Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

Peretas dilaporkan mengancam akan membocorkan data dari serangan ransomware Gigabyte

by

Gigabyte telah menjadi korban serangan siber, yang dilaporkan merupakan hasil kerja perusahaan ransomware bernama RansomEXX.

Saat ini, beberapa bagian situs web Gigabyte, termasuk bagian dukungannya, sedang tidak aktif, memberikan masalah kepada pelanggan saat mencoba mengakses informasi dan pembaruan perbaikan garansi. Para peretas yang mengklaim telah melakukan serangan itu dilaporkan mengancam akan merilis data dari perusahaan, termasuk dokumen rahasia dari Intel, AMD, dan American Megatrends.

Menurut catatan tebusan dan halaman web darkweb, dilihat oleh Bleeping Computer dan The Record, RansomEXX mengancam untuk mempublikasikan 112GB data yang didapatnya dari Gigabyte dan repo Git Megatrends Amerika.

Bleeping Computer melaporkan bahwa para peretas juga menyertakan tangkapan layar dokumen dari Intel, AMD, dan American Megatrends yang berada di bawah NDA. American Megatrends membuat firmware untuk produsen motherboard dan komputer serta untuk produsen Chromebook tertentu.

Gigabyte tidak menanggapi permintaan komentar, tetapi mengatakan kepada The Record bahwa perusahaan telah mengisolasi server yang terpengaruh, memberi tahu penegak hukum, dan memulai penyelidikan. Gigabyte belum secara terbuka menyebut RansomEXX sebagai pihak yang bertanggung jawab.

Selengkapnya: The Verge

Raksasa perangkat keras komputer GIGABYTE terkena ransomware RansomEXX

by

Pembuat motherboard Taiwan Gigabyte telah dihantam oleh geng ransomware RansomEXX, yang mengancam akan mempublikasikan 112GB data curian kecuali uang tebusan dibayarkan.

Gigabyte terkenal karena motherboardnya, tetapi juga memproduksi komponen dan perangkat keras komputer lainnya, seperti kartu grafis, server pusat data, laptop, dan monitor.

Serangan itu terjadi Selasa malam hingga Rabu dan memaksa perusahaan untuk mematikan sistem di Taiwan. Insiden itu juga memengaruhi beberapa situs web perusahaan, termasuk situs dukungannya dan bagian dari situs web Taiwan.

Pelanggan juga telah melaporkan masalah saat mengakses dokumen dukungan atau menerima informasi terbaru tentang RMA, yang kemungkinan disebabkan oleh serangan ransomware.

Menurut situs berita China United Daily News, Gigabyte mengonfirmasi bahwa mereka mengalami serangan siber yang memengaruhi sejumlah kecil server.

Setelah mendeteksi aktivitas abnormal di jaringan mereka, mereka telah mematikan sistem TI mereka dan memberi tahu penegak hukum.

Sementara Gigabyte belum secara resmi menyatakan operasi ransomware apa yang melakukan serangan itu, BleepingComputer telah mengetahui bahwa itu dilakukan oleh geng RansomEXX.

Ketika operator RansomEXX mengenkripsi jaringan, mereka akan membuat catatan tebusan pada setiap perangkat terenkripsi.

Catatan tebusan ini berisi tautan ke halaman non-publik yang dimaksudkan hanya dapat diakses oleh korban untuk menguji dekripsi satu file dan meninggalkan alamat email untuk memulai negosiasi tebusan.

Sebuah sumber mengirim BleepingComputer tautan ke halaman kebocoran RansomEXX non-publik untuk Gigabytes Technologies, di mana pelaku ancaman mengklaim telah mencuri 112GB data selama serangan.

Selengkapnya: Bleeping Computer

Serangan ransomware Kaseya memicu perlombaan untuk meretas penyedia layanan -peneliti

by

Serangan ransomware pada bulan Juli yang melumpuhkan sebanyak 1.500 organisasi dengan mengkompromikan perangkat lunak manajemen teknologi dari sebuah perusahaan bernama Kaseya telah memicu perlombaan di antara para penjahat yang mencari kerentanan serupa, kata pakar keamanan siber.

Afiliasi dari geng ransomware top berbahasa Rusia yang dikenal sebagai REvil menggunakan dua kelemahan dalam perangkat lunak dari Kaseya yang berbasis di Florida untuk membobol sekitar 50 penyedia layanan terkelola (MSP) yang menggunakan produknya, kata penyelidik.

