Ransomware

Ransomware AustraliaNewVarian ESXiArgs Baru Muncul Setelah CISA Merilis Alat Decryptor

February 13, 2023 by Flamango

Setelah Cybersecurity and Infrastructure Security Agency (CISA) AS merilis dekripsi untuk korban yang terkena dampak untuk pulih dari serangan ransomware ESXiArgs, pelaku ancaman telah bangkit kembali dengan versi terbaru yang mengenkripsi lebih banyak data.

Dilaporkan oleh administrator sistem di forum online, varian baru ini memiliki file yang lebih besar dari 128MB akan memiliki 50% data terenkripsi, membuat proses pemulihan lebih menantang.

Perubahan penting lainnya adalah penghapusan alamat Bitcoin dari catatan tebusan. Penyerang mendesak korban untuk menghubungi mereka di Tox untuk mendapatkan informasi wallet.

Saatv peneliti sedang melacak pembayaran dan mungkin telah mengetahui sebelum merilis ransomware bahwa proses enkripsi dalam varian asli relatif mudah untuk dielakkan, pelaku ancaman mengetahui itu.

Sebanyak 1.252 server telah terinfeksi oleh versi baru ESXiArgs per 9 Februari 2023, 1.168 di antaranya adalah infeksi ulang. Dan lebih dari 3.800 host unik telah disusupi.

Sebagian besar infeksi berlokasi di Prancis, AS, Jerman, Kanada, Inggris, Belanda, Finlandia, Turki, Polandia, dan Taiwan.

Aspek penting yang membedakan ESXiArgs dari keluarga ransomware lainnya adalah tidak adanya situs kebocoran data, yang menunjukkan bahwa itu tidak berjalan di model ransomware-as-a-service (RaaS).

Total Host ESXiArgs yang Terinfeksi Kembali, 23 Feb 2023

Perusahaan keamanan siber Rapid7 menemukan 18.581 server ESXi yang terhubung ke internet yang rentan terhadap CVE-2021-21974.

Selengkapnya: The Hacker News

Ransomware ESXiArgs Mencapai Lebih Dari 3.800 Server Saat Hacker Terus Meningkatkan Malware

February 10, 2023 by Flamango

Lebih dari 3.800 server di seluruh dunia telah disusupi dalam serangan ransomware ESXiArgs baru-baru ini, mencakup proses yang ditingkatkan.

Beberapa perkembangan baru dalam kasus serangan tersebut termasuk terkait dengan metode enkripsi yang digunakan oleh malware, korban, dan kerentanan yang dieksploitasi oleh para hacker.

Setelah CISA mengumumkan ketersediaan alat open source tersebut, FBI dan CISA merilis dokumen yang memberikan panduan pemulihan.

Saat ini, mesin pencari Shodan dan Censys menunjukkan 1.600-1.800 server yang diretas dan terdapat indikasi bahwa banyak organisasi yang terkena dampak telah mulai menanggapi serangan tersebut dan membersihkan sistem mereka.

Analisis Reuters menetapkan bahwa para korban termasuk Mahkamah Agung Florida dan universitas di Amerika Serikat dan Eropa.

Analisis malware enkripsi file yang digunakan dalam serangan itu menunjukkan bahwa malware tersebut menargetkan file yang terkait dengan mesin virtual (VM). Para ahli memperhatikan bahwa ransomware lebih menargetkan file konfigurasi VM, tetapi tidak mengenkripsi file datar yang menyimpan data, memungkinkan beberapa pengguna memulihkan data mereka.

Hingga saat ini, ransomware tidak mengenkripsi sebagian besar data dalam file besar, tetapi versi baru malware mengenkripsi data dalam jumlah yang jauh lebih signifikan dalam file besar. Para peneliti juga belum menemukan kekurangan dalam enkripsi yang sebenarnya.

Diasumsikan bahwa serangan ESXiArgs memanfaatkan CVE-2021-21974 untuk akses awal, sebuah kerentanan eksekusi koderemote dengan tingkat keparahan tinggi di VMware ESXi yang ditambal oleh VMware pada Februari 2021.

VMware belum mengonfirmasi eksploitasi itu, tetapi dikatakan bahwa tidak ada bukti kerentanan zero-day yang dimanfaatkan dalam serangan tersebut.

Namun, GreyNoise menunjukkan bahwa beberapa kerentanan terkait OpenSLP telah ditemukan di ESXi dalam beberapa tahun terakhir, dan salah satunya dapat dieksploitasi dalam serangan ESXiArgs, termasuk CVE-2020-3992 dan CVE-2019-5544.

