Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

Geng Ransomware sekarang membuat situs web untuk merekrut afiliasi

by

Sejak dua forum kejahatan dunia maya terkemuka berbahasa Rusia melarang topik terkait ransomware, operasi kriminal telah dipaksa untuk mempromosikan layanan mereka melalui metode alternatif.

Setidaknya dua geng ransomware yang membutuhkan peretas untuk menjalankan serangan telah menggunakan situs mereka untuk mengiklankan fitur alat enkripsi mereka untuk menarik anggota baru.

Sekitar seminggu yang lalu, geng ransomware LockBit mengumumkan versi utama baru untuk alat mereka, mengklaim peningkatan yang signifikan untuk kecepatan enkripsi.

Untuk mendukung klaim mereka, pelaku ancaman tampaknya menguji versi beberapa potongan ransomware dan mempublikasikan pengukuran mereka untuk kecepatan enkripsi file.

Dengan meluncurkan LockBit 2.0, pengembang ransomware juga mengumumkan sesi rekrutmen afiliasi baru, menyoroti bahwa enkripsi yang mereka gunakan tidak goyah sejak operasi dimulai pada September 2019.

Untuk menarik mitra, LockBit mengklaim menawarkan enkripsi tercepat dan alat pencurian file (StealBit) “di seluruh dunia.”

Langkah dari LockBit ini terjadi setelah aktor pada akhir Mei mencoba untuk mendapatkan pembicaraan ransomware kembali di forum berbahasa Rusia yang populer dengan mengusulkan bagian pribadi hanya untuk “pengguna otoritatif, di mana tidak ada keraguan.”

Perusahaan intelijen ancaman KELA mengatakan bahwa tidak semua kelompok ransomware sekeras ini dalam pencarian afiliasi mereka.

Geng REvil, misalnya, lebih suka beroperasi secara rahasia dan bergantung pada jaringan afiliasi dan koneksinya untuk mendapatkan mitra baru saat mereka membutuhkannya, kata KELA.

Selengkapnya: Bleeping Computer

Ransomware baru menyoroti adopsi luas dari bahasa Golang oleh penyerang siber

by

Jenis ransomware baru yang menggunakan Golang menyoroti peningkatan adopsi bahasa pemrograman tersebut oleh aktor ancaman.

CrowdStrike mengamankan sampel varian ransomware baru, yang belum disebutkan namanya, yang meminjam fitur dari HelloKitty/DeathRansom dan FiveHands.

Jenis ransomware ini diperkirakan telah aktif sejak 2019 dan telah dikaitkan dengan serangan terhadap pembuat Cyberpunk 2077, CD Projekt Red (CDPR), serta organisasi perusahaan.

Sampel yang ditemukan mengungkapkan fungsi yang mirip dengan HelloKitty dan FiveHands, dengan komponen yang ditulis dalam C++, serta cara malware mengenkripsi file dan menerima argumen baris perintah.

Namun, tidak seperti HelloKitty dan FiveHands, jenis ransomware baru ini telah mengadopsi paket yang ditulis dalam Go yang mengenkripsi muatan ransomware C++-nya.

Menurut Intezer, malware yang memanfaatkan Go adalah kejadian langka sebelum 2019, tetapi sekarang, bahasa pemrograman tersebut adalah pilihan populer karena kemudahan kompilasi kode dengan cepat untuk berbagai platform dan kesulitannya untuk merekayasa balik. Tingkat sampel telah meningkat sekitar 2.000% dalam beberapa tahun terakhir.

Sampel CrowdStrike menggunakan Golang versi terbaru, v.1.16, yang dirilis pada Februari 2021.

Selain penggunaan Go, sampel berisi fungsi khas ransomware — termasuk kemampuan untuk mengenkripsi file dan disk, serta mengeluarkan permintaan pembayaran sebagai imbalan atas kunci dekripsi.

Selengkapnya: ZDNet

DMARC: Garis Pertahanan Pertama Terhadap Ransomware

by

Ada banyak buzz di industri tentang ransomware akhir-akhir ini. Hampir setiap hari, itu menjadi berita utama. Dengan bisnis di seluruh dunia menahan napas, takut mereka mungkin menjadi korban serangan ransomware besar berikutnya, sekarang saatnya untuk mengambil tindakan.

