Ransomware

Encryptor Linux baru dari REvil ransomware menargetkan mesin virtual ESXi

June 29, 2021 by Winnie the Pooh

Operasi ransomware REvil sekarang menggunakan encryptor Linux yang menargetkan dan mengenkripsi mesin virtual Vmware ESXi.

Dengan berpindahnya perusahaan ke mesin virtual untuk pencadangan yang lebih mudah, manajemen perangkat, dan penggunaan sumber daya yang efisien, geng ransomware semakin menciptakan alat mereka sendiri untuk mengenkripsi penyimpanan massal yang digunakan oleh VM.

Pada bulan Mei, Yelisey Boguslavskiy dari Advanced Intel membagikan posting forum dari operasi REvil di mana mereka mengkonfirmasi bahwa mereka telah merilis versi Linux dari encryptor mereka yang juga dapat bekerja pada perangkat NAS.

Kemarin, peneliti keamanan MalwareHunterTeam menemukan versi Linux dari ransomware REvil (alias Sodinokibi) yang juga tampaknya menargetkan server ESXi.

Vitali Kremez dari Advanced Intel, yang menganalisis varian baru REvil Linux, mengatakan kepada BleepingComputer bahwa ini adalah ELF64 yang dapat dieksekusi dan mencakup opsi konfigurasi yang sama yang digunakan oleh Windows executable yang lebih umum.

Kremez menyatakan bahwa ini adalah pertama kalinya varian Linux tersedia untuk umum sejak dirilis.

File hash yang terkait dengan encryptor REvil Linux telah dikumpulkan oleh peneliti keamanan Jaime Blasco dan dibagikan di Open Threat Exchange Alienvault.

Selengkapnya: Bleeping Computer

Wormable DarkRadiation Ransomware Menargetkan Instance Linux dan Docker

June 24, 2021 by Winnie the Pooh

Peneliti cybersecurity membunyikan bel alarm atas jenis ransomware baru yang disebut “DarkRadiation” yang diimplementasikan sepenuhnya di Bash dan menargetkan container cloud Linux dan Docker, sambil mengandalkan layanan perpesanan Telegram untuk komunikasi perintah dan kontrol (C2).

“Ransomware ditulis dalam skrip Bash dan menargetkan distribusi Red Hat/CentOS dan Debian Linux,” kata peneliti dari Trend Micro dalam sebuah laporan yang diterbitkan minggu lalu. Malware ini menggunakan algoritma AES OpenSSL dengan mode CBC untuk mengenkripsi file di berbagai direktori. Malware ini juga menggunakan API Telegram untuk mengirim status infeksi ke pelaku ancaman”.

Pada saat penulisan artikel ini, tidak ada informasi yang tersedia tentang metode pengiriman atau bukti bahwa ransomware telah digunakan dalam serangan dunia nyata.

Rantai infeksi DarkRadiation melibatkan proses serangan multi-tahap dan patut diperhatikan karena ketergantungannya yang luas pada skrip Bash untuk mengambil malware dan mengenkripsi file serta Telegram API untuk berkomunikasi dengan server C2 melalui kunci API yang di-hardcode.

Dikatakan sedang dalam tahap pengembangan, ransomware memanfaatkan taktik kebingungan untuk mengacak skrip Bash menggunakan alat sumber terbuka yang disebut “node-bash-obfuscate” untuk membagi kode menjadi beberapa bagian, diikuti dengan menetapkan nama variabel untuk setiap segmen dan mengganti skrip asli dengan referensi variabel.

Selengkapnya: The Hacker News

Polisi Ukraina Menangkap Enam Orang Yang Terlibat dengan CLOP Ransomware

June 21, 2021 by Winnie the Pooh

Pihak berwenang di Ukraina minggu ini mendakwa enam orang yang diduga menjadi bagian dari kelompok ransomware CLOP, sebuah geng penjahat dunia maya dikatakan telah memeras lebih dari setengah miliar dolar dari para korban. Beberapa korban CLOP tahun ini saja termasuk Stanford University Medical School, University of California, dan University of Maryland.

Menurut pernyataan dan video yang dirilis, Polisi Cyber Ukraina mendakwa enam terdakwa dengan berbagai kejahatan komputer yang terkait dengan geng CLOP, dan melakukan 21 pencarian di seluruh wilayah Kyiv.

