Ransomware

Raksasa komputer Acer terkena serangan ransomware senilai $ 50 juta

March 20, 2021 by Winnie the Pooh

Raksasa komputer Acer telah terkena serangan ransomware REvil di mana pelaku ancaman menuntut tebusan terbesar yang diketahui hingga saat ini, $50.000.000.

Acer adalah produsen elektronik dan komputer Taiwan yang terkenal dengan laptop, desktop, dan monitor. Acer mempekerjakan sekitar 7.000 karyawan dan menghasilkan $ 7,8 miliar pada 2019.

Kemarin, geng ransomware mengumumkan di situs kebocoran data mereka bahwa mereka telah membobol Acer dan membagikan beberapa gambar dari file yang diduga dicuri sebagai bukti.

Gambar yang bocor ini untuk dokumen yang mencakup spreadsheet keuangan, saldo bank, dan komunikasi bank.

Menanggapi pertanyaan dari BleepingComputer, Acer tidak memberikan jawaban yang jelas mengenai apakah mereka mengalami serangan ransomware REvil, sebaliknya mengatakan bahwa mereka “melaporkan situasi abnormal baru-baru ini” ke LEA dan DPA yang relevan.

Setelah menerbitkan berita mengenai ini, Valery Marchive dari LegMagIT menemukan sampel REvil ransomware yang digunakan dalam serangan Acer yang menuntut tebusan $ 50 juta.

Segera setelah itu, BleepingComputer menemukan sampel tersebut dan dapat mengonfirmasi bahwa berdasarkan catatan tebusan dan percakapan korban dengan penyerang, sampel tersebut berasal dari serangan siber di Acer.

Selengkapnya: Bleeping Computer

REvil ransomware memiliki mode enkripsi ‘Windows Safe Mode’ baru

March 20, 2021 by Winnie the Pooh

Operasi ransomware REvil telah menambahkan kemampuan baru untuk mengenkripsi file dalam Windows Safe Mode, kemungkinan besar menghindari deteksi oleh perangkat lunak keamanan dan untuk kesuksesan yang lebih besar saat mengenkripsi file.

Dalam sampel baru REvil ransomware yang ditemukan oleh MalwareHunterTeam, argumen baris perintah -smode baru ditambahkan yang memaksa komputer untuk melakukan boot ulang ke Safe Mode sebelum mengenkripsi perangkat.

Untuk melakukan ini, REvil akan menjalankan perintah berikut untuk memaksa komputer boot ke Safe Mode with Networking ketika Windows restart berikutnya.

bootcfg /raw /a /safeboot:network /id 1
bcdedit /set {current} safeboot network

Kemudian membuat autorun ‘RunOnce’ bernama ‘*franceisshit’ yang menjalankan ‘bcdedit /deletevalue {current} safeboot’ setelah pengguna masuk ke Safe Mode.

Akhirnya, ransomware melakukan restart paksa Windows yang tidak dapat diganggu oleh pengguna.

Tepat sebelum proses keluar, itu akan membuat autorun RunOnce tambahan bernama ‘AstraZeneca’, mungkin tentang pertimbangan Prancis baru-baru ini tentang penggunaan vaksin. Penting untuk diingat bahwa kedua entri ‘RunOnce’ ini akan dijalankan setelah masuk ke Safe Mode dan secara otomatis akan dihapus oleh Windows.

Saat reboot, perangkat akan memulai dalam Safe Mode With Networking, dan pengguna akan diminta untuk masuk ke Windows. Setelah mereka masuk, REvil ransomware akan dijalankan tanpa argumen -smode sehingga mulai mengenkripsi file pada perangkat.

Saat berjalan, ransomware akan mencegah pengguna meluncurkan program apa pun melalui Task Manager hingga selesai mengenkripsi perangkat.

Setelah perangkat dienkripsi, ini akan memungkinkan sisa urutan boot untuk dilanjutkan, dan desktop akan ditampilkan dengan catatan tebusan dan file terenkripsi.

Selengkapnya: Bleeping Computer

Peretas telah membocorkan data internal Hyundai Motors Group.

March 19, 2021 by Winnie the Pooh

Setelah terkena serangan Ransomware pada bulan Februari, kini dikabarkan bahwa data Hyundai Motors Group telah bocor di dark web.

Media Korea, The Milk, mengatakan bahwa email staf Hyundai Glovis, informasi internal Hyundai Autoever, dan gambar desain dasar telah bocor di dark web. Ukuran file total adalah 9 GB.

File tersebut mencakup arsitektur sistem TI, file cadangan Outlook, dokumen yang bernama “rebate”, dokumen transaksi dengan bank, laporan prospek bisnis, dan dokumen terkait TI internal termasuk keamanan. Durasinya dari 2007 hingga 2021.

Salah satu afiliasinya – KIA America – mengalami serangan ransomware pada bulan Februari oleh gang Ransomware bernama DoppelPaymer, geng Ransomware yang sama yang membocorkan data Hyundai Motors Group di dark web. Ada kemungkinan mereka meretas Hyundai Motors Group atau mitra Hyundai dan membocorkan data mereka karena menolak membayar tebusan.

