Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

Ransomware LockBit Mengklaim Menyerang Porto de Lisboa

by

Serangan dunia maya yang menghantam Port of Lisbon Administration (APL), pelabuhan terbesar ketiga di Portugal, pada hari Natal telah diklaim oleh geng ransomware LockBit.

Pelabuhan Lisbon adalah bagian dari infrastruktur penting di ibu kota Portugal, menjadi salah satu pelabuhan yang paling banyak diakses di Eropa, karena lokasinya yang strategis, dan melayani kapal kontainer, kapal pesiar, dan kapal pesiar.

Menurut pernyataan perusahaan yang dibagikan kepada media lokal pada hari Senin, serangan siber tidak berdampak pada operasi pelabuhan.

LockBit mengancam data leak
APL tidak mengungkapkan sifat serangan dunia maya dalam pengumuman tersebut, tetapi grup ransomware LockBit menambahkan organisasi tersebut ke situs pemerasannya kemarin, sehingga mengklaim serangan tersebut.

Geng ransomware mengklaim telah mencuri laporan keuangan, audit, anggaran, kontrak, informasi kargo, log kapal, detail kru, PII pelanggan (informasi identitas pribadi), dokumentasi pelabuhan, korespondensi email, dan banyak lagi.

Grup telah menerbitkan sampel data yang dicuri tetapi BleepingComputer tidak dapat memverifikasi keabsahannya.

LockBit mengancam akan menerbitkan semua file yang mereka curi selama penyusupan komputer pada 18 Januari 2022, jika tuntutan pembayaran mereka tidak dipenuhi.

Port of Lisbon listed in LockBit 3.0 Tor site (BleepingComputer)

Geng LockBit saat ini berada di versi ketiga dari enkripsi mereka yang menggerakkan proyek RaaS (ransomware sebagai layanan) yang terkenal, dan salah satu geng paling produktif tahun ini.

Serangan penting lainnya baru-baru ini dari LockBit menargetkan Continental, raksasa otomotif multinasional, yang terdaftar di situs Tor geng ransomware pada November 2022.

Minggu ini, media Jepang menyebarkan desas-desus bahwa departemen kejahatan dunia maya dari kepolisian Jepang membantu setidaknya tiga perusahaan domestik memulihkan sistem mereka secara gratis setelah serangan LockBit 3.0.

Sumber : BleepingComputer

Rumah Sakit Anak Terbesar di Kanada Berjuang Untuk Pulih Dari Serangan Ransomware Pra-Natal

by

Rumah Sakit Anak “SickKids” Toronto, pusat kesehatan anak terbesar di Kanada, masih belum pulih dari serangan ransomware yang dimulai pada 18 Desember. Organisasi layanan kesehatan menganggap insiden ini sebagai “Code Grey” atau mewakili kegagalan sistem.

Pejabat mengkonfirmasi bahwa ini adalah serangan ransomware. Hal ini mengakibatkan halaman web rumah sakit mati, gangguan telepon, dokter kesulitan mengakses hasil lab dan pencitraan yang menyebabkan waktu tunggu yang lama bagi pasien, dan proses seputar pengiriman resep juga terpengaruh.

Uniknya, tidak ada kelompok ransomware yang mengaku bertanggung jawab atas serangan tersebut.

Pada tanggal 23 Desember, rumah sakit mengatakan perlu waktu berminggu-minggu sebelum semua sistem mereka berfungsi normal. Tim klinis dan operasional menerapkan prosedur cadangan untuk sistem yang belum dapat diakses.

Kemudian pada hari Jumat pula, rumah sakit dapat memulihkan saluran telepon dan sistem ketepatan waktu internal untuk penggajian staf. asien masih berurusan dengan penundaan diagnostik dan perawatan karena pemadaman sistem.

Rumah Sakit Anak Sakit adalah rumah sakit anak terbaru yang diserang dalam beberapa tahun terakhir. Serangan ransomware terhadap organisasi layanan kesehatan terus berlanjut sepanjang tahun 2021 dan 2022.

