Ransomware

Ransomware Magniber 2017 Gunakan Kerentanan PrintNightmare untuk Menginfeksi Korban di Korea Selatan

August 16, 2021 by Winnie the Pooh

CrowdStrike baru-baru ini mengamati aktivitas baru yang terkait dengan keluarga ransomware 2017, yang dikenal sebagai Magniber, menggunakan kerentanan PrintNighmare pada korban di Korea Selatan. Pada 13 Juli, CrowdStrike berhasil mendeteksi dan mencegah upaya mengeksploitasi kerentanan PrintNightmare, melindungi pelanggan sebelum enkripsi apa pun dilakukan.

Ketika kerentanan PrintNighmare (CVE-2021-34527) diungkapkan, intelijen CrowdStrike menilai kerentanan kemungkinan akan digunakan oleh aktor ancaman karena memungkinkan untuk kemungkinan eksekusi kode jarak jauh (RCE) dan eskalasi hak lokal (LPE). Penilaian ini terbukti akurat mengingat insiden baru-baru ini.

Magniber ransomware pertama kali terlihat pada akhir 2017 yang menargetkan korban di Korea Selatan melalui kampanye malvertising menggunakan Magnitude Exploit Kit (EK). Kampanye Magniber sebelumnya melalui upaya signifikan hanya menginfeksi korban di Korea Selatan, meskipun pada pertengahan 2018 juga terlihat menargetkan korban di negara-negara Asia Pasifik lainnya.

Meskipun ransomware Magniber tampaknya hanya menargetkan Korea Selatan, ia telah aktif sejak 2017. Tim Falcon OverWatch™ juga melihat aktivitas terbaru dari Magniber pada awal Februari 2021, yang mengeksploitasi kerentanan Internet Explorer (CVE-2020-0968) ke secara eksklusif mengkompromikan korban Korea Selatan.

Insiden baru yang melibatkan ransomware Magniber menggunakan kerentanan PrintNightmare Printer Spooler baru-baru ini mengejutkan, tetapi tidak jarang mengingat dampak kerentanan. Beberapa POC telah beredar sejak masalah ini dilaporkan, dan hanya masalah waktu sampai musuh berusaha memanfaatkannya untuk mengkompromikan korban dan mengirimkan muatan berbahaya.

Selengkapnya: Crowdstrike

CES 2021: Intel menambahkan kemampuan deteksi ransomware di tingkat silikon

August 16, 2021 by Winnie the Pooh

Pada Consumer Electronics Show 2021, Intel mengumumkan penambahan kemampuan pendeteksian ransomware ke prosesor Core vPro Generasi ke-11 yang baru melalui peningkatan pada Hardware Shield dan Threat Detection Technology (TDT).

Kemitraan dengan Cybereason yang berbasis di Boston juga diumumkan, dengan perusahaan keamanan diharapkan dapat menambahkan dukungan untuk fitur-fitur baru ini ke perangkat lunak keamanannya pada paruh pertama tahun 2021.

Kedua perusahaan mengatakan bahwa ini akan menandai kasus pertama di mana “perangkat keras PC memainkan peran langsung” dalam mendeteksi serangan ransomware.

Di belakang layar, semua ini dimungkinkan melalui dua fitur Intel, yaitu Hardware Shield dan Intel Threat Detection Technology (TDT). Keduanya merupakan bagian fitur dari Intel vPro, kumpulan teknologi yang berpusat pada perusahaan yang dikirimkan oleh Intel dengan beberapa prosesornya.

Hardware Shield, teknologi yang mengunci UEFI/BIOS dan TDT, teknologi yang menggunakan telemetri CPU untuk mendeteksi kemungkinan adanya kode berbahaya.