Sekarang para penjahat melihat betapa kuatnya serangan MSP, “mereka sudah sibuk, mereka sudah pindah dan kita tidak tahu di mana,” kata Victor Gevers, kepala Institut Pengungkapan Kerentanan Belanda nirlaba, yang memperingatkan Kaseya atas kelemahan sebelum serangan.

Gevers mengatakan para penelitinya telah menemukan kerentanan serupa di lebih banyak MSP. Dia menolak menyebutkan nama perusahaan karena mereka belum memperbaiki semua masalah.

Bisnis MSP telah berkembang pesat selama pandemi coronavirus di samping peningkatan pesat dalam pekerjaan jarak jauh.

“Di situlah Anda menemukan akses tepercaya ke sistem pelanggan,” kata Chris Krebs, pemimpin pertama Badan Keamanan Siber dan Keamanan Infrastruktur (CISA) Departemen Keamanan Dalam Negeri AS, yang telah menjadikan ransomware sebagai prioritas utama. “Ini adalah pendekatan yang jauh lebih ekonomis untuk meluncurkan serangan breakout. Dan sulit bagi pelanggan untuk mempertahankannya.”

Selengkapnya: Reuters

‘Situasinya Sangat Serius’: Peretas Ransomware Mengganggu Vaksinasi Covid-19 di Italia

by

Serangkaian serangan siber telah mengganggu vaksinasi COVID-19 di wilayah Lazio Italia—wilayah luas yang mencakup ibu kota negara, Roma.

Serangan, yang tampaknya diluncurkan oleh peretas yang terhubung dengan geng ransomware, untuk sementara melumpuhkan situs web pemerintah Lazio selama akhir pekan, sementara juga melumpuhkan LAZIOCrea, perusahaan pihak ketiga yang bertanggung jawab atas penjadwalan dan pemesanan janji vaksinasi. Data yang terkait dengan basis data kesehatan masyarakat yang besar juga dienkripsi, meskipun pemerintah memiliki cadangan data tersebut, lapor outlet lokal.

ANSA, layanan kabel terkemuka di negara itu, melaporkan bahwa penjahat siber menyusup ke sistem LAZIOCrea sebagai “administrator” dan mampu menyebarkan “malware yang mengenkripsi data pada sistem.” Dalam sebuah posting Facebook, pemerintah setempat mengakui bahwa “operasi yang berkaitan dengan vaksinasi mungkin tertunda” sebagai akibatnya.

“Saat ini kami membela komunitas kami dari serangan teroris ini,” kata Nicola Zingaretti, gubernur Lazio, pada konferensi pers. “Serangan masih berlangsung. Situasinya sangat serius.”

Manajer kesehatan Lazio, Alessio D’Amato, menambahkan bahwa itu adalah “serangan peretas yang sangat kuat, sangat serius… Seluruh CED regional [database] sedang diserang.”

Selengkapnya: Gizmodo

LockBit ransomware merekrut orang dalam untuk menembus jaringan perusahaan

by

Geng ransomware LockBit 2.0 secara aktif merekrut orang dalam perusahaan untuk membantu mereka menembus dan mengenkripsi jaringan. Sebagai imbalannya, orang dalam itu dijanjikan pembayaran jutaan dolar.

Banyak geng ransomware beroperasi sebagai Ransomware-as-a-Service, yang terdiri dari kelompok inti pengembang, yang memelihara ransomware dan situs pembayaran, dan merekrut afiliasi yang melanggar jaringan korban dan mengenkripsi perangkat.

Setiap pembayaran tebusan yang dilakukan korban kemudian dibagi antara kelompok inti dan afiliasi, dengan afiliasi biasanya menerima 70-80% dari jumlah total.

Dengan LockBit 2.0, geng ransomware mencoba menghapus perantara dan merekrut orang dalam untuk memberi mereka akses ke jaringan perusahaan.

Pada bulan Juni, operasi ransomware LockBit mengumumkan peluncuran ransomware-as-a-service LockBit 2.0 baru mereka.

Peluncuran ulang ini mencakup situs Tor yang didesain ulang dan berbagai fitur lanjutan, termasuk mengenkripsi perangkat secara otomatis di jaringan melalui kebijakan grup.

Dengan peluncuran ulang ini, LockBit juga telah mengubah wallpaper Windows yang ditempatkan pada perangkat terenkripsi untuk menawarkan “jutaan dolar” bagi orang dalam perusahaan yang menyediakan akses ke jaringan tempat mereka memiliki akun.

