Ransomware

Operator ransomware LockBit: ‘Untuk penjahat dunia maya, negara terbaik adalah Rusia’

February 6, 2021 by Winnie the Pooh

Dalam sebuah wawancara minggu ini dengan tim cybersecurity Cisco Talos (.PDF), operator LockBit menjelaskan modus operandinya, target pilihannya, penggunaan alat, dan mengapa sulit untuk menjadi spesialis topi putih dalam pemikirannya untuk- menjadi negara tempat tinggal, Rusia.

Ransomware telah menjadi ancaman serius bagi perusahaan dalam beberapa tahun terakhir. Sementara ransomware dapat menyebabkan kehancuran pribadi bagi individu yang tiba-tiba menemukan diri mereka terkunci dari PC mereka dan dengan sedikit jalan untuk memulihkan file mereka kecuali mereka membayar permintaan tebusan dengan imbalan kunci dekripsi – biasanya diperlukan dalam cryptocurrency seperti Bitcoin (BTC) – – bisnis menghadapi konsekuensi yang bisa jauh lebih buruk.

Setelah varian ransomware menyusup ke jaringan perusahaan dan menyelesaikan enkripsi, korban dihadapkan pada gangguan dan mungkin terpaksa menangguhkan layanan inti. Jika cadangan tidak tersedia, penjahat dunia maya berpotensi menuntut ribuan dolar, dengan susah payah menyimpan sumber daya dienkripsi atau berpotensi membocorkan data sensitif perusahaan.

Selama wawancara Cisco Talos dengan operator LockBit, yang disebut sebagai “Aleks” dan diperkirakan berlokasi di wilayah Siberia Rusia, dia mengaku belajar secara otodidak dalam keterampilan termasuk pengujian penetrasi, keamanan jaringan, dan pengintaian.

Aleks juga mengatakan bahwa “untuk penjahat dunia maya, negara terbaik adalah Rusia,” dan organisasi korban di Amerika Serikat dan Eropa “akan membayar lebih cepat dan lebih banyak” daripada target di negara-negara pasca-Soviet.

selengkapnya :ZDNET

Dekriptor ransomware Fonix baru dapat memulihkan file korban secara gratis

February 5, 2021 by Winnie the Pooh

Kaspersky telah merilis decryptor untuk Fonix Ransomware (XONIF) yang memungkinkan korban untuk memulihkan file terenkripsi mereka secara gratis.

Fonix Ransomware, juga dikenal sebagai Xinof dan FonixCrypter, diluncurkan pada Juni 2020 tetapi meningkatkan jumlah korbannya secara signifikan mulai November 2020.

Jumat lalu, salah satu admin ransomware Fonix tweet bahwa mereka telah menutup operasi ransomware dan merilis kunci dekripsi master.

Kabar baiknya adalah jika Anda telah terinfeksi FonixRansomware, Anda sekarang dapat mendekripsi file Anda secara gratis menggunakan versi terbaru dari RakhniDecryptor Kaspersky.

Unduh decryptor ke perangkat dimana file terenkripsi berada dan mulai program. Anda akan diminta untuk menyetujui perjanjian lisensi, dan antarmuka utama akan muncul, seperti yang ditunjukkan di bawah ini.

Ketika Anda siap untuk mendekripsi file Anda, klik tombol Start Scan, dan decryptor akan meminta Anda untuk memilih file terenkripsi.

Setelah dipilih, decryptor akan mencari kunci dekripsi Anda, dan ketika ditemukan, mulai mendekripsi file Anda.

Bagi mereka yang membutuhkan bantuan untuk mulai menggunakan decryptor, harap baca halaman ini terlebih dahulu, dan jika itu tidak membantu, jangan ragu untuk bertanya dab hubungi Kaspersky dengan info mendetail tentang masalahnya.

