Ransomware

REvil Memukul Kontraktor Senjata Nuklir AS: Laporan

June 13, 2021 by Winnie the Pooh

“Dengan ini kami memiliki hak untuk meneruskan semua dokumentasi dan data yang relevan ke badan militer pilihan kami” tulis REvil.

Sol Oriens, subkontraktor untuk Departemen Energi AS (DOE) yang bekerja pada senjata nuklir dengan Administrasi Keamanan Nuklir Nasional (NNSA), bulan lalu dilanda serangan siber yang menurut para ahli berasal dari ransomware-as-a- REvil tanpa henti. geng layanan (RaaS).

Situs web perusahaan Albuquerque, N.M. telah tidak dapat dijangkau setidaknya sejak 3 Juni, tetapi pejabat Sol Oriens mengkonfirmasi kepada Fox News dan kepada CNBC bahwa perusahaan tersebut mengetahui pelanggaran tersebut sekitar bulan lalu.

Seperti yang dicatat Javers, “kami tidak tahu semua yang dilakukan perusahaan kecil ini,” tetapi dia memposting contoh posting pekerjaan yang menunjukkan bahwa ia menangani masalah senjata nuklir: “Materi Subjek Sistem Senjata Nuklir Senior. Pakar dengan pengalaman lebih dari 20 tahun dengan senjata nuklir seperti W80-4.” W80 adalah jenis hulu ledak nuklir yang dibawa pada rudal jelajah yang diluncurkan dari udara.

Menurut versi yang diarsipkan dan profil LinkedIn-nya, Sol Oriens adalah “perusahaan konsultan kecil milik veteran yang berfokus pada pengelolaan teknologi dan konsep canggih dengan potensi kuat untuk aplikasi militer dan ruang angkasa” yang bekerja dengan “Departemen Pertahanan dan Departemen Energi”. Organisasi, Kontraktor Dirgantara, dan Perusahaan Teknologi (sic) menjalankan program yang kompleks. … Kami fokus untuk memastikan bahwa ada teknologi yang dikembangkan dengan baik yang tersedia untuk mempertahankan Pertahanan Nasional yang kuat.”

selengkapnya : threatpost.com

Grup ransomware baru ini mengklaim telah melanggar lebih dari 30 organisasi sejauh ini

June 11, 2021 by Winnie the Pooh

Operasi ransomware yang muncul tampaknya memiliki tautan ke kelompok penjahat cyber veteran di luar angkasa – sementara juga mencoba untuk mendukung reputasi salah satu bentuk ransomware yang paling terkenal.

Prometheus ransomware pertama kali muncul pada bulan Februari tahun ini dan tidak hanya melakukan penjahat di belakangnya mengenkripsi jaringan dan meminta tebusan untuk kunci dekripsi, mereka juga menggunakan taktik pemerasan ganda dan akan mengancam untuk membocorkan data yang dicuri jika tuntutan mereka untuk cryptocurrency tidak terpenuhi.

Analisis oleh peneliti keamanan siber di Palo Alto Networks merinci bagaimana, seperti banyak operasi ransomware pada tahun 2021, grup ini berjalan seperti perusahaan profesional, bahkan sampai menyebut korban serangan siber sebagai “pelanggan” dan berkomunikasi dengan mereka melalui sistem tiket.

selengkapnya : www.zdnet.com

Pembuat memori komputer ADATA terkena ransomware Ragnar Locker

June 9, 2021 by Winnie the Pooh

Produsen memori dan penyimpanan terkemuka yang berbasis di Taiwan ADATA mengatakan bahwa serangan ransomware memaksanya membuat sistem offline setelah menyerang jaringannya pada akhir Mei.

ADATA memproduksi modul memori DRAM berkinerja tinggi, kartu memori Flash NAND, dan produk lainnya, termasuk aksesori ponsel, produk game, power train listrik, dan solusi industri. Perusahaan ini menduduki peringkat sebagai pembuat memori DRAM dan solid-state drive (SSD) terbesar kedua pada tahun 2018.

Pabrikan memori Taiwan menghentikan semua sistem yang terkena dampak setelah mendeteksi serangan tersebut dan memberi tahu semua otoritas internasional terkait tentang insiden tersebut untuk membantu melacak para penyerang.

ADATA tidak memberikan informasi tentang operasi ransomware di balik insiden tersebut atau permintaan tebusan apa pun. Namun, serangan tersebut telah diklaim selama akhir pekan oleh geng ransomware Ragnar Locker.

Ragnar Locker mengatakan bahwa mereka diduga telah mencuri 1,5TB data sensitif dari jaringan ADATA sebelum menyebarkan muatan ransomware.

Sejauh ini, geng ransomware hanya memposting tangkapan layar file dan folder curian sebagai bukti klaim mereka, tetapi mereka mengancam akan membocorkan sisa data jika produsen memori tidak membayar uang tebusan.

