Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Raksasa Keamanan Digital “Entrust” Dilanggar oleh Geng Ransomware

by

Raksasa keamanan digital Entrust telah mengkonfirmasi bahwa mereka mengalami serangan siber di mana pelaku ancaman menembus jaringan mereka dan mencuri data dari sistem internal.

Entrust adalah perusahaan keamanan yang berfokus pada kepercayaan online dan manajemen identitas, menawarkan berbagai layanan, termasuk komunikasi terenkripsi, pembayaran digital yang aman, dan solusi penerbitan ID.

Bergantung pada data apa yang dicuri, serangan ini dapat berdampak pada sejumlah besar organisasi penting dan sensitif yang menggunakan Entrust untuk manajemen identitas dan autentikasi.

Ini termasuk lembaga pemerintah AS, seperti Departemen Energi, Departemen Keamanan Dalam Negeri, Departemen Keuangan, Departemen Kesehatan & Layanan Kemanusiaan, Departemen Urusan Veteran, Departemen Pertanian, dan banyak lagi.

Peretas menerobos jaringan Entrust pada bulan Juni
Sekitar dua minggu lalu, sebuah sumber mengatakan kepada BleepingComputer bahwa Entrust telah dibobol pada 18 Juni dan para peretas mencuri data perusahaan selama serangan siber.

Namun, baru kemarin pelanggaran itu dikonfirmasi secara publik ketika peneliti keamanan Dominic Alvieri men-tweet tangkapan layar dari pemberitahuan keamanan yang dikirim ke pelanggan Entrust pada 6 Juli.

“Saya menulis untuk memberi tahu Anda bahwa pada tanggal 18 Juni, kami mengetahui bahwa pihak yang tidak berwenang mengakses sistem tertentu kami yang digunakan untuk operasi internal. Kami telah bekerja tanpa lelah untuk memulihkan situasi ini sejak saat itu,” bunyi pemberitahuan keamanan dari CEO Entrust Todd Wilkinson.

“Hal pertama yang ingin saya sampaikan kepada Anda adalah, meskipun penyelidikan kami sedang berlangsung, kami tidak menemukan indikasi hingga saat ini bahwa masalah tersebut telah memengaruhi operasi atau keamanan produk dan layanan kami.”

Pemberitahuan keamanan mengonfirmasi bahwa data dicuri dari sistem internal Entrust. Namun, saat ini belum diketahui apakah ini murni data perusahaan atau juga data pelanggan dan vendor.

“Kami telah menentukan bahwa beberapa file diambil dari sistem internal kami. Saat kami terus menyelidiki masalah ini, kami akan menghubungi Anda secara langsung jika kami mengetahui informasi yang kami yakini akan memengaruhi keamanan produk dan layanan yang kami berikan kepada organisasi Anda.” – Percayakan.

Hari ini, Entrust mengatakan kepada BleepingComputer bahwa mereka bekerja dengan perusahaan keamanan siber terkemuka dan penegak hukum untuk menyelidiki serangan itu tetapi itu tidak mempengaruhi operasi mereka.

“Sementara penyelidikan kami sedang berlangsung, kami tidak menemukan indikasi hingga saat ini bahwa masalah tersebut telah memengaruhi operasi atau keamanan produk dan layanan kami, yang dijalankan di lingkungan yang terpisah dengan celah udara dari sistem internal kami dan beroperasi penuh,” Entrust kepada BleepingComputer.

Sumber: BleepingComputer

Ransomware Redeemer Versi Baru Dipromosikan di Forum Peretas

by

Seorang pelaku ancaman mempromosikan versi baru pembuat ransomware ‘Penebus’ mereka yang gratis di forum peretas, menawarkan pelaku ancaman yang tidak terampil akses mudah ke dunia serangan pemerasan yang didukung enkripsi.

Menurut penulisnya, rilis versi 2.0 yang baru ditulis seluruhnya dalam C++ dan bekerja pada Windows Vista, 7, 8, 10, dan 11, menampilkan kinerja multi-utas dan tingkat deteksi AV menengah.

Tidak seperti banyak operasi Ransomware-as-a-Service (RaaS), siapa pun dapat mengunduh dan menggunakan pembuat ransomware Redeemer untuk meluncurkan serangan mereka sendiri. Namun, ketika seorang korban memutuskan untuk membayar uang tebusan, penulis menerima 20% dari biaya dan membagikan kunci master untuk digabungkan dengan kunci pembuatan pribadi yang dipegang oleh afiliasi untuk dekripsi.

