Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

Geng ransomware membocorkan data yang dicuri dari universitas Colorado, Miami

by

Nilai dan nomor jaminan sosial untuk mahasiswa di University of Colorado dan data pasien di University of Miami telah diposting online oleh grup ransomware Clop.

Mulai bulan Desember, pelaku ancaman yang berafiliasi dengan operasi ransomware Clop mulai menargetkan server Accellion FTA dan mencuri data yang tersimpan di dalamnya. Perusahaan menggunakan server ini untuk berbagi file dan informasi sensitif dengan orang di luar organisasi mereka.

Geng ransomware kemudian menghubungi organisasi tersebut dan meminta $ 10 juta dalam bentuk bitcoin atau mereka akan mempublikasikan data yang dicuri.

Sumber: BleepingComputer

Sejak Februari, operasi ransomware Clop telah menerbitkan file yang dicuri menggunakan kerentanan di server berbagi file Accellion FTA.

Minggu ini, geng ransomware Clop mulai menerbitkan tangkapan layar file yang dicuri dari server Accellion FTA yang digunakan oleh Universitas Miami dan Colorado.

Pada bulan Februari, University of Colorado (CU) mengungkapkan bahwa mereka mengalami serangan siber di mana pelaku ancaman mencuri data melalui kerentanan Accellion FTA.

Clop ransomware telah mulai memposting tangkapan layar dari data yang dicuri, termasuk dokumen keuangan universitas, nilai siswa, catatan akademik, informasi pendaftaran, dan informasi biografi siswa.

Sementara University of Miami tidak pernah mengungkapkan insiden keamanan, operasi ransomware Clop juga menerbitkan tangkapan layar data pasien.

Data ini mencakup rekam medis, laporan demografis, dan spreadsheet dengan alamat email dan nomor telepon.

Selengkapnya: Bleeping Computer

Serangan ransomware menghantam pembuat Sierra Wireless IoT

by

Sierra Wireless, penyedia solusi IoT (Internet of Things) terkemuka di dunia, hari ini mengungkapkan serangan ransomware yang memaksanya menghentikan produksi di semua lokasi manufaktur.

Perusahaan multinasional Kanada yang berkantor pusat di Richmond, British Columbia, memiliki lebih dari 1.300 karyawan di seluruh dunia, mengembangkan peralatan komunikasi, dan memiliki pusat penelitian dan pengembangan di Amerika Utara, Eropa, dan Asia.

Serangan ransomware menghantam jaringan internal Sierra Wireless selama akhir pekan, pada 20 Maret. Perusahaan mengatakan bahwa serangan itu tidak berdampak pada layanan atau produk yang digunakan pelanggan.

Setelah serangan itu, perusahaan juga harus menutup pabriknya di seluruh dunia, dan berharap dapat segera melanjutkan produksi dan operasinya.

Situs web Sierra Wireless saat ini menampilkan pesan “situs sedang dalam pemeliharaan”.

Setelah perusahaan mengetahui serangan tersebut, tim TI dan operasinya segera menerapkan langkah-langkah untuk melawan serangan tersebut sesuai dengan prosedur dan kebijakan keamanan siber yang ditetapkan yang dikembangkan bekerja sama dengan penasihat pihak ketiga. Tim ini, dengan bantuan dari ini dan penasihat pihak ketiga tambahan, yakin bahwa mereka telah mengatasi serangan tersebut, dan saat ini bekerja untuk membuat sistem TI internal Sierra Wireless kembali online. – Sierra Wireless

Sumber: Bleeping Computer

Server Microsoft Exchange sekarang ditargetkan oleh ransomware Black Kingdom

by

Operasi ransomware lain yang dikenal sebagai ‘Black Kingdom’ mengeksploitasi kerentanan Microsoft Exchange Server ProxyLogon untuk mengenkripsi server.

Selama akhir pekan, peneliti keamanan Marcus Hutchins, alias MalwareTechBlog, men-tweet bahwa pelaku ancaman membahayakan server Microsoft Exchange melalui kerentanan ProxyLogon untuk menyebarkan ransomware.

Berdasarkan log dari honeypots-nya, Hutchins menyatakan bahwa pelaku ancaman menggunakan kerentanan untuk menjalankan skrip PowerShell yang mengunduh ransomware yang dapat dieksekusi dari ‘yuuuuu44[.]Com’ dan kemudian mendorongnya ke komputer lain di jaringan.

Michael Gillespie, pencipta ID Ransomware, memberi tahu BleepingComputer bahwa sistemnya telah melihat lebih dari 30 pengiriman unik ke sistemnya, dengan banyak yang dikirim langsung dari server email.