Selengkapnya: Bleeping Computer

Fujifilm menolak untuk membayar permintaan ransomware, memulihkan jaringan nya menggunakan cadangan

June 8, 2021 by Winnie the Pooh

Konglomerat multinasional Jepang Fujifilm mengatakan telah menolak untuk membayar permintaan tebusan kepada geng siber yang menyerang jaringannya di Jepang minggu lalu dan sebaliknya mengandalkan cadangan untuk memulihkan operasi.

Sistem komputer perusahaan di AS, Eropa, Timur Tengah, dan Afrika sekarang “beroperasi penuh dan kembali ke bisnis seperti biasa”, kata juru bicara Fujifilm kepada Verdict.

Fujifilm – yang dulu dikenal menjual film fotografi tetapi sekarang memproduksi bioteknologi, bahan kimia, dan produk pencitraan digital lainnya – mendeteksi akses tidak sah ke servernya pada 1 Juni.

Pada tanggal 4 Juni, dikonfirmasi bahwa serangan ransomware memengaruhi “jaringan tertentu” di Jepang dan mematikan “semua jaringan dan sistem server” saat menyelidiki “tingkat dan skala” serangan tersebut.

Fujifilm mengatakan tidak akan mengomentari jumlah yang diminta oleh geng ransomware. Perusahaan telah mulai membuat jaringan, server, dan komputernya di Jepang “kembali beroperasi” dan bertujuan untuk sepenuhnya beroperasi “minggu ini”. Mereka juga telah memulai kembali beberapa pengiriman produk, yang sangat terpukul oleh serangan siber.

Jake Moore, spesialis keamanan siber di perusahaan keamanan internet ESET, mengatakan menolak membayar uang tebusan adalah “bukan keputusan yang bisa dianggap enteng.”

Geng Ransomware sering mengancam untuk membocorkan atau menjual data sensitif jika pembayaran tidak dilakukan.

Namun, Fujifilm Europe mengatakan “sangat yakin bahwa tidak ada kehilangan, kehancuran, perubahan, penggunaan atau pengungkapan data kami yang tidak sah, atau data pelanggan kami, pada sistem Fujifilm Europe yang telah terdeteksi.”

Selengkapnya: Verdict

Seseorang yang diduga anggota REvil mengatakan mereka tidak takut dengan fokus ransomware utama pemerintah AS

June 7, 2021 by Winnie the Pooh

Geng ransomware terkenal mengatakan tidak lagi berusaha menghindari target yang berbasis di Amerika Serikat, dan terlepas dari fokus yang meningkat dari anggota parlemen, kelompok itu mengatakan menggandakan fokusnya pada target AS.

Dalam sebuah wawancara singkat yang diposting ke saluran Telegram OSINT Rusia yang sejak itu telah dihapus, perwakilan yang diduga dari geng ransomware REvil mengatakan bahwa kelompok itu berada di balik serangan terhadap perusahaan pengolahan makanan global JBS, tetapi mengharapkan kerusakan dapat diatasi di Brasil, sejak kantor pusat perusahaan berbasis di São Paulo. Juru bicara itu mengatakan telah mencoba untuk menghindari perusahaan-perusahaan AS secara luas sejak insiden ransomware Colonial Pipeline.

“Dengan kejadian baru-baru ini di bisnis bahan bakar, kami mencoba menjauh dari AS, sama seperti kami tidak menargetkan infrastruktur kritis,” bunyi wawancara itu. “Serangan itu untuk perusahaan di Brasil, tetapi AS yang marah.”

Sejak peretasan Colonial Pipeline, pemerintah AS telah sangat fokus memerangi ransomware. Menurut laporan Reuters, AS. Departemen Kehakiman akan mulai meningkatkan penyelidikan serangan ransomware ke prioritas yang sama dengan terorisme setelah peretasan Colonial Pipeline dan kerusakan yang meningkat yang disebabkan oleh penjahat dunia maya.

Menanggapi tindakan Departemen Kehakiman, juru bicara REvil mengatakan dia berencana untuk lebih fokus pada target AS.

Perwakilan itu juga mengatakan bahwa mereka tidak percaya tindakan departemen akan menghentikan mereka melakukan serangan.

Terlepas dari pengawasan, perwakilan yang diduga mengatakan perhatian itu membuat geng tidak terpengaruh.

“Waktu akan menunjukkan. Kami masih di sini,” kata perwakilan itu. “Kami tidak akan kemana-mana.”

Selengkapnya: Intel471

Exagrid membayar $2,6 juta untuk penyerang ransomware Conti

June 5, 2021 by Winnie the Pooh

Uang tebusan dibayarkan dalam bentuk 50,75 bitcoin pada 13 Mei, menurut informasi yang diperoleh oleh publikasi saudara Prancis ComputerWeekly.com, LeMagIT.

Aksesi ke tuntutan penyerang ransomware menjadi lebih memalukan ketika pemasok alat cadangan – yang memanfaatkan kekuatannya melawan ransomware – secara tidak sengaja menghapus alat dekripsi dan harus memintanya lagi.

