Ransomware

Ryuk ransomware sekarang menyebar sendiri ke perangkat Windows LAN lainnya

March 1, 2021 by Winnie the Pooh

Varian ransomware Ryuk baru dengan kemampuan seperti worm yang memungkinkannya menyebar ke perangkat lain di jaringan lokal korban telah ditemukan oleh badan keamanan siber nasional Prancis saat menyelidiki serangan pada awal 2021.

“Melalui penggunaan tugas terjadwal, malware menyebarkan dirinya – dari mesin ke mesin – dalam domain Windows,” kata ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) dalam sebuah laporan yang diterbitkannya.

“Setelah diluncurkan, ini akan menyebar dengan sendirinya di setiap mesin yang dapat dijangkau yang memungkinkan akses Windows RPC”.

Untuk menyebarkan dirinya melalui jaringan lokal, varian Ryuk yang baru mencantumkan semua alamat IP di cache ARP lokal dan mengirimkan apa yang tampak seperti paket Wake-on-LAN (WOL) ke setiap perangkat yang ditemukan. Kemudian mounts semua sharing resources yang ditemukan untuk setiap perangkat sehingga dapat mengenkripsi konten.

Apa yang membuat sampel Ryuk baru ini berbeda adalah kemampuannya untuk menyalin dirinya sendiri ke perangkat Windows lain di jaringan lokal korban.

Selain itu, ia dapat menjalankan dirinya sendiri dari jarak jauh menggunakan tugas terjadwal yang dibuat pada setiap host jaringan yang kemudian dikompromikan dengan bantuan alat Windows schtasks.exe yang sah.

Selengkapnya: Bleeping Computer

Ancaman ransomware yang harus diperhatikan pada tahun 2021 termasuk crimeware-as-a-service

February 26, 2021 by Winnie the Pooh

Ransomware telah menjadi ancaman yang semakin ganas yang menargetkan bisnis, lembaga pemerintah, sekolah, dan bahkan individu. Karena serangan ransomware mendapatkan daya tarik dan variasi yang lebih besar pada tahun 2020, demikian juga akan membawa lebih banyak perkembangan pada tahun 2021. Sebuah laporan yang dirilis hari Rabu oleh BlackBerry menyoroti beberapa tren yang harus diperhatikan di tahun mendatang.

Untuk “Laporan Ancaman 2021” BlackBerry, peneliti dan profesional keamanan di perusahaan diminta untuk menawarkan prediksi keamanan siber mereka untuk tahun mendatang. Sebagai tanggapan, mereka menyarankan organisasi dan pengguna untuk tetap waspada terhadap ancaman berikut seiring berjalannya 2021.

Taktik yang berkembang di antara penjahat dunia maya adalah serangan ransomware pemerasan ganda. Dalam kasus ini, para penyerang menuntut uang tebusan tidak hanya untuk mendekripsi data yang dicuri, tetapi juga menahan diri untuk tidak merilisnya ke publik. Jika tebusan tidak dibayarkan dalam waktu tertentu, para penjahat berjanji untuk menerbitkannya agar semua orang dapat melihat atau mengungkapkannya kepada pesaing yang mungkin.

Bahkan jika organisasi yang menjadi korban dapat memulihkan data dari cadangan, mereka mungkin masih dipaksa untuk membayar uang tebusan untuk mencegah data terungkap.

selengkapnya : TechRepublic

Semua yang Perlu Anda Ketahui Tentang Perkembangan Ancaman Ransomware

February 25, 2021 by Winnie the Pooh

Apa itu ransomware?

Ransomware adalah program jahat yang memperoleh kendali atas perangkat yang terinfeksi, mengenkripsi file, dan memblokir akses pengguna ke data atau sistem hingga sejumlah uang, atau tebusan, dibayarkan.

Skema penjahat termasuk catatan tebusan — dengan jumlah dan instruksi tentang bagaimana membayar tebusan sebagai imbalan untuk kunci dekripsi — atau komunikasi langsung dengan korban.

Serangan ransomware mulai meningkat pada tahun 2012, dan sejak saat itu, serangan tersebut menjadi serangan siber yang paling luas di seluruh dunia.

