Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

Avast Merilis Dekriptor Ransomware BianLian Gratis

by

Perusahaan perangkat lunak keamanan Avast merilis dekriptor gratis bagi ransomware BianLian untuk membantu korban malware memulihkan file yang terkunci tanpa membayar peretas.

Alat dekriptor Avast hanya dapat membantu korban yang diserang oleh varian yang diketahui dari ransomware BianLian.

Dekriptor BianLian sedang dalam proses dan kemampuan untuk membuka lebih banyak strain akan segera ditambahkan.

Ransomware BianLian
BianLian adalah jenis ransomware berbasis Go yang menargetkan sistem Windows, menggunakan algoritma AES-256 simetris dengan mode sandi CBC untuk mengenkripsi lebih dari 1013 ekstensi file di semua drive yang dapat diakses.

Malware melakukan enkripsi intermiten pada file korban, sebuah taktik yang membantu mempercepat serangan dengan mengorbankan kekuatan penguncian data.

Informasi lebih lanjut tentang pengoperasian ransomware lain dapat dilihat dalam laporan SecurityScoreCard tentang strain yang diterbitkan pada Desember 2022.

Dekriptor Avast
Dekriptor ransomware BianLian tersedia secara gratis dan program ini dapat dijalankan secara mandiri yang tidak memerlukan instalasi.

Dekriptor ini menyediakan beberapa fitur, seperti pemilihan lokasi yang akan dijalankan dekriptor, menyediakan perangkat lunak dengan sepasang file asli/terenkripsi, mencadangkan file terenkripsi, dan opsi terkait kata sandi.

Selengkapnya: BleepingComputer

Geng Ransomware Lorenz Menanam Backdoor untuk Digunakan Beberapa Bulan Kemudian

by

Peneliti keamanan memperingatkan bahwa menambal kerentanan kritis yang memungkinkan akses ke jaringan tidak cukup untuk bertahan dari serangan ransomware.

Beberapa geng mengeksploitasi kelemahan untuk merencanakan backdoor. Salah satu kasus adalah serangan ransomware Lorenz yang selesai berbulan-bulan setelah peretas memperoleh akses ke jaringan korban menggunakan eksploit untuk bug kritis dalam sistem telepon.

Backdoor Dipasang Sebelum Pembaruan Keamanan
Menurut S-RM, peretas memperoleh akses awal dengan mengeksploitasi kerentanan kritis dalam infrastruktur telepon Mitel, CVE-2022-29499, memungkinkan eksekusi remote kode.

Sementara klien S-RM telah menerapkan tambalan untuk CVE-2022-29499 pada bulan Juli, peretas ransomware Lorenz bergerak lebih cepat dan mengeksploitasi kerentanan dan menanam backdoor sebelum pembaruan yang memperbaiki masalah tersebut.

Periksa Intrusi Sebelum Menerapkan Perbaikan Bug Kritis
Lorenz secara aktif kembali ke backdoor lama, memeriksa bahwa mereka masih memiliki akses dan menggunakannya untuk meluncurkan serangan ransomware.

Para peneliti mencatat bahwa memperbarui perangkat lunak ke versi terbaru pada waktu yang tepat merupakan langkah penting dalam mempertahankan jaringan. Namun dalam kasus kerentanan kritis, perusahaan juga harus memeriksa lingkungan mereka untuk upaya eksploitasi dan kemungkinan intrusi.

Selengkapnya: BleepingComputer

Rackspace Mengatakan Hacker Mengakses Data Pelanggan Selama Serangan Ransomware

by

Cloud computing raksasa rackspace telah mengonfirmasi peretas mengakses data pelanggan selama serangan ransomware bulan lalu.

Serangan itu, memengaruhi lingkungan email Exchange yang dihosting perusahaan, memaksa raksasa web tersebut untuk menutup layanan email yang dihosting setelah insiden tersebut.

