Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

Kampanye ransomware ini baru saja kembali dengan trik baru

by

Paradise ransomware yang aktif sejak 2017, kembali lagi dan para penjahat di belakangnya tampaknya sedang menguji taktik baru sebelum kampanye yang lebih produktif. Dan ini adalah serangan yang bahkan tidak dikenali sebagai sesuatu yang berbahaya oleh banyak mesin Windows. 

 

Kampanye ini memanfaatkan IQY – file Internet Query – yang merupakan file teks yang dibaca oleh Microsoft Excel untuk mengunduh data dari internet. IQY adalah jenis file yang sah, sehingga banyak organisasi tidak akan memblokirnya. Tetapi para peneliti keamanan di Lastline telah menemukan kampanye yang memanfaatkan ini untuk menyebarkan ransomware Paradise ke organisasi yang telah ditargetkan. 

 

Pesan phishing awalnya dikirm kepada korban dan mendorong korban untuk membuka lampiran IQY. Jika korban melakukan ini, file IQY akan terhubung ke server perintah dan kontrol yang dijalankan oleh penyerang, yang pada gilirannya akan menjatuhkan perintah PowerShell yang digunakan untuk menjalankan ransomware pada mesin korban.

Peneliti keamanan mencoba untuk bernegosiasi dengan penyerang melewati menu ‘support’ namun tidak ada balasan, menunjukkan bahwa kampanye saat ini mungkin hanya uji coba untuk distribusi ransomware yang lebih luas.

 

Tidak diketahui operasi siber kriminal jenis apa yang ada di belakang Paradise, meskipun para peneliti mencatat bahwa ransomware tidak akan terinstall pada mesin yang menggunakan ID bahasa Rusia, Kazakh, Belarusia, Ukrania, atau Tatar.

 

Berita selengkapnya dapat dibaca pada tautan di bawah ini;

Source: ZDNet

Penjahat siber dan kartel narkoba menyebarkan malware dan mencuri informasi keuangan di Amerika Latin

by

Penjahat siber kini bekerjasama dengan kartel narkoba di seluruh Amerika Latin untuk menyerang lembaga keuangan dan pemerintah, meningkatkan berbagai macam penipuan dan penyebaran malware untuk menghasilkan jutaan uang, menurut laporan baru dari perusahaan cybersecurity IntSights.

 

Karena penegakan hukum polisi yang relatif lemah, banyak dari penjahat siber ini beroperasi di tempat terbuka dan di dark web, berbagi taktik dengan yang lain dan bekerja sama dengan entitas kriminal untuk meningkatkan keluasan dan kekuatan serangan. Mereka menggunakan WhatsApp, Telegram dan Facebook Messenger untuk mengkoordinasikan serangan.

 

Laporan itu menyebutkan “Bergabungnya geng narkoba dan komunitas peretas adalah ancaman yang muncul secara signifikan seiring kita melangkah ke 2020. Kedua dunia menggabungkan pengaruh, keterampilan, dan pengalaman mereka untuk mencapai tujuan bersama, terutama dari variasi keuangan.”

 

Laporan ini juga menyoroti penggunaan trojan perbankan dan ransomware sebagai ancaman malware paling populer yang melanda Amerika Latin.

 

Baca artikel selengkapnya pada tautan di bawah ini;

Source: Tech Republic

Operator gas alam AS tidak beroperasi selama 2 hari setelah terinfeksi oleh ransomware

by

Departemen Keamanan Dalam Negeri mengatakan pada hari Selasa bahwa sebuah fasilitas gas alam yang berbasis di AS menutup operasi selama dua hari setelah mengalami infeksi ransomware yang menghalangi karyawannya menerima data operasional real-time yang penting dari peralatan kontrol dan komunikasi.

 

Serangan dimulai dengan tautan jahat dalam email phishing yang memungkinkan penyerang untuk mendapatkan akses awal ke jaringan teknologi informasi (TI) organisasi sebelum berputar ke jaringan operasionalnya (OT).