Detail Serangan

Deployment: Pada langkah pertama, penyerang mendistribusikan komponen penting yang digunakan untuk menginfeksi, mengenkripsi, atau mengunci sistem, diunduh tanpa sepengetahuan pengguna, menggunakan phishing, atau setelah mengeksploitasi kelemahan sistem yang ditargetkan.
Instalasi: Saat payload diunduh, langkah selanjutnya adalah infeksi. Malware menjatuhkan file kecil yang seringkali mampu menghindari pertahanan. Ransomware dijalankan dan mencoba untuk mendapatkan persistence pada sistem yang terinfeksi dengan menempatkan dirinya untuk menjalankan kunci registri secara otomatis, memungkinkan penyerang jarak jauh untuk mengontrol sistem.
Command-and-Control: Malware kemudian terhubung ke server command and control (C2) penyerang untuk menerima instruksi dan, terutama, untuk menyimpan kunci enkripsi pribadi asimetris dari jangkauan korban.
Destruction: Setelah file dienkripsi, malware menghapus salinan asli di sistem, dan satu-satunya cara untuk memulihkannya adalah dengan mendekripsi file yang disandikan.
Extortion: Penyerang menampilkan catatan tebusan dan memeras korban. Untuk membingungkan dan menakut-nakuti korban, penyerang dapat menghapus beberapa file dari komputer. Namun, jika pengguna membayar uang tebusan, ini bukan jaminan bahwa informasi tersebut akan dipulihkan atau ransomware itu sendiri akan dihapus.

Target serangan ransomware

Ada beberapa alasan penyerang pertama kali memilih jenis organisasi apa yang ingin mereka targetkan dengan ransomware:

Mudah menghindari pertahanan. Universitas, perusahaan kecil yang memiliki tim keamanan kecil adalah sasaran empuk. Berbagi file dan database yang luas membuat penetrasi mudah bagi penyerang.
Kemungkinan pembayaran cepat. Beberapa organisasi terpaksa membayar tebusan dengan cepat. Instansi pemerintah atau fasilitas medis seringkali membutuhkan akses langsung ke datanya. Firma hukum dan organisasi lain dengan data sensitif biasanya ingin merahasiakan serangan.

Tindakan pencegahan

Untuk melindungi dari ransomware, perusahaan harus memiliki rencana yang rumit terhadap malware, termasuk data cadangan. Karena ransomware sangat sulit untuk dideteksi dan diperangi, mekanisme perlindungan yang berbeda harus digunakan.

Selengkapnya dapat dibaca di The Hacker News

Ransomware: Peningkatan tajam serangan terhadap universitas seiring pembelajaran online

February 24, 2021 by Winnie the Pooh

Jumlah serangan ransomware yang menargetkan universitas telah berlipat ganda selama setahun terakhir dan biaya permintaan ransomware meningkat karena tim keamanan informasi berjuang untuk melawan serangan siber.

Analisis kampanye ransomware terhadap pendidikan tinggi menemukan bahwa serangan terhadap universitas selama tahun 2020 naik 100 persen dibandingkan dengan 2019, dan permintaan tebusan rata-rata sekarang mencapai $ 447.000.

Kenaikan tajam dalam jumlah serangan ransomware, dikombinasikan dengan permintaan geng ransomware berjumlah enam digit sebagai ganti kunci dekripsi berarti ransomware mewakili ancaman keamanan siber nomor satu bagi universitas, menurut penelitian oleh perusahaan teknologi BlueVoyant.

Ransomware adalah masalah di semua sektor, tetapi untuk pendidikan tinggi saat ini merupakan masalah khusus karena pandemi COVID-19 yang sedang berlangsung membuat siswa menerima pengajaran secara online sementara banyak akademisi juga bekerja dari rumah.

Departemen TI yang kewalahan mungkin tidak memiliki kemampuan untuk sepenuhnya menangani keamanan, memberikan celah kepada penjahat siber untuk dieksploitasi.

Selengkapnya: ZDNet

Data Bombardier pembuat pesawat diposting di situs kebocoran ransomware setelah peretasan FTA

February 24, 2021 by Winnie the Pooh Leave a Comment

Produsen pesawat Kanada Bombardier hari ini telah mengungkapkan pelanggaran keamanan setelah beberapa datanya dipublikasikan di portal dark web yang dioperasikan oleh geng ransomware Clop.

Meskipun perusahaan tidak secara spesifik menyebutkan nama alat tersebut, kemungkinan besar mereka mengacu pada Accellion FTA, server web yang dapat digunakan oleh perusahaan untuk menghosting dan berbagi file besar yang tidak dapat dikirim melalui email ke pelanggan dan karyawan.

Pada Desember 2020, sebuah grup peretas menemukan zero-day di perangkat lunak FTA dan mulai menyerang perusahaan di seluruh dunia. Penyerang mengambil alih sistem, memasang shell web, dan kemudian mencuri data sensitif.