Kedua teknologi ini bekerja pada CPU secara langsung, banyak lapisan di bawah ancaman berbasis perangkat lunak, seperti malware, tetapi juga solusi antivirus. Ide di balik fitur-fitur baru Intel adalah untuk membagikan beberapa datanya dengan perangkat lunak keamanan dan memungkinkannya untuk menemukan malware yang mungkin bersembunyi di tempat-tempat yang tidak dapat dijangkau oleh aplikasi antivirus.

Menurut Intel dan Cybereason, teknologi baru ini seharusnya memungkinkan perusahaan untuk mendeteksi serangan ransomware ketika jenis ransomware mencoba menghindari deteksi dengan bersembunyi di dalam mesin virtual, karena Hardware Shield dan TDT menjalankan banyak lapisan di bawahnya.

Selengkapnya: ZDNet

Perusahaan besar lain terkena serangan ransomware

August 12, 2021 by Winnie the Pooh

(CNN Business) – Accenture, perusahaan konsultan global, telah dihantam oleh geng ransomware LockBit, menurut situs web kelompok penjahat siber.

File terenkripsi Accenture (ACN) akan dirilis oleh grup di dark web pada hari Rabu kecuali perusahaan membayar uang tebusan, klaim LockBit, menurut tangkapan layar situs web yang ditinjau oleh CNN Business dan Emsisoft, sebuah perusahaan keamanan siber.

Stacey Jones, juru bicara Accenture, mengkonfirmasi insiden keamanan siber kepada CNN Business pada hari Rabu, tetapi tidak secara eksplisit mengakui serangan ransomware.

Geng ransomware LockBit pertama kali muncul pada September 2019, menurut profil grup Emsisoft. LockBit, seperti banyak geng ransomware lainnya, menyewakan perangkat lunak berbahayanya kepada afiliasi kriminal pihak ketiga yang kemudian menerima potongan tebusan sebagai imbalan untuk menanamkan kode ke jaringan korban.

Tahun berikutnya, Interpol memperingatkan lonjakan serangan menggunakan perangkat lunak berbahaya LockBit. Korban utama kelompok itu termasuk Merseyrail, jaringan kereta api Inggris, dan Press Trust of India, sebuah organisasi berita India, menurut Emsisoft.

Ransomware telah menjadi ancaman kritis bagi keamanan nasional dan ekonomi, kata pemerintah AS, di tengah serangkaian serangan terhadap target perusahaan dan infrastruktur. Awal tahun ini, serangan oleh kelompok DarkSide memaksa Colonial Pipeline untuk menutup operasi distribusi bahan bakarnya, menyebabkan kekurangan bensin secara nasional.

Selengkapnya: CNN

Peretas dilaporkan mengancam akan membocorkan data dari serangan ransomware Gigabyte

August 10, 2021 by Winnie the Pooh

Gigabyte telah menjadi korban serangan siber, yang dilaporkan merupakan hasil kerja perusahaan ransomware bernama RansomEXX.

Saat ini, beberapa bagian situs web Gigabyte, termasuk bagian dukungannya, sedang tidak aktif, memberikan masalah kepada pelanggan saat mencoba mengakses informasi dan pembaruan perbaikan garansi. Para peretas yang mengklaim telah melakukan serangan itu dilaporkan mengancam akan merilis data dari perusahaan, termasuk dokumen rahasia dari Intel, AMD, dan American Megatrends.

Menurut catatan tebusan dan halaman web darkweb, dilihat oleh Bleeping Computer dan The Record, RansomEXX mengancam untuk mempublikasikan 112GB data yang didapatnya dari Gigabyte dan repo Git Megatrends Amerika.

Bleeping Computer melaporkan bahwa para peretas juga menyertakan tangkapan layar dokumen dari Intel, AMD, dan American Megatrends yang berada di bawah NDA. American Megatrends membuat firmware untuk produsen motherboard dan komputer serta untuk produsen Chromebook tertentu.

