Ransomware

TrickBot Botnet Ditemukan Menyebarkan Ransomware Baru yang Disebut Diavol

July 6, 2021 by Winnie the Pooh

Pelaku ancaman di balik malware TrickBot yang terkenal telah dikaitkan dengan jenis ransomware baru bernama “Diavol,” menurut penelitian terbaru.

Muatan ransomware Diavol dan Conti dikerahkan pada sistem yang berbeda dalam kasus serangan yang gagal menargetkan salah satu pelanggannya awal bulan ini, kata peneliti dari FortiGuard Labs Fortinet minggu lalu.

TrickBot, Trojan perbankan yang pertama kali terdeteksi pada tahun 2016, secara tradisional merupakan solusi crimeware berbasis Windows, menggunakan modul yang berbeda untuk melakukan berbagai aktivitas berbahaya di jaringan target, termasuk pencurian kredensial dan melakukan serangan ransomware.

Terlepas dari upaya penegakan hukum untuk menetralisir jaringan bot, malware yang terus berkembang telah terbukti menjadi ancaman yang tangguh, dengan operator yang berbasis di Rusia – dijuluki “Wizard Spider” – dengan cepat mengadaptasi alat baru untuk melakukan serangan lebih lanjut.

Diavol dikatakan telah dikerahkan di alam liar dalam satu insiden hingga saat ini. Sumber intrusi masih belum diketahui. Yang jelas, bagaimanapun, adalah bahwa kode sumber payload memiliki kesamaan dengan Conti, meskipun catatan tebusan telah ditemukan untuk menggunakan kembali beberapa bahasa dari ransomware Egregor.

Aspek lain dari ransomware yang menonjol adalah ketergantungannya pada teknik anti-analisis untuk mengaburkan kodenya dalam bentuk gambar bitmap, dari mana rutinitas dimuat ke dalam buffer dengan izin eksekusi.

Selengkapnya: The Hacker News

Peretas Rusia REvil menuntut $70 JUTA untuk kunci dekripsi

July 6, 2021 by Winnie the Pooh

Serangan ransomware terbesar dalam sejarah telah menghantam sistem TI hingga 1 juta perusahaan di hampir setiap benua ketika peretas yang terkait dengan Rusia menuntut $70 juta dalam cryptocurrency untuk memperbaikinya.

Toko kelontong Swedia, sekolah di Selandia Baru, dan dua perusahaan IT besar Belanda termasuk di antara korban kelompok peretasan REvil yang meluncurkan serangannya pada hari Jumat setelah melanggar sistem perusahaan perangkat lunak yang berbasis di AS Kaseya.

REvi yang telah menuntut uang tebusan hingga $5 juta dari masing-masing perusahaan – namun sekarang mengatakan meminta $70 juta dan akan membuka kunci semua jaringan yang terpengaruh.

Analis mengatakan bukan kebetulan bahwa serangan terakhir bertepatan dengan akhir pekan 4 Juli, ketika perusahaan akan kekurangan staf dan kurang mampu merespons.

Di antara korban yang dilaporkan adalah dua perusahaan besar layanan TI Belanda – VelzArt dan Hoppenbrouwer Techniek.

Tetapi sebagian besar korban diyakini adalah usaha kecil hingga menengah dan layanan publik yang tidak mungkin mengumumkan bahwa mereka telah terinfeksi – seperti praktik gigi, firma arsitektur, pusat operasi plastik, dan perpustakaan.

Peretas berhasil menjatuhkan perusahaan dengan menyusup ke VSA, perangkat lunak Kaseya yang digunakan untuk mengelola jaringan TI yang jauh lebih besar. Peretasan semacam itu dikenal sebagai serangan ‘rantai pasokan’.

Para ahli mengatakan fakta bahwa REvil meminta uang tebusan sebesar $70 juta untuk mengembalikan semua jaringan yang terpengaruh menunjukkan bahwa peretasannya jauh lebih luas daripada yang diantisipasi oleh peretas itu sendiri.

Selengkapnya: Daily Mail UK

CISA merilis alat audit keamanan penilaian mandiri ransomware baru

July 2, 2021 by Winnie the Pooh

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) telah merilis Ransomware Readiness Assessment (RRA), modul baru untuk Alat Evaluasi Keamanan Cyber (CSET).

RRA adalah alat penilaian mandiri audit keamanan untuk organisasi yang ingin lebih memahami seberapa baik mereka diperlengkapi untuk bertahan dan pulih dari serangan ransomware yang menargetkan teknologi informasi (TI), teknologi operasional (OT), atau sistem kontrol industri (ICS) mereka. aktiva.

Modul CSET ini dirancang RRA untuk menilai berbagai tingkat kesiapan ancaman ransomware untuk membantu semua organisasi terlepas dari kematangan keamanan siber mereka.

“RRA juga menyediakan jalur yang jelas untuk perbaikan dan berisi perkembangan pertanyaan yang berkembang berjenjang berdasarkan kategori dasar, menengah, dan lanjutan,” kata CISA di halaman wiki alat.

