Ransomware

Ransomware HelloKitty Tidak Memiliki Stealth

March 9, 2021 by Winnie the Pooh

Studio game CD Projekt Red baru-baru ini mengungkapkan bahwa mereka menjadi korban ransomware yang ditargetkan dan sangat berdampak. Beberapa hari setelah pengungkapan, terungkap bahwa keluarga ransomware yang paling mungkin berada di balik serangan tersebut adalah “HelloKitty”.

Ransomware HelloKitty adalah keluarga ransomware yang muncul pada akhir tahun 2020. Meskipun tidak memiliki kecanggihan dari beberapa keluarga yang lebih terkenal seperti Ryuk, REvil, dan Conti, namun ia telah mencapai beberapa target penting, termasuk CEMIG0. Dalam sebuah blog, peneliti keamanan dari Sentinel One menganalisis sampel HelloKitty dan menguraikan perilaku dan sifat dasar yang terkait dengan keluarga ransomware ini.

Menurut analisis, ransomware HelloKitty mungkin lebih mudah dikenali daripada keluarga ransomware modern lainnya, tetapi setelah dieksekusi, ia tidak kalah berbahayanya. Saat ini tidak ada ‘kelemahan’ yang diketahui dalam rutinitas enkripsi, dan tidak ada dekripsi pihak ketiga yang tersedia untuk ransomware HelloKitty. Oleh karena itu, satu-satunya pertahanan yang benar adalah pencegahan.

Untuk melindungi diri Anda dari Ransomware HelloKitty, pastikan Anda menggunakan platform Keamanan Endpoint modern, yang dikonfigurasi dengan benar dan terbaru.

Detail teknis dari analisis sampel Ransomware HelloKitty dapat dibaca pada tautan ini.

Ransomware berbahaya ini menggunakan trik baru untuk mengenkripsi jaringan Anda

March 5, 2021 by Winnie the Pooh

Versi baru ransomware Ryuk dilengkapi dengan kemampuan seperti worm untuk menyebarkan dirinya di sekitar jaringan yang terinfeksi, berpotensi membuatnya lebih berbahaya daripada sebelumnya.

Ryuk adalah salah satu bentuk ransomware paling produktif, dengan operator kriminal sibernya diperkirakan telah menghasilkan lebih dari $ 150 juta pembayaran tebusan Bitcoin dari organisasi korban di seluruh dunia.

Seperti bentuk ransomware lainnya, Ryuk mengenkripsi jaringan, membuat sistem tidak berguna, dan penjahat dunia maya di balik serangan tersebut menuntut pembayaran sebagai ganti kunci dekripsi. Permintaan ini bisa mencapai jutaan dolar.

Ransomware dapat menyebar ke seluruh jaringan menggunakan Wake-on-LAN, fitur yang memungkinkan komputer Windows dihidupkan dari jarak jauh oleh komputer lain di jaringan yang sama. Dengan menyebar ke setiap mesin yang dapat dijangkau di jaringan, serangan Ryuk bisa jauh lebih merusak.

Kemampuan ini ditemukan saat ANSSI menanggapi insiden ransomware Ryuk yang tidak dikenal awal tahun ini.

Makalah ANSSI menghangatkan bahwa Ryuk tetap sangat aktif dan bahwa “setidaknya salah satu operatornya menyerang rumah sakit selama pandemi”.

Rumah sakit tampaknya menjadi target khusus serangan ransomware Ryuk, meskipun – atau mungkin karena – pandemi COVID-19 yang sedang berlangsung, dengan akses ke jaringan yang penting untuk perawatan pasien. Dan mengingat situasi yang sedang berlangsung, beberapa rumah sakit menyerah pada permintaan tebusan, menganggap pendekatan itu sebagai cara termudah untuk tetap merawat pasien – meskipun membayar uang tebusan tidak menjamin kelancaran pemulihan jaringan.

selengkapnya : ZDNET

Ransomware ‘Povlsomware’ Mungkin Tidak Hanya Digunakan oleh Peneliti

March 4, 2021 by Winnie the Pooh Leave a Comment

“Povlsomware” adalah bukti konsep ransomware yang tersedia di Github sejak November 2020, dirilis dengan tujuan menjadi alat untuk penelitian seperti menguji solusi anti-virus yang mengklaim menawarkan perlindungan ransomware.