Sumber: Bleeping Computer

Transaksi blockchain mengonfirmasi pemandangan ransomware yang suram dan saling berhubungan

February 5, 2021 by Winnie the Pooh

Sebuah laporan yang diterbitkan oleh firma investigasi blockchain Chainalysis mengonfirmasi bahwa kelompok kejahatan siber yang terlibat dalam serangan ransomware tidak beroperasi dalam gelembung mereka sendiri tetapi sering mengganti pemasok ransomware (layanan RaaS) untuk mencari keuntungan yang lebih baik.

Laporan tersebut menganalisis bagaimana dana Bitcoin ditransfer dari korban ke kelompok kriminal, dan bagaimana uang itu dibagi di antara berbagai pihak yang terlibat dalam serangan ransomware, dan bagaimana uang itu akhirnya dicuci.

Lanskap ransomware telah berevolusi dari tahun-tahun sebelumnya dan sekarang menjadi kumpulan dari berbagai kelompok kriminal, masing-masing menyediakan layanannya sendiri yang sangat terspesialisasi satu sama lain, seringkali di berbagai penyedia RaaS (Ransomware-as-a-Service) yang berbeda.

Laporan Chainalysis mengkonfirmasi teori informal ini dengan bukti kriptografi yang tak terbantahkan yang ditinggalkan oleh transaksi Bitcoin yang telah terjadi di antara beberapa kelompok ini.

Misalnya, berdasarkan grafik di bawah ini, Chainalysis mengatakan menemukan bukti yang menunjukkan bahwa afiliasi untuk Maze RaaS yang sekarang sudah tidak berfungsi juga terlibat dengan SunCrypt RaaS.

Temuan serupa juga menunjukkan hubungan antara operasi Egregor dan DoppelPaymer.

Dan yang tak kalah pentingnya, peneliti Chainalysis juga menemukan bukti bahwa operator operasi Maze dan Egregor juga menggunakan layanan pencucian uang dan broker over-the-counter yang sama untuk mengubah dana curian menjadi mata uang fiat.

Sumber: ZDNet

Bentuk ransomware lama ini telah kembali dengan trik dan target baru

February 5, 2021 by Winnie the Pooh

Suatu bentuk ransomware yang pernah menjadi pilihan paling populer di kalangan penjahat siber telah kembali dan digunakan untuk menargetkan perawatan kesehatan.

Kembali pada tahun 2017, Cerber adalah keluarga ransomware yang paling dominan, pada satu titik terhitung 90% dari semua serangan ransomware yang menargetkan sistem Windows.

Apa yang membuatnya begitu produktif adalah model ‘as-a-service’, di mana penulis Cerber mengizinkan penjahat siber lainnya untuk menggunakan kode mereka – lengkap dengan portal layanan yang mudah digunakan – dengan imbalan persentase bitcoin apa pun yang dibuat di pembayaran tebusan.

Pada tahun 2018, tampaknya Cerber telah menghilang, digantikan oleh bentuk lain dari ransomware karena model bisnis penjahat siber berubah dan penyerang mengejar seluruh jaringan perusahaan dan mulai menuntut jumlah yang jauh lebih tinggi untuk kunci dekripsi.

Tetapi Cerber kembali dengan peneliti keamanan siber di perusahaan keamanan VMware Carbon Black yang mengidentifikasinya sebagai ransomware paling umum yang menargetkan perawatan kesehatan selama tahun 2020.

Analisis terhadap 239 juta percobaan serangan siber yang menargetkan pelanggan Carbon Black di bidang perawatan kesehatan menemukan Cerber sebagai bentuk ransomware yang paling umum, terhitung 58% dari serangan ransomware yang mencoba menargetkan sektor tersebut.

Selengkapnya: ZDNet

Sprite Spider muncul sebagai salah satu aktor ancaman ransomware paling merusak

February 2, 2021 by Winnie the Pooh

Pada KTT Intelijen Ancaman Siber SANS baru-baru ini, dua pimpinan keamanan siber CrowdStrike, Peneliti Keamanan Senior Sergei Frankoff dan Analis Intelijen Senior Eric Loui, memberikan perincian tentang aktor ransomware besar yang muncul yang mereka sebut Sprite Spider.

