Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

Mengapa peretas ransomware menyukai liburan akhir pekan

by

Pada hari Jumat menjelang akhir pekan Memorial Day tahun ini, ada raksasa pengolahan daging JBS. Pada hari Jumat sebelum Empat Juli, itu adalah perusahaan perangkat lunak manajemen TI Kaseya dan, dengan perluasan, lebih dari seribu bisnis dengan berbagai ukuran. Masih harus dilihat apakah Hari Buruh akan melihat kehancuran ransomware tingkat tinggi juga, tetapi satu hal yang jelas: peretas menyukai liburan.

Dan meskipun ini bukan hal baru, peringatan bersama yang dikeluarkan minggu ini oleh FBI dan Badan Keamanan Cybersecurity dan Infrastruktur menggarisbawahi betapa seriusnya ancaman itu.

Daya tarik bagi penyerang cukup mudah. Ransomware dapat membutuhkan waktu untuk menyebar ke seluruh jaringan, karena peretas bekerja untuk meningkatkan hak istimewa untuk kontrol maksimum atas sebagian besar sistem. Semakin lama bagi siapa pun untuk memperhatikan gerak gerik mereka, semakin banyak kerusakan yang dapat mereka lakukan.

“Secara intuitif, masuk akal bahwa para defender mungkin kurang perhatian selama liburan, sebagian besar karena pengurangan staf,” kata Katie Nickels, direktur intelijen di perusahaan keamanan Red Canary. “Jika insiden besar terjadi selama liburan, mungkin lebih sulit bagi para defender untuk membawa personel yang diperlukan untuk merespons dengan cepat.”

Insiden besar itulah yang kemungkinan menarik perhatian FBI dan CISA; selain insiden JBS dan Kaseya, serangan Colonial Pipeline juga terjadi selama akhir pekan Hari Ibu.

Ada beberapa langkah yang dapat diambil perusahaan dan individu untuk melindungi diri mereka dari peretasan dengan lebih baik, baik menjelang akhir pekan yang panjang dan seterusnya. Rekomendasi FBI dan CISA menggemakan praktik terbaik untuk sebagian besar situasi keamanan siber: jangan klik tautan yang mencurigakan.

Selengkapnya: Ars Technica

Geng Ransomware menargetkan perusahaan menggunakan kriteria ini

by

Geng Ransomware semakin banyak membeli akses ke jaringan korban di pasar dark web dan dari pelaku ancaman lainnya. Menganalisis iklan keinginan mereka memungkinkan untuk melihat ke dalam pada jenis perusahaan yang ditargetkan operasi ransomware.

Setelah memeriksa “iklan keinginan” geng ransomware, perusahaan intelijen keamanan siber KELA telah menyusun daftar kriteria yang dicari oleh operasi penargetan perusahaan yang lebih besar di sebuah perusahaan untuk serangan mereka.

Dengan menganalisis iklan yang diinginkan dari hampir dua puluh pos yang dibuat oleh pelaku ancaman yang terkait dengan geng ransomware, peneliti KELA dapat menemukan karakteristik perusahaan berikut yang menjadi sasaran:

  • Geografi: Geng Ransomware lebih memilih korban yang berlokasi di AS, Kanada, Australia, dan Eropa.
  • Pendapatan: KELA menyatakan bahwa pendapatan minimum rata-rata yang diinginkan oleh geng ransomware adalah $100 juta. Namun, ini bisa berbeda tergantung pada lokasi geografis korban.
  • Daftar blokir sektor: Sementara beberapa geng mengatakan mereka menghindari industri kesehatan, mereka kurang pilih-pilih tentang industri lain dari perusahaan yang mereka serang. Namun, setelah serangan Colonial Pipeline, Metropolitan Police Department, dan JBS, banyak geng ransomware mulai menghindari sektor tertentu.
  • Daftar blokir negara: Sebagian besar operasi ransomware besar secara khusus menghindari menyerang perusahaan yang berlokasi di Commonwealth of Independent States (CIS) karena mereka yakin jika mereka tidak menargetkan negara-negara tersebut, otoritas lokal tidak akan menargetkan mereka.

