Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

Ransomware ‘Death Kitty’ Terkait dengan Serangan Pelabuhan Afrika Selatan

by

Perusahaan pelabuhan dan kereta api Afrika Selatan tampaknya telah menjadi sasaran dengan jenis ransomware yang dikaitkan oleh para pakar keamanan siber dengan serangkaian pelanggaran data tingkat tinggi yang kemungkinan dilakukan oleh geng-geng kejahatan dari Eropa Timur dan Rusia.

Peretas meninggalkan catatan tebusan di komputer Transnet SOC Ltd., dilihat oleh Bloomberg News, mengklaim bahwa mereka mengenkripsi file perusahaan, termasuk satu terabyte data pribadi, laporan keuangan, dan dokumen lainnya. Catatan itu menginstruksikan perusahaan untuk mengunjungi portal obrolan di web gelap untuk memasuki negosiasi.

Penyelidikan atas motif serangan itu masih berlangsung, kata Menteri Perusahaan Umum Pravin Gordhan dalam sebuah pernyataan pada hari Rabu. Juru bicara Transnet Ayanda Shezi merujuk pada pernyataan menteri dan menolak berkomentar lebih lanjut.

Serangan siber pada 22 Juli menyebabkan perusahaan mengumumkan force majeure di terminal peti kemas dan beralih ke pemrosesan kargo secara manual. Pelabuhan Durban Transnet sendiri menangani lebih dari setengah pengiriman nasional dan merupakan pintu gerbang utama bagi eksportir komoditas lainnya termasuk Republik Demokratik Kongo dan Zambia.

selengkapnya: www.bloomberg.com

SonicWall memperingatkan risiko ransomware ‘kritis’ untuk peralatan VPN EOL SMA 100

by

SonicWall telah mengeluarkan “pemberitahuan keamanan mendesak” yang memperingatkan pelanggan tentang serangan ransomware yang menargetkan produk-produk Secure Mobile Access (SMA) 100 series dan Secure Remote Access (SRA) yang belum ditambal di akhir masa pakainya.

“Melalui kolaborasi dengan pihak ketiga tepercaya, SonicWall telah disadarkan akan pelaku ancaman yang secara aktif menargetkan produk Secure Mobile Access (SMA) 100 series dan Secure Remote Access (SRA) yang menjalankan produk tanpa patch dan end-of-life (EOL) 8. x firmware dalam kampanye ransomware yang akan segera terjadi menggunakan kredensial curian,” kata perusahaan itu.

Menurut SonicWall, serangan tersebut menargetkan kerentanan yang diketahui yang ditambal di versi firmware yang lebih baru, dan tidak berdampak pada produk seri SMA 1000.

“Organisasi yang gagal mengambil tindakan yang tepat untuk mengurangi kerentanan ini pada produk seri SRA dan SMA 100 mereka berada pada risiko serangan ransomware yang ditargetkan,” SonicWall memperingatkan.

selengkapnya : www.bleepingcomputer.com

Pelacak Pembayaran Ransomware Crowdsourced Ini Menunjukkan Berapa Banyak Penjahat Cyber yang Telah Dicuri

by

Serangan Ransomware sedang meningkat, tetapi mengukur cakupan masalah bisa menjadi rumit ketika hanya kasus paling terkenal yang menjadi berita utama. Masuk ke Ransomwhere, pelacak pembayaran ransomware crowdsourced dengan nama kecil yang berarti menyoroti serangan siber yang semakin mengguncang pemerintah dan bisnis di seluruh dunia. Jack Cable, seorang arsitek keamanan di perusahaan konsultan keamanan siber Krebs Stamos Group, meluncurkan situs tersebut pada hari Kamis.

“Hari ini, tidak ada data publik yang komprehensif tentang jumlah total pembayaran ransomware,” tulis Cable di Twitter. “Tanpa data tersebut, kami tidak dapat mengetahui dampak penuh dari ransomware, dan apakah mengambil tindakan tertentu akan mengubah gambaran. Ransomwhere bertujuan untuk mengisi celah itu…”

Cara kerjanya adalah Ransomwhere terus menghitung uang tebusan yang dibayarkan kepada penjahat dunia maya dalam cryptocurrency bitcoin. Ini sebagian besar dimungkinkan karena sifat bitcoin yang transparan: Semua transaksi yang melibatkan cryptocurrency dicatat di blockchain, basis data terdesentralisasi yang bertindak sebagai buku besar publik, sehingga memungkinkan siapa pun untuk melacak transaksi apa pun yang secara khusus terkait dengan grup ransomware.

selengkapnya : gizmodo.com

TrickBot Botnet Ditemukan Menyebarkan Ransomware Baru yang Disebut Diavol

by

Pelaku ancaman di balik malware TrickBot yang terkenal telah dikaitkan dengan jenis ransomware baru bernama “Diavol,” menurut penelitian terbaru.