Seperti banyak penyerang ransomware lainnya, kelompok di balik serangan Sprite Spider telah berkembang pesat dalam kecanggihan dan kapasitas kerusakan sejak 2015.

Sprite Spider mulai menggunakan Trojan perbankan yang disebut Shifu pada tahun 2015, menambahkan pemuat malware bernama Vatet sekitar tahun 2017. Pada tahun 2018, geng tersebut menyebarkan Trojan akses jarak jauh yang disebut PyXie. Pada tahun 2019, grup tersebut berevolusi ke titik di mana ia menyebarkan ransomware yang disebut DEFRAY777.

Pada titik ini, peneliti CrowdStrike menghubungkan Shifu, Vatet, dan PyXie dengan serangan ransomware DEFRAY777. Mereka menyadari bahwa semua aktivitas dari komponen ini terkait dengan satu pelaku ancaman, yang telah terbang di bawah radar.

Geng tersebut seringkali dapat lolos dari deteksi terutama karena kodenya terlihat jinak, bersembunyi di proyek sumber terbuka seperti Notepad++.

Ancaman nyata dari Sprite Spider meningkat pada Juli 2020 ketika mulai menargetkan host ESXi, yang biasanya digunakan oleh organisasi besar yang menggunakan teknologi bare-metal hypervisor yang dikembangkan oleh VMware untuk mengelola beberapa mesin virtual.

Dengan menargetkan mesin EXSi, Sprite Spider tidak harus menerapkan ransomware di seluruh lingkungan organisasi — mereka hanya harus menargetkan beberapa server untuk mengenkripsi sebagian besar infrastruktur TI virtual.

Selengkapnya: CSO Online

Geng ransomware FonixCrypter merilis kunci dekripsi master

January 31, 2021 by Winnie the Pooh

Grup kejahatan dunia maya di balik ransomware FonixCrypter telah mengumumkan hari ini di Twitter bahwa mereka telah menghapus kode sumber ransomware dan berencana untuk menghentikan operasi mereka.

Sebagai isyarat niat baik terhadap korban masa lalu, geng FonixCrypter juga telah merilis paket yang berisi alat dekripsi, instruksi bagaimana caranya, dan kunci dekripsi utama ransomware.

File-file ini dapat digunakan oleh mantan pengguna yang terinfeksi untuk mendekripsi dan memulihkan file mereka secara gratis, tanpa perlu membayar kunci dekripsi.

Allan Liska, seorang peneliti keamanan untuk firma intelijen ancaman, Recorded Future, telah menguji decrypter atas permintaan ZDNet hari ini dan memverifikasi bahwa aplikasi, instruksi, dan kunci master FonixCrypter berfungsi seperti yang diiklankan.

Decrypter yang lebih baik saat ini sedang dikerjakan di Emsisoft dan diharapkan akan dirilis minggu depan, Michael Gillespie, seorang peneliti keamanan Emsisoft yang mengkhususkan diri dalam memecahkan enkripsi ransomware, mengatakan kepada ZDNet hari ini dalam obrolan online. Pengguna disarankan untuk menunggu dekripsi Emsisoft daripada menggunakan yang disediakan oleh geng FonixCrypter, yang mungkin dengan mudah berisi malware lain, seperti pintu belakang, yang mungkin akhirnya dipasang oleh korban di sistem mereka.

selengkapnya : ZDNET

Otoritas AS dan Bulgaria mengganggu operasi ransomware NetWalker

January 28, 2021 by Winnie the Pooh

Badan penegak hukum dari Bulgaria dan AS telah mengganggu infrastruktur NetWalker minggu ini, salah satu geng ransomware paling aktif tahun 2020.

