Ransomware

Trik Baru Berbahaya Ransomware Mengenkripsi Ganda Data Anda

May 18, 2021 by Winnie the Pooh

KELOMPOK RANSOMWARE selalu mengambil pendekatan lebih. Jika korban membayar tebusan dan kemudian kembali ke bisnis seperti biasa — serang mereka lagi. Eskalasi terbaru? Peretas ransomware yang mengenkripsi data korban dua kali pada waktu yang bersamaan.

Serangan enkripsi ganda pernah terjadi sebelumnya, biasanya berasal dari dua geng ransomware terpisah yang membahayakan korban yang sama pada waktu yang sama. Tetapi perusahaan antivirus Emsisoft mengatakan mereka mengetahui lusinan insiden di mana aktor atau grup yang sama secara sengaja melapisi dua jenis ransomware di atas satu sama lain.

“Kelompok-kelompok itu terus-menerus mencoba mencari strategi mana yang terbaik, yang memberi mereka uang paling banyak untuk usaha yang paling sedikit,” kata analis ancaman Emsisoft, Brett Callow.

Beberapa korban mendapatkan dua catatan tebusan sekaligus, kata Callow, yang berarti bahwa peretas ingin korbannya mengetahui tentang serangan enkripsi ganda. Namun, dalam kasus lain, korban hanya melihat satu catatan tebusan dan hanya mengetahui tentang enkripsi lapis kedua setelah mereka membayar untuk menghilangkan yang pertama.

Emsisoft telah mengidentifikasi dua taktik berbeda. Yang pertama, peretas mengenkripsi data dengan ransomware A dan kemudian mengenkripsi ulang data tersebut dengan ransomware B. Jalur lain melibatkan apa yang disebut Emsisoft sebagai serangan “side-by-side encryption”, di mana serangan mengenkripsi beberapa sistem organisasi dengan ransomware A dan lainnya dengan ransomware B.

Para peneliti juga mencatat bahwa dalam skenario side-by-side ini, penyerang mengambil langkah untuk membuat dua jenis ransomware yang berbeda terlihat semirip mungkin, jadi lebih sulit bagi incident responders untuk memilah apa yang terjadi.

Selengkapnya: Wired

Penyerang ransomware sekarang menggunakan taktik pemerasan tiga kali lipat

May 15, 2021 by Winnie the Pooh

Penjahat dunia maya yang berspesialisasi dalam ransomware telah menggunakan taktik pemerasan ganda di mana mereka tidak hanya mendekripsi data yang dicuri tetapi juga mengancam untuk membocorkannya ke publik kecuali uang tebusan dibayarkan. Sekarang, beberapa penyerang telah mengembangkan taktik pemerasan tiga kali lipat dengan tujuan memeras lebih banyak uang dari aktivitas jahat mereka. Dalam sebuah laporan yang diterbitkan Rabu, penyedia intelijen ancaman dunia maya Check Point Research menjelaskan bagaimana taktik terbaru ini dimainkan.

Taktik pemerasan ganda telah terbukti sangat populer dan menguntungkan di antara geng ransomware. Tahun lalu, lebih dari 1.000 perusahaan menemukan bahwa data mereka telah bocor ke publik setelah mereka menolak untuk memenuhi tuntutan tebusan. Selama waktu itu, pembayaran tebusan rata-rata melonjak 171% menjadi sekitar $ 310.000.

Tapi, taktik yang dimulai menjelang akhir 2020 dan berlanjut hingga 2021, adalah pemerasan tiga kali lipat, kata Check Point. Dalam skenario ini, penjahat mengirimkan permintaan tebusan tidak hanya ke organisasi yang diserang tetapi ke pelanggan, pengguna, atau pihak ketiga lainnya yang akan dirugikan oleh data yang bocor.

