Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

Ragnarok ransomware merilis master decryptor setelah penonaktifan grup

by

Geng ransomware Ragnarok tampaknya telah berhenti dan merilis kunci master yang dapat mendekripsi file yang dikunci dengan malware mereka.

Pelaku ancaman tidak meninggalkan catatan yang menjelaskan tindakan tersebut; tiba-tiba, mereka mengganti semua korban di situs kebocoran mereka dengan instruksi singkat tentang cara mendekripsi file.

Situs kebocoran telah dilucuti dari elemen visual. Yang tersisa hanyalah teks singkat yang menghubungkan ke arsip yang berisi kunci master dan binari yang menyertainya untuk menggunakannya.

Hingga hari ini, situs kebocoran ransomware Ragnarok menunjukkan 12 korban, ditambahkan antara 7 Juli dan 16 Agustus, kata penyedia intelijen ancaman HackNotice kepada BleepingComputer.

Dengan mencantumkan korban di situs web mereka, Ragnarok berusaha memaksa mereka untuk membayar uang tebusan, di bawah ancaman membocorkan file tidak terenkripsi yang dicuri selama penyusupan.

Perusahaan yang terdaftar berasal dari Prancis, Estonia, Sri Lanka, Turki, Thailand, AS, Malaysia, Hong Kong, Spanyol, dan Italia dan aktif di berbagai sektor mulai dari manufaktur hingga layanan hukum.

Decryptor universal untuk ransomware Ragnarok saat ini sedang dalam pengerjaan. Ini akan segera tersedia dari Emsisoft, sebuah perusahaan yang terkenal karena membantu korban ransomware dengan dekripsi data.

Grup ransomware Ragnarok telah ada setidaknya sejak Januari 2020 dan merenggut puluhan korban setelah menjadi berita utama karena mengeksploitasi kerentanan Citrix ADC tahun lalu.

Selengkapnya: Bleeping Computer

FBI membagikan detail teknis untuk ransomware Hive

by

Biro Investigasi Federal (FBI) telah merilis beberapa detail teknis dan indikator kompromi yang terkait dengan serangan ransomware Hive.

Dalam kejadian yang jarang terjadi, FBI telah menyertakan tautan ke situs kebocoran tempat geng ransomware menerbitkan data yang dicuri dari perusahaan yang tidak membayar.

Hive ransomware bergantung pada beragam taktik, teknik, dan prosedur, yang mempersulit organisasi untuk mempertahankan diri dari serangannya, kata FBI.

Di antara metode yang digunakan geng untuk mendapatkan akses awal dan bergerak secara lateral di jaringan, ada email phishing dengan lampiran berbahaya dan Remote Desktop Protocol (RDP).

Sebelum menerapkan rutinitas enkripsi, ransomware Hive mencuri file yang mereka anggap berharga, untuk menekan korban agar membayar uang tebusan di bawah ancaman kebocoran data.

FBI mengatakan bahwa aktor ancaman mencari proses untuk pencadangan, penyalinan file, dan solusi keamanan (seperti Windows Defender) yang akan menghalangi tugas enkripsi data dan menghentikannya.

Tahap ini diikuti dengan menjatuhkan skrip hive.bat yang melakukan pembersihan rutin dengan menghapus dirinya sendiri setelah menghapus malware Hive yang dapat dieksekusi.

Skrip lain yang disebut shadow.bat bertugas menghapus salinan bayangan, file cadangan, dan snapshot sistem dan kemudian menghapus dirinya sendiri dari host yang disusupi.

FBI mengatakan bahwa beberapa korban ransomware Hive melaporkan telah dihubungi oleh penyerang yang meminta mereka untuk membayar uang tebusan sebagai ganti file yang dicuri.

Selengkapnya: Bleeping Computer

Hampir 73.500 data pasien terkena serangan ransomware di klinik mata di Singapura

by

Serangan ransomware awal bulan ini telah memengaruhi data pribadi dan informasi klinis hampir 73.500 pasien di klinik mata swasta, insiden ketiga yang dilaporkan dalam sebulan.