Debut pertama pada awal 2019, CLOP adalah salah satu dari beberapa kelompok ransomware yang meretas ke dalam organisasi, meluncurkan ransomware yang mengenkripsi file dan server, dan kemudian meminta pembayaran pemerasan sebagai imbalan atas kunci digital yang diperlukan untuk membuka kunci akses.

CLOP telah sangat sibuk selama enam bulan terakhir mengeksploitasi empat kerentanan zero-day yang berbeda di File Transfer Appliance (FTA), produk berbagi file yang dibuat oleh Accellion yang berbasis di California.

Geng CLOP memanfaatkan kelemahan tersebut untuk menyebarkan ransomware ke sejumlah besar pelanggan FTA Accellion, termasuk jaringan grosir AS Krogers, firma hukum Jones Day, firma keamanan Qualys, dan raksasa telekomunikasi Singapura Singtel.

Tidak jelas seberapa besar operasi penegakan hukum oleh otoritas Ukraina ini akan mempengaruhi keseluruhan operasi kelompok CLOP. Perusahaan intelijen cybersecurity Intel 471 mengatakan penggerebekan penegakan hukum di Ukraina terbatas pada sisi cash-out dan pencucian uang dari bisnis CLOP saja.

Selengkpanya: Krebs On Security

Di dalam serangan ransomware: bagaimana jaringan gelap penjahat dunia maya berkolaborasi untuk melakukannya

June 21, 2021 by Winnie the Pooh

Dalam komunike Carbis Bay mereka, G7 mengumumkan niat mereka untuk bekerja sama mengatasi kelompok ransomware. Beberapa hari kemudian, Presiden AS Joe Biden bertemu dengan Presiden Rusia Vladimir Putin, di mana proses ekstradisi untuk membawa penjahat siber Rusia ke pengadilan di AS dibahas. Putin dilaporkan setuju pada prinsipnya, tetapi bersikeras bahwa ekstradisi harus dilakukan secara timbal balik.

Masalah penegakan hukum adalah bahwa ransomware – suatu bentuk malware yang digunakan untuk mencuri data organisasi dan menyimpannya untuk tebusan – adalah suatu hal yang susah ditangkap. Tidak hanya itu kejahatan campuran, termasuk pelanggaran yang berbeda di berbagai badan hukum, tetapi juga kejahatan yang mengangkangi kewenangan lembaga kepolisian yang berbeda dan, dalam banyak kasus, negara. Dan tidak ada satu pelaku utama. Serangan Ransomware melibatkan jaringan terdistribusi dari penjahat dunia maya yang berbeda, seringkali tidak diketahui satu sama lain untuk mengurangi risiko penangkapan.

Serangan Ransomware juga berubah. Model bisnis industri kriminal telah bergeser ke arah ransomware-as-a-service. Ini berarti operator menyediakan perangkat lunak berbahaya, mengelola sistem pemerasan dan pembayaran, serta mengelola reputasi “merek”. Tetapi untuk mengurangi risiko penangkapan, mereka merekrut afiliasi dengan komisi yang besar untuk menggunakan perangkat lunak mereka untuk meluncurkan serangan.

Untuk mengurangi risiko tertangkap, kelompok pelaku cenderung mengembangkan dan menguasai keterampilan khusus untuk berbagai tahap serangan. Kelompok-kelompok ini mendapat manfaat dari saling ketergantungan ini, karena mengimbangi tanggung jawab pidana di setiap tahap.

Mereka mungkin dibeli oleh “broker akses awal”, yang berspesialisasi dalam mendapatkan akses awal ke sistem komputer sebelum menjual detail akses tersebut kepada calon penyerang ransomware.

Ekosistem ini terus berkembang. Misalnya, perkembangan baru-baru ini adalah munculnya “konsultan ransomware”, yang memungut biaya untuk menasihati pelanggar pada tahap-tahap utama serangan.