Dalam satu insiden dari Oktober lalu, 40.000 pasien klinik psikoterapi Finlandia Vastaamo terkena pelanggaran yang menyebabkan pencurian data pasien dan serangan ransomware. Seperti yang diharapkan, para penyerang menuntut sejumlah uang tebusan yang sehat dari klinik. Mereka juga mengirim email kepada pasien secara langsung, menuntut sejumlah kecil uang atau mereka akan membocorkan catatan sesi terapis mereka. Karena pelanggaran dan kerugian finansial, Vastaamo terpaksa menyatakan kebangkrutan dan akhirnya menutup bisnisnya.

selengkapnya : www.techrepublic.com

Mengenal Lebih Dalam Geng DarkSide Ransomware

May 12, 2021 by Winnie the Pooh

FBI mengkonfirmasi minggu ini bahwa kelompok ransomware yang relatif baru yang dikenal sebagai DarkSide bertanggung jawab atas serangan yang menyebabkan Colonial Pipeline menutup pipa sepanjang 5.550 mil, menelantarkan barel bensin, solar dan bahan bakar jet yang tak terhitung jumlahnya di Gulf Coast.

Berikut ini pengamatan lebih dekat pada geng kejahatan siber DarkSide, seperti yang terlihat melalui negosiasi mereka dengan korban baru-baru ini di AS yang menghasilkan $ 15 miliar pendapatan tahunan.

Pertama kali muncul di forum peretasan bahasa Rusia pada Agustus 2020, DarkSide adalah platform ransomware-as-a-service yang dapat digunakan oleh penjahat dunia maya untuk menginfeksi perusahaan dengan ransomware dan melakukan negosiasi serta pembayaran dengan korban.

DarkSide mengatakan mereka hanya menargetkan perusahaan besar, dan melarang afiliasi menjatuhkan ransomware pada organisasi di beberapa industri, termasuk perawatan kesehatan, layanan pemakaman, pendidikan, sektor publik dan nirlaba.

Seperti platform ransomware lainnya, DarkSide menganut praktik pemerasan ganda badguy terbaik saat ini, yang melibatkan tuntutan jumlah terpisah untuk kunci digital yang diperlukan untuk membuka kunci file dan server, dan tebusan terpisah sebagai imbalan untuk janji untuk menghancurkan data yang dicuri dari korban.

Pada peluncurannya, DarkSide berusaha merayu afiliasi dari program ransomware yang bersaing dengan mengiklankan situs kebocoran data korban yang mendapat “kunjungan stabil dan liputan media,” serta kemampuan untuk mempublikasikan data korban secara bertahap.

Selengkapnya mengenai Ransomware DarkSide: Krebs On Security

Serangan Colonial Pipeline meningkatkan permainan ransomware

May 11, 2021 by Winnie the Pooh

Pada hari Jumat, Perusahaan Colonial Pipeline menemukan bahwa mereka telah terkena serangan ransomware.

Bertanggung jawab untuk mengirimkan gas, minyak pemanas, dan bentuk minyak bumi lainnya ke rumah dan organisasi, perusahaan tersebut menyumbang 45% dari bahan bakar Pantai Timur. Serangan tersebut memaksa Colonial Pipeline untuk mematikan sistem tertentu, menghentikan sementara semua operasi pipeline.

Dalam sebuah pernyataan yang dirilis pada hari Minggu, perusahaan mengatakan bahwa mereka menyewa perusahaan keamanan siber pihak ketiga untuk menyelidiki serangan itu dan menghubungi penegak hukum serta lembaga federal, termasuk Departemen Energi. Selain menangani insiden itu sendiri, Colonial Pipeline juga siap untuk menjalankan operasinya kembali online dengan aman dan terjamin.

James Shank, ketua komite Ransomware Task Force (RTF) untuk skenario terburuk, mengatakan bahwa jenis serangan terhadap infrastruktur atau layanan kritis ini menunjukkan munculnya ransomware sebagai ancaman terhadap keamanan nasional, terutama saat kita terus bergulat dengan COVID-19.

Colonial Pipeline telah mengontrak firma keamanan FireEye Mandiant untuk menyelidiki serangan itu. Seorang juru bicara FireEye mengatakan kepada TechRepublic bahwa perusahaan tidak mengomentari insiden tersebut pada saat ini. Sementara itu, FBI telah menunjuk geng ransomware DarkSide sebagai penyebab di balik serangan ini.