Selengkapnya: Security Week

AS, Inggris memberikan sanksi kepada peretas Rusia dalam serangan ransomware

February 10, 2023 by Søren

Amerika Serikat dan Inggris pada hari Kamis bersama-sama memberikan sanksi kepada tujuh peretas yang terkait dengan pemerintah Rusia yang terkait dengan serangan ransomware terhadap infrastruktur penting di AS, Inggris, dan Ukraina.

Sanksi tersebut merupakan upaya terbaru oleh negara-negara Barat untuk menindak operasi peretasan Rusia, yang melonjak dalam setahun terakhir sebagai akibat dari invasi Rusia ke Ukraina dan meningkatnya ketegangan dengan Barat.

Ketujuh orang Rusia yang dijatuhi sanksi — Vitaly Kovalev, Maksim Mikhailov, Valentin Karyagin, Mikhail Iskritskiy, Dmitry Pleshevskiy, Ivan Vakhromeyev, dan Valery Sedletski — semuanya diduga oleh Departemen Keuangan AS sebagai anggota kelompok penjahat dunia maya Trickbot yang berbasis di Rusia. Mereka diduga berada di balik serangan terhadap infrastruktur kritis, termasuk rumah sakit di AS dan Inggris selama pandemi Covid-19, dan terkait dengan dinas intelijen Rusia.

Selain itu, Trickbot dikaitkan oleh IBM tahun lalu dengan serangan dunia maya pada tahun 2022 terkait dengan perang yang ditujukan pada pemerintah Ukraina dan kelompok sektor swasta dan, menurut Departemen Keuangan, juga diduga menargetkan pemerintah AS dan perusahaan AS.

“Amerika Serikat dan Inggris adalah pemimpin dalam perang global melawan kejahatan dunia maya dan berkomitmen untuk menggunakan semua alat yang tersedia untuk mempertahankan diri dari ancaman dunia maya,” kata Menteri Luar Negeri Antony Blinken dalam sebuah pernyataan Kamis. “Saat perang ilegal Rusia melawan Ukraina berlanjut, kerja sama dengan sekutu dan mitra kami menjadi lebih penting dari sebelumnya untuk melindungi keamanan nasional kami.”

Selengkapnya: POLITICO

Panduan Pemulihan Mesin Virtual Menggunakan ESXiArgs-Recover

February 9, 2023 by Flamango

ESXiArgs-Recover merupakan alat untuk memungkinkan organisasi mencoba memulihkan mesin virtual yang terkena serangan ransomware ESXiArgs.

Beberapa organisasi telah melaporkan keberhasilan pemulihan file tanpa membayar uang tebusan. Mengetahui hal tersebut, CISA menyusun alat berdasarkan sumber daya yang tersedia untuk umum, termasuk tutorial oleh Enes Sonmez dan Ahmet Aykac.

ESXiArgs-Recover bekerja dengan merekonstruksi metadata mesin virtual dari disk virtual yang tidak dienkripsi oleh malware.

Berikut Panduan Pemulihan Mesin Virtual ESXiArgs Ransomware CISA.

Peringatan
Skrip ESXiArgs CISA didasarkan pada temuan yang diterbitkan oleh peneliti pihak ketiga. Setiap organisasi harus berhati-hati jika menggunakan skrip pemulihan ESXiArgs CISA.

CISA tidak mendukung produk atau layanan komersial apa pun, termasuk subjek analisis apa pun dan tidak bertanggung jawab atas kerusakan yang disebabkan oleh skrip ini.

Langkah Pemulihan Mesin Virtual
1. Unduh skrip ESXiArgs dan simpan sebagai “/tmp/recover.sh”
2. Beri izin eksekusi skrip “chmod +x /tmp/recover.sh”
3. Arahkan ke folder mesin virtual yang ingin di decrypt
4. Jalankan “ls”, lihat file, dan catat nama VMnya
5. Jalankan skrip pemulihan dengan “/tmp/recover.sh [nama vm]”. Jalankan “/tmp/recover.sh [nama] thin” jika mesin virtual berformat tipis
6. Jika berhasil, skrip decryptor akan menampilkan tanda berhasil dijalankan. Jika, mungkin mesin virtual tidak dapat dipulihkan.
7. Jika skrip berhasil, mendaftarkan ulang mesin virtual.
8. Mendaftarkan ulang mesin virtual.
9. Lakukan langkah berikut jika web ESXi tidak dapat diakses.
– “cd /usr/lib/vmware/hostd/docroot/ui/ && mv index.html ransom.html && mv index1.html index.html”
– “cd /usr/lib/vmware/hostd/docroot && mv index.html ransom.html && rm index.html & mv index1.html index.html”
– Reboot server ESXi.
10. Klik kanan pada VM dan pilih “Batalkan Pendaftaran” jika VM yang dipulihkan sudah ada.
11. Pilih “Buat / Daftarkan VM”.
12. Pilih “Daftarkan mesin virtual yang ada”.
13. Klik “Pilih satu atau lebih mesin virtual, penyimpanan data, atau direktori” untuk menavigasi ke folder VM yang di pulihkan. Pilih file vmx di folder.
14. Pilih “Selanjutnya” dan “Selesai”.