Penyerahan ke serangan ransomware datang pada bulan yang sama ketika operator pipa AS Colonial Pipeline membayar $4,5 juta setelah terkena ransomware Darkside dan layanan kesehatan Irlandia menjadi sasaran, juga oleh ransomware Conti.

Negosiasi, yang dapat diakses oleh LeMagIT, dimulai pada tanggal 4 Mei dengan seseorang dengan judul “Teknisi utama TI dengan Sistem ExaGrid”.

Penjahat dunia maya langsung ke intinya, dan berkata: “Seperti yang sudah Anda ketahui, kami menyusup ke jaringan Anda dan tinggal di dalamnya selama lebih dari sebulan (cukup untuk mempelajari semua dokumentasi Anda), mengenkripsi server file Anda, server SQL, mengunduh semua informasi penting dengan berat total lebih dari 800GB.”

Mereka kemudian menjelaskan bagaimana mereka mendapatkan data pribadi klien dan karyawan, kontrak komersial, formulir NDA, data keuangan, pengembalian pajak, dan kode sumber. Uang tebusan awal yang diminta adalah $7.480.000.

selengkapnya : www.computerweekly.com

Ransomware Epsilon Red baru memburu server Microsoft Exchange yang belum ditambal

May 31, 2021 by Winnie the Pooh

Ancaman ransomware baru yang menamakan dirinya Epsilon Red telah terlihat memanfaatkan kerentanan server Microsoft Exchange untuk mengenkripsi mesin di seluruh jaringan.

Serangan ransomware Epsilon Red mengandalkan lebih dari selusin skrip sebelum mencapai tahap enkripsi dan juga menggunakan utilitas desktop jarak jauh komersial.

Penanggap insiden di perusahaan keamanan siber Sophos menemukan ransomware Epsilon Red baru selama seminggu terakhir saat menyelidiki serangan di perusahaan AS yang cukup besar di sektor perhotelan.

Para peneliti menemukan bahwa pelaku ancaman melanggar jaringan perusahaan dengan mengeksploitasi kerentanan yang belum ditambal di server Microsoft Exchange lokal.

Andrew Brandt, peneliti utama di Sophos, mengatakan dalam sebuah laporan hari ini bahwa penyerang mungkin telah memanfaatkan rangkaian kerentanan ProxyLogon untuk menjangkau mesin di jaringan.

Epsilon Red ditulis dalam Golang (Go) dan didahului oleh serangkaian skrip PowerShell unik yang mempersiapkan dasar untuk rutinitas enkripsi file, masing-masing memiliki tujuan tertentu:

menghentikan proses dan layanan untuk alat keamanan, database, program cadangan, aplikasi Office, klien email
menghapus Volume Shadow Copies
mencuri file Pengelola Akun Keamanan (SAM) yang berisi potongan sandi
menghapus Windows Event Logs
menonaktifkan Windows Defender
menangguhkan proses
menghapus instalan alat keamanan (Sophos, Trend Micro, Cylance, MalwareBytes, Sentinel One, Vipre, Webroot)
memperluas izin pada sistem

Selengkapnya: Bleeping Computer

Itu ransomware, atau mungkin disk wiper, dan itu menyerang target di Israel

May 27, 2021 by Winnie the Pooh

Para peneliti mengatakan mereka telah menemukan malware disk wiper yang belum pernah terlihat sebelumnya yang menyamar sebagai ransomware saat meluncurkan serangan destruktif terhadap target Israel.

Apostle, seperti para peneliti di firma keamanan SentinelOne menyebut malware tersebut, pada awalnya digunakan dalam upaya untuk menghapus data tetapi gagal melakukannya, kemungkinan karena kesalahan logika dalam kodenya.

Nama internal yang diberikan oleh pengembangnya adalah “wiper-action.” Dalam versi yang lebih baru, bug telah diperbaiki dan malware mendapatkan perilaku ransomware lengkap, termasuk kemampuan untuk meninggalkan catatan yang menuntut korban membayar tebusan sebagai ganti kunci dekripsi.

Dalam sebuah posting yang diterbitkan hari Selasa, peneliti SentinelOne mengatakan mereka menilai dengan keyakinan tinggi bahwa berdasarkan kode dan server yang dilaporkan Apostle, malware itu digunakan oleh kelompok yang baru ditemukan yang memiliki hubungan dengan pemerintah Iran.

Sementara catatan ransomware yang ditemukan para peneliti menunjukkan bahwa Apostle telah digunakan terhadap fasilitas penting di Uni Emirat Arab, target utamanya adalah Israel.

Para peneliti telah menjuluki kelompok peretasan baru tersebut Agrius. SentinelOne melihat grup pertama kali menggunakan Apostle sebagai disk wiper, meskipun cacat pada malware mencegahnya melakukannya, kemungkinan besar karena kesalahan logika dalam kodenya. Agrius kemudian menggunakan Deadwood, wiper yang telah digunakan terhadap target di Arab Saudi pada tahun 2019.

Selengkapnya: Ars Technica

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Ransomware

Cookies Settings