Para penyerang kemudian mencoba memeras perusahaan yang diretas, meminta pembayaran tebusan, atau mereka akan membuat data yang dicuri itu publik, menurut firma keamanan FireEye.

Data dari perusahaan data geo-spasial Fugro, firma teknologi Danaher, perusahaan telekomunikasi terbesar Singapura Singtel, dan firma hukum AS Jones Day sejauh ini telah dipublikasikan di situs yang sama.

Hari ini, nama Bombardier menambah daftar panjang dari korban peretasan tersebut, yang mendorong pembuat pesawat itu untuk mengumumkan pelanggaran keamanannya.

Data yang dibagikan di situs termasuk dokumen desain untuk berbagai pesawat Bombardier dan bagian pesawat. Tidak ada data pribadi yang dibagikan, tetapi pembuat pesawat kemungkinan besar marah karena beberapa kekayaan intelektual pribadinya sekarang ditawarkan sebagai unduhan gratis di dark web.

Sumber: ZDNet

Kia Motors America menderita serangan ransomware dengan tebusan $ 20 juta

February 18, 2021 by Winnie the Pooh

Kia Motors America mengalami pemadaman TI nasional yang memengaruhi aplikasi UVO Link seluler, layanan telepon, sistem pembayaran, portal pemilik, dan situs internal yang digunakan oleh dealer.

Saat mengunjungi situs mereka, pengguna akan disambut dengan pesan yang menyatakan bahwa Kia “mengalami gangguan layanan TI yang berdampak pada beberapa jaringan internal”, seperti yang ditunjukkan di bawah ini.

“KMA mengetahui pemadaman TI yang melibatkan sistem internal, dealer dan yang berhubungan dengan pelanggan, termasuk UVO. Kami mohon maaf atas ketidaknyamanan yang terjadi pada pelanggan kami dan sedang bekerja untuk menyelesaikan masalah dan memulihkan operasi bisnis normal secepat mungkin.” klarifikasi dari Kia Motors America.

BleepingComputer memperoleh catatan tebusan yang kami diberitahu dibuat selama dugaan serangan siber Kia Motors America oleh geng ransomware DoppelPaymer.

Dalam catatan tebusan yang dilihat oleh BleepingComputer, para penyerang menyatakan bahwa mereka menyerang Hyundai Motor America, perusahaan induk Kia. Hyundai tampaknya tidak terpengaruh oleh serangan ini.

Catatan tebusan berisi link ke halaman korban pribadi di situs pembayaran DoppelPaymer Tor yang sekali lagi menyatakan targetnya adalah ‘Hyundai Motor America.’

Halaman korban Tor mengatakan bahwa “sejumlah besar” data telah dicuri, atau dieksfiltrasi, dari Kia Motors America dan akan dirilis dalam 2-3 minggu jika perusahaan tidak bernegosiasi dengan pelaku ancaman.

DoppelPaymer dikenal karena mencuri file yang tidak dienkripsi sebelum mengenkripsi perangkat dan kemudian memposting bagian di situs kebocoran data mereka untuk lebih menekan korban agar membayar.

Untuk mencegah kebocoran data dan menerima decryptor, DoppelPaymer meminta 404 bitcoin senilai sekitar $ 20 juta. Jika tebusan tidak dibayarkan dalam jangka waktu tertentu, jumlahnya meningkat menjadi 600 bitcoin, atau $ 30 juta.

Kia motor telah memberikan klarifikasi sebagai berikut, dikutip dari Bleepingcomputer :
Kia Motors America, Inc. (“Kia”) saat ini mengalami pemadaman sistem yang diperpanjang. Sistem yang terpengaruh termasuk Portal Pemilik Kia, Aplikasi Seluler UVO, dan portal Web Urusan Konsumen. Kami mohon maaf atas ketidaknyamanan yang dialami pelanggan yang terpengaruh, dan kami sedang berupaya menyelesaikan masalah ini secepat mungkin dengan gangguan minimal pada bisnis kami. Kami juga mengetahui spekulasi online bahwa Kia terkena serangan “ransomware”. Saat ini, kami dapat mengonfirmasi bahwa kami tidak memiliki bukti bahwa Kia atau data Kia apa pun menjadi sasaran serangan “ransomware”.

Source : Bleepingcomputer

Bagaimana Melindungi Cadangan File Dari Serangan Ransomware ?

February 17, 2021 by Winnie the Pooh

Ransomware menjadi ancaman nomor satu terhadap data, yang membuatnya penting untuk memastikan bahwa pelaku kejahatan tidak mengenkripsi data cadangan Anda bersama dengan data primer Anda saat mereka melakukan serangan ransomware. Jika mereka berhasil dalam hal itu, Anda tidak akan punya pilihan selain membayar tebusan, dan itu akan mendorong mereka untuk mencobanya lagi.