Rackspace mengatakan sekitar 30.000 pelanggan menggunakan layanan Exchange yang dihostingnya – yang sekarang akan dihentikan – pada saat serangan ransomware

Rackspace mengaitkan pelanggaran itu dengan grup ransomware Play, geng yang relatif baru yang baru-baru ini mengklaim serangan di kota pelabuhan Antwerp Belgia dan jaringan perhotelan H-Hotels. Data Rackspace yang dicuri saat ini tidak terdaftar di situs kebocoran grup ransomware, dan tidak jelas apakah Rackspace telah membayar permintaan uang tebusan.

Pelaku ancaman Play memperoleh akses ke jaringan Rackspace dengan mengeksploitasi CVE-2022-41080, cacat zero-day yang ditambal oleh Microsoft pada bulan November

sumber : techcrunch

Rackspace: Email Data Customer Diakses dalam Serangan Ransomware

by

Rackspace mengungkapkan pada hari Kamis bahwa penyerang di balik insiden bulan lalu mengakses beberapa file Personal Storage Table (PST) pelanggannya yang dapat berisi berbagai informasi, termasuk email, data kalender, kontak, dan tugas.

Seperti yang ditemukan selama penyelidikan yang dipimpin oleh perusahaan keamanan siber Crowdstrike, penyerang memperoleh akses ke folder penyimpanan pribadi dari 27 pelanggan Rackspace.

hampir 30.000 pelanggan di lingkungan email Hosted Exchange pada saat serangan, penyelidikan forensik menentukan pelaku ancaman mengakses Personal Storage Table (‘PST’) dari 27 pelanggan Hosted Exchange,” kata Rackspace dalam pembaruan laporan insiden yang dibagikan dengan BleepingComputer terlebih dahulu.

Sementara RackSpace mengatakan tidak ada bukti bahwa pelaku ancaman mengakses data pelanggan, sejarah menunjukkan bahwa tidak selalu demikian.

Selain itu, meskipun data mungkin tidak bocor jika uang tebusan dibayarkan atau karena alasan lain, kemungkinan besar data pelanggan setidaknya dilihat selama serangan.

Klien yang terpengaruh dapat mengunduh beberapa data PST yang dipulihkan

Sejak menemukan serangan pada tanggal 2 Desember dan mengonfirmasi bahwa pemadaman yang diakibatkannya disebabkan oleh serangan ransomware, Rackspace telah menawarkan lisensi gratis kepada pelanggan yang terpengaruh untuk memigrasikan email mereka dari platform Exchange yang Dihosting ke Microsoft 365.

lingkungan email Exchange yang Dihosting tidak akan dibangun kembali sebagai penawaran layanan maju,” kata Rackspace.

“Bahkan sebelum insiden keamanan baru-baru ini, lingkungan email Exchange yang Dihosting telah direncanakan untuk migrasi ke Microsoft 365, yang memiliki model penetapan harga yang lebih fleksibel, serta fitur dan fungsionalitas yang lebih modern.”

sumber : bleepincomputer

Ransomware Royal Mengklaim Menyerang Universitas Teknologi Queensland

by

Geng ransomware Royal telah mengaku bertanggung jawab atas serangan dunia maya baru-baru ini di Universitas Teknologi Queensland dan mulai membocorkan data yang diduga dicuri selama pelanggaran keamanan.

Queensland University of Technology (QUT) adalah salah satu universitas terbesar di Australia dengan jumlah mahasiswa (52.672). Berfokus pada studi ilmiah, teknologi, teknik, dan matematika ini telah menerima dana pemerintah yang signifikan untuk mendukung penelitiannya beberapa tahun terakhir.

Serangan ransomware diumumkan QUT pada 1 Januari 2023, memperingatkan mahasiswa dan staf akademik akan gangguan layanan yang tak terhindarkan akibat insiden keamanan.

QUT mengambil tindakan utama dengan mematikan semua sistem TI untuk mencegah penyebaran serangan, dan universitas bekerja sama dengan pakar eksternal terkait insiden keamanan tersebut.

Semua siswa dan personel telah diberitahu tentang situasi ini dan halaman status layanan telah dibuat untuk melaporkan kemajuan pemulihan dan ketersediaan layanan.

Geng Royal Merilis Data Yang Diduga Dicuri
Sementara universitas mengatakan tidak ada bukti data yang dicuri, operasi ransomware Royal mulai menerbitkan data yang mereka klaim telah dicuri dari QUT.