Laporan FBI IC3 tahun 2020 mengklasifikasikan Ransomware sebagai kejahatan dunia maya yang paling merusak secara finansial tahun ini, tanpa peningkatan besar pada tahun 2021.

Bukankah lebih baik jika Anda bisa mencegah serangan ransomware dari awal? DMARC dapat membuat klaim yang tampaknya mustahil ini menjadi peluang bagi pemilik domain!

Ransomware adalah perangkat lunak berbahaya yang menginstal sendiri di komputer Anda tanpa izin Anda. Itu kemudian mengenkripsi data Anda, dan Anda hanya bisa mendapatkannya kembali dengan membayar tebusan.

Sebagai akibat dari meningkatnya serangan Ransomware pada bisnis global, CISA menganggap email phishing sebagai salah satu vektor ancaman yang paling kuat.

Badan Keamanan Infrastruktur Keamanan Siber pemerintah AS telah merekomendasikan, dalam Panduan Perlindungan Ransomware mereka, bahwa semua bisnis, termasuk lembaga pemerintah, untuk menerapkan DMARC sedini mungkin untuk mengurangi kemungkinan email palsu atau diubah dari domain yang valid.

Alasannya adalah DMARC dibuat berdasarkan standar autentikasi email seperti SPF dan DKIM, yang mengautentikasi sumber pengiriman, dan memastikan bahwa penerima email Anda tidak pernah tertipu.

Menerapkan DMARC analyzer di organisasi Anda memastikan Anda terlindungi dari peniruan identitas semaksimal mungkin. Alat ini memudahkan untuk mengonfigurasi DMARC untuk domain Anda dan beralih ke kebijakan yang diberlakukan dalam beberapa hari.

Selengkapnya: The Hacker News

Encryptor Linux baru dari REvil ransomware menargetkan mesin virtual ESXi

by

Operasi ransomware REvil sekarang menggunakan encryptor Linux yang menargetkan dan mengenkripsi mesin virtual Vmware ESXi.

Dengan berpindahnya perusahaan ke mesin virtual untuk pencadangan yang lebih mudah, manajemen perangkat, dan penggunaan sumber daya yang efisien, geng ransomware semakin menciptakan alat mereka sendiri untuk mengenkripsi penyimpanan massal yang digunakan oleh VM.

Pada bulan Mei, Yelisey Boguslavskiy dari Advanced Intel membagikan posting forum dari operasi REvil di mana mereka mengkonfirmasi bahwa mereka telah merilis versi Linux dari encryptor mereka yang juga dapat bekerja pada perangkat NAS.

Kemarin, peneliti keamanan MalwareHunterTeam menemukan versi Linux dari ransomware REvil (alias Sodinokibi) yang juga tampaknya menargetkan server ESXi.

Vitali Kremez dari Advanced Intel, yang menganalisis varian baru REvil Linux, mengatakan kepada BleepingComputer bahwa ini adalah ELF64 yang dapat dieksekusi dan mencakup opsi konfigurasi yang sama yang digunakan oleh Windows executable yang lebih umum.

Kremez menyatakan bahwa ini adalah pertama kalinya varian Linux tersedia untuk umum sejak dirilis.

File hash yang terkait dengan encryptor REvil Linux telah dikumpulkan oleh peneliti keamanan Jaime Blasco dan dibagikan di Open Threat Exchange Alienvault.

Selengkapnya: Bleeping Computer

Wormable DarkRadiation Ransomware Menargetkan Instance Linux dan Docker

by

Peneliti cybersecurity membunyikan bel alarm atas jenis ransomware baru yang disebut “DarkRadiation” yang diimplementasikan sepenuhnya di Bash dan menargetkan container cloud Linux dan Docker, sambil mengandalkan layanan perpesanan Telegram untuk komunikasi perintah dan kontrol (C2).

“Ransomware ditulis dalam skrip Bash dan menargetkan distribusi Red Hat/CentOS dan Debian Linux,” kata peneliti dari Trend Micro dalam sebuah laporan yang diterbitkan minggu lalu. Malware ini menggunakan algoritma AES OpenSSL dengan mode CBC untuk mengenkripsi file di berbagai direktori. Malware ini juga menggunakan API Telegram untuk mengirim status infeksi ke pelaku ancaman”.