Selengkapnya: The Record

Peretas Mencuri Data Dari Beberapa Utilitas Listrik Dalam Serangan Ransomware Baru

by

Peretas mencuri data milik beberapa utilitas listrik dalam serangan ransomware Oktober terhadap kontraktor pemerintah AS yang menangani proyek infrastruktur penting di seluruh negeri, menurut memo yang menjelaskan peretasan yang diperoleh CNN.

Menurut memo yang dikirim kepada eksekutif perusahaan listrik oleh pusat berbagi ancaman siber regulator jaringan Amerika Utara, pejabat federal memantau insiden tersebut untuk mengetahui potensi dampak yang lebih luas pada sektor listrik AS, sementara penyelidik swasta menyisir web gelap untuk data yang dicuri.

Serangan ransomware yang menghantam Sargent & Lundy berbasis di Chicago, sebuah perusahaan teknik yang telah merancang lebih dari 900 pembangkit listrik dan ribuan mil sistem tenaga, menyimpan data sensitif proyek, dan menangani masalah keamanan nuklir.

Menurut anonim, insiden itu telah diatasi. Tampaknya tidak berdampak lebih luas pada perusahaan sektor listrik lainnya.

Pakar keamanan sudah lama khawatir bahwa skema yang dipegang oleh kontraktor listrik dan tenaga nuklir dapat dibuang secara online dan digunakan untuk serangan fisik atau siber lanjutan pada fasilitas tersebut.

Kekhawatiran itu menyusul rentetan serangan fisik dan vandalisme pada utilitas listrik di berbagai negara bagian. Pada hari Natal, ribuan orang kehilangan aliran listrik di wilayah Washington setelah seseorang merusak beberapa gardu induk di sana.

Romero menolak untuk menjawab pertanyaan lebih lanjut tentang serangan ransomware, termasuk apakah peretas telah mencoba memeras Sargent & Lundy, mengutip penyelidikan yang sedang berlangsung.

Pemerintahan Biden telah mendesak perusahaan untuk berbagi data tentang peretasan seperti itu karena pejabat AS telah mencoba untuk mengatasi epidemi ransomware, yang telah merugikan perusahaan infrastruktur penting jutaan dolar.

Peretas yang menyerang Sargent & Lundy menggunakan jenis ransomware yang dikenal sebagai Black Basta. Peretas mencuri data dari korbannya untuk memberi mereka pengaruh tambahan dalam negosiasi tebusan.

Peraturan federal mewajibkan utilitas listrik untuk mempertahankan standar keamanan siber melindungi sistem mereka dari peretasan. Perusahaan yang membuat kontrak dengan utilitas tersebut, seperti Sargent & Lundy, belum tentu memiliki standar yang sama dan malah terikat oleh persyaratan keamanan dalam kontrak.

Selengkapnya: CNN politics

Peretas FIN7 Membuat Platform Serangan Otomatis Untuk Menembus Server Exchange

by

Grup peretasan FIN7 yang terkenal menggunakan sistem serangan otomatis yang mengeksploitasi Microsoft Exchange dan kerentanan injeksi SQL untuk menembus jaringan perusahaan, mencuri data, dan memilih target untuk serangan ransomware berdasarkan ukuran finansial.

Sistem ini ditemukan oleh tim intelijen ancaman Prodaft, yang telah mengikuti operasi FIN7 dengan cermat selama bertahun-tahun.

Menyerang otomatis Microsoft Exchange
Sistem serangan otomatis yang ditemukan oleh Prodaft disebut ‘Tanda centang’, dan ini adalah pemindai untuk beberapa eksekusi kode jarak jauh Microsoft Exchange dan kerentanan elevasi hak istimewa seperti CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207.

FIN7 menggunakan berbagai eksploit untuk mendapatkan akses ke jaringan target, termasuk kode kustom mereka sendiri dan PoC yang tersedia untuk umum.

Selain kelemahan MS Exchange, platform serangan Checkmarks juga dilengkapi modul injeksi SQL menggunakan SQLMap untuk memindai potensi kelemahan yang dapat dieksploitasi di situs web target.

Injeksi SQL Checkmark’s (Prodaft)

Setelah tahap serangan awal, Tanda centang secara otomatis melakukan langkah pascaeksploitasi, seperti ekstraksi email dari Active Directory dan pengumpulan informasi server Exchange.

