Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

Peretas Mencuri Data Dari Beberapa Utilitas Listrik Dalam Serangan Ransomware Baru

by

Peretas mencuri data milik beberapa utilitas listrik dalam serangan ransomware Oktober terhadap kontraktor pemerintah AS yang menangani proyek infrastruktur penting di seluruh negeri, menurut memo yang menjelaskan peretasan yang diperoleh CNN.

Menurut memo yang dikirim kepada eksekutif perusahaan listrik oleh pusat berbagi ancaman siber regulator jaringan Amerika Utara, pejabat federal memantau insiden tersebut untuk mengetahui potensi dampak yang lebih luas pada sektor listrik AS, sementara penyelidik swasta menyisir web gelap untuk data yang dicuri.

Serangan ransomware yang menghantam Sargent & Lundy berbasis di Chicago, sebuah perusahaan teknik yang telah merancang lebih dari 900 pembangkit listrik dan ribuan mil sistem tenaga, menyimpan data sensitif proyek, dan menangani masalah keamanan nuklir.

Menurut anonim, insiden itu telah diatasi. Tampaknya tidak berdampak lebih luas pada perusahaan sektor listrik lainnya.

Pakar keamanan sudah lama khawatir bahwa skema yang dipegang oleh kontraktor listrik dan tenaga nuklir dapat dibuang secara online dan digunakan untuk serangan fisik atau siber lanjutan pada fasilitas tersebut.

Kekhawatiran itu menyusul rentetan serangan fisik dan vandalisme pada utilitas listrik di berbagai negara bagian. Pada hari Natal, ribuan orang kehilangan aliran listrik di wilayah Washington setelah seseorang merusak beberapa gardu induk di sana.

Romero menolak untuk menjawab pertanyaan lebih lanjut tentang serangan ransomware, termasuk apakah peretas telah mencoba memeras Sargent & Lundy, mengutip penyelidikan yang sedang berlangsung.

Pemerintahan Biden telah mendesak perusahaan untuk berbagi data tentang peretasan seperti itu karena pejabat AS telah mencoba untuk mengatasi epidemi ransomware, yang telah merugikan perusahaan infrastruktur penting jutaan dolar.

Peretas yang menyerang Sargent & Lundy menggunakan jenis ransomware yang dikenal sebagai Black Basta. Peretas mencuri data dari korbannya untuk memberi mereka pengaruh tambahan dalam negosiasi tebusan.

Peraturan federal mewajibkan utilitas listrik untuk mempertahankan standar keamanan siber melindungi sistem mereka dari peretasan. Perusahaan yang membuat kontrak dengan utilitas tersebut, seperti Sargent & Lundy, belum tentu memiliki standar yang sama dan malah terikat oleh persyaratan keamanan dalam kontrak.

Selengkapnya: CNN politics

Peretas FIN7 Membuat Platform Serangan Otomatis Untuk Menembus Server Exchange

by

Grup peretasan FIN7 yang terkenal menggunakan sistem serangan otomatis yang mengeksploitasi Microsoft Exchange dan kerentanan injeksi SQL untuk menembus jaringan perusahaan, mencuri data, dan memilih target untuk serangan ransomware berdasarkan ukuran finansial.

Sistem ini ditemukan oleh tim intelijen ancaman Prodaft, yang telah mengikuti operasi FIN7 dengan cermat selama bertahun-tahun.

Menyerang otomatis Microsoft Exchange
Sistem serangan otomatis yang ditemukan oleh Prodaft disebut ‘Tanda centang’, dan ini adalah pemindai untuk beberapa eksekusi kode jarak jauh Microsoft Exchange dan kerentanan elevasi hak istimewa seperti CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207.

FIN7 menggunakan berbagai eksploit untuk mendapatkan akses ke jaringan target, termasuk kode kustom mereka sendiri dan PoC yang tersedia untuk umum.

Selain kelemahan MS Exchange, platform serangan Checkmarks juga dilengkapi modul injeksi SQL menggunakan SQLMap untuk memindai potensi kelemahan yang dapat dieksploitasi di situs web target.

Injeksi SQL Checkmark’s (Prodaft)

Setelah tahap serangan awal, Tanda centang secara otomatis melakukan langkah pascaeksploitasi, seperti ekstraksi email dari Active Directory dan pengumpulan informasi server Exchange.

Korban baru ditambahkan secara otomatis ke panel pusat tempat operator FIN7 dapat melihat detail tambahan tentang titik akhir yang disusupi.