Pejabat Bulgaria menyita server yang digunakan untuk menghosting portal web gelap untuk geng NetWalker, sementara pejabat di AS menuntut seorang warga negara Kanada yang diduga menghasilkan setidaknya $ 27,6 juta dari perusahaan yang menginfeksi dengan ransomware NetWalker.

Server yang disita digunakan untuk menghosting halaman tempat korban serangan NetWalker diarahkan untuk berkomunikasi dengan penyerang dan menegosiasikan tuntutan tebusan.

Server yang sama juga menjadi tuan rumah bagian blog tempat geng NetWalker membocorkan data yang mereka curi dari perusahaan yang diretas, dan yang menolak untuk membayar permintaan tebusan – sebagai bentuk balas dendam dan mempermalukan publik.

Rincian tentang warga negara Kanada yang didakwa hari ini belum tersedia selain nama dan tempat tinggalnya – Sebastien Vachon-Desjardins, dari Gatineau.

Vachon-Desjardins saat ini diyakini sebagai “afiliasi”, seseorang yang menyewa kode ransomware dari pencipta NetWalker.

Jenis bisnis ini disebut Ransomware-as-a-Service, atau RaaS, dan merupakan pengaturan umum yang digunakan oleh banyak geng ransomware saat ini.

Sebelum penghapusan hari ini, NetWalker beroperasi melalui topik yang diposting di beberapa forum bawah tanah oleh pengguna bernama Bugatti. Pengguna ini mengiklankan fitur ransomware dan mencari “mitra” (alias afiliasi) yang akan melanggar jaringan perusahaan, mencuri data untuk digunakan sebagai pengungkit selama negosiasi, dan menginstal ransomware untuk mengenkripsi file.

Jika korban membayar, Bugatti dan afiliasinya akan membagi pembayaran tebusan sesuai dengan perjanjian yang telah dinegosiasikan sebelumnya.

Menurut otoritas AS, NetWalker telah memengaruhi setidaknya 305 korban dari 27 negara berbeda, termasuk 203 di AS.

selengkapnya : ZDNET

Penjahat siber menggunakan akun staf yang telah meninggal untuk menyebarkan ransomware Nemty

January 27, 2021 by Winnie the Pooh

Dalam studi kasus yang didokumentasikan oleh kelompok cyberforensik Sophos, Rapid Response pada hari Selasa, sebuah organisasi menghubungi setelah terinfeksi oleh ransomware Nemty.

Menurut Sophos, ransomware – juga dikenal sebagai Nefilim – memengaruhi lebih dari 100 sistem, mengenkripsi file berharga dan menuntut pembayaran dengan imbalan kunci dekripsi.

Selama penyelidikan terhadap sumber infeksi, Sophos mempersempit intrusi jaringan asli ke akun administrator tingkat tinggi. Selama sebulan, para pelaku ancaman diam-diam menjelajahi sumber daya perusahaan, mendapatkan kredensial akun admin domain, dan mengeksfiltrasi data senilai ratusan gigabyte.

Setelah penyerang siber menyelesaikan pengintaian mereka dan mengambil semua yang berharga, Nemty dikerahkan.

Tim keamanan siber menanyakan siapa pemilik akun dengan hak istimewa tinggi. Perusahaan korban mengatakan bahwa akun itu milik mantan anggota staf yang meninggal sekitar tiga bulan sebelum gangguan siber tersebut.

Alih-alih mencabut akses dan menutup akun ‘hantu’, perusahaan memilih untuk tetap mengaktifkan dan terbuka “karena ada layanan yang digunakan untuk itu.”

Sophos menyarankan bahwa setiap akun hantu yang diizinkan untuk tetap terhubung ke sumber daya perusahaan setelah pengguna tidak membutuhkannya harus menonaktifkan login interaktif, atau jika akun tersebut benar-benar diperlukan, akun layanan harus dibuat sebagai gantinya.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Ransomware

Cookies Settings