Selain itu, versi baru ini menampilkan antarmuka pengguna grafis baru bagi afiliasi untuk membangun alat dekripsi dan eksekusi ransomware, sementara semua petunjuk tentang cara menggunakannya terlampir dalam ZIP.

Penulis mengatakan proyek akan menjadi open-source jika mereka kehilangan minat, persis seperti yang terjadi dengan Redeemer 1.0 pada Juni 2021, ketika aktor ancaman merilis kode sumbernya secara publik.

Detail Penebus 2.0

Versi pembuat ransomware baru menampilkan beberapa tambahan seperti dukungan untuk Windows 11, alat GUI, dan lebih banyak opsi komunikasi seperti XMPP dan Obrolan Tox.

Selain itu, sekarang ada sistem pelacakan ID kampanye, menambahkan data ke dalam executable, memungkinkan pelaku ancaman untuk melacak berbagai kampanye yang mungkin mereka lakukan.

Karena jumlah tebusan ditetapkan selama pembuatan yang dapat dieksekusi dan sesuai dengan ID tertentu, afiliasi tidak dapat membuat klaim sewenang-wenang kepada penulis, sehingga potongan 20% yang terakhir dijamin.

Penulis telah membuat halaman di situs web gelap bagi afiliasi untuk memperoleh kit, menjalin komunikasi, mengakses instruksi, dan menerima dukungan.

Para peneliti di Cyble, yang telah menganalisis versi baru, melaporkan bahwa ransomware membuat mutex saat diluncurkan untuk menghindari beberapa contoh yang berjalan di sistem korban dan menyalahgunakan Windows API untuk mengeksekusi dirinya sendiri dengan hak istimewa admin.

Sebelum enkripsi, malware menyalahgunakan perintah Windows untuk menghapus log peristiwa dan menghapus salinan bayangan dan cadangan status sistem apa pun, mencegah pemulihan yang mudah/gratis.

Selanjutnya, proses yang ditunjukkan di bawah ini dihentikan untuk mencegah membahayakan proses enkripsi dan untuk membebaskan semua file dan data target agar dapat dienkripsi.

Setelah itu, ransomware menjatuhkan ikon khusus untuk Windows yang digunakan untuk ekstensi file terenkripsi (redeem), menghasilkan catatan tebusan, dan menghitung semua file dan direktori.

Bleeping Computer menguji ransomware secara independen dan menemukan bahwa ransomware tidak menghapus semua file setelah mengenkripsinya, sehingga operasinya tampaknya tidak dapat diandalkan sekarang.

Saat mencoba membuka salah satu salinan terenkripsi, korban menerima pesan yang mengarahkan mereka untuk membuka catatan tebusan untuk instruksi tentang apa yang harus dilakukan.

Ransomware juga menambahkan catatan tebusan di kunci registri Winlogon untuk memperingatkan pengguna tentang apa yang terjadi saat sistem dihidupkan ulang.

Sumber: BleepingComputer

Serangan Siber di Pelabuhan Los Angeles Telah Berlipat Ganda Sejak Pandemi

by

Jumlah serangan bulanan yang menargetkan Pelabuhan Los Angeles sekarang sekitar 40 juta, direktur eksekutif pelabuhan Gene Seroka mengatakan kepada BBC.

Los Angeles adalah pelabuhan tersibuk di belahan bumi barat, menangani lebih dari $250 miliar (£210bn) kargo setiap tahun.

Ancaman diyakini datang terutama dari Eropa dan Rusia, dan bertujuan untuk mengganggu ekonomi AS, kata Seroka.

“Intelijen kami menunjukkan ancaman datang dari Rusia dan sebagian Eropa. Kami harus tetap selangkah di depan mereka yang ingin merusak perdagangan internasional,” katanya kepada BBC World Service.

Mereka menghadapi serangan ransomware, malware, spear phishing, dan pengumpulan kredensial setiap hari, dengan tujuan menyebabkan gangguan sebanyak mungkin dan memperlambat ekonomi.

Pelabuhan tersebut telah menginvestasikan jutaan dolar dalam perlindungan siber, mengembangkan salah satu Pusat Ketahanan Siber pertama di dunia, yang merupakan bagian dari FBI.

“Kita harus mengambil setiap tindakan pencegahan terhadap potensi insiden siber, terutama yang dapat mengancam atau mengganggu arus kargo,” kata Seroka.