Uji tuntas yang dilakukan untuk mengevaluasi ukuran perusahaan dan status keuangan patut diperhatikan, dengan tim pemasaran FIN7 mengumpulkan informasi dari berbagai sumber, termasuk Owler, Crunchbase, DNB, Zoominfo, Mustat, dan Similarweb.

Owler data view di Checkmarks (Prodaft)

Ransomware dan pintu belakang SSH
Investigasi Prodaft menemukan bukti lebih lanjut dari koneksi DarkSide setelah mereka menemukan apa yang tampak seperti catatan tebusan dan file terenkripsi dari operasi ransomware.

Selain itu, para peneliti menemukan banyak bukti komunikasi dengan beberapa geng ransomware, termasuk Darkside, REvil, dan LockBit, dari log Jabber yang diambil.

penyelidikan menunjukkan bahwa alih-alih secara khusus menargetkan perusahaan yang berharga, FIN7 menargetkan semua orang dan mengevaluasi seberapa berharganya mereka di fase kedua.

Prodaft telah memberikan indikator kompromi (IOCs) dalam laporan mereka untuk backdoor berbasis SSH dan malware lain yang digunakan dalam serangan mereka. Sangat disarankan agar semua admin meninjau laporan untuk mempelajari bagaimana FIN7 menargetkan jaringan mereka.

sumber : bleeping computer

Kelompok Ransomware Vice Society Beralih ke Enkripsi Baru

by

Operasi ransomware Vice Society telah beralih menggunakan enkripsi ransomware khusus yang mengimplementasikan skema enkripsi hibrid yang kuat berdasarkan NTRUEncrypt dan ChaCha20-Poly1305.

Vice Society pertama kali muncul pada musim panas 2021, ketika mereka mulai mencuri data dari jaringan perusahaan dan mengenkripsi perangkat. Pelaku ancaman kemudian akan melakukan serangan pemerasan ganda, mengancam akan mempublikasikan data jika uang tebusan tidak dibayarkan.

Encyrptor “PolyVice” Baru
Strain PolyVice baru, begaimanapun, memberikan serangan Vice Society tabda tangan unik, menambahkan ekstensi “.ViceSociety” ke file yang terkunci dan menjatuhkan catatan tebusan bernama AllYFilesAE’.

Vice Society ransom note
Sumber: BleepingComputer

Analisis SentinelOne mengungkapkan bahwa PolyVice memiliki kesamaan kode yang luas dengan rensomware Chilly dan ransomware SunnyDay, engan kecocokan 100% pada fungsi

Similarity between Chilly and PolyVice (SentinelOne)

Perbedaannya terletak pada detail khusus kampanye seperti ekstensi file, nama catatan tebusan, kunci master hardcode, wallpaper, dll., yang mendukung hipotesis vendor umum.

“Ini memungkinkan pembeli untuk menyesuaikan ransomware mereka tanpa mengungkapkan kode sumber apa pun. Tidak seperti pembuat RaaS lain yang dikenal, pembeli dapat membuat muatan bermerek, memungkinkan mereka menjalankan program RaaS mereka sendiri.”

Enkripsi Hybrid
PolyVice menggunakan skema enkripsi hibrid yang menggabungkan enkripsi asimetris dengan algoritme NTRUEncrypt dan enkripsi simetris dengan algoritme ChaCha20-Poly1305.

Saat peluncuran, payload mengimpor kunci publik NTRU 192-bit yang dibuat sebelumnya dan kemudian menghasilkan pasangan kunci pribadi NTRU 112-bit acak pada sistem yang disusupi, yang unik untuk setiap korban.

Enkripsi pasangan kunci privat NTRU (SentinelOne)

PolyVice ransomware adalah biner 64-bit yang menggunakan multi-threading untuk enkripsi data simetris paralel, memanfaatkan prosesor korban secara penuh untuk mempercepat proses enkripsi.

Selain itu, setiap pekerja PolyVice membaca konten file untuk menentukan pengoptimalan kecepatan apa yang dapat diterapkan di setiap kasus. Pengoptimalan ini bergantung pada ukuran file, dengan PolyVice menerapkan enkripsi intermiten secara selektif.