Korban baru ditambahkan secara otomatis ke panel pusat tempat operator FIN7 dapat melihat detail tambahan tentang titik akhir yang disusupi.

Uji tuntas yang dilakukan untuk mengevaluasi ukuran perusahaan dan status keuangan patut diperhatikan, dengan tim pemasaran FIN7 mengumpulkan informasi dari berbagai sumber, termasuk Owler, Crunchbase, DNB, Zoominfo, Mustat, dan Similarweb.

Owler data view di Checkmarks (Prodaft)

Ransomware dan pintu belakang SSH
Investigasi Prodaft menemukan bukti lebih lanjut dari koneksi DarkSide setelah mereka menemukan apa yang tampak seperti catatan tebusan dan file terenkripsi dari operasi ransomware.

Selain itu, para peneliti menemukan banyak bukti komunikasi dengan beberapa geng ransomware, termasuk Darkside, REvil, dan LockBit, dari log Jabber yang diambil.

penyelidikan menunjukkan bahwa alih-alih secara khusus menargetkan perusahaan yang berharga, FIN7 menargetkan semua orang dan mengevaluasi seberapa berharganya mereka di fase kedua.

Prodaft telah memberikan indikator kompromi (IOCs) dalam laporan mereka untuk backdoor berbasis SSH dan malware lain yang digunakan dalam serangan mereka. Sangat disarankan agar semua admin meninjau laporan untuk mempelajari bagaimana FIN7 menargetkan jaringan mereka.

sumber : bleeping computer

Kelompok Ransomware Vice Society Beralih ke Enkripsi Baru

by

Operasi ransomware Vice Society telah beralih menggunakan enkripsi ransomware khusus yang mengimplementasikan skema enkripsi hibrid yang kuat berdasarkan NTRUEncrypt dan ChaCha20-Poly1305.

Vice Society pertama kali muncul pada musim panas 2021, ketika mereka mulai mencuri data dari jaringan perusahaan dan mengenkripsi perangkat. Pelaku ancaman kemudian akan melakukan serangan pemerasan ganda, mengancam akan mempublikasikan data jika uang tebusan tidak dibayarkan.

Encyrptor “PolyVice” Baru
Strain PolyVice baru, begaimanapun, memberikan serangan Vice Society tabda tangan unik, menambahkan ekstensi “.ViceSociety” ke file yang terkunci dan menjatuhkan catatan tebusan bernama AllYFilesAE’.

Vice Society ransom note
Sumber: BleepingComputer

Analisis SentinelOne mengungkapkan bahwa PolyVice memiliki kesamaan kode yang luas dengan rensomware Chilly dan ransomware SunnyDay, engan kecocokan 100% pada fungsi

Similarity between Chilly and PolyVice (SentinelOne)

Perbedaannya terletak pada detail khusus kampanye seperti ekstensi file, nama catatan tebusan, kunci master hardcode, wallpaper, dll., yang mendukung hipotesis vendor umum.

“Ini memungkinkan pembeli untuk menyesuaikan ransomware mereka tanpa mengungkapkan kode sumber apa pun. Tidak seperti pembuat RaaS lain yang dikenal, pembeli dapat membuat muatan bermerek, memungkinkan mereka menjalankan program RaaS mereka sendiri.”

Enkripsi Hybrid
PolyVice menggunakan skema enkripsi hibrid yang menggabungkan enkripsi asimetris dengan algoritme NTRUEncrypt dan enkripsi simetris dengan algoritme ChaCha20-Poly1305.

Saat peluncuran, payload mengimpor kunci publik NTRU 192-bit yang dibuat sebelumnya dan kemudian menghasilkan pasangan kunci pribadi NTRU 112-bit acak pada sistem yang disusupi, yang unik untuk setiap korban.

Enkripsi pasangan kunci privat NTRU (SentinelOne)

PolyVice ransomware adalah biner 64-bit yang menggunakan multi-threading untuk enkripsi data simetris paralel, memanfaatkan prosesor korban secara penuh untuk mempercepat proses enkripsi.

