunakan temuan laporan AdvIntel untuk merevitalisasi klaim yang diajukan pada bulan Mei terhadap REvil di bawah tanah Rusia.

Cara operasi ransomware-as-a-service (RaaS) seperti REvil atau DarkSide bekerja adalah bahwa afiliasi melakukan semua pekerjaan kotor kompromi jaringan, dengan imbalan (dalam kasus REvil RaaS asli) 70 persen dari tebusan apa pun yang ditebus oleh para korban.

REvil seharusnya mengantongi sisa 30 persen saja – dan hanya sebanyak itu – dari pembayaran tebusan, sebagai imbalan untuk menyediakan muatan ransomware yang digunakan afiliasi untuk menguasai data dan sistem korban.

Tetapi ketika negosiasi tiba-tiba, secara misterius runtuh dan afiliasi dibiarkan dalam kesulitan, mereka mulai curiga, dan mereka beralih ke arbitrase versi bawah tanah.

Menurut Yelisey Boguslavskiy dari AdvIntel – kepala penelitian di perusahaan pencegahan risiko dunia maya – afiliasi yang ditipu telah mengambil rute itu pada Mei 2021, berusaha untuk mendapatkan kembali $ 21,5 juta USD dari REvil karena diduga menipu mereka.

Pengulangan aktor ancaman itu mengkonfirmasi asumsi AdvIntel: Kepemimpinan REvil memang menciptakan pintu belakang yang memungkinkan mereka untuk memotong negosiasi tebusan antara korban dan afiliasi geng itu sendiri, untuk menjalankan obrolan ganda yang memungkinkan kepemimpinan berpura-pura sebagai korban yang menyerah di tengah-tengah negosiasi, dan kemudian masuk untuk melanjutkan negosiasi, memotong afiliasi dari kesepakatan, dan mengantongi seluruh pembayaran tebusan.

Selengkapnya: The Threat Post

Geng Ransomware Cring Mengeksploitasi Bug ColdFusion Berusia 11 Tahun

September 23, 2021 by Winnie the Pooh

Pelaku ancaman tak dikenal melanggar server yang menjalankan perangkat lunak ColdFusion 9 versi 11 tahun yang belum ditambal dalam hitungan menit untuk mengambil alih kendali dari jarak jauh dan menyebarkan ransomware Cring di jaringan target 79 jam setelah peretasan.

Server, yang dimiliki oleh perusahaan layanan yang tidak disebutkan namanya, digunakan untuk mengumpulkan data absen dan akuntansi untuk penggajian serta untuk menampung sejumlah mesin virtual, menurut laporan yang diterbitkan oleh Sophos dan dibagikan dengan The Hacker News. Serangan tersebut berasal dari alamat internet yang ditetapkan untuk ISP Green Floid Ukraina.

Perusahaan perangkat lunak keamanan Inggris mengatakan “pembobolan cepat” dimungkinkan dengan mengeksploitasi instalasi Adobe ColdFusion 9 berusia 11 tahun yang berjalan pada Windows Server 2008, yang keduanya telah mencapai akhir masa pakainya (end-of-life).

Setelah mendapatkan pijakan awal, penyerang menggunakan berbagai metode canggih untuk menyembunyikan file mereka, menyuntikkan kode ke dalam memori, dan menutupi jejak mereka dengan menimpa file dengan data yang kacau, belum lagi melucuti produk keamanan dengan memanfaatkan fakta bahwa fungsi proteksi gangguan dimatikan.

Khususnya, musuh mengambil keuntungan dari CVE-2010-2861, satu set kerentanan traversal direktori di konsol administrator di Adobe ColdFusion 9.0.1 dan sebelumnya yang dapat disalahgunakan oleh penyerang jarak jauh untuk membaca file apapun, seperti yang berisi hash kata sandi administrator (“password.properties”).

Pada tahap berikutnya, aktor jahat diyakini telah mengeksploitasi kerentanan lain di ColdFusion, CVE-2009-3960, untuk mengunggah file Cascading Stylesheet (CSS) berbahaya ke server, akibatnya menggunakan itu untuk memuat Cobalt Strike Beacon yang dapat dieksekusi.