“Ini dimaksudkan untuk membantu organisasi meningkatkan dengan berfokus pada dasar-dasar terlebih dahulu, dan kemudian berkembang dengan menerapkan praktik melalui kategori menengah dan lanjutan.”

CISA mengatakan RRA dapat digunakan untuk bertahan melawan ancaman yang berkembang ini karena secara efektif:

Membantu organisasi mengevaluasi postur keamanan siber mereka, sehubungan dengan ransomware, terhadap standar yang diakui dan rekomendasi praktik terbaik secara sistematis, disiplin, dan berulang.
Memandu pemilik aset dan operator melalui proses sistematis untuk mengevaluasi teknologi operasional (OT) dan praktik keamanan jaringan teknologi informasi (TI) mereka terhadap ancaman ransomware.
Menyediakan dasbor analisis dengan grafik dan tabel yang menyajikan hasil penilaian baik dalam bentuk ringkasan maupun detail.

selengkapnya : www.bleepingcomputer.com

Serangan ransomware besar ini digagalkan pada menit terakhir. Begini cara mereka melihatnya

July 2, 2021 by Winnie the Pooh

Geng ransomware menginstal perangkat lunak desktop jarak jauh di lebih dari 100 mesin di seluruh jaringan, dan rencana mereka untuk mengenkripsi jaringan hanya digagalkan pada menit terakhir ketika pakar keamanan siber dipanggil ke perusahaan setelah perangkat lunak mencurigakan ditemukan di jaringannya.

Upaya yang dilakukan oleh penjahat untuk meletakkan dasar untuk serangan ransomware, yang mengakibatkan perangkat lunak akses jarak jauh yang sah diinstal pada 130 titik akhir, ditemukan ketika perusahaan keamanan Sophos dibawa untuk menyelidiki perusahaan yang tidak disebutkan namanya setelah Cobalt Strike terdeteksi di jaringannya.

Cobalt Strike adalah alat pengujian penetrasi yang sah, tetapi biasanya digunakan oleh penjahat cyber pada tahap awal serangan ransomware. Salah satu alasan yang digunakan oleh penjahat cyber adalah sebagian berjalan di memori, sehingga sulit untuk dideteksi.

Tujuan dari geng tersebut adalah untuk mengenkripsi sebanyak mungkin jaringan dengan REvil ransomware, tetapi karena penjahat cyber terdeteksi sebelum mereka dapat menyelesaikan persiapan mereka, serangan itu tidak berhasil – meskipun mereka berhasil mengenkripsi data pada beberapa perangkat yang tidak terlindungi. dan menghapus cadangan online setelah mereka menyadari bahwa mereka telah ditemukan oleh penyelidik.

selengkapnya : www.zdnet.com

Decryptor ransomware Lorenz memulihkan file korban secara gratis

July 1, 2021 by Winnie the Pooh

Perusahaan keamanan siber Belanda Tesorion telah merilis decryptor gratis untuk ransomware Lorenz, yang memungkinkan korban memulihkan beberapa file mereka secara gratis tanpa membayar uang tebusan.

Lorenz adalah ransomware yang dioperasikan manusia yang mulai beroperasi pada April 2021 dan sejak itu telah mendaftarkan dua belas korban yang datanya mereka curi dan bocorkan di situs kebocoran data ransomware mereka.

Alat dekripsi ransomware Lorenz dapat diunduh dari NoMoreRansom dan akan memungkinkan korban memulihkan beberapa file terenkripsi mereka.

Tidak seperti decryptor ransomware lain yang menyertakan kunci dekripsi sebenarnya, decryptor Tesorion beroperasi secara berbeda dan hanya dapat mendekripsi jenis file tertentu.

Peneliti Tesorion Gijs Rijnders mengatakan kepada BleepingComputer bahwa hanya file dengan struktur file terkenal yang dapat didekripsi, seperti dokumen Office, file PDF, beberapa jenis gambar, dan file film.

Sementara decryptor akan mendekripsi tidak semua jenis file, masih akan memungkinkan mereka yang tidak membayar uang tebusan untuk memulihkan file penting.

selengkapnya : www.bleepingcomputer.com

Geng Ransomware sekarang membuat situs web untuk merekrut afiliasi

June 30, 2021 by Winnie the Pooh

Sejak dua forum kejahatan dunia maya terkemuka berbahasa Rusia melarang topik terkait ransomware, operasi kriminal telah dipaksa untuk mempromosikan layanan mereka melalui metode alternatif.

Setidaknya dua geng ransomware yang membutuhkan peretas untuk menjalankan serangan telah menggunakan situs mereka untuk mengiklankan fitur alat enkripsi mereka untuk menarik anggota baru.

Sekitar seminggu yang lalu, geng ransomware LockBit mengumumkan versi utama baru untuk alat mereka, mengklaim peningkatan yang signifikan untuk kecepatan enkripsi.

Untuk mendukung klaim mereka, pelaku ancaman tampaknya menguji versi beberapa potongan ransomware dan mempublikasikan pengukuran mereka untuk kecepatan enkripsi file.