Informasi tersebut meliputi nama, alamat, nomor kartu identitas, detail kontak dan informasi klinis seperti catatan klinis pasien dan pemindaian mata, kata Eye & Retina Surgeons (ERS) pada Rabu (25 Agustus).

Tetapi klinik mengatakan belum membayar uang tebusan, menambahkan bahwa tidak ada informasi kartu kredit atau rekening bank yang diakses atau dikompromikan.

Kementerian Kesehatan (MOH) mengatakan bahwa sistem TI klinik yang disusupi tidak terhubung ke sistem TI kementerian, seperti Catatan Kesehatan Elektronik Nasional, dan tidak ada serangan siber serupa pada sistem TI Kementerian Kesehatan.

Kementerian menambahkan bahwa mereka telah meminta ERS untuk menyelidiki insiden itu, melakukan tinjauan menyeluruh terhadap sistemnya dan bekerja dengan Badan Keamanan Siber (CSA) untuk “mengambil tindakan mitigasi segera untuk memperkuat pertahanan sibernya”.

Klinik tersebut mengatakan dalam sebuah pernyataan bahwa ia menggunakan “penyedia layanan TI eksternal yang bereputasi dan mapan untuk memberi saran dan memelihara sistem TI-nya, dan berlangganan anti-virus yang sesuai dan perangkat lunak pelindung lainnya, yang diperbarui secara berkala”.

Server dan beberapa terminal komputer di klinik cabang Camden terpengaruh, tetapi sistem TI di cabang Novena tidak.

Meskipun tidak ada data yang bocor ke publik untuk saat ini, klinik tersebut mengatakan akan memantau situasi dengan cermat.

Selengkapnya: The Straits Times

FBI mengirimkan peringatan pertamanya tentang ‘afiliasi ransomware’

by

Biro Investigasi Federal AS hari ini telah menerbitkan nasihat publik pertamanya yang merinci modus operandi “afiliasi ransomware.”

Istilah yang relatif baru, afiliasi ransomware mengacu pada orang atau kelompok yang menyewa akses ke platform Ransomware-as-a-Service (RaaS), mengatur intrusi ke dalam jaringan perusahaan, mengenkripsi file dengan “ransomware sewaan”, dan kemudian mendapatkan komisi dari pemerasan yang berhasil.

Dengan nama OnePercent Group, FBI mengatakan hari ini aktor ancaman ini telah aktif setidaknya sejak November 2020.

Menurut laporan FBI, secara historis, kelompok tersebut terutama mengandalkan taktik berikut untuk serangannya:

  • Menggunakan kampanye email phishing untuk menginfeksi korban dengan trojan IcedID.
  • Menggunakan trojan IcedID untuk menyebarkan muatan tambahan pada jaringan yang terinfeksi.
  • Menggunakan penetration testing framework Cobalt Strike untuk bergerak secara lateral melintasi jaringan korban.
  • Menggunakan RClone untuk mengekstrak data sensitif dari server korban.
  • Data terenkripsi dan meminta tebusan.
  • Menelepon atau mengirim email kepada korban untuk mengancam akan menjual data curian mereka di web gelap jika mereka tidak membayar tepat waktu.

Meskipun FBI tidak secara spesifik menyebut grup tersebut sebagai afiliasi ransomware, sumber di industri keamanan siber mengatakan kepada The Record bahwa OnePercent telah lama berkolaborasi dengan pencipta dan operator ransomware REvil (Sodinokibi) dan juga bekerja dengan operasi Maze dan Egregor.

Selengkapnya: The Record

Pelaku Ancaman Nigeria Meminta Karyawan untuk Menyebarkan Ransomware Dan Menawarkan Hadiah Besar

by

Para peneliti telah menemukan aktor ancaman Nigeria yang mencoba mengubah karyawan sebuah organisasi menjadi Insider Threat dengan meminta mereka untuk menyebarkan ransomware untuk mendapatkan potongan dari keuntungan uang tebusan.