Selengkapnya: The Hacker News

REvil ransomware kembali dalam mode serangan penuh dan membocorkan data

September 13, 2021 by Winnie the Pooh

Geng ransomware REvil telah sepenuhnya kembali dan sekali lagi menyerang korban baru dan menerbitkan file curian di situs kebocoran data.

Sejak 2019, operasi ransomware REvil, alias Sodinokibi, telah melakukan serangan terhadap organisasi di seluruh dunia di mana mereka menuntut tebusan jutaan dolar untuk menerima kunci dekripsi dan mencegah kebocoran file yang dicuri.

Selama beroperasi, geng tersebut telah terlibat dalam berbagai serangan terhadap perusahaan terkenal, termasuk JBS, Coop, Travelex, GSMLaw, Kenneth Cole, Grupo Fleury, dan lain-lain.

REvil menutup infrastruktur mereka dan benar-benar menghilang setelah caper terbesar mereka – serangan besar-besaran pada 2 Juli yang mengenkripsi 60 penyedia layanan terkelola dan lebih dari 1.500 bisnis menggunakan kerentanan zero-day di platform manajemen jarak jauh Kaseya VSA.

Setelah penutupan mereka, para peneliti dan penegak hukum percaya bahwa REvil akan mengubah citra sebagai operasi ransomware baru di beberapa titik.

Namun, sangat mengejutkan, geng ransomware REvil hidup kembali minggu ini dengan nama yang sama.

Pada tanggal 7 September, hampir dua bulan setelah mereka menghilang, situs pembayaran/negosiasi Tor dan kebocoran data tiba-tiba dihidupkan kembali dan dapat diakses. Sehari kemudian, sekali lagi dimungkinkan untuk masuk ke situs pembayaran Tor dan bernegosiasi dengan geng ransomware.

Semua korban sebelumnya telah mengatur ulang penghitung waktu mereka, dan tampaknya tuntutan tebusan mereka dibiarkan begitu saja ketika geng ransomware ditutup pada bulan Juli.

Namun, tidak ada bukti serangan baru hingga 9 September, ketika seseorang mengunggah sampel ransomware REvil baru yang dikompilasi pada 4 September ke VirusTotal.

Selengkapnya: Bleeping Computer

Mengapa peretas ransomware menyukai liburan akhir pekan

September 8, 2021 by Winnie the Pooh

Pada hari Jumat menjelang akhir pekan Memorial Day tahun ini, ada raksasa pengolahan daging JBS. Pada hari Jumat sebelum Empat Juli, itu adalah perusahaan perangkat lunak manajemen TI Kaseya dan, dengan perluasan, lebih dari seribu bisnis dengan berbagai ukuran. Masih harus dilihat apakah Hari Buruh akan melihat kehancuran ransomware tingkat tinggi juga, tetapi satu hal yang jelas: peretas menyukai liburan.

Dan meskipun ini bukan hal baru, peringatan bersama yang dikeluarkan minggu ini oleh FBI dan Badan Keamanan Cybersecurity dan Infrastruktur menggarisbawahi betapa seriusnya ancaman itu.

Daya tarik bagi penyerang cukup mudah. Ransomware dapat membutuhkan waktu untuk menyebar ke seluruh jaringan, karena peretas bekerja untuk meningkatkan hak istimewa untuk kontrol maksimum atas sebagian besar sistem. Semakin lama bagi siapa pun untuk memperhatikan gerak gerik mereka, semakin banyak kerusakan yang dapat mereka lakukan.

“Secara intuitif, masuk akal bahwa para defender mungkin kurang perhatian selama liburan, sebagian besar karena pengurangan staf,” kata Katie Nickels, direktur intelijen di perusahaan keamanan Red Canary. “Jika insiden besar terjadi selama liburan, mungkin lebih sulit bagi para defender untuk membawa personel yang diperlukan untuk merespons dengan cepat.”

Insiden besar itulah yang kemungkinan menarik perhatian FBI dan CISA; selain insiden JBS dan Kaseya, serangan Colonial Pipeline juga terjadi selama akhir pekan Hari Ibu.

Ada beberapa langkah yang dapat diambil perusahaan dan individu untuk melindungi diri mereka dari peretasan dengan lebih baik, baik menjelang akhir pekan yang panjang dan seterusnya. Rekomendasi FBI dan CISA menggemakan praktik terbaik untuk sebagian besar situasi keamanan siber: jangan klik tautan yang mencurigakan.