Proyek ini berada dalam domain publik di Amerika Serikat, dan hak cipta serta hak terkait dalam karya di seluruh dunia dibebaskan melalui dedikasi domain publik Universal CC0 1.0.

Selengkapnya: GitHub

Kegunaan ESXiArgs-Recover untuk memulihkan Virtual Machine Terserang Ransomware

February 9, 2023 by Coffee Bean

ESXiArgs-Recover adalah alat untuk memungkinkan organisasi mencoba memulihkan virtual machine yang terkena serangan ransomware ESXiArgs.

CISA mengetahui bahwa beberapa organisasi telah melaporkan keberhasilan memulihkan file tanpa membayar uang tebusan. CISA menyusun alat ini berdasarkan sumber daya yang tersedia untuk umum, termasuk tutorial oleh Enes Sonmez dan Ahmet Aykac. Alat ini bekerja dengan merekonstruksi metadata virtual machine dari disk virtual yang tidak dienkripsi oleh malware. Untuk informasi selengkapnya, lihat Panduan Pemulihan virtual machine ESXiArgs Ransomware CISA.

disclaimer
Skrip ESXiArgs CISA didasarkan pada temuan yang diterbitkan oleh peneliti pihak ketiga yang disebutkan di atas. Setiap organisasi yang ingin menggunakan skrip pemulihan ESXiArgs CISA harus meninjau skrip dengan hati-hati untuk menentukan apakah skrip tersebut sesuai untuk lingkungan mereka sebelum menerapkannya. Skrip ini tidak berusaha untuk menghapus file konfigurasi terenkripsi, melainkan berusaha membuat file konfigurasi baru yang memungkinkan akses ke VM. Meskipun CISA bekerja untuk memastikan bahwa skrip seperti ini aman dan efektif, skrip ini dikirimkan tanpa jaminan, baik implisit maupun eksplisit. Jangan gunakan skrip ini tanpa memahami bagaimana hal itu dapat memengaruhi sistem Anda. CISA tidak bertanggung jawab atas kerusakan yang disebabkan oleh skrip ini.

Skrip ini disediakan “sebagaimana adanya” hanya untuk tujuan informasi. CISA tidak mendukung produk atau layanan komersial apa pun, termasuk subjek analisis apa pun. Referensi apa pun untuk produk, proses, atau layanan komersial tertentu oleh merek layanan, merek dagang, pabrikan, atau lainnya, bukan merupakan atau menyiratkan dukungan, rekomendasi, atau dukungan oleh CISA.

selengkapnya : github

Geng Ransomware LockBit Mengklaim Serangan Cyber Royal Mail

February 9, 2023 by Coffee Bean

Operasi ransomware LockBit telah mengklaim cyberattack pada layanan pengiriman surat terkemuka di Inggris, Royal Mail, yang memaksa perusahaan untuk menghentikan layanan pengiriman internasionalnya karena “gangguan layanan yang parah”

Ini terjadi setelah LockBitSupport, perwakilan publik geng ransomware, sebelumnya memberi tahu BleepingComputer bahwa grup cybercrime LockBit tidak menyerang Royal Mail.

Sebaliknya, mereka menyalahkan pelaku penyerabgan lain yang menggunakan pembuat ransomware LockBit 3.0 yang bocor di Twitter pada September 2022.

LockBitSupp gagal menjelaskan mengapa catatan tebusan Royal Mail yang dicetak yang dilihat oleh BleepingComputer menyertakan tautan ke situs negosiasi Tor dan kebocoran data LockBit daripada yang dioperasikan oleh aktor ancaman lain.

Lockbit Black ransom note printer during the attack on Royal Mail (Daniel Card)

Royal Mail belum mengakui bahwa itu berurusan dengan serangan ransomware yang kemungkinan dapat menyebabkan pelanggaran data karena operator ransomware LockBit dikenal mencuri data dan membocorkannya secara online jika permintaan tebusan mereka tidak dipenuhi.

Untuk saat ini, perusahaan tersebut masih menggambarkan serangan tersebut sebagai “insiden dunia maya” dan mengatakan bahwa mereka telah memulihkan beberapa layanan yang terkena dampak serangan tersebut.

sumber : bleepingcomputer

Versi Linux dari Royal Ransomware menargetkan server VMware ESXi

February 6, 2023 by Søren

Royal Ransomware adalah operasi ransomware terbaru untuk menambahkan dukungan untuk mengenkripsi perangkat Linux ke varian malware terbarunya, yang secara khusus menargetkan mesin virtual VMware ESXi.

