Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

Penjahat siber dan kartel narkoba menyebarkan malware dan mencuri informasi keuangan di Amerika Latin

by

Penjahat siber kini bekerjasama dengan kartel narkoba di seluruh Amerika Latin untuk menyerang lembaga keuangan dan pemerintah, meningkatkan berbagai macam penipuan dan penyebaran malware untuk menghasilkan jutaan uang, menurut laporan baru dari perusahaan cybersecurity IntSights.

 

Karena penegakan hukum polisi yang relatif lemah, banyak dari penjahat siber ini beroperasi di tempat terbuka dan di dark web, berbagi taktik dengan yang lain dan bekerja sama dengan entitas kriminal untuk meningkatkan keluasan dan kekuatan serangan. Mereka menggunakan WhatsApp, Telegram dan Facebook Messenger untuk mengkoordinasikan serangan.

 

Laporan itu menyebutkan “Bergabungnya geng narkoba dan komunitas peretas adalah ancaman yang muncul secara signifikan seiring kita melangkah ke 2020. Kedua dunia menggabungkan pengaruh, keterampilan, dan pengalaman mereka untuk mencapai tujuan bersama, terutama dari variasi keuangan.”

 

Laporan ini juga menyoroti penggunaan trojan perbankan dan ransomware sebagai ancaman malware paling populer yang melanda Amerika Latin.

 

Baca artikel selengkapnya pada tautan di bawah ini;

Source: Tech Republic

Operator gas alam AS tidak beroperasi selama 2 hari setelah terinfeksi oleh ransomware

by

Departemen Keamanan Dalam Negeri mengatakan pada hari Selasa bahwa sebuah fasilitas gas alam yang berbasis di AS menutup operasi selama dua hari setelah mengalami infeksi ransomware yang menghalangi karyawannya menerima data operasional real-time yang penting dari peralatan kontrol dan komunikasi.

 

Serangan dimulai dengan tautan jahat dalam email phishing yang memungkinkan penyerang untuk mendapatkan akses awal ke jaringan teknologi informasi (TI) organisasi sebelum berputar ke jaringan operasionalnya (OT).

 

Jaringan OT berbeda dari jaringan TI. Ini adalah jaringan dengan workstation untuk mengelola peralatan pabrik yang kritis dan operasi pabrik lainnya. Jaringan TI biasanya didedikasikan untuk pekerjaan kantor dan administrasi lainnya.

 

CISA mengatakan bahwa setelah mendapatkan akses ke jaringan OT, penyerang kemudian menggunakan ransomware komoditas yang mengenkripsi data perusahaan pada jaringan TI dan OT pada saat yang bersamaan, untuk kerusakan maksimum, sebelum meminta pembayaran tebusan. Pada laporan yang diterbitkan pada hari Selasa, tidak disebutkan nama/jenis ransomware tersebut.

 

Klik pada tautan di bawah ini untuk membaca berita lebih lanjut:

Source: Ars Technica | ZDNet | Advisory

Ransomware ini menggunakan driver Gigabyte untuk membunuh antivirus

by

Sebuah Geng ransomware menggunakan driver GIGABYTE yang rentan pada komputer yang ingin diinfeksi. Tujuannya adalah untuk memungkinkan peretas untuk menonaktifkan produk keamanan sehingga ransomware mereka dapat mengenkripsi file tanpa terdeteksi atau dihentikan.

 

Menurut Perusahaan keamanan siber Sophos,  sejauh ini teknik baru tersebut telah terlihat dalam dua kasus ransomware, dan kedua kasus tersebut memiliki jenis ransomware yang sama yaitu ransomware RobbinHood. 

 

Pada sebuah laporan, mereka menyebutkan bahwa:

  1. Geng Ransomware mendapat pijakan di jaringan korban.
  2. Peretas memasang driver kernel GDRV.SYS Gigabyte yang sah
  3. Peretas mengeksploitasi kerentanan pada driver tersebut untuk mendapatkan akses kernel.
  4. Penyerang menggunakan akses kernel untuk menonaktifkan sementara Windows OS driver signature enforcement.
  5. Peretas memasang driver kernel jahat bernama RBNL.SYS.
  6. Penyerang menggunakan driver ini untuk menonaktifkan atau menghentikan antivirus dan produk keamanan lainnya yang berjalan pada host yang terinfeksi.
  7. Peretas menjalankan ransomware RobbinHood dan mengenkripsi file korban.

 

Ketika tekanan publik diberikan pada perusahaan untuk memperbaiki driver tersebut, Gigabyte malah memilih untuk menghentikannya daripada merilis patch.

 

RobinHood bukan satu-satunya geng ransomware yang menggunakan berbagai trik untuk menonaktifkan produk keamanan. Ransomware lain yang terlibat dalam perilaku serupa adalah Snatch (yang me-reboot PC dalam Safe Mode untuk menonaktifkan perangkat lunak AV) dan Nemty (yang mematikan proses antivirus menggunakan utilitas taskkill).

 

Klik link dibawah untuk membaca berita selengkapnya

Source: ZDNet

Ransomware mencuri data sebelum dienkripsi, membuat cadangan saja tidak akan cukup.

by

Asosiasi Nasional Serikat Kredit (CUNA) telah mengalami “masalah gangguan bisnis” yang disebabkan oleh ransomware, menurut sumber yang berbicara dengan Zack Whittaker dari TechCrunch. Dan pada 4 Februari, situs tersebut telah dipulihkan sepenuhnya. 