Dengan meluncurkan LockBit 2.0, pengembang ransomware juga mengumumkan sesi rekrutmen afiliasi baru, menyoroti bahwa enkripsi yang mereka gunakan tidak goyah sejak operasi dimulai pada September 2019.

Untuk menarik mitra, LockBit mengklaim menawarkan enkripsi tercepat dan alat pencurian file (StealBit) “di seluruh dunia.”

Langkah dari LockBit ini terjadi setelah aktor pada akhir Mei mencoba untuk mendapatkan pembicaraan ransomware kembali di forum berbahasa Rusia yang populer dengan mengusulkan bagian pribadi hanya untuk “pengguna otoritatif, di mana tidak ada keraguan.”

Perusahaan intelijen ancaman KELA mengatakan bahwa tidak semua kelompok ransomware sekeras ini dalam pencarian afiliasi mereka.

Geng REvil, misalnya, lebih suka beroperasi secara rahasia dan bergantung pada jaringan afiliasi dan koneksinya untuk mendapatkan mitra baru saat mereka membutuhkannya, kata KELA.

Selengkapnya: Bleeping Computer

Ransomware baru menyoroti adopsi luas dari bahasa Golang oleh penyerang siber

June 30, 2021 by Winnie the Pooh

Jenis ransomware baru yang menggunakan Golang menyoroti peningkatan adopsi bahasa pemrograman tersebut oleh aktor ancaman.

CrowdStrike mengamankan sampel varian ransomware baru, yang belum disebutkan namanya, yang meminjam fitur dari HelloKitty/DeathRansom dan FiveHands.

Jenis ransomware ini diperkirakan telah aktif sejak 2019 dan telah dikaitkan dengan serangan terhadap pembuat Cyberpunk 2077, CD Projekt Red (CDPR), serta organisasi perusahaan.

Sampel yang ditemukan mengungkapkan fungsi yang mirip dengan HelloKitty dan FiveHands, dengan komponen yang ditulis dalam C++, serta cara malware mengenkripsi file dan menerima argumen baris perintah.

Namun, tidak seperti HelloKitty dan FiveHands, jenis ransomware baru ini telah mengadopsi paket yang ditulis dalam Go yang mengenkripsi muatan ransomware C++-nya.

Menurut Intezer, malware yang memanfaatkan Go adalah kejadian langka sebelum 2019, tetapi sekarang, bahasa pemrograman tersebut adalah pilihan populer karena kemudahan kompilasi kode dengan cepat untuk berbagai platform dan kesulitannya untuk merekayasa balik. Tingkat sampel telah meningkat sekitar 2.000% dalam beberapa tahun terakhir.

Sampel CrowdStrike menggunakan Golang versi terbaru, v.1.16, yang dirilis pada Februari 2021.

Selain penggunaan Go, sampel berisi fungsi khas ransomware — termasuk kemampuan untuk mengenkripsi file dan disk, serta mengeluarkan permintaan pembayaran sebagai imbalan atas kunci dekripsi.

Selengkapnya: ZDNet

DMARC: Garis Pertahanan Pertama Terhadap Ransomware

June 30, 2021 by Winnie the Pooh

Ada banyak buzz di industri tentang ransomware akhir-akhir ini. Hampir setiap hari, itu menjadi berita utama. Dengan bisnis di seluruh dunia menahan napas, takut mereka mungkin menjadi korban serangan ransomware besar berikutnya, sekarang saatnya untuk mengambil tindakan.

Laporan FBI IC3 tahun 2020 mengklasifikasikan Ransomware sebagai kejahatan dunia maya yang paling merusak secara finansial tahun ini, tanpa peningkatan besar pada tahun 2021.

Bukankah lebih baik jika Anda bisa mencegah serangan ransomware dari awal? DMARC dapat membuat klaim yang tampaknya mustahil ini menjadi peluang bagi pemilik domain!

Ransomware adalah perangkat lunak berbahaya yang menginstal sendiri di komputer Anda tanpa izin Anda. Itu kemudian mengenkripsi data Anda, dan Anda hanya bisa mendapatkannya kembali dengan membayar tebusan.

Sebagai akibat dari meningkatnya serangan Ransomware pada bisnis global, CISA menganggap email phishing sebagai salah satu vektor ancaman yang paling kuat.

Badan Keamanan Infrastruktur Keamanan Siber pemerintah AS telah merekomendasikan, dalam Panduan Perlindungan Ransomware mereka, bahwa semua bisnis, termasuk lembaga pemerintah, untuk menerapkan DMARC sedini mungkin untuk mengurangi kemungkinan email palsu atau diubah dari domain yang valid.

Alasannya adalah DMARC dibuat berdasarkan standar autentikasi email seperti SPF dan DKIM, yang mengautentikasi sumber pengiriman, dan memastikan bahwa penerima email Anda tidak pernah tertipu.

Menerapkan DMARC analyzer di organisasi Anda memastikan Anda terlindungi dari peniruan identitas semaksimal mungkin. Alat ini memudahkan untuk mengonfigurasi DMARC untuk domain Anda dan beralih ke kebijakan yang diberlakukan dalam beberapa hari.

Selengkapnya: The Hacker News

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Ransomware

Cookies Settings