Selain itu, setiap pekerja PolyVice membaca konten file untuk menentukan pengoptimalan kecepatan apa yang dapat diterapkan di setiap kasus. Pengoptimalan ini bergantung pada ukuran file, dengan PolyVice menerapkan enkripsi intermiten secara selektif.

  • File yang lebih kecil dari 5MB sepenuhnya dienkripsi
  • File antara 5MG dan 100MB dienkripsi sbegaian, memecahnya menjadi potongan kedua.
  • File yang lebih bedsar dari 100MB dipecah menjadi sepuluh potongan yang terdistribusi secara merata, dan 2,5MB dari setiap potongan dienkripsi

Kesimpulannya, temuan SentinelOne lebih lanjut menggarisbawahu tren outsourcing di ruang angkasa, dengan geng ransomware membayar spesialis untuk menciptakan alat yang canggih dan berkinerja tinggi.

sumber : BleepingComputer

Kelompok Ransomware Menggunakan Eksploit Microsoft Exchange Baru Untuk Menembus Server

by

Pelaku ancaman ransomware Play menggunakan rantai eksploit baru yang melewati mitigasi penulisan ulang URL ProxyNotShell untuk mendapatkan eksekusi kode jarak jauh (RCE) pada server yang rentan melalui Outlook Web Access (OWA).

Perusahaan cybersecurity CrowdStrike melihat eksploit (dijuluki OWASSRF) saat menyelidiki serangan ransomware Play di mana server Microsoft Exchange yang disusupi digunakan untuk menyusup ke jaringan korban.

Untuk menjalankan perintah sewenang-wenang pada server yang disusupi, operator ransomware memanfaatkan Remote PowerShell untuk menyalahgunakan CVE-2022-41082, bug yang sama yang dieksploitasi oleh ProxyNotShell.

Sementara ProxyNotShell mengeksploitasi target CVE-2022-41040, CrowdStrike menemukan bahwa kelemahan yang disalahgunakan oleh eksploit yang baru ditemukan kemungkinan besar adalah CVE-2022-41080, sebuah kelemahan keamanan yang ditandai oleh Microsoft sebagai kritis dan tidak dieksploitasi secara liar yang memungkinkan eskalasi hak istimewa jarak jauh di server Exchange .

OWASSRF PoC exploit (BleepingComputer)

CVE-2022-41080 ditemukan dan dilaporkan oleh zcgonvh dengan 360 noah lab dan rskvp93, Q5Ca, dan nxhoang99 dengan VcsLab dari Viettel Cyber Security.

OWASSRF PoC exploit leaked online
Sementara peneliti keamanan CrowdStrike bekerja mengembangkan kode proof-of-concept (PoC) mereka sendiri untuk mencocokkan info log yang ditemukan saat menyelidiki serangan ransomware Play baru-baru ini, peneliti ancaman Huntress Labs Dray Agha menemukan dan membocorkan alat pelaku ancaman secara online, pada bulan Desember tanggal 14.

CrowdStrike percaya bahwa eksploitasi proof-of-concept digunakan untuk menjatuhkan alat akses jarak jauh seperti Plink dan AnyDesk di server yang disusupi.

Sejak diluncurkan pada bulan Juni, puluhan korban ransomware Play telah mengunggah sampel atau catatan tebusan ke platform ID Ransomware untuk mengidentifikasi ransomware apa yang digunakan untuk mengenkripsi data mereka.

Aktifitas Play Ransomware (ID Ransomware)

Saat ini, tidak ada kebocoran data yang terkait dengan ransomware ini atau indikasi apa pun bahwa data apa pun dicuri selama serangan.

Korban baru-baru ini yang terkena afiliasi ransomware Play termasuk jaringan hotel Jerman H-Hotels, kota Antwerpen di Belgia, dan Pengadilan Córdoba di Argentina.

sumber : bleeping computer

Ransomware Play Mengklaim Serangan Terhadap Jaringan Hotel Jerman H-Hotels

by

Geng Ransomware Play telah mengaku bertanggung jawab atas serangan dunia maya di H-Hotels (h-hotels.com)yang mengakibatkan gangguan komunikasi bagi perusahaan.

H-Hotels adalah bisnis perhotelan dengan 60 hotel di 50 lokasi di Jerman, Austria, dan Swiss, menawarkan total kapasitas 9.600 kamar, dan mempekerjakan 2.500 orang.