Pada saat penulisan artikel ini, tidak ada informasi yang tersedia tentang metode pengiriman atau bukti bahwa ransomware telah digunakan dalam serangan dunia nyata.

Rantai infeksi DarkRadiation melibatkan proses serangan multi-tahap dan patut diperhatikan karena ketergantungannya yang luas pada skrip Bash untuk mengambil malware dan mengenkripsi file serta Telegram API untuk berkomunikasi dengan server C2 melalui kunci API yang di-hardcode.

Dikatakan sedang dalam tahap pengembangan, ransomware memanfaatkan taktik kebingungan untuk mengacak skrip Bash menggunakan alat sumber terbuka yang disebut “node-bash-obfuscate” untuk membagi kode menjadi beberapa bagian, diikuti dengan menetapkan nama variabel untuk setiap segmen dan mengganti skrip asli dengan referensi variabel.

Selengkapnya: The Hacker News

Polisi Ukraina Menangkap Enam Orang Yang Terlibat dengan CLOP Ransomware

by

Pihak berwenang di Ukraina minggu ini mendakwa enam orang yang diduga menjadi bagian dari kelompok ransomware CLOP, sebuah geng penjahat dunia maya dikatakan telah memeras lebih dari setengah miliar dolar dari para korban. Beberapa korban CLOP tahun ini saja termasuk Stanford University Medical School, University of California, dan University of Maryland.

Menurut pernyataan dan video yang dirilis, Polisi Cyber Ukraina mendakwa enam terdakwa dengan berbagai kejahatan komputer yang terkait dengan geng CLOP, dan melakukan 21 pencarian di seluruh wilayah Kyiv.

Debut pertama pada awal 2019, CLOP adalah salah satu dari beberapa kelompok ransomware yang meretas ke dalam organisasi, meluncurkan ransomware yang mengenkripsi file dan server, dan kemudian meminta pembayaran pemerasan sebagai imbalan atas kunci digital yang diperlukan untuk membuka kunci akses.

CLOP telah sangat sibuk selama enam bulan terakhir mengeksploitasi empat kerentanan zero-day yang berbeda di File Transfer Appliance (FTA), produk berbagi file yang dibuat oleh Accellion yang berbasis di California.

Geng CLOP memanfaatkan kelemahan tersebut untuk menyebarkan ransomware ke sejumlah besar pelanggan FTA Accellion, termasuk jaringan grosir AS Krogers, firma hukum Jones Day, firma keamanan Qualys, dan raksasa telekomunikasi Singapura Singtel.

Tidak jelas seberapa besar operasi penegakan hukum oleh otoritas Ukraina ini akan mempengaruhi keseluruhan operasi kelompok CLOP. Perusahaan intelijen cybersecurity Intel 471 mengatakan penggerebekan penegakan hukum di Ukraina terbatas pada sisi cash-out dan pencucian uang dari bisnis CLOP saja.

Selengkpanya: Krebs On Security

Di dalam serangan ransomware: bagaimana jaringan gelap penjahat dunia maya berkolaborasi untuk melakukannya

by

Dalam komunike Carbis Bay mereka, G7 mengumumkan niat mereka untuk bekerja sama mengatasi kelompok ransomware. Beberapa hari kemudian, Presiden AS Joe Biden bertemu dengan Presiden Rusia Vladimir Putin, di mana proses ekstradisi untuk membawa penjahat siber Rusia ke pengadilan di AS dibahas. Putin dilaporkan setuju pada prinsipnya, tetapi bersikeras bahwa ekstradisi harus dilakukan secara timbal balik.

Masalah penegakan hukum adalah bahwa ransomware – suatu bentuk malware yang digunakan untuk mencuri data organisasi dan menyimpannya untuk tebusan – adalah suatu hal yang susah ditangkap. Tidak hanya itu kejahatan campuran, termasuk pelanggaran yang berbeda di berbagai badan hukum, tetapi juga kejahatan yang mengangkangi kewenangan lembaga kepolisian yang berbeda dan, dalam banyak kasus, negara. Dan tidak ada satu pelaku utama. Serangan Ransomware melibatkan jaringan terdistribusi dari penjahat dunia maya yang berbeda, seringkali tidak diketahui satu sama lain untuk mengurangi risiko penangkapan.