    Negara-negara yang diblokir ini termasuk Rusia, Ukraina, Moldova, Belarus, Kirgistan, Kazakhstan, Armenia, Tajikistan, Turkmenistan, dan Uzbekistan.

Sayangnya, meskipun sebuah perusahaan tidak memenuhi kriteria di atas, bukan berarti mereka aman.

Banyak geng ransomware, seperti Dharma, STOP, Globe, dan lainnya, kurang pilih-pilih, dan Anda bisa menjadi sasaran operasi ransomware.

Selengkapnya: Bleeping Computer

Bangkok Airways terkena serangan ransomware LockBit, kehilangan banyak data setelah menolak membayar

by

Bangkok Airways telah mengungkapkan bahwa mereka adalah korban serangan siber dari kelompok ransomware LockBit pada 23 Agustus, yang mengakibatkan penerbitan data curian.

Pengumuman Bangkok Airways tentang masalah itu datang Kamis lalu, sehari setelah LockBit memposting pesan di portal web gelapnya yang mengancam maskapai untuk membayar uang tebusan atau data mereka akan dibocorkan.

Maskapai ini diberi waktu lima hari untuk menyortir pembayaran, tetapi alih-alih membayar, mereka malah mengungkapkan pelanggaran tersebut. LockBit merespons dengan menerbitkan lot. Mengklaim bahwa data yang di dump lebih dari 200GB.

Data tersebut sebagian besar berisi dokumen terkait bisnis, tetapi ada beberapa data pribadi penumpang yang tercampur. Data pribadi mungkin termasuk nama, kewarganegaraan, jenis kelamin, nomor telepon, email, alamat, informasi paspor, riwayat perjalanan, sebagian nomor kartu kredit, dan bahkan preferensi makanan.

Maskapai regional Thailand mengatakan tidak ada sistem keamanan operasional atau aeronautika yang terpengaruh.

Maskapai mengatakan sedang menyelidiki insiden tersebut dan telah memberi tahu lembaga penegak hukum dan pelanggan. Kelompok terakhir disarankan untuk berhati-hati terhadap scammer – terutama siapa pun yang menyamar sebagai Bangkok Airways yang meminta informasi seperti detail kartu kredit.

Selengkapnya: The Register

Ragnarok ransomware merilis master decryptor setelah penonaktifan grup

by

Geng ransomware Ragnarok tampaknya telah berhenti dan merilis kunci master yang dapat mendekripsi file yang dikunci dengan malware mereka.

Pelaku ancaman tidak meninggalkan catatan yang menjelaskan tindakan tersebut; tiba-tiba, mereka mengganti semua korban di situs kebocoran mereka dengan instruksi singkat tentang cara mendekripsi file.

Situs kebocoran telah dilucuti dari elemen visual. Yang tersisa hanyalah teks singkat yang menghubungkan ke arsip yang berisi kunci master dan binari yang menyertainya untuk menggunakannya.

Hingga hari ini, situs kebocoran ransomware Ragnarok menunjukkan 12 korban, ditambahkan antara 7 Juli dan 16 Agustus, kata penyedia intelijen ancaman HackNotice kepada BleepingComputer.

Dengan mencantumkan korban di situs web mereka, Ragnarok berusaha memaksa mereka untuk membayar uang tebusan, di bawah ancaman membocorkan file tidak terenkripsi yang dicuri selama penyusupan.

Perusahaan yang terdaftar berasal dari Prancis, Estonia, Sri Lanka, Turki, Thailand, AS, Malaysia, Hong Kong, Spanyol, dan Italia dan aktif di berbagai sektor mulai dari manufaktur hingga layanan hukum.

Decryptor universal untuk ransomware Ragnarok saat ini sedang dalam pengerjaan. Ini akan segera tersedia dari Emsisoft, sebuah perusahaan yang terkenal karena membantu korban ransomware dengan dekripsi data.

Grup ransomware Ragnarok telah ada setidaknya sejak Januari 2020 dan merenggut puluhan korban setelah menjadi berita utama karena mengeksploitasi kerentanan Citrix ADC tahun lalu.

