Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

Ransomware sekarang menjadi perhatian keamanan siber terbesar untuk CISO

by

Ransomware adalah masalah keamanan siber terbesar yang dihadapi bisnis, menurut mereka yang bertanggung jawab menjaga keamanan organisasi dari peretasan dan serangan siber.

Sebuah survei terhadap kepala petugas keamanan informasi (CISO) dan kepala petugas keamanan (CSO) oleh cybersecurity Proofpoint menemukan bahwa ransomware sekarang dipandang sebagai ancaman keamanan siber utama bagi organisasi mereka selama tahun depan.

Hampir setengah – 46% – CSO dan CISO yang disurvei mengatakan bahwa ransomware atau bentuk pemerasan lainnya oleh pihak luar merupakan ancaman keamanan siber terbesar.

Selain skema pelatihan dan kesadaran, organisasi dapat membantu melindungi dari ransomware dan serangan lainnya dengan menerapkan patch keamanan saat dirilis, mencegah peretas mengeksploitasi kerentanan yang diketahui.

Menggunakan perlindungan tambahan seperti autentikasi dua faktor di seluruh organisasi juga dapat membantu mencegah serangan yang merusak dengan mempersulit peretas untuk bergerak di sekitar jaringan, bahkan jika mereka memiliki kredensial yang benar.

sumber : ZDNET

Forum IObit Diretas Untuk Mendistribusikan DeroHE Ransomware

by

IObit, pembuat perangkat lunak seperti pengoptimal sistem dan anti-malware untuk OS Windows, forumnya telah dilanggar. Ini diketahui setelah anggota forum terinfeksi kampanye jahat bundel IObit gratis, karena menjadi anggota.

Mereka melaporkan menerima email dari IObit tentang paket satu tahun gratis dari bundel mereka, yang memiliki tautan ke situs hxxps: //forums.iobit.com/promo.html dan akhirnya dibawa ke hxxps: //forums.iobit. situs com / free-iobit-license-promo.zip unduh file zip.

Meskipun file zip ini ditandatangani secara digital oleh program IObit License Manager yang sah, file IObitUnlocker.dll diganti oleh file berbahaya yang akan menginstal ransomware DeroHE ke dalam C: \ Program Files (x86) \ IObit \ iobit.dll dan menjalankannya.

Ini terjadi karena pengguna percaya perangkat lunak itu sah, karena memiliki tanda tangan digital dari IObit dan dihosting di situs resmi mereka. Saat membukanya, mereka akan melihat kotak dialog untuk tidak mengunci layar atau sistem saat sedang memproses. Namun di latar belakang, ransomware sedang mengenkripsi file host.

Setelah melakukannya, grup ransomware membuat dua folder di layar desktop, satu untuk memberi tahu korban tentang semua file yang dienkripsi dan yang lainnya adalah catatan tebusan. Anehnya, para peretas meminta pembayaran dalam bentuk koin DeroHE, yang merupakan cryptocurrency seperti Bitcoin.

Ini memberi korban tautan darknet ke halaman pembayaran, di mana ia meminta 200 koin DeroHE, yang diterjemahkan menjadi sekitar $ 100. Selain itu, ia menyalahkan IObit atas peretasannya dan membujuk para korban untuk membuat IObit membayar 100.000 dalam bentuk koin Dero untuk mendekripsi sistem semua orang.

Source : Techdator

Gambaran Umum tentang DoppelPaymer Ransomware

by

Pada awal Desember 2020, FBI mengeluarkan peringatan terkait DoppelPaymer, keluarga ransomware yang pertama kali muncul pada 2019 ketika meluncurkan serangan terhadap organisasi di industri kritis. Aktivitasnya terus berlanjut sepanjang tahun 2020, termasuk serangkaian insiden di paruh kedua tahun ini yang membuat para korbannya kesulitan untuk menjalankan operasi mereka dengan baik.

DoppelPaymer diyakini didasarkan pada ransomware BitPaymer (yang pertama kali muncul pada tahun 2017) karena kesamaan dalam kode, catatan tebusan, dan portal pembayaran mereka. Namun, penting untuk diperhatikan bahwa ada beberapa perbedaan antara DoppelPaymer dan BitPaymer. DoppelPaymer menggunakan 2048-bit RSA + 256-bit AES untuk enkripsi, sedangkan BitPaymer menggunakan 4096-bit RSA + 256-bit AES, Perbedaan lain antara keduanya adalah bahwa sebelum DoppelPaymer mengeksekusi rutinitas jahatnya, ia harus memiliki parameter baris perintah yang benar, teknik ini digunakan untuk menghindari analisis sandbox.