 

CUNA mengatakan bahwa mereka tidak menyimpan nomor Jaminan Sosial atau nomor kartu kredit anggota nya dan mereka yakin bahwa tidak ada data pribadi di sistem mereka yang dicuri pada serangan ransomware tersebut, sesuatu yang wajar terjadi pada korban ransomware. Dan itu sebagian disebabkan karena operator ransomware sebelumnya menghindari klaim bahwa mereka memiliki akses ke data korban untuk menjaga “kepercayaan” yang diperlukan untuk mendapatkan bayarannya.

 

Sayangnya, teknik seperti itu sudah dipatahkan oleh ransomware Maze dan Sodinokibi (REvil). Mereka telah mengadopsi model teknik yang menggunakan data curian sebagai alat untuk memastikan pelanggan akan melakukan pembayaran. Bahkan jika korban mampu memulihkan sistem mereka dari serangan ransomware, mereka harus tetap membayar untuk menghindari publikasi atau penjualan data yang telah dicuri oleh pelaku sebelum ransomware dijalankan. Ars telah melacak aktivitas di portal “pelanggan” Maze, di mana kelompok itu memposting bukti pelanggaran data dari para korban yang tidak membayar uang tebusan tepat waktu.

 

Hal-hal tersebut menunjukkan bahwa memiliki cadangan yang baik tidak lagi cukup untuk mencegah kerusakan yang ditimbulkan oleh ransomware.

 

Klik link dibawah untuk membaca berita selengkapnya

Source: Ars Technica

Ransomware Ini tidak hanya mengenkripsi data. Mereka juga ikut campur dalam infrastruktur kritis

by

Ransomware yang ditemukan bulan lalu, Ekans, berisi rutinitas biasa untuk menonaktifkan cadangan data dan enkripsi massal file pada sistem yang terinfeksi. Tetapi para peneliti di perusahaan keamanan Dragos menemukan hal lain yang berpotensi menjadi lebih mengganggu: kode yang secara aktif mencari dan menghentikan aplikasi yang digunakan dalam sistem kontrol industri, yang biasanya disingkat ICS. Sebelum memulai operasi enkripsi file, ransomware membunuh proses yang terdaftar di dalam string malware yang disandikan.

 

Secara keseluruhan, Ekans membunuh 64 proses dan 64 proses yang sama, ternyata, ditargetkan dalam versi ransomware MegaCortex. Versi itu pertama kali terungkap pada bulan Agustus.

 

Buka link dibawah ini untuk membaca berita selengkapnya

Source: Ars Technica

Snake Ransomware Uses hybrid encryption system

by

Ransomware Snake tampaknya telah membuat berita minggu lalu karena namanya dan bukan karena prevalensinya.

 

Seperti kebanyakan Ransomware, Snake Ransomware tidak menyerang file sistem operasi dan program namun mengacak file penting pada komputer korban seperti dokumen, spreadsheet, foto dan video dengan kunci enkripsi yang dipilih secara acak.

 

File yang dienkripsi diberi tag khusus EKANS di akhir file, yang merupakan SNAKE jika dibaca dari belakang. Peneliti keamanan dari Sophos berasumsi bahwa mereka menambahkan penanda EKANS sebagai cara mudah mengidentifikasi file yang terenkripsi jika korban memutuskan untuk membayar dan membeli kembali kunci dekripsi dari mereka.

 

Ransomware ini mengunci file dengan menggunakan random key yang memakai algoritma symmetric atau secret-key encryption dimana kunci yang sama digunakan untuk mengunci dan membuka kunci file. Lalu menggunakan public key untuk mengunci random key. Untuk mendekripsi file, korban memerlukan kunci pribadi (private key) untuk membuka kunci random key; kemudian random key untuk membuka kunci file.

 

Klik link dibawah untuk membaca berita selengkapnya:

Source: Naked Security Sophos

REvil ransomware targets unpatched Pulse Secure VPN servers

by

 

Penjahat siber yang menggunakan ransomware REvil (Sodinokibi) untuk memeras organisasi besar sekarang menargetkan server VPN Secure Pulse yang belum dipatch untuk mendapatkan pijakan dan menonaktifkan antivirus.

 

Ransomware REvil (Sodinokibi) digunakan dalam serangan bulan lalu pada penyedia pusat data AS yang terdaftar di NASDAQ, CyrusOne dan, selama musim panas, terhadap beberapa penyedia layanan yang dikelola, 20 pemerintah daerah Texas, dan lebih dari 400 kantor dokter gigi.

 

Peneliti keamanan mendesak para organisasi yang menggunakan Pulse Secure VPN untuk memasang patch sekarang atau menghadapi serangan ransomware REvil.

 

Klik link dibawah ini untuk membaca berita selengkapnya.

Source: ZDNet

Forbes: High-Impact Windows 10 Security Threat Revealed As App-Killing Malware Evolves

by

Biro Investigasi Federal (FBI) mengeluarkan peringatan ancaman yang berdampak tinggi kepada bisnis dan organisasi AS pada 2 Oktober 2019 lalu. Ancaman itu adalah ransomware, dan FBI memperingatkan bahwa penjahat dunia maya “meningkatkan dan mengubah teknik mereka untuk membuat serangan mereka lebih efektif dan untuk mencegah deteksi.”

 

Ransomware di balik serangan 23 Desember yang mengenkripsi “hampir semua sistem Windows” di Universitas Maastricht, telah berevolusi menjadi lebih dari ancaman bagi pengguna Windows 10. Peneliti keamanan telah mengungkapkan bahwa varian Clop ransomware terbaru sekarang akan menghentikan total 663 proses Windows sebelum enkripsi file dimulai.

 

Klik link dibawah ini untuk membaca berita selengkapnya.

Source: Forbes | Raw Github User Content