Seperti yang diperingatkan oleh para peneliti dari tim Trend Micro, kompatibilitas Povlsomware dengan alat pasca-eksploitasi seperti Cobalt Strike sebenarnya membuat sampel tersebut berpotensi berharga di tangan pelaku jahat.

Saat didistribusikan, sampel ransomware memindai sistem file dan mengenkripsi file pribadi umum menggunakan AES256. Semua shadowcopies yang akan membantu memulihkan sistem dihapus, entri registri memastikan persistensi start-up, dan pop-up ditampilkan untuk memberi tahu pengguna yang terinfeksi. Kata sandi dekripsi adalah “blahblah”, sehingga peneliti dapat mengembalikan file uji mereka seolah-olah tidak ada yang terjadi.

Namun, menjadi proyek sumber terbuka, siapa pun dapat menggunakan Povlsomware dan memodifikasinya, membuatnya jauh lebih berbahaya daripada yang dimaksudkan oleh pembuatnya. Karena Povlsomware terintegrasi dengan Cobalt Strike, Povlsomware dapat dijalankan secara langsung di memori, bahkan tidak mengharuskannya untuk bersarang di memori korban atau menjatuhkan biner apa pun di sana.

Untuk saat ini, Trend Micro belum melihat insiden nyata yang melibatkan Povlsomware yang dimodifikasi, tetapi berdasarkan apa yang dapat disimpulkan dari semua faktor, ini hanya masalah waktu. Karena alasan ini, perusahaan keamanan memilih untuk memperingatkan komunitas, meskipun itu berarti mengalihkan perhatian penjahat siber ke Povlsomware.

Sumber: Tech Nadu

Ryuk ransomware sekarang menyebar sendiri ke perangkat Windows LAN lainnya

March 1, 2021 by Winnie the Pooh

Varian ransomware Ryuk baru dengan kemampuan seperti worm yang memungkinkannya menyebar ke perangkat lain di jaringan lokal korban telah ditemukan oleh badan keamanan siber nasional Prancis saat menyelidiki serangan pada awal 2021.

“Melalui penggunaan tugas terjadwal, malware menyebarkan dirinya – dari mesin ke mesin – dalam domain Windows,” kata ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) dalam sebuah laporan yang diterbitkannya.

“Setelah diluncurkan, ini akan menyebar dengan sendirinya di setiap mesin yang dapat dijangkau yang memungkinkan akses Windows RPC”.

Untuk menyebarkan dirinya melalui jaringan lokal, varian Ryuk yang baru mencantumkan semua alamat IP di cache ARP lokal dan mengirimkan apa yang tampak seperti paket Wake-on-LAN (WOL) ke setiap perangkat yang ditemukan. Kemudian mounts semua sharing resources yang ditemukan untuk setiap perangkat sehingga dapat mengenkripsi konten.

Apa yang membuat sampel Ryuk baru ini berbeda adalah kemampuannya untuk menyalin dirinya sendiri ke perangkat Windows lain di jaringan lokal korban.

Selain itu, ia dapat menjalankan dirinya sendiri dari jarak jauh menggunakan tugas terjadwal yang dibuat pada setiap host jaringan yang kemudian dikompromikan dengan bantuan alat Windows schtasks.exe yang sah.

Selengkapnya: Bleeping Computer

Ancaman ransomware yang harus diperhatikan pada tahun 2021 termasuk crimeware-as-a-service

February 26, 2021 by Winnie the Pooh

Ransomware telah menjadi ancaman yang semakin ganas yang menargetkan bisnis, lembaga pemerintah, sekolah, dan bahkan individu. Karena serangan ransomware mendapatkan daya tarik dan variasi yang lebih besar pada tahun 2020, demikian juga akan membawa lebih banyak perkembangan pada tahun 2021. Sebuah laporan yang dirilis hari Rabu oleh BlackBerry menyoroti beberapa tren yang harus diperhatikan di tahun mendatang.