 

Jaringan OT berbeda dari jaringan TI. Ini adalah jaringan dengan workstation untuk mengelola peralatan pabrik yang kritis dan operasi pabrik lainnya. Jaringan TI biasanya didedikasikan untuk pekerjaan kantor dan administrasi lainnya.

 

CISA mengatakan bahwa setelah mendapatkan akses ke jaringan OT, penyerang kemudian menggunakan ransomware komoditas yang mengenkripsi data perusahaan pada jaringan TI dan OT pada saat yang bersamaan, untuk kerusakan maksimum, sebelum meminta pembayaran tebusan. Pada laporan yang diterbitkan pada hari Selasa, tidak disebutkan nama/jenis ransomware tersebut.

 

Klik pada tautan di bawah ini untuk membaca berita lebih lanjut:

Source: Ars Technica | ZDNet | Advisory

Ransomware ini menggunakan driver Gigabyte untuk membunuh antivirus

by

Sebuah Geng ransomware menggunakan driver GIGABYTE yang rentan pada komputer yang ingin diinfeksi. Tujuannya adalah untuk memungkinkan peretas untuk menonaktifkan produk keamanan sehingga ransomware mereka dapat mengenkripsi file tanpa terdeteksi atau dihentikan.

 

Menurut Perusahaan keamanan siber Sophos,  sejauh ini teknik baru tersebut telah terlihat dalam dua kasus ransomware, dan kedua kasus tersebut memiliki jenis ransomware yang sama yaitu ransomware RobbinHood. 

 

Pada sebuah laporan, mereka menyebutkan bahwa:

  1. Geng Ransomware mendapat pijakan di jaringan korban.
  2. Peretas memasang driver kernel GDRV.SYS Gigabyte yang sah
  3. Peretas mengeksploitasi kerentanan pada driver tersebut untuk mendapatkan akses kernel.
  4. Penyerang menggunakan akses kernel untuk menonaktifkan sementara Windows OS driver signature enforcement.
  5. Peretas memasang driver kernel jahat bernama RBNL.SYS.
  6. Penyerang menggunakan driver ini untuk menonaktifkan atau menghentikan antivirus dan produk keamanan lainnya yang berjalan pada host yang terinfeksi.
  7. Peretas menjalankan ransomware RobbinHood dan mengenkripsi file korban.

 

Ketika tekanan publik diberikan pada perusahaan untuk memperbaiki driver tersebut, Gigabyte malah memilih untuk menghentikannya daripada merilis patch.

 

RobinHood bukan satu-satunya geng ransomware yang menggunakan berbagai trik untuk menonaktifkan produk keamanan. Ransomware lain yang terlibat dalam perilaku serupa adalah Snatch (yang me-reboot PC dalam Safe Mode untuk menonaktifkan perangkat lunak AV) dan Nemty (yang mematikan proses antivirus menggunakan utilitas taskkill).

 

Klik link dibawah untuk membaca berita selengkapnya

Source: ZDNet

Ransomware mencuri data sebelum dienkripsi, membuat cadangan saja tidak akan cukup.

by

Asosiasi Nasional Serikat Kredit (CUNA) telah mengalami “masalah gangguan bisnis” yang disebabkan oleh ransomware, menurut sumber yang berbicara dengan Zack Whittaker dari TechCrunch. Dan pada 4 Februari, situs tersebut telah dipulihkan sepenuhnya. 

 

CUNA mengatakan bahwa mereka tidak menyimpan nomor Jaminan Sosial atau nomor kartu kredit anggota nya dan mereka yakin bahwa tidak ada data pribadi di sistem mereka yang dicuri pada serangan ransomware tersebut, sesuatu yang wajar terjadi pada korban ransomware. Dan itu sebagian disebabkan karena operator ransomware sebelumnya menghindari klaim bahwa mereka memiliki akses ke data korban untuk menjaga “kepercayaan” yang diperlukan untuk mendapatkan bayarannya.