BleepingComputer telah melaporkan tentang enkripsi ransomware Linux serupa yang dirilis oleh beberapa geng lain, termasuk Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX, dan Hive.

Varian Linux Royal Ransomware baru ditemukan oleh Will Thomas dari Pusat Analisis Ancaman Equinix (ETAC), dan dijalankan menggunakan baris perintah.

Itu juga dilengkapi dengan dukungan untuk beberapa tanda yang akan memberi operator ransomware kendali atas proses enkripsi:

-stopvm > menghentikan semua VM yang sedang berjalan agar dapat dienkripsi
-vmonly – Hanya mengenkripsi mesin virtual
-fork – tidak diketahui
-log – tidak diketahui
-id: id harus 32 karakter

Saat mengenkripsi file, ransomware akan menambahkan ekstensi .royal_u ke semua file terenkripsi di VM.

Sementara solusi anti-malware memiliki masalah dalam mendeteksi sampel Royal Ransomware yang menggabungkan kemampuan penargetan baru, mereka sekarang terdeteksi oleh 23 dari 62 mesin pemindai malware di VirusTotal.

Royal Ransomware adalah operasi pribadi yang terdiri dari pelaku ancaman berpengalaman yang sebelumnya bekerja dengan operasi ransomware Conti

Mulai bulan September, Royal meningkatkan aktivitas jahat beberapa bulan setelah pertama kali ditemukan pada Januari 2022.

Meskipun awalnya mereka menggunakan enkripsi dari operasi lain, seperti BlackCat, mereka beralih menggunakan enkripsi mereka sendiri, dimulai dengan Zeon yang menjatuhkan catatan tebusan yang serupa dengan yang dihasilkan oleh Conti.

Pada pertengahan September, grup tersebut berganti nama menjadi “Royal” dan mulai menggunakan enkripsi baru dalam serangan yang menghasilkan catatan tebusan dengan nama yang sama.

Geng tersebut menuntut pembayaran tebusan mulai dari $250.000 hingga puluhan juta setelah mengenkripsi sistem jaringan perusahaan target mereka.

Selengkapnya: Bleeping Computer

Cybercrime adalah ekonomi terbesar ketiga di dunia berkat booming pasar gelap

February 5, 2023 by Søren

Cybercrime telah tumbuh menjadi ekonomi terbesar ketiga di dunia setelah AS dan China, menurut World Economic Forum (WEF). Berdasarkan data dari Cybersecurity Ventures, diproyeksikan akan menelan biaya $8 triliun dunia pada tahun 2023 dan $10,5 triliun pada tahun 2025.

Siapa pun dapat membeli akses ke jaringan dan ransomware secara online, yang merupakan salah satu pendorong utama pertumbuhan ini, kata Gordon kepada Cybernews dalam sebuah wawancara. Pelaku ancaman tidak memerlukan keterampilan teknis untuk meluncurkan serangan siber atau ransomware yang canggih, katanya.

“Ada lebih banyak pemain dalam game karena semua alat ini sudah tersedia, jadi Anda tidak perlu melakukan apa pun,” kata Gordon.

Pembayaran tebusan ransomware rata-rata telah mencapai $800.000, menurut penelitian Sophos tahun lalu. Laporan terbaru dari Nozomi memperingatkan bahwa asuransi siber bisa menjadi salah satu penyebabnya.

Penjahat dunia maya juga siap mengeksploitasi celah keamanan akibat adopsi cepat Internet of Things (IoT) – atau sistem perangkat yang terhubung – di seluruh sektor kesehatan, pendidikan, dan bisnis.

Menurut WEF, 1,5 miliar serangan bertarget IoT tercatat pada paruh pertama tahun 2021, meningkat 15,1% dari tahun sebelumnya. “Jika pelaku ancaman melakukan ini, itu karena mereka berhasil mengeksploitasi perangkat IoT ini,” kata Gordon.

Selain penjahat bermotivasi finansial dan aktor negara-bangsa yang menargetkan infrastruktur kritis untuk keuntungan materi, perang Rusia di Ukraina juga telah menyaksikan munculnya aktivis peretas yang bermotivasi politik, yang selanjutnya berkontribusi pada pertumbuhan ekonomi kejahatan dunia maya.

Fasilitas perawatan kesehatan telah menjadi “target utama” bagi penjahat dunia maya karena sifat sensitif data mereka, menurut laporan Nozomi, yang menimbulkan ancaman unik. “Dalam perawatan kesehatan, serangan bisa berarti hilangnya nyawa,” kata Gordon.

Selengkapnya: Sky Magazine

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Ransomware

Cookies Settings