Gigabyte tidak menanggapi permintaan komentar, tetapi mengatakan kepada The Record bahwa perusahaan telah mengisolasi server yang terpengaruh, memberi tahu penegak hukum, dan memulai penyelidikan. Gigabyte belum secara terbuka menyebut RansomEXX sebagai pihak yang bertanggung jawab.

Selengkapnya: The Verge

Raksasa perangkat keras komputer GIGABYTE terkena ransomware RansomEXX

August 9, 2021 by Winnie the Pooh

Pembuat motherboard Taiwan Gigabyte telah dihantam oleh geng ransomware RansomEXX, yang mengancam akan mempublikasikan 112GB data curian kecuali uang tebusan dibayarkan.

Gigabyte terkenal karena motherboardnya, tetapi juga memproduksi komponen dan perangkat keras komputer lainnya, seperti kartu grafis, server pusat data, laptop, dan monitor.

Serangan itu terjadi Selasa malam hingga Rabu dan memaksa perusahaan untuk mematikan sistem di Taiwan. Insiden itu juga memengaruhi beberapa situs web perusahaan, termasuk situs dukungannya dan bagian dari situs web Taiwan.

Pelanggan juga telah melaporkan masalah saat mengakses dokumen dukungan atau menerima informasi terbaru tentang RMA, yang kemungkinan disebabkan oleh serangan ransomware.

Menurut situs berita China United Daily News, Gigabyte mengonfirmasi bahwa mereka mengalami serangan siber yang memengaruhi sejumlah kecil server.

Setelah mendeteksi aktivitas abnormal di jaringan mereka, mereka telah mematikan sistem TI mereka dan memberi tahu penegak hukum.

Sementara Gigabyte belum secara resmi menyatakan operasi ransomware apa yang melakukan serangan itu, BleepingComputer telah mengetahui bahwa itu dilakukan oleh geng RansomEXX.

Ketika operator RansomEXX mengenkripsi jaringan, mereka akan membuat catatan tebusan pada setiap perangkat terenkripsi.

Catatan tebusan ini berisi tautan ke halaman non-publik yang dimaksudkan hanya dapat diakses oleh korban untuk menguji dekripsi satu file dan meninggalkan alamat email untuk memulai negosiasi tebusan.

Sebuah sumber mengirim BleepingComputer tautan ke halaman kebocoran RansomEXX non-publik untuk Gigabytes Technologies, di mana pelaku ancaman mengklaim telah mencuri 112GB data selama serangan.

Selengkapnya: Bleeping Computer

Serangan ransomware Kaseya memicu perlombaan untuk meretas penyedia layanan -peneliti

August 5, 2021 by Winnie the Pooh

Serangan ransomware pada bulan Juli yang melumpuhkan sebanyak 1.500 organisasi dengan mengkompromikan perangkat lunak manajemen teknologi dari sebuah perusahaan bernama Kaseya telah memicu perlombaan di antara para penjahat yang mencari kerentanan serupa, kata pakar keamanan siber.

Afiliasi dari geng ransomware top berbahasa Rusia yang dikenal sebagai REvil menggunakan dua kelemahan dalam perangkat lunak dari Kaseya yang berbasis di Florida untuk membobol sekitar 50 penyedia layanan terkelola (MSP) yang menggunakan produknya, kata penyelidik.

Sekarang para penjahat melihat betapa kuatnya serangan MSP, “mereka sudah sibuk, mereka sudah pindah dan kita tidak tahu di mana,” kata Victor Gevers, kepala Institut Pengungkapan Kerentanan Belanda nirlaba, yang memperingatkan Kaseya atas kelemahan sebelum serangan.

Gevers mengatakan para penelitinya telah menemukan kerentanan serupa di lebih banyak MSP. Dia menolak menyebutkan nama perusahaan karena mereka belum memperbaiki semua masalah.

Bisnis MSP telah berkembang pesat selama pandemi coronavirus di samping peningkatan pesat dalam pekerjaan jarak jauh.