Tim Miilk mengatakan sedang menunggu tanggapan resmi dari Hyundai Motor America.

Sumber: Pickool

Ransomware DEARCRY baru menargetkan Server Microsoft Exchange

March 12, 2021 by Winnie the Pooh Leave a Comment

Ransomware baru bernama ‘DEARCRY’ menargetkan server Microsoft Exchange, dengan satu korban menyatakan bahwa mereka terinfeksi melalui kerentanan ProxyLogon.

Sejak Microsoft mengungkapkan awal bulan ini bahwa pelaku ancaman membahayakan server Microsoft Exchange menggunakan kerentanan ProxyLogon zero-day yang baru, kekhawatiran yang signifikan adalah ketika pelaku ancaman akan menggunakannya untuk menyebarkan ransomware.

Menurut Michael Gillespie, pembuat situs identifikasi ransomware ID-Ransomware, mulai tanggal 9 Maret, pengguna mulai mengirimkan catatan tebusan baru dan jenis file terenkripsi ke sistemnya.

Setelah meninjau kiriman, Gillespie menemukan bahwa pengguna mengirimkan hampir semuanya dari server Microsoft Exchange.

Menurut Advanced Intel’s Vitali Kremez, ketika diluncurkan, ransomware DearCry akan mencoba mematikan layanan Windows bernama ‘msupdate’. Tidak diketahui ini layanan apa, tetapi tampaknya bukan layanan Windows yang sah.

Ransomware sekarang akan mulai mengenkripsi file di komputer. Saat mengenkripsi file, itu akan menambahkan ekstensi .CRYPT pada nama file.

Gillespie memberi tahu BleepingComputer bahwa ransomware menggunakan AES-256 + RSA-2048 untuk mengenkripsi file dan menambahkan ‘DEARCRY!’ string ke awal setiap file yang dienkripsi.

Sayangnya, ransomware tampaknya tidak memiliki kelemahan yang memungkinkan korban untuk memulihkan file mereka secara gratis.

Sumber: Bleeping Computer

Afiliasi ransomware GandCrab ditangkap karena serangan phishing

March 10, 2021 by Winnie the Pooh

Seorang tersangka anggota GandCrab Ransomware ditangkap di Korea Selatan karena menggunakan email phishing untuk menginfeksi korban.

Operasi ransomware GandCrab dimulai pada Januari 2018 ketika dengan cepat menjadi kerajaan malware yang mengancam bisnis di seluruh dunia.

Dioperasikan sebagai Ransomware-as-a-Service (RaaS), pengembang GandCrab bekerja sama dengan afiliasi dalam kemitraan bagi hasil, dengan afiliasi mendapatkan antara 70-80% dari pembayaran tebusan.

Operasi ditutup pada musim panas 2019, tetapi banyak peneliti keamanan percaya bahwa pengembang inti melanjutkan untuk memulai grup ransomware REvil.

Seperti yang pertama kali dilaporkan oleh TheRecord, seorang pria berusia 20 tahun ditangkap pada tanggal 25 Februari oleh polisi Korea Selatan setelah penyelidikan internasional melacak pembayaran tebusan GandCrab hingga penarikan yang dilakukan oleh tersangka.

Media Korea Selatan menyatakan tersangka menyebarkan 6.486 email phishing. Email ini berpura-pura berasal dari polisi Korea Selatan yang menyelidiki pencemaran nama baik penerima email secara online.

Termasuk dalam email adalah lampiran yang akan menginfeksi korban dengan ransomware GandCrab, mengenkripsi file, dan meminta tebusan bitcoin $1.300.

Polisi menyatakan bahwa tersangka lain, yang membagikan ransomware GandCrab dengan individu yang ditangkap, masih buron.

Sumber: Bleeping Computer

Ransomware HelloKitty Tidak Memiliki Stealth

March 9, 2021 by Winnie the Pooh

Studio game CD Projekt Red baru-baru ini mengungkapkan bahwa mereka menjadi korban ransomware yang ditargetkan dan sangat berdampak. Beberapa hari setelah pengungkapan, terungkap bahwa keluarga ransomware yang paling mungkin berada di balik serangan tersebut adalah “HelloKitty”.

Ransomware HelloKitty adalah keluarga ransomware yang muncul pada akhir tahun 2020. Meskipun tidak memiliki kecanggihan dari beberapa keluarga yang lebih terkenal seperti Ryuk, REvil, dan Conti, namun ia telah mencapai beberapa target penting, termasuk CEMIG0. Dalam sebuah blog, peneliti keamanan dari Sentinel One menganalisis sampel HelloKitty dan menguraikan perilaku dan sifat dasar yang terkait dengan keluarga ransomware ini.