  • File yang lebih kecil dari 5MB sepenuhnya dienkripsi
  • File antara 5MG dan 100MB dienkripsi sbegaian, memecahnya menjadi potongan kedua.
  • File yang lebih bedsar dari 100MB dipecah menjadi sepuluh potongan yang terdistribusi secara merata, dan 2,5MB dari setiap potongan dienkripsi

Kesimpulannya, temuan SentinelOne lebih lanjut menggarisbawahu tren outsourcing di ruang angkasa, dengan geng ransomware membayar spesialis untuk menciptakan alat yang canggih dan berkinerja tinggi.

sumber : BleepingComputer

Kelompok Ransomware Menggunakan Eksploit Microsoft Exchange Baru Untuk Menembus Server

by

Pelaku ancaman ransomware Play menggunakan rantai eksploit baru yang melewati mitigasi penulisan ulang URL ProxyNotShell untuk mendapatkan eksekusi kode jarak jauh (RCE) pada server yang rentan melalui Outlook Web Access (OWA).

Perusahaan cybersecurity CrowdStrike melihat eksploit (dijuluki OWASSRF) saat menyelidiki serangan ransomware Play di mana server Microsoft Exchange yang disusupi digunakan untuk menyusup ke jaringan korban.

Untuk menjalankan perintah sewenang-wenang pada server yang disusupi, operator ransomware memanfaatkan Remote PowerShell untuk menyalahgunakan CVE-2022-41082, bug yang sama yang dieksploitasi oleh ProxyNotShell.

Sementara ProxyNotShell mengeksploitasi target CVE-2022-41040, CrowdStrike menemukan bahwa kelemahan yang disalahgunakan oleh eksploit yang baru ditemukan kemungkinan besar adalah CVE-2022-41080, sebuah kelemahan keamanan yang ditandai oleh Microsoft sebagai kritis dan tidak dieksploitasi secara liar yang memungkinkan eskalasi hak istimewa jarak jauh di server Exchange .

OWASSRF PoC exploit (BleepingComputer)

CVE-2022-41080 ditemukan dan dilaporkan oleh zcgonvh dengan 360 noah lab dan rskvp93, Q5Ca, dan nxhoang99 dengan VcsLab dari Viettel Cyber Security.

OWASSRF PoC exploit leaked online
Sementara peneliti keamanan CrowdStrike bekerja mengembangkan kode proof-of-concept (PoC) mereka sendiri untuk mencocokkan info log yang ditemukan saat menyelidiki serangan ransomware Play baru-baru ini, peneliti ancaman Huntress Labs Dray Agha menemukan dan membocorkan alat pelaku ancaman secara online, pada bulan Desember tanggal 14.

CrowdStrike percaya bahwa eksploitasi proof-of-concept digunakan untuk menjatuhkan alat akses jarak jauh seperti Plink dan AnyDesk di server yang disusupi.

Sejak diluncurkan pada bulan Juni, puluhan korban ransomware Play telah mengunggah sampel atau catatan tebusan ke platform ID Ransomware untuk mengidentifikasi ransomware apa yang digunakan untuk mengenkripsi data mereka.

Aktifitas Play Ransomware (ID Ransomware)

Saat ini, tidak ada kebocoran data yang terkait dengan ransomware ini atau indikasi apa pun bahwa data apa pun dicuri selama serangan.

Korban baru-baru ini yang terkena afiliasi ransomware Play termasuk jaringan hotel Jerman H-Hotels, kota Antwerpen di Belgia, dan Pengadilan Córdoba di Argentina.

sumber : bleeping computer

Ransomware Play Mengklaim Serangan Terhadap Jaringan Hotel Jerman H-Hotels

by

Geng Ransomware Play telah mengaku bertanggung jawab atas serangan dunia maya di H-Hotels (h-hotels.com)yang mengakibatkan gangguan komunikasi bagi perusahaan.

H-Hotels adalah bisnis perhotelan dengan 60 hotel di 50 lokasi di Jerman, Austria, dan Swiss, menawarkan total kapasitas 9.600 kamar, dan mempekerjakan 2.500 orang.

H-Hotels mengungkapkan serangan siber tersebut terjadi pada Minggu, 11 Desember 2022. Setelah penyerang berhasil menerobos sistem perlindungan teknis dan organisasi IT, tim IT segera mengambil tindakan dengan mematikan dan memutus Internet untuk menangkal penyebaran lebih lanjut.

Serangan hanya berdampak pada staf hotel yaitu tidak dapat menerima atau menjawab permintaan pelanggan yang dikirim melalui email, sehingga tamu disarankan untuk menghubungi H-Hotels melalui telepon jika diperlukan.

Data Diduga Dicuri Dalam Serangan
Geng ransomware mengklaim telah mencuri data pribadi dan personal, termasuk dokumen klien, paspor, ID, dan lainnya. Namun, pelaku ancaman belum merilis sampel apa pun untuk mendukung klaim tersebut.