Sumber: BleepingComputer

Selengkapnya: Bleeping Computer

Ransomware ‘Death Kitty’ Terkait dengan Serangan Pelabuhan Afrika Selatan

by

Perusahaan pelabuhan dan kereta api Afrika Selatan tampaknya telah menjadi sasaran dengan jenis ransomware yang dikaitkan oleh para pakar keamanan siber dengan serangkaian pelanggaran data tingkat tinggi yang kemungkinan dilakukan oleh geng-geng kejahatan dari Eropa Timur dan Rusia.

Peretas meninggalkan catatan tebusan di komputer Transnet SOC Ltd., dilihat oleh Bloomberg News, mengklaim bahwa mereka mengenkripsi file perusahaan, termasuk satu terabyte data pribadi, laporan keuangan, dan dokumen lainnya. Catatan itu menginstruksikan perusahaan untuk mengunjungi portal obrolan di web gelap untuk memasuki negosiasi.

Penyelidikan atas motif serangan itu masih berlangsung, kata Menteri Perusahaan Umum Pravin Gordhan dalam sebuah pernyataan pada hari Rabu. Juru bicara Transnet Ayanda Shezi merujuk pada pernyataan menteri dan menolak berkomentar lebih lanjut.

Serangan siber pada 22 Juli menyebabkan perusahaan mengumumkan force majeure di terminal peti kemas dan beralih ke pemrosesan kargo secara manual. Pelabuhan Durban Transnet sendiri menangani lebih dari setengah pengiriman nasional dan merupakan pintu gerbang utama bagi eksportir komoditas lainnya termasuk Republik Demokratik Kongo dan Zambia.

selengkapnya: www.bloomberg.com

SonicWall memperingatkan risiko ransomware ‘kritis’ untuk peralatan VPN EOL SMA 100

by

SonicWall telah mengeluarkan “pemberitahuan keamanan mendesak” yang memperingatkan pelanggan tentang serangan ransomware yang menargetkan produk-produk Secure Mobile Access (SMA) 100 series dan Secure Remote Access (SRA) yang belum ditambal di akhir masa pakainya.

“Melalui kolaborasi dengan pihak ketiga tepercaya, SonicWall telah disadarkan akan pelaku ancaman yang secara aktif menargetkan produk Secure Mobile Access (SMA) 100 series dan Secure Remote Access (SRA) yang menjalankan produk tanpa patch dan end-of-life (EOL) 8. x firmware dalam kampanye ransomware yang akan segera terjadi menggunakan kredensial curian,” kata perusahaan itu.

Menurut SonicWall, serangan tersebut menargetkan kerentanan yang diketahui yang ditambal di versi firmware yang lebih baru, dan tidak berdampak pada produk seri SMA 1000.

“Organisasi yang gagal mengambil tindakan yang tepat untuk mengurangi kerentanan ini pada produk seri SRA dan SMA 100 mereka berada pada risiko serangan ransomware yang ditargetkan,” SonicWall memperingatkan.

selengkapnya : www.bleepingcomputer.com

Pelacak Pembayaran Ransomware Crowdsourced Ini Menunjukkan Berapa Banyak Penjahat Cyber yang Telah Dicuri

by

Serangan Ransomware sedang meningkat, tetapi mengukur cakupan masalah bisa menjadi rumit ketika hanya kasus paling terkenal yang menjadi berita utama. Masuk ke Ransomwhere, pelacak pembayaran ransomware crowdsourced dengan nama kecil yang berarti menyoroti serangan siber yang semakin mengguncang pemerintah dan bisnis di seluruh dunia. Jack Cable, seorang arsitek keamanan di perusahaan konsultan keamanan siber Krebs Stamos Group, meluncurkan situs tersebut pada hari Kamis.

“Hari ini, tidak ada data publik yang komprehensif tentang jumlah total pembayaran ransomware,” tulis Cable di Twitter. “Tanpa data tersebut, kami tidak dapat mengetahui dampak penuh dari ransomware, dan apakah mengambil tindakan tertentu akan mengubah gambaran. Ransomwhere bertujuan untuk mengisi celah itu…”

Cara kerjanya adalah Ransomwhere terus menghitung uang tebusan yang dibayarkan kepada penjahat dunia maya dalam cryptocurrency bitcoin. Ini sebagian besar dimungkinkan karena sifat bitcoin yang transparan: Semua transaksi yang melibatkan cryptocurrency dicatat di blockchain, basis data terdesentralisasi yang bertindak sebagai buku besar publik, sehingga memungkinkan siapa pun untuk melacak transaksi apa pun yang secara khusus terkait dengan grup ransomware.

selengkapnya : gizmodo.com