Muatan ransomware Diavol dan Conti dikerahkan pada sistem yang berbeda dalam kasus serangan yang gagal menargetkan salah satu pelanggannya awal bulan ini, kata peneliti dari FortiGuard Labs Fortinet minggu lalu.

TrickBot, Trojan perbankan yang pertama kali terdeteksi pada tahun 2016, secara tradisional merupakan solusi crimeware berbasis Windows, menggunakan modul yang berbeda untuk melakukan berbagai aktivitas berbahaya di jaringan target, termasuk pencurian kredensial dan melakukan serangan ransomware.

Terlepas dari upaya penegakan hukum untuk menetralisir jaringan bot, malware yang terus berkembang telah terbukti menjadi ancaman yang tangguh, dengan operator yang berbasis di Rusia – dijuluki “Wizard Spider” – dengan cepat mengadaptasi alat baru untuk melakukan serangan lebih lanjut.

Diavol dikatakan telah dikerahkan di alam liar dalam satu insiden hingga saat ini. Sumber intrusi masih belum diketahui. Yang jelas, bagaimanapun, adalah bahwa kode sumber payload memiliki kesamaan dengan Conti, meskipun catatan tebusan telah ditemukan untuk menggunakan kembali beberapa bahasa dari ransomware Egregor.

Aspek lain dari ransomware yang menonjol adalah ketergantungannya pada teknik anti-analisis untuk mengaburkan kodenya dalam bentuk gambar bitmap, dari mana rutinitas dimuat ke dalam buffer dengan izin eksekusi.

Selengkapnya: The Hacker News

Peretas Rusia REvil menuntut $70 JUTA untuk kunci dekripsi

by

Serangan ransomware terbesar dalam sejarah telah menghantam sistem TI hingga 1 juta perusahaan di hampir setiap benua ketika peretas yang terkait dengan Rusia menuntut $70 juta dalam cryptocurrency untuk memperbaikinya.

Toko kelontong Swedia, sekolah di Selandia Baru, dan dua perusahaan IT besar Belanda termasuk di antara korban kelompok peretasan REvil yang meluncurkan serangannya pada hari Jumat setelah melanggar sistem perusahaan perangkat lunak yang berbasis di AS Kaseya.

REvi yang telah menuntut uang tebusan hingga $5 juta dari masing-masing perusahaan – namun sekarang mengatakan meminta $70 juta dan akan membuka kunci semua jaringan yang terpengaruh.

Analis mengatakan bukan kebetulan bahwa serangan terakhir bertepatan dengan akhir pekan 4 Juli, ketika perusahaan akan kekurangan staf dan kurang mampu merespons.

Di antara korban yang dilaporkan adalah dua perusahaan besar layanan TI Belanda – VelzArt dan Hoppenbrouwer Techniek.

Tetapi sebagian besar korban diyakini adalah usaha kecil hingga menengah dan layanan publik yang tidak mungkin mengumumkan bahwa mereka telah terinfeksi – seperti praktik gigi, firma arsitektur, pusat operasi plastik, dan perpustakaan.

Peretas berhasil menjatuhkan perusahaan dengan menyusup ke VSA, perangkat lunak Kaseya yang digunakan untuk mengelola jaringan TI yang jauh lebih besar. Peretasan semacam itu dikenal sebagai serangan ‘rantai pasokan’.

Para ahli mengatakan fakta bahwa REvil meminta uang tebusan sebesar $70 juta untuk mengembalikan semua jaringan yang terpengaruh menunjukkan bahwa peretasannya jauh lebih luas daripada yang diantisipasi oleh peretas itu sendiri.

Selengkapnya: Daily Mail UK

CISA merilis alat audit keamanan penilaian mandiri ransomware baru

by

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) telah merilis Ransomware Readiness Assessment (RRA), modul baru untuk Alat Evaluasi Keamanan Cyber ​​(CSET).

RRA adalah alat penilaian mandiri audit keamanan untuk organisasi yang ingin lebih memahami seberapa baik mereka diperlengkapi untuk bertahan dan pulih dari serangan ransomware yang menargetkan teknologi informasi (TI), teknologi operasional (OT), atau sistem kontrol industri (ICS) mereka. aktiva.