Korban berada di AS, Kanada, Austria, Swiss, Rusia, Prancis, Israel, Inggris, Italia, Jerman, Yunani, Australia, dan Kroasia.

Saat mengenkripsi perangkat, ransomware akan mengenkripsi file menggunakan ekstensi acak dan kemudian membuat catatan tebusan bernama decrypt_file.TxT, seperti yang ditunjukkan di bawah ini.

blackkingdom ransomware
Sumber: BleepingComputer

Black Kingdom adalah ransomware terkonfirmasi kedua setelah DearCry ransomware yang menargetkan kerentanan Microsoft Exchange ProxyLogon.

Sumber: Bleeping Computer

Raksasa komputer Acer terkena serangan ransomware senilai $ 50 juta

by

Raksasa komputer Acer telah terkena serangan ransomware REvil di mana pelaku ancaman menuntut tebusan terbesar yang diketahui hingga saat ini, $50.000.000.

Acer adalah produsen elektronik dan komputer Taiwan yang terkenal dengan laptop, desktop, dan monitor. Acer mempekerjakan sekitar 7.000 karyawan dan menghasilkan $ 7,8 miliar pada 2019.

Kemarin, geng ransomware mengumumkan di situs kebocoran data mereka bahwa mereka telah membobol Acer dan membagikan beberapa gambar dari file yang diduga dicuri sebagai bukti.

Gambar yang bocor ini untuk dokumen yang mencakup spreadsheet keuangan, saldo bank, dan komunikasi bank.

Sumber: BleepingComputer

Menanggapi pertanyaan dari BleepingComputer, Acer tidak memberikan jawaban yang jelas mengenai apakah mereka mengalami serangan ransomware REvil, sebaliknya mengatakan bahwa mereka “melaporkan situasi abnormal baru-baru ini” ke LEA dan DPA yang relevan.

Setelah menerbitkan berita mengenai ini, Valery Marchive dari LegMagIT menemukan sampel REvil ransomware yang digunakan dalam serangan Acer yang menuntut tebusan $ 50 juta.

Segera setelah itu, BleepingComputer menemukan sampel tersebut dan dapat mengonfirmasi bahwa berdasarkan catatan tebusan dan percakapan korban dengan penyerang, sampel tersebut berasal dari serangan siber di Acer.

Selengkapnya: Bleeping Computer

REvil ransomware memiliki mode enkripsi ‘Windows Safe Mode’ baru

by

Operasi ransomware REvil telah menambahkan kemampuan baru untuk mengenkripsi file dalam Windows Safe Mode, kemungkinan besar menghindari deteksi oleh perangkat lunak keamanan dan untuk kesuksesan yang lebih besar saat mengenkripsi file.

Dalam sampel baru REvil ransomware yang ditemukan oleh MalwareHunterTeam, argumen baris perintah -smode baru ditambahkan yang memaksa komputer untuk melakukan boot ulang ke Safe Mode sebelum mengenkripsi perangkat.

Untuk melakukan ini, REvil akan menjalankan perintah berikut untuk memaksa komputer boot ke Safe Mode with Networking ketika Windows restart berikutnya.

bootcfg /raw /a /safeboot:network /id 1
bcdedit /set {current} safeboot network

Kemudian membuat autorun ‘RunOnce’ bernama ‘*franceisshit’ yang menjalankan ‘bcdedit /deletevalue {current} safeboot’ setelah pengguna masuk ke Safe Mode.

Sumber: BleepingComputer

Akhirnya, ransomware melakukan restart paksa Windows yang tidak dapat diganggu oleh pengguna.

Tepat sebelum proses keluar, itu akan membuat autorun RunOnce tambahan bernama ‘AstraZeneca’, mungkin tentang pertimbangan Prancis baru-baru ini tentang penggunaan vaksin. Penting untuk diingat bahwa kedua entri ‘RunOnce’ ini akan dijalankan setelah masuk ke Safe Mode dan secara otomatis akan dihapus oleh Windows.

Saat reboot, perangkat akan memulai dalam Safe Mode With Networking, dan pengguna akan diminta untuk masuk ke Windows. Setelah mereka masuk, REvil ransomware akan dijalankan tanpa argumen -smode sehingga mulai mengenkripsi file pada perangkat.

Saat berjalan, ransomware akan mencegah pengguna meluncurkan program apa pun melalui Task Manager hingga selesai mengenkripsi perangkat.

Setelah perangkat dienkripsi, ini akan memungkinkan sisa urutan boot untuk dilanjutkan, dan desktop akan ditampilkan dengan catatan tebusan dan file terenkripsi.

Selengkapnya: Bleeping Computer

Peretas telah membocorkan data internal Hyundai Motors Group.

by

Setelah terkena serangan Ransomware pada bulan Februari, kini dikabarkan bahwa data Hyundai Motors Group telah bocor di dark web.