Seperti banyak keluarga ransomware modern, permintaan tebusan DoppelPaymer untuk dekripsi file sangat besar, berkisar antara US $ 25.000 hingga US $ 1,2 juta.

https://www.trendmicro.com/content/dam/trendmicro/global/en/research/21/a/an-overview-of-the-doppelpaymer-ransomware/DoppelPaymer-1.jpg

DoppelPaymer menggunakan rutinitas yang cukup canggih, dimulai dengan infiltrasi jaringan melalui email spam berbahaya yang berisi tautan spear-phishing atau lampiran yang dirancang untuk memikat pengguna yang tidak menaruh curiga agar menjalankan kode berbahaya yang biasanya disamarkan sebagai dokumen asli. Kode ini bertanggung jawab untuk mengunduh malware lain dengan kemampuan yang lebih canggih (seperti Emotet) ke dalam sistem korban.

Setelah Emotet diunduh, Emotet akan berkomunikasi dengan server command-and-control (C&C) untuk menginstal berbagai modul serta mengunduh dan menjalankan malware lainnya. server C&C digunakan untuk mengunduh dan menjalankan keluarga malware Dridex, yang kemudian digunakan untuk mengunduh DoppelPaymer secara langsung atau alat seperti PowerShell Empire, Cobalt Strike, PsExec, dan Mimikatz. Masing-masing alat ini digunakan untuk berbagai aktivitas, seperti mencuri kredensial, bergerak secara lateral di dalam jaringan, dan menjalankan perintah yang berbeda, seperti menonaktifkan perangkat lunak keamanan.

Setelah Dridex memasuki sistem, pelaku jahat tidak segera menyebarkan ransomware. Sebaliknya, ia mencoba untuk berpindah secara lateral dalam jaringan sistem yang terpengaruh untuk menemukan target bernilai tinggi untuk mencuri informasi penting. Setelah target ini ditemukan, Dridex akan melanjutkan menjalankan muatan terakhirnya, DoppelPaymer. DoppelPaymer mengenkripsi file yang ditemukan di jaringan serta drive tetap dan yang dapat dilepas di sistem yang terpengaruh. Terakhir, DoppelPaymer akan mengubah sandi pengguna sebelum memaksa sistem memulai ulang ke mode aman untuk mencegah masuknya pengguna dari sistem. Itu kemudian mengubah teks pemberitahuan yang muncul sebelum Windows melanjutkan ke layar login.

Teks pemberitahuan baru sekarang menjadi catatan tebusan DoppelPaymer, yang memperingatkan pengguna untuk tidak menyetel ulang atau mematikan sistem, serta tidak menghapus, mengganti nama, atau memindahkan file yang dienkripsi. Catatan itu juga berisi ancaman bahwa data sensitif mereka akan dibagikan kepada publik jika mereka tidak membayar tebusan yang diminta dari mereka.

Menurut pemberitahuan FBI, target utama DoppelPaymer adalah organisasi dalam perawatan kesehatan, layanan darurat, dan pendidikan. Ransomware telah terlibat dalam sejumlah serangan pada tahun 2020, termasuk gangguan pada community college serta polisi dan layanan darurat di sebuah kota di AS selama pertengahan tahun.

Agar terhindar dari malware ini, anda dapat melakukan beberapa upaya berikut :
Menahan diri dari membuka email yang tidak diverifikasi dan mengklik link atau lampiran yang disematkan di pesan ini.
Mencadangkan file penting secara teratur menggunakan aturan 3-2-1: Buat tiga salinan cadangan dalam dua format file berbeda, dengan salah satu cadangan di lokasi fisik terpisah.
Memperbarui perangkat lunak dan aplikasi dengan tambalan terbaru sesegera mungkin untuk melindunginya dari kerentanan.
Memastikan bahwa cadangan aman dan terputus dari jaringan pada akhir setiap sesi pencadangan.
Mengaudit akun pengguna secara berkala – khususnya akun yang dapat diakses publik, seperti akun Pemantauan dan Manajemen Jarak Jauh.
Memantau lalu lintas jaringan masuk dan keluar, dengan peringatan untuk eksfiltrasi data.
Menerapkan otentikasi dua faktor (2FA) untuk kredensial login pengguna, karena ini dapat membantu memperkuat keamanan untuk akun pengguna
Menerapkan prinsip hak istimewa paling rendah untuk izin file, direktori, dan jaringan berbagi.

Source : trendmicro

Ransomware menyingkap rahasia tersembunyi teknologi dunia

by

Ransomware terus menyebabkan kerusakan di seluruh dunia. Jarang seminggu berlalu tanpa perusahaan lain, atau kota, atau rumah sakit, menjadi mangsa geng yang akan mengenkripsi data di PC dan jaringan dan menuntut ribuan atau jutaan sebagai imbalan untuk membebaskannya.