Perkuat Windows
Selain menyimpan cadangan biasa Anda di belakang server media berbasis Linux, pastikan cadangan server cadangan utama Anda juga disimpan di sana. Tidak ada gunanya jika cadangan Anda tidak dienkripsi jika database yang diperlukan untuk mengakses cadangan tersebut dienkripsi oleh ransomware.

Anda juga harus memperkuat server cadangan berbasis Windows sebanyak mungkin. Pelajari layanan yang digunakan ransomware untuk menyerang server (seperti RDP) dan matikan sebanyak mungkin. Ingat server ini adalah garis pertahanan terakhir Anda, jadi pikirkan keamanan, bukan kenyamanan.

Dapatkan cadangan dari pusat data
Apa pun solusi pencadangan yang Anda pilih, salinan cadangan harus disimpan di lokasi yang berbeda. Ini berarti lebih dari sekadar meletakkan server cadangan Anda di mesin virtual di cloud. Jika VM dapat diakses dari perspektif elektronik seperti saat berada di pusat data, itu juga mudah untuk diserang. Anda perlu mengonfigurasi berbagai hal sedemikian rupa sehingga serangan terhadap sistem di pusat data Anda tidak dapat menyebar ke sistem cadangan Anda di cloud. Ini dapat dilakukan dengan berbagai cara, termasuk aturan firewall, mengubah sistem operasi, dan protokol penyimpanan.

Idenya adalah untuk mendapatkan cadangan atau setidaknya satu salinan dari cadangan anda sebanyak mungkin lompatan dari sistem Windows yang terinfeksi. Tempatkan mereka di awan penyedia yang dilindungi oleh aturan firewall, gunakan sistem operasi yang berbeda untuk server cadangan Anda, dan tulis cadangan Anda ke jenis penyimpanan yang berbeda.

Hapus akses sistem file ke cadangan
Jika menulis cadangan ke harddrive, lakukan yang terbaik untuk memastikannya tidak dapat diakses melalui direktori sistem file standar. Misalnya, menamai data cadangan Anda E: \ backups. Produk ransomware secara khusus menargetkan direktori dengan nama seperti itu dan akan mengenkripsi cadangan Anda.

Letakkan di beberapa penghalang pandang
Jangan membuat mudah ransomware untuk melihat dan mengenkripsi cadangan Anda. Jangan menyimpannya di server Windows jika memungkinkan dan memiliki setidaknya satu salinan yang disimpan di tempat yang tidak dapat diakses secara elektronik dari pusat data Anda. Terakhir, konfigurasikan sistem cadangan Anda sedemikian rupa sehingga cadangan tidak dapat dilihat sebagai file di server cadangan Anda.

Source : Networkworld

Operator ransomware Egregor ditangkap di Ukraina

February 15, 2021 by Winnie the Pooh

Anggota dari ransomware Egregor telah ditangkap minggu ini di Ukraina, stasiun radio Prancis France Inter melaporkan pada hari Jumat, mengutip sumber penegakan hukum.

Penangkapan tersebut, yang belum diumumkan secara resmi, merupakan hasil penyelidikan bersama antara polisi Prancis dan Ukraina.

Nama-nama tersangka belum dirilis. France Inter mengatakan tersangka yang ditangkap memberikan dukungan hacking, logistik, dan keuangan untuk geng Egregor.

Geng Egregor, yang mulai beroperasi pada September 2020, beroperasi berdasarkan model Ransomware-as-a-Service (RaaS). Mereka menyewakan akses ke jenis ransomware yang sebenarnya, tetapi mereka mengandalkan geng kejahatan siber lain untuk mengatur intrusi ke jaringan perusahaan dan menyebarkan ransomware.

Para korban yang menolak membayar biaya pemerasan sering kali terdaftar di situs yang disebut “situs kebocoran”, dengan harapan mempermalukan mereka agar membayar permintaan tebusan. Para korban yang tidak membayar seringkali memiliki dokumen dan file internal yang dibagikan di situs kebocoran Egregor sebagai hukuman.

Menurut laporan France Inter, para tersangka yang ditangkap dipercayai beberapa “afiliasi” (atau mitra) dari geng Egregor, yang membantu menopang operasinya.

France Inter mengatakan pihak berwenang Prancis terlibat dalam penyelidikan setelah beberapa perusahaan besar Prancis dilanda Egregor tahun lalu, seperti studio game Ubisoft dan perusahaan logistik Gefco.