Selengkapnya: The Conversation

Langkah Pertama: Akses Awal Menyebabkan Ransomware

June 17, 2021 by Winnie the Pooh

Serangan Ransomware masih menggunakan email — tetapi tidak seperti yang Anda kira. Operator Ransomware sering membeli akses dari kelompok penjahat cyber independen yang menyusup ke target utama dan kemudian menjual akses ke pelaku ransomware untuk mendapatkan keuntungan yang tidak semestinya. Kelompok ancaman kejahatan dunia maya yang telah mendistribusikan malware perbankan atau trojan lain juga dapat menjadi bagian dari jaringan afiliasi ransomware. Hasilnya adalah ekosistem kriminal yang kuat dan menguntungkan di mana individu dan organisasi yang berbeda semakin mengkhususkan diri pada keuntungan yang lebih besar untuk semua—kecuali, tentu saja, para korban.

Mencegah ransomware melalui email sangatlah mudah: blokir loader, dan Anda memblokir ransomware.

Biasanya, broker akses awal dipahami sebagai pelaku ancaman oportunistik yang memasok afiliasi dan pelaku ancaman kejahatan dunia maya lainnya, misalnya dengan mengiklankan akses untuk dijual di forum. Namun untuk tujuan laporan ini, kami menganggap pialang akses awal sebagai kelompok yang memperoleh akses awal melalui muatan malware tahap pertama dan mungkin atau mungkin tidak bekerja secara langsung dengan pelaku ancaman ransomware.

– Mencegah ransomware hari ini sebagian besar telah bergeser dari ancaman email langsung ke ancaman tidak langsung di mana email hanya bagian dari rantai serangan.
– Pelaku ancaman ransomware memanfaatkan perusahaan penjahat dunia maya – sebagian besar distributor trojan perbankan – untuk penyebaran malware. Fasilitator akses ini mendistribusikan backdoor mereka melalui tautan dan lampiran berbahaya yang dikirim melalui email.
– Trojan perbankan adalah malware paling populer yang didistribusikan melalui email, mewakili hampir 20% malware yang terlihat dalam data Proofpoint pada paruh pertama tahun 2021.
– Proofpoint saat ini melacak setidaknya 10 pelaku ancaman yang bertindak sebagai fasilitator akses awal atau kemungkinan afiliasi ransomware.
– Ransomware jarang didistribusikan langsung melalui email. Hanya satu jenis ransomware yang menyumbang 95% dari ransomware sebagai muatan email tahap pertama antara tahun 2020 dan 2021.
– Tidak ada hubungan 1:1 antara pemuat malware dan serangan ransomware. – Beberapa pelaku ancaman menggunakan muatan malware yang sama untuk distribusi ransomware.

selengkapnya : www.proofpoint.com

Ransomware adalah ancaman keamanan siber teratas yang kita hadapi, kepala siber memperingatkan

June 15, 2021 by Winnie the Pooh

Ransomware adalah salah satu ancaman keamanan siber utama yang dihadapi Inggris dan kelompok kriminal siber di belakang mereka menjadi lebih berbahaya, kepala siber Inggris memperingatkan.

Lindy Cameron, kepala Pusat Keamanan Siber Nasional (NCSC) akan mengatakan bahwa organisasi – lengan keamanan dunia maya dari agen mata-mata GCHQ – berkomitmen untuk mengatasi ancaman ransomware dan “mendukung korban ransomware setiap hari” tetapi respon yang terkoordinasi diperlukan untuk memerangi ancaman yang berkembang.

Sementara kampanye peretasan yang disponsori negara menimbulkan “ancaman strategis yang berbahaya bagi kepentingan nasional Inggris”, itu adalah kejahatan dunia maya – dan khususnya ransomware – yang telah menjadi ancaman terbesar.

Insiden baru-baru ini seperti serangan ransomware terhadap Colonial Pipeline dan pengolah daging JBS, serta serangan ransomware terhadap layanan kesehatan Irlandia, telah menunjukkan betapa mengganggu nya kampanye kriminal dunia maya ini terhadap layanan penting.

Tidak hanya kelompok ransomware kriminal dunia maya yang mengenkripsi jaringan dan menuntut pembayaran yang signifikan sebagai ganti kunci dekripsi, sekarang juga umum bagi mereka untuk juga mencuri informasi sensitif dan mengancam untuk melepaskannya kecuali uang tebusan dibayarkan – seringkali membuat korban merasa seolah-olah mereka tidak punya pilihan selain menyerah pada tuntutan pemerasan.