Entri H-Hotels di situs Play ransomware Tor (BleepingComputer)

H-Hotel membantah melihat bukti eksfiltrasi data dalam pengumuman minggu lalu, dan tidak ada pembaruan tentang masalah tersebut sejak saat itu.

Kemungkinan tereksposnya detail dan data pemesanan tamu hotel dapat menjadi kasus pelanggaran privasi yang parah, memberikan informasi tentang lokasi mendatang, informasi keuangan, dan masih banyak lagi.

Selengkapnya: BLEEPINGCOMPUTER

Microsoft: Popular IoT SDKs Leave Critical Infrastructure Wide Open to Cyberattack

by

Microsoft minggu ini mengidentifikasi vektor serangan menganga untuk menonaktifkan sistem kontrol industri (ICS), yang sayangnya menyebar di seluruh jaringan infrastruktur penting: server Web Boa.

Mungkin tampak aneh bahwa server akhir masa pakai yang berusia hampir 20 tahun masih berkeliaran, tetapi Boa termasuk dalam serangkaian kit pengembang perangkat lunak (SDK) populer yang digunakan pengembang perangkat Internet of Things dalam desain kritis mereka. komponen untuk ICS,

Ini termasuk SDK yang dirilis oleh RealTek yang digunakan dalam SOC yang disediakan untuk perusahaan yang memproduksi perangkat gateway seperti router, titik akses, dan repeater, catat para peneliti.

Ternyata komponen yang rentan dalam serangan tersebut adalah server Web Boa. Menurut postingan blog Microsoft Security Threat Intelligence yang diterbitkan pada 22 November, server Web dan kerentanan yang diwakilinya dalam rantai pasokan komponen IoT seringkali tidak diketahui oleh pengembang dan administrator yang mengelola sistem dan berbagai perangkatnya.

Membuat Penemuan
kelompok ancaman Hive mengklaim serangan ransomware pada Tata Power di India. Dan dalam pelacakan aktivitas mereka yang berkelanjutan, para peneliti terus melihat penyerang mencoba mengeksploitasi kerentanan Boa, “menunjukkan bahwa itu masih ditargetkan sebagai vektor serangan” dan akan terus menjadi satu selama server ini digunakan.

maka dari hal tersebut jaringan ICS untuk mengidentifikasi kapan server Boa yang rentan sedang digunakan dan untuk menambal kerentanan sedapat mungkin, serta mengambil tindakan lain untuk mengurangi risiko dari serangan di masa mendatang, kata para peneliti

tindakan yang perlu dipertimbangkan untuk mitigasi termasuk menggunakan pemindaian antivirus proaktif untuk mengidentifikasi muatan berbahaya pada perangkat; mengonfigurasi aturan deteksi untuk mengidentifikasi aktivitas berbahaya jika memungkinkan; dan mengadopsi solusi IoT dan OT yang komprehensif untuk memantau perangkat, merespons ancaman, dan meningkatkan visibilitas untuk mendeteksi dan memperingatkan saat perangkat IoT dengan Boa digunakan sebagai titik masuk ke jaringan.

sumber : dark reading

Peneliti Diam-diam Membobol Kunci Ransomware Zeppelin

by

Peter adalah seorang manajer TI untuk produsen teknologi yang terkena serangan ransomware Rusia yang disebut “Zeppelin”. Peter, yang berbicara terus terang tentang serangan tanpa menyebut nama, mengatakan FBI menyuruhnya untuk menghubungi perusahaan konsultan keamanan dunia maya di New Jersey bernama Unit 221B, dan khususnya pendirinya – Lance James.

Dalam sebuah wawancara dengan KrebsOnSecurity, James mengatakan Unit 221B berhati-hati dalam mengiklankan kemampuannya untuk memecahkan kunci ransomware Zeppelin karena tidak ingin menyerahkan tangannya kepada pencipta Zeppelin, yang cenderung memodifikasi pendekatan enkripsi file mereka jika mereka mendeteksi itu entah bagaimana. sedang dilewati.

Kelompok Zeppelin tampaknya telah berhenti menyebarkan kode ransomware mereka secara bertahap selama setahun terakhir, mungkin karena rujukan Unit 221B dari FBI membiarkan mereka diam-diam membantu hampir dua lusin organisasi korban pulih tanpa membayar pemeras mereka.