Para peneliti di Abnormal Security mengidentifikasi dan memblokir sejumlah email yang dikirim awal bulan ini kepada beberapa pelanggannya yang menawarkan kepada orang-orang $1 juta dalam bentuk bitcoin untuk menginstal ransomware DemonWare. Para calon penyerang mengatakan mereka memiliki hubungan dengan kelompok ransomware DemonWare, juga dikenal sebagai Black Kingdom atau DEMON, kata mereka.

“Dalam kampanye terbaru ini, pengirim memberi tahu karyawan bahwa jika mereka dapat menyebarkan ransomware di komputer perusahaan atau server Windows, maka mereka akan dibayar $1 juta dalam bentuk bitcoin, atau 40% dari uang tebusan yang diperkirakan $2,5 juta,” tulis para peneliti dalam laporan yang diterbitkan Kamis tentang kampanye tersebut. “Karyawan tersebut diberitahu bahwa mereka dapat meluncurkan ransomware secara fisik atau jarak jauh.”

Kampanye dimulai dengan email awal yang meminta bantuan dari seorang karyawan untuk menginstal ransomware sambil menggantungkan tawaran pembayaran jika orang tersebut mengikutinya. Ini juga memberi penerima cara untuk menghubungi pengirim email.

Setelah dihubungi, pelaku ancaman mengirimi peneliti dua tautan untuk file executable yang dapat diunduh di situs berbagi file WeTransfer atau Mega.nz.

Melalui temuan awal dari penelitian yang dilakukan sebelum mereka membuka mata rantai komunikasi, mereka mengatakan bahwa aktor kemungkinan adalah orang Nigeria.

Kampanye ini juga menyoroti bagaimana penyerang memanfaatkan gagasan orang dalam yang tidak puas untuk mencoba membuat mereka melakukan pekerjaan kotor untuk mereka—sebuah konsep yang juga bukan hal baru, tetapi dapat memberikan wawasan penting tentang cara lain ransomware dapat menemukan jalannya ke jaringan organisasi, catat profesional keamanan lainnya.

Selengkapnya: The Threat Post

Ransomware Magniber 2017 Gunakan Kerentanan PrintNightmare untuk Menginfeksi Korban di Korea Selatan

by

CrowdStrike baru-baru ini mengamati aktivitas baru yang terkait dengan keluarga ransomware 2017, yang dikenal sebagai Magniber, menggunakan kerentanan PrintNighmare pada korban di Korea Selatan. Pada 13 Juli, CrowdStrike berhasil mendeteksi dan mencegah upaya mengeksploitasi kerentanan PrintNightmare, melindungi pelanggan sebelum enkripsi apa pun dilakukan.

Ketika kerentanan PrintNighmare (CVE-2021-34527) diungkapkan, intelijen CrowdStrike menilai kerentanan kemungkinan akan digunakan oleh aktor ancaman karena memungkinkan untuk kemungkinan eksekusi kode jarak jauh (RCE) dan eskalasi hak lokal (LPE). Penilaian ini terbukti akurat mengingat insiden baru-baru ini.

Magniber ransomware pertama kali terlihat pada akhir 2017 yang menargetkan korban di Korea Selatan melalui kampanye malvertising menggunakan Magnitude Exploit Kit (EK). Kampanye Magniber sebelumnya melalui upaya signifikan hanya menginfeksi korban di Korea Selatan, meskipun pada pertengahan 2018 juga terlihat menargetkan korban di negara-negara Asia Pasifik lainnya.

Meskipun ransomware Magniber tampaknya hanya menargetkan Korea Selatan, ia telah aktif sejak 2017. Tim Falcon OverWatch™ juga melihat aktivitas terbaru dari Magniber pada awal Februari 2021, yang mengeksploitasi kerentanan Internet Explorer (CVE-2020-0968) ke secara eksklusif mengkompromikan korban Korea Selatan.

Insiden baru yang melibatkan ransomware Magniber menggunakan kerentanan PrintNightmare Printer Spooler baru-baru ini mengejutkan, tetapi tidak jarang mengingat dampak kerentanan. Beberapa POC telah beredar sejak masalah ini dilaporkan, dan hanya masalah waktu sampai musuh berusaha memanfaatkannya untuk mengkompromikan korban dan mengirimkan muatan berbahaya.