“Di situlah Anda menemukan akses tepercaya ke sistem pelanggan,” kata Chris Krebs, pemimpin pertama Badan Keamanan Siber dan Keamanan Infrastruktur (CISA) Departemen Keamanan Dalam Negeri AS, yang telah menjadikan ransomware sebagai prioritas utama. “Ini adalah pendekatan yang jauh lebih ekonomis untuk meluncurkan serangan breakout. Dan sulit bagi pelanggan untuk mempertahankannya.”

Selengkapnya: Reuters

‘Situasinya Sangat Serius’: Peretas Ransomware Mengganggu Vaksinasi Covid-19 di Italia

August 5, 2021 by Winnie the Pooh

Serangkaian serangan siber telah mengganggu vaksinasi COVID-19 di wilayah Lazio Italia—wilayah luas yang mencakup ibu kota negara, Roma.

Serangan, yang tampaknya diluncurkan oleh peretas yang terhubung dengan geng ransomware, untuk sementara melumpuhkan situs web pemerintah Lazio selama akhir pekan, sementara juga melumpuhkan LAZIOCrea, perusahaan pihak ketiga yang bertanggung jawab atas penjadwalan dan pemesanan janji vaksinasi. Data yang terkait dengan basis data kesehatan masyarakat yang besar juga dienkripsi, meskipun pemerintah memiliki cadangan data tersebut, lapor outlet lokal.

ANSA, layanan kabel terkemuka di negara itu, melaporkan bahwa penjahat siber menyusup ke sistem LAZIOCrea sebagai “administrator” dan mampu menyebarkan “malware yang mengenkripsi data pada sistem.” Dalam sebuah posting Facebook, pemerintah setempat mengakui bahwa “operasi yang berkaitan dengan vaksinasi mungkin tertunda” sebagai akibatnya.

“Saat ini kami membela komunitas kami dari serangan teroris ini,” kata Nicola Zingaretti, gubernur Lazio, pada konferensi pers. “Serangan masih berlangsung. Situasinya sangat serius.”

Manajer kesehatan Lazio, Alessio D’Amato, menambahkan bahwa itu adalah “serangan peretas yang sangat kuat, sangat serius… Seluruh CED regional [database] sedang diserang.”

Selengkapnya: Gizmodo

LockBit ransomware merekrut orang dalam untuk menembus jaringan perusahaan

August 5, 2021 by Winnie the Pooh

Geng ransomware LockBit 2.0 secara aktif merekrut orang dalam perusahaan untuk membantu mereka menembus dan mengenkripsi jaringan. Sebagai imbalannya, orang dalam itu dijanjikan pembayaran jutaan dolar.

Banyak geng ransomware beroperasi sebagai Ransomware-as-a-Service, yang terdiri dari kelompok inti pengembang, yang memelihara ransomware dan situs pembayaran, dan merekrut afiliasi yang melanggar jaringan korban dan mengenkripsi perangkat.

Setiap pembayaran tebusan yang dilakukan korban kemudian dibagi antara kelompok inti dan afiliasi, dengan afiliasi biasanya menerima 70-80% dari jumlah total.

Dengan LockBit 2.0, geng ransomware mencoba menghapus perantara dan merekrut orang dalam untuk memberi mereka akses ke jaringan perusahaan.

Pada bulan Juni, operasi ransomware LockBit mengumumkan peluncuran ransomware-as-a-service LockBit 2.0 baru mereka.

Peluncuran ulang ini mencakup situs Tor yang didesain ulang dan berbagai fitur lanjutan, termasuk mengenkripsi perangkat secara otomatis di jaringan melalui kebijakan grup.

Dengan peluncuran ulang ini, LockBit juga telah mengubah wallpaper Windows yang ditempatkan pada perangkat terenkripsi untuk menawarkan “jutaan dolar” bagi orang dalam perusahaan yang menyediakan akses ke jaringan tempat mereka memiliki akun.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Ransomware

Cookies Settings