Selengkapnya: Bleeping Computer

FBI membagikan detail teknis untuk ransomware Hive

by

Biro Investigasi Federal (FBI) telah merilis beberapa detail teknis dan indikator kompromi yang terkait dengan serangan ransomware Hive.

Dalam kejadian yang jarang terjadi, FBI telah menyertakan tautan ke situs kebocoran tempat geng ransomware menerbitkan data yang dicuri dari perusahaan yang tidak membayar.

Hive ransomware bergantung pada beragam taktik, teknik, dan prosedur, yang mempersulit organisasi untuk mempertahankan diri dari serangannya, kata FBI.

Di antara metode yang digunakan geng untuk mendapatkan akses awal dan bergerak secara lateral di jaringan, ada email phishing dengan lampiran berbahaya dan Remote Desktop Protocol (RDP).

Sebelum menerapkan rutinitas enkripsi, ransomware Hive mencuri file yang mereka anggap berharga, untuk menekan korban agar membayar uang tebusan di bawah ancaman kebocoran data.

FBI mengatakan bahwa aktor ancaman mencari proses untuk pencadangan, penyalinan file, dan solusi keamanan (seperti Windows Defender) yang akan menghalangi tugas enkripsi data dan menghentikannya.

Tahap ini diikuti dengan menjatuhkan skrip hive.bat yang melakukan pembersihan rutin dengan menghapus dirinya sendiri setelah menghapus malware Hive yang dapat dieksekusi.

Skrip lain yang disebut shadow.bat bertugas menghapus salinan bayangan, file cadangan, dan snapshot sistem dan kemudian menghapus dirinya sendiri dari host yang disusupi.

FBI mengatakan bahwa beberapa korban ransomware Hive melaporkan telah dihubungi oleh penyerang yang meminta mereka untuk membayar uang tebusan sebagai ganti file yang dicuri.

Selengkapnya: Bleeping Computer

Hampir 73.500 data pasien terkena serangan ransomware di klinik mata di Singapura

by

Serangan ransomware awal bulan ini telah memengaruhi data pribadi dan informasi klinis hampir 73.500 pasien di klinik mata swasta, insiden ketiga yang dilaporkan dalam sebulan.

Informasi tersebut meliputi nama, alamat, nomor kartu identitas, detail kontak dan informasi klinis seperti catatan klinis pasien dan pemindaian mata, kata Eye & Retina Surgeons (ERS) pada Rabu (25 Agustus).

Tetapi klinik mengatakan belum membayar uang tebusan, menambahkan bahwa tidak ada informasi kartu kredit atau rekening bank yang diakses atau dikompromikan.

Kementerian Kesehatan (MOH) mengatakan bahwa sistem TI klinik yang disusupi tidak terhubung ke sistem TI kementerian, seperti Catatan Kesehatan Elektronik Nasional, dan tidak ada serangan siber serupa pada sistem TI Kementerian Kesehatan.

Kementerian menambahkan bahwa mereka telah meminta ERS untuk menyelidiki insiden itu, melakukan tinjauan menyeluruh terhadap sistemnya dan bekerja dengan Badan Keamanan Siber (CSA) untuk “mengambil tindakan mitigasi segera untuk memperkuat pertahanan sibernya”.

Klinik tersebut mengatakan dalam sebuah pernyataan bahwa ia menggunakan “penyedia layanan TI eksternal yang bereputasi dan mapan untuk memberi saran dan memelihara sistem TI-nya, dan berlangganan anti-virus yang sesuai dan perangkat lunak pelindung lainnya, yang diperbarui secara berkala”.

Server dan beberapa terminal komputer di klinik cabang Camden terpengaruh, tetapi sistem TI di cabang Novena tidak.

Meskipun tidak ada data yang bocor ke publik untuk saat ini, klinik tersebut mengatakan akan memantau situasi dengan cermat.

Selengkapnya: The Straits Times

FBI mengirimkan peringatan pertamanya tentang ‘afiliasi ransomware’

by

Biro Investigasi Federal AS hari ini telah menerbitkan nasihat publik pertamanya yang merinci modus operandi “afiliasi ransomware.”