Pusat Ketahanan Siber menyediakan pengumpulan intelijen yang ditingkatkan dan perlindungan yang ditingkatkan terhadap ancaman siber dalam rantai pasokan maritim.

Ini adalah hub bagi pelabuhan untuk menerima, menganalisis, dan berbagi informasi dengan mereka yang beroperasi di dermaga, seperti penangan kargo dan jalur pelayaran.

Ketegangan pada rantai pasokan telah mereda, kata Seroka. Pada Januari 2022 ada 109 kapal kontainer yang antri selama lebih dari dua hari untuk masuk ke Pelabuhan Los Angeles. Saat ini ada sekitar 20 orang yang menunggu untuk berlabuh.

Tapi Seroka yakin penyumbatan tidak akan hilang sepenuhnya sampai 2023. “Ada begitu banyak kargo masuk dan tidak cukup ruang,” katanya.

“Dua tahun terakhir telah membuktikan peran vital yang dimiliki pelabuhan terhadap infrastruktur kritis, rantai pasokan, dan ekonomi negara kita. Sangat penting bagi kita untuk menjaga sistem seaman mungkin,” tambahnya.

Sumber: BBC

Peretas Menerobos Jaringan Radio Ukraina untuk Menyebarkan Berita Palsu tentang Zelenskiy

by

Pada hari Kamis, kelompok media Ukraina TAVR Media mengkonfirmasi bahwa itu diretas untuk menyebarkan berita palsu tentang Presiden Zelenskiy berada dalam kondisi kritis dan di bawah perawatan intensif.

Menurut Layanan Negara Komunikasi Khusus dan Perlindungan Informasi Ukraina (SSCIP), jaringan tersebut mengoperasikan sembilan stasiun radio utama Ukraina, termasuk Hit FM, Radio ROKS, KISS FM, Radio RELAX, Melody FM, Radio Nashe, Radio JAZZ, Radio Klasik , dan Radio Bayraktar.

“Hari ini, serangan siber dilakukan pada server dan jaringan stasiun radio TAVR Media,” kata perusahaan itu dalam sebuah pernyataan resmi.

“Kami menekankan bahwa tidak ada informasi tentang masalah kesehatan Presiden Ukraina Volodymyr Zelenskyi yang benar.”

SSSCIP menambahkan bahwa penyerang melanggar server TAVR Media dan sistem penyiaran untuk menyebarkan berita palsu yang menunjukkan bahwa Presiden Ukraina diduga berada di bawah perawatan intensif, dalam kondisi kritis, dengan Ketua Parlemen Ruslan Stefanchuk bertindak sebagai penggantinya.

Zelenskyi juga membantah laporan tersebut dalam sebuah video yang dibagikan di akun Instagram resminya, dengan mengatakan bahwa itu adalah berita palsu yang disebarkan oleh aktor ancaman yang terkait dengan Rusia.

“Hari ini, Rusia meluncurkan lebih banyak berita palsu bahwa negara (Ukraina) tidak dikendalikan oleh Presiden Zelenskiy karena dia berada di rumah sakit, atau lebih tepatnya, dalam perawatan intensif karena ‘kondisi kesehatan yang serius’,” katanya, menurut transkrip yang diterjemahkan dari Reuters.

“Jadi, di sini saya di kantor saya, dan saya tidak pernah merasa sebagus sekarang. Dan kabar buruk bagi mereka yang berada di balik pemalsuan semacam itu adalah saya tidak sendirian. Ada 40 juta dari kita (Ukraina). Dan dengan segala cara. sehubungan dengan usia tua, 44 bukan (hampir) 70.”

Sumber: BleepingComputer

Kampanye Peretasan Pro-Rusia Merajalela di Ukraina

by

Pelaku ancaman pro-Rusia melanjutkan pengejaran tanpa henti mereka terhadap target Ukraina, dengan serangkaian kampanye yang mencakup aplikasi Android palsu, serangan peretasan yang mengeksploitasi kerentanan kritis, dan serangan phishing email yang mencoba mengambil kredensial login, kata peneliti dari Google.

Salah satu kampanye baru-baru ini datang dari Turla, aktor ancaman gigih tingkat lanjut berbahasa Rusia yang telah aktif setidaknya sejak 1997 dan merupakan salah satu yang paling canggih secara teknis di dunia. Menurut Google, kelompok tersebut menargetkan sukarelawan pro-Ukraina dengan aplikasi Android yang berperan sebagai landasan peluncuran untuk melakukan serangan penolakan layanan terhadap situs web Rusia.