Ini bukan kejahatan tanpa korban; setiap serangan yang berhasil berarti sebuah perusahaan menghadapi biaya besar dan berisiko terdesak keluar dari bisnis, atau layanan publik terganggu tepat ketika kita membutuhkannya, atau layanan medis berada dalam bahaya di tengah krisis.

Peretas tidak akan bisa mendapatkan pijakan pertama mereka bahkan jika perusahaan memperhatikan keamanan dengan serius. Itu berarti menerapkan tambalan ke perangkat lunak yang rentan saat diterbitkan, bukan berbulan-bulan atau bertahun-tahun kemudian (atau tidak pernah). Demikian pula, perusahaan tidak akan berada di treadmill yang membosankan dalam menerapkan pembaruan keamanan konstan jika industri teknologi mengirimkan kode perangkat lunak yang aman sejak awal.

Dan sementara kita cenderung memikirkan dunia internet tanpa batas, dunia nyata geopolitik tampak besar dalam hal ransomware karena banyak dari geng-geng ini beroperasi dari negara-negara yang tidak tertarik untuk menangkap penjahat seperti itu atau menyerahkannya kepada polisi di negara lain. yurisdiksi. Dalam beberapa kasus, itu karena geng ransomware mendatangkan dana yang sangat dibutuhkan untuk negara; dalam kasus lain selama geng-geng tersebut tidak mengejar korban setempat, pihak berwenang dengan tenang senang mereka membuat kekacauan di tempat lain.

Intel telah memamerkan beberapa teknologi tingkat perangkat keras baru yang dikatakannya akan dapat mendeteksi serangan ransomware yang mungkin terlewatkan oleh antivirus saja.

Sekelompok perusahaan teknologi termasuk Microsoft, Citrix dan FireEye sedang mengerjakan proyek tiga bulan untuk menghasilkan opsi yang mereka janjikan akan “secara signifikan mengurangi” ancaman ransomware dengan mengidentifikasi berbagai cara berbeda untuk menghentikan serangan semacam itu. Dan lebih banyak tekanan politik harus diberikan pada negara bagian yang dengan senang hati membiarkan geng ransomware berkembang di dalam perbatasan mereka.

Dan ada juga kebutuhan untuk lebih menekan pemerintah untuk melihat apakah dan dalam keadaan apa membayar tebusan harus diterima. Keuntungan adalah satu-satunya alasan keberadaan ransomware; jika memungkinkan untuk menghentikan geng-geng tersebut agar tidak melakukan pembayaran besar mereka, maka masalah itu akan segera hilang.

Setelah menolak membayar tebusan, data sensitif dari distributor suku cadang mobil yang berbasis di AS dibocorkan oleh peretas

by

Arsip 3GB yang konon milik NameSouth, sebuah toko suku cadang mobil yang berbasis di AS, telah dibocorkan secara terbuka oleh grup ransomware NetWalker.

NameSouth tampaknya menjadi korban terbaru dari geng ransomware yang muncul sekitar tahun 2019. Target NetWalker tersebar di berbagai industri, dengan arsip data yang dicuri dari sekitar seratus bisnis yang menjadi korban yang diposting secara publik di situs web geng tersebut hingga saat ini.

Arsip NameSouth yang dibocorkan oleh NetWalker mencakup data rahasia perusahaan dan dokumen sensitif, termasuk data keuangan dan akuntansi, pernyataan kartu kredit, informasi pribadi karyawan, dan berbagai dokumen hukum.

Dilihat dari tanggal pembuatan file cadangan, arsip tersebut diambil dari jaringan NameSouth pada tanggal 26 November. Tampaknya data tersebut bocor beberapa hari kemudian, setelah perusahaan melewatkan tenggat waktu yang diberikan geng ransomware untuk membayar tebusan.

Geng ransomware NetWalker cenderung menawarkan data yang dibocorkan pasca-pelanggaran secara gratis, dan hanya memberi label harga setelah data diunduh beberapa kali. Ada kemungkinan besar bahwa cepat atau lambat, data rahasia perusahaan tersebut dapat digunakan oleh pihak yang jahat untuk tujuan jahat.

Sumber: Cyber News

Geng Ransomware Mengumpulkan Data dari Lab Pengujian Darah

by

Apex Laboratory, yang menyediakan pemeriksaan darah di rumah untuk pasien di New York City, Long Island dan South Florida, telah terkena serangan ransomware yang juga mengakibatkan data pasien dicuri.

Meskipun perusahaan baru saja mengungkapkan serangan itu, itu terjadi pada 25 Juli, ketika “sistem tertentu di lingkungannya dienkripsi dan tidak dapat diakses”, menurut pemberitahuan situs web pada minggu lalu.