Selengkapnya: Tech Republic

Fasilitas Riset Terkena Ransomware Setelah Siswa Menginstal Software Bajakan

May 7, 2021 by Winnie the Pooh

Berhati-hatilah saat menggunakan software bajakan. Seorang siswa di sebuah lembaga penelitian bio-molekuler yang tidak disebutkan namanya di Eropa secara tidak sengaja membuka pintu untuk serangan ransomware pada organisasi tersebut setelah menginstal sebuah perangkat lunak yang sudah di “crack”, menurut firma keamanan Sophos.

Lembaga penelitian telah melakukan penelitian COVID-19 dan memiliki kemitraan erat dengan universitas lokal, memungkinkan mahasiswa untuk terhubung ke jaringan internal fasilitas melalui klien akses jarak jauh dari Citrix. Sayangnya, seorang siswa dengan akses ke jaringan mengunduh perangkat lunak bajakan, yang membantu mengekspos fasilitas penelitian ke serangan itu.

Menurut Sophos, siswa yang tidak disebutkan namanya itu “menginginkan salinan pribadi dari perangkat lunak visualisasi data yang telah mereka gunakan untuk bekerja”. Namun, satu lisensi untuk perangkat lunak dapat menghabiskan biaya ratusan dolar per tahun. Hasilnya, siswa tersebut mencari versi “crack” dari produk perangkat lunak untuk digunakan pada laptop Windows.

“Namun, file tersebut sebenarnya adalah malware murni dan upaya penginstalan segera memicu peringatan keamanan dari Windows Defender”, kata Sophos.

Tiga belas hari setelah perangkat lunak bajakan dipasang, sambungan protokol desktop jarak jauh yang misterius dibuat ke lembaga penelitian menggunakan kredensial masuk siswa. “Sepuluh hari setelah koneksi ini dibuat, ransomware Ryuk diluncurkan,” tambah Sophos.

Selengkapnya: PCmag

Ransomware N3TW0RM muncul dalam gelombang serangan dunia maya di Israel

May 4, 2021 by Winnie the Pooh

Geng ransomware baru yang dikenal sebagai ‘N3TW0RM’ menargetkan perusahaan Israel dalam gelombang serangan siber yang dimulai minggu lalu.

Media Israel Haaretz melaporkan bahwa setidaknya empat perusahaan Israel dan satu organisasi nirlaba telah berhasil dibobol dalam gelombang serangan ini.

Seperti geng ransomware lainnya, N3TW0RM telah membuat situs kebocoran data di mana mereka mengancam akan membocorkan file curian sebagai cara untuk menakut-nakuti korbannya agar membayar tebusan.

Dua dari bisnis Israel, H&M Israel dan jaringan Veritas Logistic, telah terdaftar dalam kebocoran data geng ransomware, dengan pelaku ancaman telah membocorkan data yang diduga dicuri selama serangan terhadap Veritas.

Serangan N3TW0RM belum dikaitkan dengan grup peretasan mana pun saat ini.

Saat mengenkripsi jaringan, pelaku ancaman biasanya akan mendistribusikan ransomware mandiri yang dapat dieksekusi ke setiap perangkat yang ingin mereka enkripsi.

N3TW0RM melakukannya sedikit berbeda dengan menggunakan model klien-server sebagai gantinya.

Dari sampel [VirusTotal] ransomware yang dilihat oleh BleepingComputer dan diskusi dengan Arik Nachmias, CEO dari firma tanggapan insiden Honey Badger Security, pelaku ancaman N3TW0RM menginstal program di server korban yang akan mendengarkan koneksi dari workstation.

Nachmias menyatakan bahwa pelaku ancaman kemudian menggunakan PAExec untuk menyebarkan dan mengeksekusi klien ‘slave.exe’ yang dapat dieksekusi di setiap perangkat yang akan dienkripsi oleh ransomware. Saat mengenkripsi file, file akan memiliki ekstensi ‘.n3tw0rm’ yang ditambahkan ke namanya.