Serangan Ransomware juga berubah. Model bisnis industri kriminal telah bergeser ke arah ransomware-as-a-service. Ini berarti operator menyediakan perangkat lunak berbahaya, mengelola sistem pemerasan dan pembayaran, serta mengelola reputasi “merek”. Tetapi untuk mengurangi risiko penangkapan, mereka merekrut afiliasi dengan komisi yang besar untuk menggunakan perangkat lunak mereka untuk meluncurkan serangan.

Untuk mengurangi risiko tertangkap, kelompok pelaku cenderung mengembangkan dan menguasai keterampilan khusus untuk berbagai tahap serangan. Kelompok-kelompok ini mendapat manfaat dari saling ketergantungan ini, karena mengimbangi tanggung jawab pidana di setiap tahap.

Mereka mungkin dibeli oleh “broker akses awal”, yang berspesialisasi dalam mendapatkan akses awal ke sistem komputer sebelum menjual detail akses tersebut kepada calon penyerang ransomware.

Ekosistem ini terus berkembang. Misalnya, perkembangan baru-baru ini adalah munculnya “konsultan ransomware”, yang memungut biaya untuk menasihati pelanggar pada tahap-tahap utama serangan.

Selengkapnya: The Conversation

Langkah Pertama: Akses Awal Menyebabkan Ransomware

by

Serangan Ransomware masih menggunakan email — tetapi tidak seperti yang Anda kira. Operator Ransomware sering membeli akses dari kelompok penjahat cyber independen yang menyusup ke target utama dan kemudian menjual akses ke pelaku ransomware untuk mendapatkan keuntungan yang tidak semestinya. Kelompok ancaman kejahatan dunia maya yang telah mendistribusikan malware perbankan atau trojan lain juga dapat menjadi bagian dari jaringan afiliasi ransomware. Hasilnya adalah ekosistem kriminal yang kuat dan menguntungkan di mana individu dan organisasi yang berbeda semakin mengkhususkan diri pada keuntungan yang lebih besar untuk semua—kecuali, tentu saja, para korban.

Mencegah ransomware melalui email sangatlah mudah: blokir loader, dan Anda memblokir ransomware.

Biasanya, broker akses awal dipahami sebagai pelaku ancaman oportunistik yang memasok afiliasi dan pelaku ancaman kejahatan dunia maya lainnya, misalnya dengan mengiklankan akses untuk dijual di forum. Namun untuk tujuan laporan ini, kami menganggap pialang akses awal sebagai kelompok yang memperoleh akses awal melalui muatan malware tahap pertama dan mungkin atau mungkin tidak bekerja secara langsung dengan pelaku ancaman ransomware.

– Mencegah ransomware hari ini sebagian besar telah bergeser dari ancaman email langsung ke ancaman tidak langsung di mana email hanya bagian dari rantai serangan.
– Pelaku ancaman ransomware memanfaatkan perusahaan penjahat dunia maya – sebagian besar distributor trojan perbankan – untuk penyebaran malware. Fasilitator akses ini mendistribusikan backdoor mereka melalui tautan dan lampiran berbahaya yang dikirim melalui email.
– Trojan perbankan adalah malware paling populer yang didistribusikan melalui email, mewakili hampir 20% malware yang terlihat dalam data Proofpoint pada paruh pertama tahun 2021.
– Proofpoint saat ini melacak setidaknya 10 pelaku ancaman yang bertindak sebagai fasilitator akses awal atau kemungkinan afiliasi ransomware.
– Ransomware jarang didistribusikan langsung melalui email. Hanya satu jenis ransomware yang menyumbang 95% dari ransomware sebagai muatan email tahap pertama antara tahun 2020 dan 2021.
– Tidak ada hubungan 1:1 antara pemuat malware dan serangan ransomware. – Beberapa pelaku ancaman menggunakan muatan malware yang sama untuk distribusi ransomware.

selengkapnya : www.proofpoint.com