Menurut analisis, ransomware HelloKitty mungkin lebih mudah dikenali daripada keluarga ransomware modern lainnya, tetapi setelah dieksekusi, ia tidak kalah berbahayanya. Saat ini tidak ada ‘kelemahan’ yang diketahui dalam rutinitas enkripsi, dan tidak ada dekripsi pihak ketiga yang tersedia untuk ransomware HelloKitty. Oleh karena itu, satu-satunya pertahanan yang benar adalah pencegahan.

Untuk melindungi diri Anda dari Ransomware HelloKitty, pastikan Anda menggunakan platform Keamanan Endpoint modern, yang dikonfigurasi dengan benar dan terbaru.

Detail teknis dari analisis sampel Ransomware HelloKitty dapat dibaca pada tautan ini.

Ransomware berbahaya ini menggunakan trik baru untuk mengenkripsi jaringan Anda

March 5, 2021 by Winnie the Pooh

Versi baru ransomware Ryuk dilengkapi dengan kemampuan seperti worm untuk menyebarkan dirinya di sekitar jaringan yang terinfeksi, berpotensi membuatnya lebih berbahaya daripada sebelumnya.

Ryuk adalah salah satu bentuk ransomware paling produktif, dengan operator kriminal sibernya diperkirakan telah menghasilkan lebih dari $ 150 juta pembayaran tebusan Bitcoin dari organisasi korban di seluruh dunia.

Seperti bentuk ransomware lainnya, Ryuk mengenkripsi jaringan, membuat sistem tidak berguna, dan penjahat dunia maya di balik serangan tersebut menuntut pembayaran sebagai ganti kunci dekripsi. Permintaan ini bisa mencapai jutaan dolar.

Ransomware dapat menyebar ke seluruh jaringan menggunakan Wake-on-LAN, fitur yang memungkinkan komputer Windows dihidupkan dari jarak jauh oleh komputer lain di jaringan yang sama. Dengan menyebar ke setiap mesin yang dapat dijangkau di jaringan, serangan Ryuk bisa jauh lebih merusak.

Kemampuan ini ditemukan saat ANSSI menanggapi insiden ransomware Ryuk yang tidak dikenal awal tahun ini.

Makalah ANSSI menghangatkan bahwa Ryuk tetap sangat aktif dan bahwa “setidaknya salah satu operatornya menyerang rumah sakit selama pandemi”.

Rumah sakit tampaknya menjadi target khusus serangan ransomware Ryuk, meskipun – atau mungkin karena – pandemi COVID-19 yang sedang berlangsung, dengan akses ke jaringan yang penting untuk perawatan pasien. Dan mengingat situasi yang sedang berlangsung, beberapa rumah sakit menyerah pada permintaan tebusan, menganggap pendekatan itu sebagai cara termudah untuk tetap merawat pasien – meskipun membayar uang tebusan tidak menjamin kelancaran pemulihan jaringan.

selengkapnya : ZDNET

Ransomware ‘Povlsomware’ Mungkin Tidak Hanya Digunakan oleh Peneliti

March 4, 2021 by Winnie the Pooh Leave a Comment

“Povlsomware” adalah bukti konsep ransomware yang tersedia di Github sejak November 2020, dirilis dengan tujuan menjadi alat untuk penelitian seperti menguji solusi anti-virus yang mengklaim menawarkan perlindungan ransomware.

Seperti yang diperingatkan oleh para peneliti dari tim Trend Micro, kompatibilitas Povlsomware dengan alat pasca-eksploitasi seperti Cobalt Strike sebenarnya membuat sampel tersebut berpotensi berharga di tangan pelaku jahat.

Saat didistribusikan, sampel ransomware memindai sistem file dan mengenkripsi file pribadi umum menggunakan AES256. Semua shadowcopies yang akan membantu memulihkan sistem dihapus, entri registri memastikan persistensi start-up, dan pop-up ditampilkan untuk memberi tahu pengguna yang terinfeksi. Kata sandi dekripsi adalah “blahblah”, sehingga peneliti dapat mengembalikan file uji mereka seolah-olah tidak ada yang terjadi.

Namun, menjadi proyek sumber terbuka, siapa pun dapat menggunakan Povlsomware dan memodifikasinya, membuatnya jauh lebih berbahaya daripada yang dimaksudkan oleh pembuatnya. Karena Povlsomware terintegrasi dengan Cobalt Strike, Povlsomware dapat dijalankan secara langsung di memori, bahkan tidak mengharuskannya untuk bersarang di memori korban atau menjatuhkan biner apa pun di sana.

Untuk saat ini, Trend Micro belum melihat insiden nyata yang melibatkan Povlsomware yang dimodifikasi, tetapi berdasarkan apa yang dapat disimpulkan dari semua faktor, ini hanya masalah waktu. Karena alasan ini, perusahaan keamanan memilih untuk memperingatkan komunitas, meskipun itu berarti mengalihkan perhatian penjahat siber ke Povlsomware.

Sumber: Tech Nadu

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Ransomware

Cookies Settings