 

Sayangnya, teknik seperti itu sudah dipatahkan oleh ransomware Maze dan Sodinokibi (REvil). Mereka telah mengadopsi model teknik yang menggunakan data curian sebagai alat untuk memastikan pelanggan akan melakukan pembayaran. Bahkan jika korban mampu memulihkan sistem mereka dari serangan ransomware, mereka harus tetap membayar untuk menghindari publikasi atau penjualan data yang telah dicuri oleh pelaku sebelum ransomware dijalankan. Ars telah melacak aktivitas di portal “pelanggan” Maze, di mana kelompok itu memposting bukti pelanggaran data dari para korban yang tidak membayar uang tebusan tepat waktu.

 

Hal-hal tersebut menunjukkan bahwa memiliki cadangan yang baik tidak lagi cukup untuk mencegah kerusakan yang ditimbulkan oleh ransomware.

 

Klik link dibawah untuk membaca berita selengkapnya

Source: Ars Technica

Ransomware Ini tidak hanya mengenkripsi data. Mereka juga ikut campur dalam infrastruktur kritis

by

Ransomware yang ditemukan bulan lalu, Ekans, berisi rutinitas biasa untuk menonaktifkan cadangan data dan enkripsi massal file pada sistem yang terinfeksi. Tetapi para peneliti di perusahaan keamanan Dragos menemukan hal lain yang berpotensi menjadi lebih mengganggu: kode yang secara aktif mencari dan menghentikan aplikasi yang digunakan dalam sistem kontrol industri, yang biasanya disingkat ICS. Sebelum memulai operasi enkripsi file, ransomware membunuh proses yang terdaftar di dalam string malware yang disandikan.

 

Secara keseluruhan, Ekans membunuh 64 proses dan 64 proses yang sama, ternyata, ditargetkan dalam versi ransomware MegaCortex. Versi itu pertama kali terungkap pada bulan Agustus.

 

Buka link dibawah ini untuk membaca berita selengkapnya

Source: Ars Technica

Snake Ransomware Uses hybrid encryption system

by

Ransomware Snake tampaknya telah membuat berita minggu lalu karena namanya dan bukan karena prevalensinya.

 

Seperti kebanyakan Ransomware, Snake Ransomware tidak menyerang file sistem operasi dan program namun mengacak file penting pada komputer korban seperti dokumen, spreadsheet, foto dan video dengan kunci enkripsi yang dipilih secara acak.

 

File yang dienkripsi diberi tag khusus EKANS di akhir file, yang merupakan SNAKE jika dibaca dari belakang. Peneliti keamanan dari Sophos berasumsi bahwa mereka menambahkan penanda EKANS sebagai cara mudah mengidentifikasi file yang terenkripsi jika korban memutuskan untuk membayar dan membeli kembali kunci dekripsi dari mereka.

 

Ransomware ini mengunci file dengan menggunakan random key yang memakai algoritma symmetric atau secret-key encryption dimana kunci yang sama digunakan untuk mengunci dan membuka kunci file. Lalu menggunakan public key untuk mengunci random key. Untuk mendekripsi file, korban memerlukan kunci pribadi (private key) untuk membuka kunci random key; kemudian random key untuk membuka kunci file.

 

Klik link dibawah untuk membaca berita selengkapnya:

Source: Naked Security Sophos

REvil ransomware targets unpatched Pulse Secure VPN servers

by

 

Penjahat siber yang menggunakan ransomware REvil (Sodinokibi) untuk memeras organisasi besar sekarang menargetkan server VPN Secure Pulse yang belum dipatch untuk mendapatkan pijakan dan menonaktifkan antivirus.

 

Ransomware REvil (Sodinokibi) digunakan dalam serangan bulan lalu pada penyedia pusat data AS yang terdaftar di NASDAQ, CyrusOne dan, selama musim panas, terhadap beberapa penyedia layanan yang dikelola, 20 pemerintah daerah Texas, dan lebih dari 400 kantor dokter gigi.

 

Peneliti keamanan mendesak para organisasi yang menggunakan Pulse Secure VPN untuk memasang patch sekarang atau menghadapi serangan ransomware REvil.

 

Klik link dibawah ini untuk membaca berita selengkapnya.

Source: ZDNet