Dalam entri baru di situs kebocoran data mereka, grup ransomware membocorkan file SDM, email dan surat, kartu dan ID, dokumen keuangan dan administrasi yang mereka nyatakan mewakili 10% dari data yang dicuri selama serangan.

Operasi ransomware Royal dimulai pada September 2022 sebagai spin-off dari grup ransomware Conti yang terkenal, yang ditutup pada Mei 2022.

Geng tersebut dengan cepat mendapat perhatian para peneliti dan pemerintah setelah meluncurkan beberapa serangan terhadap organisasi kesehatan.

Selengkapnya: BleepingComputer

Ransomware Mempengaruhi Lebih Dari 200 Organisasi Pemerintah, Pendidikan, Kesehatan Pada Tahun 2022

by

Serangan ransomware pada tahun 2022 berdampak pada lebih dari 200 organisasi yang lebih besar di sektor publik AS di vertikal pemerintahan, pendidikan, dan perawatan kesehatan.

Berdasarkan data yang dikumpulkan dari laporan yang tersedia untuk umum, pernyataan pengungkapan, kebocoran di web gelap, dan intelijen pihak ketiga, menunjukkan bahwa peretas mencuri data di sekitar setengah dari serangan ransomware ini.

Tidak Ada Gambaran Jelas Tentang Serangan Ransomware
Berdasarkan data yang tersedia, ancaman ransomware di AS menyerang 105 kabupaten, 44 universitas dan perguruan tinggi, 45 distrik sekolah, dan 24 penyedia layanan kesehatan.

Tidak semua korban mengungkapkan insiden ini dan beberapa di antaranya mungkin luput dari perhatian para peneliti. Namun, insiden yang mempengaruhi sektor publik lebih mungkin diungkapkan.

Ransomware Mempengaruhi 105 Negara
Pada tahun 2022, serangan ransomware terhadap pemerintah daerah meningkat dari 77 menjadi 105. Angka tersebut dipengaruhi secara dramatis oleh satu insiden di Miller County, AK yang menyebar ke komputer di 55 kabupaten terpisah.

Emsisoft menyoroti bahwa Quincy, MA, adalah satu-satunya pemerintah daerah yang diketahui membayar para peretas, kehilangan $500.000 kepada mereka.

Peretas Mencuri Data Dalam 58 Serangan Terhadap Organisasi Pendidikan
Ransomware menyerang 89 organisasi sektor pendidikan di AS, 44 universitas dan perguruan tinggi, dan 45 distrik sekolah. Peretas mencuri data dalam setidaknya 58 serangan.

Emisoft mengatakan bahwa tiga organisasi pendidikan membayar uang tebusan kepada para peretas untuk memulihkan data terenkripsi.

290 Rumah Sakit Berpotensi Terkena Ransomware
Menurut Emisoft, sangat sulit melacak insiden ransomware di sektor kesehatan, alasan utamanya adalah pengungkapan yang tidak jelas.

Karena itu, mereka hanya menghitung serangan terhadap rumah sakit dan sistem kesehatan multi-rumah sakit, yang bertambah menjadi 24 pada tahun 2022.

Statistik ini tidak memberikan gambaran lengkap tentang serangan ransomware di sektor publik karena akan ada beberapa insiden yang tidak menjadi perhatian perusahaan.

Selengkapnya: BleepingComputer

Geng Ransomware Mengkloning Situs Web Korban Untuk Membocorkan Data Yang Dicuri

by

Operator ransomware ALPHV menjadi kreatif dengan taktik pemerasan mereka, setidaknya dalam satu kasus, membuat replika situs korban untuk mempublikasikan data yang dicuri di dalamnya.

ALPHV sebagai Ransomware BlackCat, dikenal karena menguji taktik pemerasan baru sebagai cara untuk menekan dan mempermalukan korbannya agar membayar.

Peretas Membuat Data Yang Dicuri Lebih Mudah Didapat
Pada 26 Desember, aktor ancaman menerbitkan di situs kebocoran data mereka yang disembunyikan di jaringan Tor bahwa mereka telah menyusupi sebuah perusahaan di bidang jasa keuangan.