Media Korea, The Milk, mengatakan bahwa email staf Hyundai Glovis, informasi internal Hyundai Autoever, dan gambar desain dasar telah bocor di dark web. Ukuran file total adalah 9 GB.

File tersebut mencakup arsitektur sistem TI, file cadangan Outlook, dokumen yang bernama “rebate”, dokumen transaksi dengan bank, laporan prospek bisnis, dan dokumen terkait TI internal termasuk keamanan. Durasinya dari 2007 hingga 2021.

Salah satu afiliasinya – KIA America – mengalami serangan ransomware pada bulan Februari oleh gang Ransomware bernama DoppelPaymer, geng Ransomware yang sama yang membocorkan data Hyundai Motors Group di dark web. Ada kemungkinan mereka meretas Hyundai Motors Group atau mitra Hyundai dan membocorkan data mereka karena menolak membayar tebusan.

Tim Miilk mengatakan sedang menunggu tanggapan resmi dari Hyundai Motor America.

Sumber: Pickool

Ransomware DEARCRY baru menargetkan Server Microsoft Exchange

by Leave a Comment

Ransomware baru bernama ‘DEARCRY’ menargetkan server Microsoft Exchange, dengan satu korban menyatakan bahwa mereka terinfeksi melalui kerentanan ProxyLogon.

Sejak Microsoft mengungkapkan awal bulan ini bahwa pelaku ancaman membahayakan server Microsoft Exchange menggunakan kerentanan ProxyLogon zero-day yang baru, kekhawatiran yang signifikan adalah ketika pelaku ancaman akan menggunakannya untuk menyebarkan ransomware.

Menurut Michael Gillespie, pembuat situs identifikasi ransomware ID-Ransomware, mulai tanggal 9 Maret, pengguna mulai mengirimkan catatan tebusan baru dan jenis file terenkripsi ke sistemnya.

Setelah meninjau kiriman, Gillespie menemukan bahwa pengguna mengirimkan hampir semuanya dari server Microsoft Exchange.

Menurut Advanced Intel’s Vitali Kremez, ketika diluncurkan, ransomware DearCry akan mencoba mematikan layanan Windows bernama ‘msupdate’. Tidak diketahui ini layanan apa, tetapi tampaknya bukan layanan Windows yang sah.

Ransomware sekarang akan mulai mengenkripsi file di komputer. Saat mengenkripsi file, itu akan menambahkan ekstensi .CRYPT pada nama file.

Sumber: Bleeping Computer

Gillespie memberi tahu BleepingComputer bahwa ransomware menggunakan AES-256 + RSA-2048 untuk mengenkripsi file dan menambahkan ‘DEARCRY!’ string ke awal setiap file yang dienkripsi.

Sayangnya, ransomware tampaknya tidak memiliki kelemahan yang memungkinkan korban untuk memulihkan file mereka secara gratis.

Sumber: Bleeping Computer

Afiliasi ransomware GandCrab ditangkap karena serangan phishing

by

Seorang tersangka anggota GandCrab Ransomware ditangkap di Korea Selatan karena menggunakan email phishing untuk menginfeksi korban.

Operasi ransomware GandCrab dimulai pada Januari 2018 ketika dengan cepat menjadi kerajaan malware yang mengancam bisnis di seluruh dunia.

Dioperasikan sebagai Ransomware-as-a-Service (RaaS), pengembang GandCrab bekerja sama dengan afiliasi dalam kemitraan bagi hasil, dengan afiliasi mendapatkan antara 70-80% dari pembayaran tebusan.

Operasi ditutup pada musim panas 2019, tetapi banyak peneliti keamanan percaya bahwa pengembang inti melanjutkan untuk memulai grup ransomware REvil.

Seperti yang pertama kali dilaporkan oleh TheRecord, seorang pria berusia 20 tahun ditangkap pada tanggal 25 Februari oleh polisi Korea Selatan setelah penyelidikan internasional melacak pembayaran tebusan GandCrab hingga penarikan yang dilakukan oleh tersangka.

Media Korea Selatan menyatakan tersangka menyebarkan 6.486 email phishing. Email ini berpura-pura berasal dari polisi Korea Selatan yang menyelidiki pencemaran nama baik penerima email secara online.

Termasuk dalam email adalah lampiran yang akan menginfeksi korban dengan ransomware GandCrab, mengenkripsi file, dan meminta tebusan bitcoin $1.300.

Sumber: Bleeping Computer

Polisi menyatakan bahwa tersangka lain, yang membagikan ransomware GandCrab dengan individu yang ditangkap, masih buron.

Sumber: Bleeping Computer