Untuk “Laporan Ancaman 2021” BlackBerry, peneliti dan profesional keamanan di perusahaan diminta untuk menawarkan prediksi keamanan siber mereka untuk tahun mendatang. Sebagai tanggapan, mereka menyarankan organisasi dan pengguna untuk tetap waspada terhadap ancaman berikut seiring berjalannya 2021.

Taktik yang berkembang di antara penjahat dunia maya adalah serangan ransomware pemerasan ganda. Dalam kasus ini, para penyerang menuntut uang tebusan tidak hanya untuk mendekripsi data yang dicuri, tetapi juga menahan diri untuk tidak merilisnya ke publik. Jika tebusan tidak dibayarkan dalam waktu tertentu, para penjahat berjanji untuk menerbitkannya agar semua orang dapat melihat atau mengungkapkannya kepada pesaing yang mungkin.

Bahkan jika organisasi yang menjadi korban dapat memulihkan data dari cadangan, mereka mungkin masih dipaksa untuk membayar uang tebusan untuk mencegah data terungkap.

selengkapnya : TechRepublic

Semua yang Perlu Anda Ketahui Tentang Perkembangan Ancaman Ransomware

February 25, 2021 by Winnie the Pooh

Apa itu ransomware?

Ransomware adalah program jahat yang memperoleh kendali atas perangkat yang terinfeksi, mengenkripsi file, dan memblokir akses pengguna ke data atau sistem hingga sejumlah uang, atau tebusan, dibayarkan.

Skema penjahat termasuk catatan tebusan — dengan jumlah dan instruksi tentang bagaimana membayar tebusan sebagai imbalan untuk kunci dekripsi — atau komunikasi langsung dengan korban.

Serangan ransomware mulai meningkat pada tahun 2012, dan sejak saat itu, serangan tersebut menjadi serangan siber yang paling luas di seluruh dunia.

Detail Serangan

Deployment: Pada langkah pertama, penyerang mendistribusikan komponen penting yang digunakan untuk menginfeksi, mengenkripsi, atau mengunci sistem, diunduh tanpa sepengetahuan pengguna, menggunakan phishing, atau setelah mengeksploitasi kelemahan sistem yang ditargetkan.
Instalasi: Saat payload diunduh, langkah selanjutnya adalah infeksi. Malware menjatuhkan file kecil yang seringkali mampu menghindari pertahanan. Ransomware dijalankan dan mencoba untuk mendapatkan persistence pada sistem yang terinfeksi dengan menempatkan dirinya untuk menjalankan kunci registri secara otomatis, memungkinkan penyerang jarak jauh untuk mengontrol sistem.
Command-and-Control: Malware kemudian terhubung ke server command and control (C2) penyerang untuk menerima instruksi dan, terutama, untuk menyimpan kunci enkripsi pribadi asimetris dari jangkauan korban.
Destruction: Setelah file dienkripsi, malware menghapus salinan asli di sistem, dan satu-satunya cara untuk memulihkannya adalah dengan mendekripsi file yang disandikan.
Extortion: Penyerang menampilkan catatan tebusan dan memeras korban. Untuk membingungkan dan menakut-nakuti korban, penyerang dapat menghapus beberapa file dari komputer. Namun, jika pengguna membayar uang tebusan, ini bukan jaminan bahwa informasi tersebut akan dipulihkan atau ransomware itu sendiri akan dihapus.

Target serangan ransomware

Ada beberapa alasan penyerang pertama kali memilih jenis organisasi apa yang ingin mereka targetkan dengan ransomware:

Mudah menghindari pertahanan. Universitas, perusahaan kecil yang memiliki tim keamanan kecil adalah sasaran empuk. Berbagi file dan database yang luas membuat penetrasi mudah bagi penyerang.
Kemungkinan pembayaran cepat. Beberapa organisasi terpaksa membayar tebusan dengan cepat. Instansi pemerintah atau fasilitas medis seringkali membutuhkan akses langsung ke datanya. Firma hukum dan organisasi lain dengan data sensitif biasanya ingin merahasiakan serangan.