H-Hotels mengungkapkan serangan siber tersebut terjadi pada Minggu, 11 Desember 2022. Setelah penyerang berhasil menerobos sistem perlindungan teknis dan organisasi IT, tim IT segera mengambil tindakan dengan mematikan dan memutus Internet untuk menangkal penyebaran lebih lanjut.

Serangan hanya berdampak pada staf hotel yaitu tidak dapat menerima atau menjawab permintaan pelanggan yang dikirim melalui email, sehingga tamu disarankan untuk menghubungi H-Hotels melalui telepon jika diperlukan.

Data Diduga Dicuri Dalam Serangan
Geng ransomware mengklaim telah mencuri data pribadi dan personal, termasuk dokumen klien, paspor, ID, dan lainnya. Namun, pelaku ancaman belum merilis sampel apa pun untuk mendukung klaim tersebut.

Entri H-Hotels di situs Play ransomware Tor (BleepingComputer)

H-Hotel membantah melihat bukti eksfiltrasi data dalam pengumuman minggu lalu, dan tidak ada pembaruan tentang masalah tersebut sejak saat itu.

Kemungkinan tereksposnya detail dan data pemesanan tamu hotel dapat menjadi kasus pelanggaran privasi yang parah, memberikan informasi tentang lokasi mendatang, informasi keuangan, dan masih banyak lagi.

Selengkapnya: BLEEPINGCOMPUTER

Peringatan Lorenz Ransomware: Risiko pada Sektor Layanan Kesehatan dan Sektor Publik

by

Organisasi kesehatan dan sektor publik besar terus diserang oleh penyerang yang menggunakan ransomware Lorenz, pakar keamanan siber memperingatkan.

“Lorenz digunakan untuk menargetkan organisasi yang lebih besar dalam apa yang disebut ‘perburuan besar’, dan mempublikasikan data secara publik sebagai bagian dari menekan korban dalam proses pemerasan,” menurut peringatan keamanan baru dari Departemen Kesehatan dan Layanan Kemanusiaan AS.

“Relatif sedikit yang diketahui tentang Lorenz dibandingkan dengan banyak operator ransomware lainnya,” kata Pusat Koordinasi Keamanan Siber Sektor Kesehatan HHS, atau HC3.

Ransomware Lorenz pertama kali terlihat di alam liar pada Februari 2021, dan tampaknya terkait dengan ransomware sZ40 – pertama kali terlihat pada Oktober 2020 – serta ransomware ThunderCrypt, yang berasal dari Mei 2017, menurut HHS.

Di antara kesamaan: “Lorenz menggunakan encryptor yang sama dengan ThunderCrypt, yang dapat menunjukkan operasi oleh grup yang sama, atau pembelian atau pencurian kode.” Selain itu, file yang dienkripsi oleh Lorenz memiliki .Lorenz.sz40 yang ditambahkan ke nama file.

Korban Lorenz yang diketahui termasuk Wolfe Eye Clinic di Iowa, yang menjadi korban pada April 2021, dan menolak membayar uang tebusan. Informasi kesehatan yang dilindungi hingga 500.000 pasien terpapar.

Di antara korban baru-baru ini, Lorenz pada 14 November mengklaim melalui situs kebocoran datanya telah melanggar Salud Family Health of Colorado, lapor firma intelijen ancaman Kela.

KEmudian diikuti oleh Salud Family Health pada bulan Oktober memperingatkan HHS bahwa mereka telah mengalami pelanggaran pada bulan September yang mempengaruhi jumlah pasien yang belum ditentukan, seperti yang pertama kali dilaporkan oleh Databreaches.net.

Dalam pemberitahuan pelanggarannya, Salud memberi tahu para korban bahwa “nama, nomor Jaminan Sosial, nomor SIM atau nomor kartu identitas Colorado, informasi akun keuangan/nomor kartu kredit, nomor paspor, informasi perawatan medis dan diagnosis, informasi asuransi kesehatan, data biometrik, dan nama pengguna dan kata sandi” mungkin telah terungkap.

Selengkapnya: Data Breach Today