Selengkapnya: Ars Technica

Geng Ransomware menargetkan perusahaan menggunakan kriteria ini

September 8, 2021 by Winnie the Pooh

Geng Ransomware semakin banyak membeli akses ke jaringan korban di pasar dark web dan dari pelaku ancaman lainnya. Menganalisis iklan keinginan mereka memungkinkan untuk melihat ke dalam pada jenis perusahaan yang ditargetkan operasi ransomware.

Setelah memeriksa “iklan keinginan” geng ransomware, perusahaan intelijen keamanan siber KELA telah menyusun daftar kriteria yang dicari oleh operasi penargetan perusahaan yang lebih besar di sebuah perusahaan untuk serangan mereka.

Dengan menganalisis iklan yang diinginkan dari hampir dua puluh pos yang dibuat oleh pelaku ancaman yang terkait dengan geng ransomware, peneliti KELA dapat menemukan karakteristik perusahaan berikut yang menjadi sasaran:

Geografi: Geng Ransomware lebih memilih korban yang berlokasi di AS, Kanada, Australia, dan Eropa.
Pendapatan: KELA menyatakan bahwa pendapatan minimum rata-rata yang diinginkan oleh geng ransomware adalah $100 juta. Namun, ini bisa berbeda tergantung pada lokasi geografis korban.
Daftar blokir sektor: Sementara beberapa geng mengatakan mereka menghindari industri kesehatan, mereka kurang pilih-pilih tentang industri lain dari perusahaan yang mereka serang. Namun, setelah serangan Colonial Pipeline, Metropolitan Police Department, dan JBS, banyak geng ransomware mulai menghindari sektor tertentu.
Daftar blokir negara: Sebagian besar operasi ransomware besar secara khusus menghindari menyerang perusahaan yang berlokasi di Commonwealth of Independent States (CIS) karena mereka yakin jika mereka tidak menargetkan negara-negara tersebut, otoritas lokal tidak akan menargetkan mereka.

Negara-negara yang diblokir ini termasuk Rusia, Ukraina, Moldova, Belarus, Kirgistan, Kazakhstan, Armenia, Tajikistan, Turkmenistan, dan Uzbekistan.

Sayangnya, meskipun sebuah perusahaan tidak memenuhi kriteria di atas, bukan berarti mereka aman.

Banyak geng ransomware, seperti Dharma, STOP, Globe, dan lainnya, kurang pilih-pilih, dan Anda bisa menjadi sasaran operasi ransomware.

Selengkapnya: Bleeping Computer

Bangkok Airways terkena serangan ransomware LockBit, kehilangan banyak data setelah menolak membayar

September 1, 2021 by Winnie the Pooh

Bangkok Airways telah mengungkapkan bahwa mereka adalah korban serangan siber dari kelompok ransomware LockBit pada 23 Agustus, yang mengakibatkan penerbitan data curian.

Pengumuman Bangkok Airways tentang masalah itu datang Kamis lalu, sehari setelah LockBit memposting pesan di portal web gelapnya yang mengancam maskapai untuk membayar uang tebusan atau data mereka akan dibocorkan.

Maskapai ini diberi waktu lima hari untuk menyortir pembayaran, tetapi alih-alih membayar, mereka malah mengungkapkan pelanggaran tersebut. LockBit merespons dengan menerbitkan lot. Mengklaim bahwa data yang di dump lebih dari 200GB.

Data tersebut sebagian besar berisi dokumen terkait bisnis, tetapi ada beberapa data pribadi penumpang yang tercampur. Data pribadi mungkin termasuk nama, kewarganegaraan, jenis kelamin, nomor telepon, email, alamat, informasi paspor, riwayat perjalanan, sebagian nomor kartu kredit, dan bahkan preferensi makanan.

Maskapai regional Thailand mengatakan tidak ada sistem keamanan operasional atau aeronautika yang terpengaruh.

Maskapai mengatakan sedang menyelidiki insiden tersebut dan telah memberi tahu lembaga penegak hukum dan pelanggan. Kelompok terakhir disarankan untuk berhati-hati terhadap scammer – terutama siapa pun yang menyamar sebagai Bangkok Airways yang meminta informasi seperti detail kartu kredit.

Selengkapnya: The Register

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Ransomware

Cookies Settings