Namun, ransomware bukan hanya masalah bagi Inggris saja dan Cameron mendesak pentingnya bekerja sama dengan negara lain untuk mengatasi apa yang benar-benar menjadi masalah internasional ini.

Selengkapnya: ZDNet

Avaddon ransomware berhenti beroperasi dan membagikan kunci dekripsi

June 14, 2021 by Winnie the Pooh

Geng ransomware Avaddon telah menutup operasi dan merilis kunci dekripsi untuk korban mereka ke BleepingComputer.com.

Pada hari Jumat lalu, BleepingComputer menerima tip anonim yang berpura-pura dari FBI yang berisi kata sandi dan tautan ke file ZIP yang dilindungi kata sandi.

File ini diklaim sebagai “Kunci Dekripsi Ransomware Avaddon,” dan berisi tiga file yang ditunjukkan di bawah ini.

Setelah berbagi file dengan Fabian Wosar dari Emsisoft dan Michael Gillespie dari Coveware, mereka mengonfirmasi bahwa kunci tersebut sah.

Menggunakan decryptor uji yang dibagikan dengan BleepingComputer oleh Emsisoft, BleepingComputer mendekripsi mesin virtual yang dienkripsi dengan sampel Avaddon terbaru.

Secara total, pelaku ancaman mengirimi kami 2.934 kunci dekripsi, di mana setiap kunci sesuai dengan korban tertentu.

Emsisoft telah merilis decryptor gratis yang dapat digunakan semua korban untuk memulihkan file mereka secara gratis.

Avaddon meluncurkan operasinya pada Juni 2020 melalui kampanye phishing yang berisi smiley yang berkedip, yang ditunjukkan di bawah ini.

Seiring waktu, Avaddon telah berkembang menjadi salah satu operasi ransomware yang lebih besar, dengan FBI dan penegak hukum Australia baru-baru ini merilis advisory yang terkait dengan grup tersebut.

Saat ini, semua situs Tor Avaddon tidak dapat diakses, menunjukkan bahwa operasi ransomware kemungkinan telah ditutup.

Selengkapnya: Bleeping Computer

Biaya Kerusakan Ransomware Global Diprediksi Melebihi $265 Miliar Pada 2031

June 14, 2021 by Winnie the Pooh

Laporan tahun 2017 dari Cybersecurity Ventures memperkirakan kerusakan akibat ransomware akan menelan biaya dunia sebesar $5 miliar (USD) pada tahun 2017, naik dari $325 juta pada tahun 2015 — peningkatan 15X hanya dalam dua tahun. Kerusakan untuk tahun 2018 diperkirakan mencapai $8 miliar, untuk tahun 2019 angkanya adalah $11,5 miliar, dan pada tahun 2021 sebesar $20 miliar — yang 57X lebih banyak daripada tahun 2015.

Terlepas dari keberhasilan pihak berwenang baru-baru ini dalam menghancurkan beberapa geng ransomware, jenis malware khusus ini telah terbukti menjadi hydra — memotong satu kepala dan beberapa kepala muncul lagi — dan semua tanda adalah bahwa dekade mendatang masalah ini tidak akan berkurang.

Ransomware akan merugikan korbannya lebih banyak sekitar $265 miliar (USD) per tahun pada tahun 2031, prediksi Cybersecurity Ventures, dengan serangan baru setiap 2 detik karena pelaku ransomware secara progresif memperbaiki muatan malware mereka dan aktivitas pemerasan terkait. Angka dolar didasarkan pada pertumbuhan biaya kerusakan sebesar 30 persen dari tahun ke tahun selama 10 tahun ke depan.

Itu menunjukkan percepatan yang signifikan dari beberapa tahun terakhir, ketika scattershot ransomware membangun momentum dan mengekstraksi uang dari dunia yang sebagian besar tidak sadar.

Ransomware dalam kondisi saat ini adalah mimpi buruk bagi bisnis dari semua industri dan semua ukuran, yang berhasil dilanggar setiap hari saat pengguna mengklik satu email atau URL berbahaya yang lolos dari pertahanan perusahaan.

Selengkapnya: Cybersecurity Ventures

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Ransomware

Cookies Settings