Selengkapnya: Crowdstrike

CES 2021: Intel menambahkan kemampuan deteksi ransomware di tingkat silikon

by

Pada Consumer Electronics Show 2021, Intel mengumumkan penambahan kemampuan pendeteksian ransomware ke prosesor Core vPro Generasi ke-11 yang baru melalui peningkatan pada Hardware Shield dan Threat Detection Technology (TDT).

Kemitraan dengan Cybereason yang berbasis di Boston juga diumumkan, dengan perusahaan keamanan diharapkan dapat menambahkan dukungan untuk fitur-fitur baru ini ke perangkat lunak keamanannya pada paruh pertama tahun 2021.

Kedua perusahaan mengatakan bahwa ini akan menandai kasus pertama di mana “perangkat keras PC memainkan peran langsung” dalam mendeteksi serangan ransomware.

Di belakang layar, semua ini dimungkinkan melalui dua fitur Intel, yaitu Hardware Shield dan Intel Threat Detection Technology (TDT). Keduanya merupakan bagian fitur dari Intel vPro, kumpulan teknologi yang berpusat pada perusahaan yang dikirimkan oleh Intel dengan beberapa prosesornya.

Hardware Shield, teknologi yang mengunci UEFI/BIOS dan TDT, teknologi yang menggunakan telemetri CPU untuk mendeteksi kemungkinan adanya kode berbahaya.

Kedua teknologi ini bekerja pada CPU secara langsung, banyak lapisan di bawah ancaman berbasis perangkat lunak, seperti malware, tetapi juga solusi antivirus. Ide di balik fitur-fitur baru Intel adalah untuk membagikan beberapa datanya dengan perangkat lunak keamanan dan memungkinkannya untuk menemukan malware yang mungkin bersembunyi di tempat-tempat yang tidak dapat dijangkau oleh aplikasi antivirus.

Menurut Intel dan Cybereason, teknologi baru ini seharusnya memungkinkan perusahaan untuk mendeteksi serangan ransomware ketika jenis ransomware mencoba menghindari deteksi dengan bersembunyi di dalam mesin virtual, karena Hardware Shield dan TDT menjalankan banyak lapisan di bawahnya.

Selengkapnya: ZDNet

Perusahaan besar lain terkena serangan ransomware

by

(CNN Business) – Accenture, perusahaan konsultan global, telah dihantam oleh geng ransomware LockBit, menurut situs web kelompok penjahat siber.

File terenkripsi Accenture (ACN) akan dirilis oleh grup di dark web pada hari Rabu kecuali perusahaan membayar uang tebusan, klaim LockBit, menurut tangkapan layar situs web yang ditinjau oleh CNN Business dan Emsisoft, sebuah perusahaan keamanan siber.

Stacey Jones, juru bicara Accenture, mengkonfirmasi insiden keamanan siber kepada CNN Business pada hari Rabu, tetapi tidak secara eksplisit mengakui serangan ransomware.

Geng ransomware LockBit pertama kali muncul pada September 2019, menurut profil grup Emsisoft. LockBit, seperti banyak geng ransomware lainnya, menyewakan perangkat lunak berbahayanya kepada afiliasi kriminal pihak ketiga yang kemudian menerima potongan tebusan sebagai imbalan untuk menanamkan kode ke jaringan korban.

Tahun berikutnya, Interpol memperingatkan lonjakan serangan menggunakan perangkat lunak berbahaya LockBit. Korban utama kelompok itu termasuk Merseyrail, jaringan kereta api Inggris, dan Press Trust of India, sebuah organisasi berita India, menurut Emsisoft.

Ransomware telah menjadi ancaman kritis bagi keamanan nasional dan ekonomi, kata pemerintah AS, di tengah serangkaian serangan terhadap target perusahaan dan infrastruktur. Awal tahun ini, serangan oleh kelompok DarkSide memaksa Colonial Pipeline untuk menutup operasi distribusi bahan bakarnya, menyebabkan kekurangan bensin secara nasional.

Selengkapnya: CNN