Modul CSET ini dirancang RRA untuk menilai berbagai tingkat kesiapan ancaman ransomware untuk membantu semua organisasi terlepas dari kematangan keamanan siber mereka.

“RRA juga menyediakan jalur yang jelas untuk perbaikan dan berisi perkembangan pertanyaan yang berkembang berjenjang berdasarkan kategori dasar, menengah, dan lanjutan,” kata CISA di halaman wiki alat.

“Ini dimaksudkan untuk membantu organisasi meningkatkan dengan berfokus pada dasar-dasar terlebih dahulu, dan kemudian berkembang dengan menerapkan praktik melalui kategori menengah dan lanjutan.”

CISA mengatakan RRA dapat digunakan untuk bertahan melawan ancaman yang berkembang ini karena secara efektif:

  1. Membantu organisasi mengevaluasi postur keamanan siber mereka, sehubungan dengan ransomware, terhadap standar yang diakui dan rekomendasi praktik terbaik secara sistematis, disiplin, dan berulang.
  2. Memandu pemilik aset dan operator melalui proses sistematis untuk mengevaluasi teknologi operasional (OT) dan praktik keamanan jaringan teknologi informasi (TI) mereka terhadap ancaman ransomware.
  3. Menyediakan dasbor analisis dengan grafik dan tabel yang menyajikan hasil penilaian baik dalam bentuk ringkasan maupun detail.

selengkapnya : www.bleepingcomputer.com

Serangan ransomware besar ini digagalkan pada menit terakhir. Begini cara mereka melihatnya

by

Geng ransomware menginstal perangkat lunak desktop jarak jauh di lebih dari 100 mesin di seluruh jaringan, dan rencana mereka untuk mengenkripsi jaringan hanya digagalkan pada menit terakhir ketika pakar keamanan siber dipanggil ke perusahaan setelah perangkat lunak mencurigakan ditemukan di jaringannya.

Upaya yang dilakukan oleh penjahat untuk meletakkan dasar untuk serangan ransomware, yang mengakibatkan perangkat lunak akses jarak jauh yang sah diinstal pada 130 titik akhir, ditemukan ketika perusahaan keamanan Sophos dibawa untuk menyelidiki perusahaan yang tidak disebutkan namanya setelah Cobalt Strike terdeteksi di jaringannya.

Cobalt Strike adalah alat pengujian penetrasi yang sah, tetapi biasanya digunakan oleh penjahat cyber pada tahap awal serangan ransomware. Salah satu alasan yang digunakan oleh penjahat cyber adalah sebagian berjalan di memori, sehingga sulit untuk dideteksi.

Tujuan dari geng tersebut adalah untuk mengenkripsi sebanyak mungkin jaringan dengan REvil ransomware, tetapi karena penjahat cyber terdeteksi sebelum mereka dapat menyelesaikan persiapan mereka, serangan itu tidak berhasil – meskipun mereka berhasil mengenkripsi data pada beberapa perangkat yang tidak terlindungi. dan menghapus cadangan online setelah mereka menyadari bahwa mereka telah ditemukan oleh penyelidik.

selengkapnya : www.zdnet.com

Decryptor ransomware Lorenz memulihkan file korban secara gratis

by

Perusahaan keamanan siber Belanda Tesorion telah merilis decryptor gratis untuk ransomware Lorenz, yang memungkinkan korban memulihkan beberapa file mereka secara gratis tanpa membayar uang tebusan.

Lorenz adalah ransomware yang dioperasikan manusia yang mulai beroperasi pada April 2021 dan sejak itu telah mendaftarkan dua belas korban yang datanya mereka curi dan bocorkan di situs kebocoran data ransomware mereka.

Alat dekripsi ransomware Lorenz dapat diunduh dari NoMoreRansom dan akan memungkinkan korban memulihkan beberapa file terenkripsi mereka.

Tidak seperti decryptor ransomware lain yang menyertakan kunci dekripsi sebenarnya, decryptor Tesorion beroperasi secara berbeda dan hanya dapat mendekripsi jenis file tertentu.

Peneliti Tesorion Gijs Rijnders mengatakan kepada BleepingComputer bahwa hanya file dengan struktur file terkenal yang dapat didekripsi, seperti dokumen Office, file PDF, beberapa jenis gambar, dan file film.

Sementara decryptor akan mendekripsi tidak semua jenis file, masih akan memungkinkan mereka yang tidak membayar uang tebusan untuk memulihkan file penting.

selengkapnya : www.bleepingcomputer.com