Para peneliti mengatakan jeda mereka datang ketika mereka memahami bahwa sementara Zeppelin menggunakan tiga jenis kunci enkripsi yang berbeda untuk mengenkripsi file, mereka dapat membatalkan keseluruhan skema dengan memfaktorkan atau menghitung hanya salah satunya: Kunci publik RSA-512 singkat yang dihasilkan secara acak pada setiap mesin yang terinfeksi.

Unit 221B akhirnya membuat versi Linux “Live CD” yang dapat dijalankan oleh korban pada sistem yang terinfeksi untuk mengekstrak kunci RSA-512 tersebut. Dari sana, mereka akan memuat kunci ke dalam sekelompok 800 CPU yang disumbangkan oleh raksasa Digital Ocean hosting yang kemudian akan mulai memecahkannya.

Catatan ransomware khas Zeppelin.

Jon adalah korban ransomware Zeppelin lainnya yang dibantu oleh upaya dekripsi Unit 221B. Penyerang yang merusak perusahaan Jon berhasil melakukan phishing kredensial dan token autentikasi multi-faktor untuk beberapa alat yang digunakan perusahaan untuk mendukung pelanggan, dan dalam waktu singkat mereka telah menguasai server dan cadangan untuk pelanggan penyedia layanan kesehatan.

Pada Agustus 2022, FBI dan Cybersecurity & Infrastructure Security Agency (CISA) mengeluarkan peringatan bersama pada Zeppelin, mengatakan FBI telah “mengamati contoh di mana aktor Zeppelin mengeksekusi malware mereka beberapa kali dalam jaringan korban, menghasilkan pembuatan ID yang berbeda. atau ekstensi file, untuk setiap kejadian serangan; ini mengakibatkan korban memerlukan beberapa kunci dekripsi unik.”

Pada saat perusahaan Jon berhasil mendekripsi data mereka, mereka dipaksa oleh regulator untuk membuktikan bahwa tidak ada data pasien yang telah diekstraksi dari sistem mereka. Secara keseluruhan, majikannya membutuhkan waktu dua bulan untuk pulih sepenuhnya dari serangan itu.

sumber : krebson security

Grup ‘Donut’ Mulai Menyerang Korban dengan Ransomware

by

Grup pemerasan Donut (D0nut) telah dikonfirmasi untuk menyebarkan ransomware dalam serangan pemerasan ganda pada perusahaan perusahaan.

Anehnya, data untuk Sando dan DESFA juga diposting ke beberapa situs operasi ransomware, dengan serangan Sando diklaim oleh ransomware Hive dan DESFA diklaim oleh Ragnar Locker.

Ransomware Donut
Minggu ini, BleepingComputer menemukan sampel [VirusTotal] dari sebuah encryptor untuk operasi Donut, alias D0nut, yang menunjukkan bahwa grup tersebut menggunakan ransomware yang disesuaikan sendiri untuk serangan pemerasan ganda.

Saat file dienkripsi, ransomware Donut akan menambahkan ekstensi .d0nut ke file terenkripsi. Jadi, misalnya 1.jpg akan dienkripsi dan diganti namanya menjadi 1.jpg.d0nut, seperti yang ditunjukkan di bawah ini.

File dienkripsi oleh Donut Ransomware
Sumber: BleepingComputer

Operasi Donut Leaks memiliki bakat untuk sandiwara, menggunakan grafik yang menarik, sedikit humor, dan bahkan menawarkan pembangun untuk dapat dieksekusi yang bertindak sebagai pintu gerbang ke situs kebocoran data Tor mereka (lihat di bawah).

Nota Ransom Donut

Catatan ransomware lain yang dilihat oleh BleepingComputer berpura-pura menjadi prompt perintah yang menampilkan kesalahan PowerShell, yang kemudian mencetak catatan tebusan bergulir.

Catatan tebusan sangat dikaburkan untuk menghindari deteksi, dengan semua string dikodekan dan JavaScript mendekode catatan tebusan di browser.

Operasi Donut ransomware juga menyertakan “pembangun” di situs kebocoran data mereka yang terdiri dari skrip bash untuk membuat aplikasi Windows dan Linux Electron dengan klien Tor yang dibundel untuk mengakses situs kebocoran data mereka.

Aplikasi elektron D0nut ransomware

Secara keseluruhan, kelompok pemerasan ini adalah salah satu yang harus diperhatikan, tidak hanya karena keterampilan mereka yang tampak tetapi juga kemampuan mereka untuk memasarkan diri mereka sendiri.

sumber : bleeping computer