BlackCat melakukan langkah standar untuk operator ransomware dengan menerbitkan semua file yang dicuri sebagai hukuman akibat korban tidak memenuhi tuntutan pelaku ancaman.

Para peretas juga memutuskan untuk membocorkan data di situs yang meniru korban dalam hal penampilan dan nama domain.

Situs yang dikloning ada di web yang jelas untuk memastikan ketersediaan file yang dicuri secara luas.

ALPHV ransomware menerbitkan data curian di situs yang menyamar sebagai korban (BleepingComputer)

Pembentukan Tren Baru
Menurut Brett Callow, analis ancaman di perusahaan cybersecurity Emsisoft, berbagi data pada domain yang salah ketik akan menjadi perhatian lebih besar bagi perusahaan korban daripada mendistribusikan data melalui situs web di jaringan Tor, yang diketahui oleh komunitas infosec.

Operasi ransomware selalu mencari opsi baru untuk memeras korbannya. Antara mempublikasikan nama perusahaan yang dilanggar, mencuri data dan mengancam untuk meminta tebusan, dan ancaman DDoS. Taktik ini bisa menjadi awal dari tren baru yang mungkin diadopsi oleh geng ransomware lain, karena biayanya jauh dari signifikan.

Meski tidak jelas seberapa suksesnya, strategi ini mengekspos pelanggaran ke audiens yang lebih besar, menempatkan korban pada posisi yang lebih rentan karena datanya tersedia tanpa batasan apa pun.

Selengkapnya: BleepingComputer

Geng Ransomware Meminta Maaf, Memberikan Rumah Sakit SickKids Decryptor Gratis

by

Geng ransomware LockBit telah merilis decryptor gratis untuk Rumah Sakit Anak SickKids, mengatakan salah satu anggotanya melanggar aturan dengan menyerang organisasi perawatan kesehatan.

Rumah Sakit Anak, SickKids mendapatkan serangan ransomware pada tanggal 18 Desember, yang berdampak pada sistem internal dan perusahaan, saluran telepon rumah sakit, dan situs web.

Geng LockBit Meminta Maaf Atas Serangan
Dua hari setelah pemberitaan SickKids diumumkan, geng ransomware LockBit meminta maaf atas serangan di rumah sakit dan merilis decryptor secara gratis. Geng ransomware juga akan memblokir anggotanya yang melanggar aturan dan tidak lagi termasuk dalam program afiliasinya.

BleepingComputer telah mengonfirmasi bahwa file ini tersedia secara gratis dan diklaim sebagai dekripsi Linux/VMware ESXi. Karena tidak ada dekripsi Windows tambahan, ini menunjukkan bahwa penyerang hanya dapat mengenkripsi mesin virtual di jaringan rumah sakit.

Permintaan maaf kepada SickKids di situs kebocoran data LockBit (BleepingComputer)

Operasi LockBit berjalan sebagai Ransomware-as-a-Service, di mana operator memelihara enkripsi dan situs web, dan afiliasi operasi, atau anggota, melanggar jaringan korban, mencuri data, dan mengenkripsi perangkat. Operator LockBit menyimpan sekitar 20% dari semua pembayaran tebusan dan sisanya masuk ke afiliasi.

LockBit memiliki riwayat mengenkripsi rumah sakit dan tidak menyediakan enkripsi. Seperti terjadinya serangan terhadap rumah sakit Prancis menyebabkan pasien dirujuk ke pusat medis lain dan penundaan operasi, yang dapat menimbulkan risiko yang signifikan bagi pasien.

BleepingComputer telah menghubungi LockBit pada saat itu untuk memahami mengapa mereka menuntut uang tebusan dari CHSF, meskipun itu bertentangan dengan kebijakan, tetapi tidak pernah mendapat tanggapan.

Ini bukan pertama kalinya geng ransomware menyediakan decryptor gratis untuk organisasi layanan kesehatan.

Pada Mei 2021, operasi Conti Ransomware menyediakan decryptor gratis untuk layanan kesehatan nasional Irlandia, HSE, setelah menghadapi tekanan yang meningkat dari penegakan hukum internasional.

Selengkapnya: BleepingComputer