Tindakan pencegahan

Untuk melindungi dari ransomware, perusahaan harus memiliki rencana yang rumit terhadap malware, termasuk data cadangan. Karena ransomware sangat sulit untuk dideteksi dan diperangi, mekanisme perlindungan yang berbeda harus digunakan.

Selengkapnya dapat dibaca di The Hacker News

Ransomware: Peningkatan tajam serangan terhadap universitas seiring pembelajaran online

February 24, 2021 by Winnie the Pooh

Jumlah serangan ransomware yang menargetkan universitas telah berlipat ganda selama setahun terakhir dan biaya permintaan ransomware meningkat karena tim keamanan informasi berjuang untuk melawan serangan siber.

Analisis kampanye ransomware terhadap pendidikan tinggi menemukan bahwa serangan terhadap universitas selama tahun 2020 naik 100 persen dibandingkan dengan 2019, dan permintaan tebusan rata-rata sekarang mencapai $ 447.000.

Kenaikan tajam dalam jumlah serangan ransomware, dikombinasikan dengan permintaan geng ransomware berjumlah enam digit sebagai ganti kunci dekripsi berarti ransomware mewakili ancaman keamanan siber nomor satu bagi universitas, menurut penelitian oleh perusahaan teknologi BlueVoyant.

Ransomware adalah masalah di semua sektor, tetapi untuk pendidikan tinggi saat ini merupakan masalah khusus karena pandemi COVID-19 yang sedang berlangsung membuat siswa menerima pengajaran secara online sementara banyak akademisi juga bekerja dari rumah.

Departemen TI yang kewalahan mungkin tidak memiliki kemampuan untuk sepenuhnya menangani keamanan, memberikan celah kepada penjahat siber untuk dieksploitasi.

Selengkapnya: ZDNet

Data Bombardier pembuat pesawat diposting di situs kebocoran ransomware setelah peretasan FTA

February 24, 2021 by Winnie the Pooh Leave a Comment

Produsen pesawat Kanada Bombardier hari ini telah mengungkapkan pelanggaran keamanan setelah beberapa datanya dipublikasikan di portal dark web yang dioperasikan oleh geng ransomware Clop.

Meskipun perusahaan tidak secara spesifik menyebutkan nama alat tersebut, kemungkinan besar mereka mengacu pada Accellion FTA, server web yang dapat digunakan oleh perusahaan untuk menghosting dan berbagi file besar yang tidak dapat dikirim melalui email ke pelanggan dan karyawan.

Pada Desember 2020, sebuah grup peretas menemukan zero-day di perangkat lunak FTA dan mulai menyerang perusahaan di seluruh dunia. Penyerang mengambil alih sistem, memasang shell web, dan kemudian mencuri data sensitif.

Para penyerang kemudian mencoba memeras perusahaan yang diretas, meminta pembayaran tebusan, atau mereka akan membuat data yang dicuri itu publik, menurut firma keamanan FireEye.

Data dari perusahaan data geo-spasial Fugro, firma teknologi Danaher, perusahaan telekomunikasi terbesar Singapura Singtel, dan firma hukum AS Jones Day sejauh ini telah dipublikasikan di situs yang sama.

Hari ini, nama Bombardier menambah daftar panjang dari korban peretasan tersebut, yang mendorong pembuat pesawat itu untuk mengumumkan pelanggaran keamanannya.

Data yang dibagikan di situs termasuk dokumen desain untuk berbagai pesawat Bombardier dan bagian pesawat. Tidak ada data pribadi yang dibagikan, tetapi pembuat pesawat kemungkinan besar marah karena beberapa kekayaan intelektual pribadinya sekarang ditawarkan sebagai unduhan gratis di dark web.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Ransomware

Apa itu ransomware?

Detail Serangan

Target serangan ransomware

Tindakan pencegahan

Cookies Settings