Selengkapnya: Bleeping Computer

Teknologi AS mendorong ransomware untuk dianggap sebagai ancaman keamanan nasional

May 1, 2021 by Winnie the Pooh

Perusahaan dan pejabat teknologi besar AS mendesak pemerintah untuk menetapkan ransomware sebagai ancaman keamanan nasional dalam upaya memerangi epidemi peretasan yang merugikan bisnis puluhan juta dolar.

Kelompok teknologi termasuk Microsoft, Cisco dan Amazon, perusahaan keamanan dunia maya seperti FireEye dan pejabat dari FBI dan Departemen Kehakiman AS telah menerbitkan laporan yang menyerukan sejumlah langkah untuk menangani perusahaan kriminal yang menguntungkan tersebut.

Ransomware melibatkan peretas yang mengambil kendali atas sistem komputer atau data organisasi dengan memasang perangkat lunak terlarang, dan mengembalikan aset hanya setelah uang tebusan dibayarkan.

Gugus Tugas Ransomware publik-swasta berpendapat bahwa serangan semacam itu harus dianggap sebagai ancaman keamanan nasional, merujuk pada risiko warga dari serangan tanpa henti terhadap rumah sakit, otoritas lokal, dan infrastruktur penting.

Ini meminta pemerintah untuk menciptakan koalisi internasional untuk mengatasi masalah dan untuk “memberikan tekanan pada negara-negara yang terlibat atau menolak untuk mengambil tindakan”, misalnya melalui sanksi atau dengan menahan bantuan atau visa.

Seruan itu datang dua minggu setelah Departemen Keuangan AS menuduh salah satu badan intelijen Rusia, FSB, “mengembangkan dan mengkooptasi” EvilCorp, salah satu grup ransomware paling terkenal. Banyak penjahat dunia maya beroperasi di luar yurisdiksi otoritas AS.

“Ransomware, khususnya, adalah masalah tindakan kolektif yang luar biasa karena banyak alasan,” kata Michael Phillips, kepala bagian klaim di grup asuransi cyber Resilience dan salah satu ketua gugus tugas.

Dia mengutip “persaingan negara-bangsa yang meningkat di ruang digital, dan negara-negara yang tidak mampu atau tidak mau menegakkan hukum yang mencegah penjahat dunia maya canggih meluncurkan serangan ini atau menciptakan ekosistem yang mendukung mereka”.

selengkapnya : www.ft.com

Grup ransomware baru menggunakan zero-day SonicWall untuk menerobos jaringan

April 30, 2021 by Winnie the Pooh

Aktor ancaman bermotivasi finansial mengeksploitasi bug zero-day di peralatan VPN Sonicwall SMA 100 Series untuk menyebarkan ransomware baru yang dikenal sebagai FiveHands di jaringan target Amerika Utara dan Eropa.

Grup tersebut, dilacak oleh analis ancaman Mandiant sebagai UNC2447, mengeksploitasi kerentanan CVE-2021-20016 Sonicwall untuk menembus jaringan dan menyebarkan muatan ransomware FiveHands sebelum patch dirilis pada akhir Februari 2021.

Sebelum menerapkan muatan ransomware, UNC2447 juga diamati menggunakan implan Cobalt Strike untuk mendapatkan ketekunan dan memasang varian backdoor SombRAT, malware yang pertama kali terlihat dalam kampanye CostaRicto yang dikoordinasikan oleh sekelompok peretas bayaran.

Zero-day juga dimanfaatkan dalam serangan yang menargetkan sistem internal SonicWall pada bulan Januari dan kemudian disalahgunakan tanpa pandang bulu di alam liar.

Ransomware FiveHands yang digunakan dalam serangan UNC2447 pertama kali diamati di alam liar selama Oktober 2020.

Ini juga sangat mirip dengan ransomware HelloKitty, keduanya menulis ulang ransomware DeathRansom.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Ransomware

Cookies Settings