Bekerja sama dengan perusahaan keamanan siber, Apex dapat mengamankan jaringannya dan melanjutkan operasinya dua hari kemudian. Namun penyelidikan forensik berlanjut, akhirnya menentukan pada 15 Desember bahwa penyerang telah memposting informasi di blog mereka tentang serangan itu dan mengklaim telah mengambil informasi pribadi dan kesehatan, kata perusahaan itu dalam pemberitahuan Malam Tahun Baru.

Data tersebut termasuk nama pasien, tanggal lahir, hasil tes, dan untuk beberapa individu, nomor Jaminan Sosial dan nomor telepon, kata Apex.

Sumber: Threat Post

Babuk Locker adalah ransomware perusahaan baru pertama di tahun 2021

by

Awal tahun 2021 ini datang dengan ransomware baru bernama Babuk Locker yang menargetkan korban perusahaan dalam serangan yang dioperasikan oleh manusia.

Babuk Locker adalah operasi ransomware baru yang diluncurkan pada awal 2021 dan sejak itu mengumpulkan sejumlah kecil korban dari seluruh dunia.

Dari negosiasi tebusan dengan korban yang dilihat oleh BleepingComputer, permintaan berkisar dari $60.000 hingga $85.000 dalam Bitcoin.

Setiap executable Babuk Locker yang dianalisis oleh BleepingComputer telah disesuaikan per korban untuk memuat ekstensi hardcode, catatan tebusan, dan URL Tor.

Saat diluncurkan, pelaku ancaman dapat menggunakan argumen baris perintah untuk mengontrol bagaimana ransomware harus mengenkripsi pembagian jaringan dan apakah mereka harus dienkripsi sebelum sistem file lokal.

Setelah diluncurkan, ransomware akan menghentikan berbagai layanan dan proses Windows yang diketahui menjaga file tetap terbuka dan mencegah enkripsi. Program yang dihentikan termasuk mail server, backup software, mail client dan web browser.

Saat mengenkripsi file, Babuk Locker akan menggunakan ekstensi hardcode dan menambahkannya ke setiap file terenkripsi, seperti yang ditunjukkan di bawah ini. Ekstensi hardcode saat ini yang digunakan untuk semua korban sejauh ini adalah .__ NIST_K571__.

Sumber: BleepingComputer

Operator ransomware juga akan meminta korban untuk mengirim file %AppData%\ecdh_pub_k.bin, yang berisi public key ECDH korban yang memungkinkan pelaku ancaman untuk melakukan uji dekripsi file korban atau menyediakan dekripsi.

Sayangnya, peneliti keamanan Chuong Dong mengatakan bahwa penggunaan ChaCha8 dan Elliptic-curve Diffie pada ransomware – Hellman (ECDH) membuat ransomware aman dan tidak dapat didekripsi secara gratis.

Sumber: Bleeping Computer

Ryuk ransomware adalah ancaman utama bagi sektor kesehatan

by

Organisasi perawatan kesehatan terus menjadi target utama untuk semua jenis serangan siber, dengan insiden ransomware, Ryuk khususnya, menjadi lebih umum.

Dalam laporan bersama pada akhir Oktober, Cybersecurity and Infrastructure Security Agency (CISA) AS, Biro Investigasi Federal (FBI), dan Departemen Kesehatan dan Layanan Kemanusiaan (HHS) memperingatkan ancaman kejahatan siber yang akan segera terjadi ke rumah sakit dan penyedia layanan kesehatan.

Ini bertujuan untuk mempersiapkan organisasi menghadapi serangan ransomware Ryuk dan Conti dengan menyediakan taktik, teknik, dan prosedur (TTP) khusus untuk insiden dengan jenis malware ini.

Menurut Check Point, ancaman ransomware utama yang digunakan dalam serangan terhadap entitas kesehatan adalah Ryuk diikuti oleh REvil (Sodinokibi).

Sesuai data yang dikumpulkan oleh Check Point, sebagian besar serangan siber selama dua bulan terakhir yang menghantam organisasi perawatan kesehatan di Eropa Tengah, melonjak hingga hampir 150% pada November.

Sumber: Check Point

Dengan jumlah infeksi COVID-19 yang terus meningkat, serangan siber cenderung terus menghantam organisasi perawatan kesehatan. Menjaga sistem tetap diperbarui dengan tambalan terbaru, kebersihan siber yang baik, memantau jaringan untuk akses yang tidak sah, dan mendidik karyawan untuk mengenali upaya phishing adalah cara yang baik untuk melindungi dari serangan dari sebagian besar pelaku ancaman.

Sumber: Bleeping Computer