Istilah yang relatif baru, afiliasi ransomware mengacu pada orang atau kelompok yang menyewa akses ke platform Ransomware-as-a-Service (RaaS), mengatur intrusi ke dalam jaringan perusahaan, mengenkripsi file dengan “ransomware sewaan”, dan kemudian mendapatkan komisi dari pemerasan yang berhasil.

Dengan nama OnePercent Group, FBI mengatakan hari ini aktor ancaman ini telah aktif setidaknya sejak November 2020.

Menurut laporan FBI, secara historis, kelompok tersebut terutama mengandalkan taktik berikut untuk serangannya:

  • Menggunakan kampanye email phishing untuk menginfeksi korban dengan trojan IcedID.
  • Menggunakan trojan IcedID untuk menyebarkan muatan tambahan pada jaringan yang terinfeksi.
  • Menggunakan penetration testing framework Cobalt Strike untuk bergerak secara lateral melintasi jaringan korban.
  • Menggunakan RClone untuk mengekstrak data sensitif dari server korban.
  • Data terenkripsi dan meminta tebusan.
  • Menelepon atau mengirim email kepada korban untuk mengancam akan menjual data curian mereka di web gelap jika mereka tidak membayar tepat waktu.

Meskipun FBI tidak secara spesifik menyebut grup tersebut sebagai afiliasi ransomware, sumber di industri keamanan siber mengatakan kepada The Record bahwa OnePercent telah lama berkolaborasi dengan pencipta dan operator ransomware REvil (Sodinokibi) dan juga bekerja dengan operasi Maze dan Egregor.

Selengkapnya: The Record

Pelaku Ancaman Nigeria Meminta Karyawan untuk Menyebarkan Ransomware Dan Menawarkan Hadiah Besar

by

Para peneliti telah menemukan aktor ancaman Nigeria yang mencoba mengubah karyawan sebuah organisasi menjadi Insider Threat dengan meminta mereka untuk menyebarkan ransomware untuk mendapatkan potongan dari keuntungan uang tebusan.

Para peneliti di Abnormal Security mengidentifikasi dan memblokir sejumlah email yang dikirim awal bulan ini kepada beberapa pelanggannya yang menawarkan kepada orang-orang $1 juta dalam bentuk bitcoin untuk menginstal ransomware DemonWare. Para calon penyerang mengatakan mereka memiliki hubungan dengan kelompok ransomware DemonWare, juga dikenal sebagai Black Kingdom atau DEMON, kata mereka.

“Dalam kampanye terbaru ini, pengirim memberi tahu karyawan bahwa jika mereka dapat menyebarkan ransomware di komputer perusahaan atau server Windows, maka mereka akan dibayar $1 juta dalam bentuk bitcoin, atau 40% dari uang tebusan yang diperkirakan $2,5 juta,” tulis para peneliti dalam laporan yang diterbitkan Kamis tentang kampanye tersebut. “Karyawan tersebut diberitahu bahwa mereka dapat meluncurkan ransomware secara fisik atau jarak jauh.”

Kampanye dimulai dengan email awal yang meminta bantuan dari seorang karyawan untuk menginstal ransomware sambil menggantungkan tawaran pembayaran jika orang tersebut mengikutinya. Ini juga memberi penerima cara untuk menghubungi pengirim email.

Setelah dihubungi, pelaku ancaman mengirimi peneliti dua tautan untuk file executable yang dapat diunduh di situs berbagi file WeTransfer atau Mega.nz.

Melalui temuan awal dari penelitian yang dilakukan sebelum mereka membuka mata rantai komunikasi, mereka mengatakan bahwa aktor kemungkinan adalah orang Nigeria.

Kampanye ini juga menyoroti bagaimana penyerang memanfaatkan gagasan orang dalam yang tidak puas untuk mencoba membuat mereka melakukan pekerjaan kotor untuk mereka—sebuah konsep yang juga bukan hal baru, tetapi dapat memberikan wawasan penting tentang cara lain ransomware dapat menemukan jalannya ke jaringan organisasi, catat profesional keamanan lainnya.

Selengkapnya: The Threat Post