“Yang perlu Anda lakukan untuk meluncurkan prosesnya adalah menginstal aplikasi, membukanya dan tekan mulai,” klaim situs palsu yang mempromosikan aplikasi tersebut. “Aplikasi segera mulai mengirim permintaan ke situs web Rusia untuk membanjiri sumber daya mereka dan menyebabkan penolakan layanan.”

Faktanya, aplikasi mengirimkan satu permintaan GET ke situs web target. Di balik layar, peneliti Google yang berbeda mengatakan kepada Vice bahwa aplikasi tersebut dirancang untuk memetakan infrastruktur Internet pengguna dan “mencari tahu di mana orang-orang yang berpotensi melakukan serangan semacam ini.”

Aplikasi, yang dihosting di domain spoofing Resimen Azov Ukraina, meniru aplikasi Android lain yang pertama kali dilihat Google pada bulan Maret yang juga mengklaim melakukan serangan DoS terhadap situs Rusia. Tidak seperti aplikasi Turla, stopwar.apk, seperti nama aplikasi yang terakhir, mengirimkan aliran permintaan terus-menerus hingga pengguna menghentikannya.

“Berdasarkan analisis kami, kami percaya bahwa aplikasi StopWar dikembangkan oleh pengembang pro-Ukraina dan menjadi inspirasi bagi aktor Turla yang mendasari aplikasi CyberAzov DoS palsu mereka,” tulis peneliti Google Billy Leonard.

Kelompok peretas lain yang disponsori oleh Kremlin juga menargetkan kelompok Ukraina. Kampanye termasuk eksploitasi Follina, nama yang diberikan untuk kerentanan kritis di semua versi Windows yang didukung yang secara aktif ditargetkan di alam liar selama lebih dari dua bulan sebagai zero-day.

Peneliti Google mengkonfirmasi laporan CERT-UA dari bulan Juni yang mengatakan kelompok peretasan berbeda yang disponsori Kremlin — dilacak dengan berbagai nama termasuk Fancy Bear, yang dikenal sebagai Pawn Storm, Sofacy Group, dan APT28 — juga mengeksploitasi Follina dalam upaya untuk menginfeksi target dengan malware yang dikenal sebagai CredoMap. Selain itu, Google mengatakan bahwa Sandworm—kelompok lain yang disponsori oleh pemerintah Rusia—juga mengeksploitasi Follina. Kampanye itu menggunakan akun pemerintah yang disusupi untuk mengirim tautan ke dokumen Microsoft Office yang dihosting di domain yang disusupi, terutama menargetkan organisasi media di Ukraina.

Perusahaan keamanan Palo Alto Networks, sementara itu, melaporkan pada hari Selasa bahwa kelompok peretasan Cloaked Ursa Rusia (juga dikenal sebagai APT29, Nobelium, dan Cozy Bear) juga telah meningkatkan serangan malware sejak dimulainya invasi Rusia ke Ukraina, sebagian dengan membuat file berbahaya. untuk diunduh tersedia di Dropbox dan Google Drive. Badan intelijen AS dan Inggris secara terbuka mengaitkan APT29 dengan Badan Intelijen Asing (SVR) Rusia.

“Ini sejalan dengan fokus penargetan historis grup, sejak kampanye malware melawan Chechnya dan negara-negara bekas blok Soviet lainnya pada 2008,” tulis peneliti Palo Alto Networks, Mike Harbison dan Peter Renals. Baru-baru ini, APT29 telah dikaitkan dengan peretasan Komite Nasional Demokrat AS yang ditemukan pada tahun 2016 dan serangan rantai pasokan SolarWinds dari tahun 2020.

Baru-baru ini, seorang aktor bermotivasi finansial yang dilacak sebagai UAC-0098 meniru Layanan Pajak Negara Ukraina dan mengirimkan dokumen jahat yang berusaha mengeksploitasi Follina. Google mengatakan aktor tersebut adalah mantan broker akses ransomware awal yang sebelumnya bekerja dengan grup ransomware Conti.

“Agresi militer Rusia yang tidak beralasan dan tidak dapat dibenarkan terhadap Ukraina telah disertai dengan peningkatan signifikan aktivitas siber berbahaya, termasuk sejumlah peretas dan kelompok peretas yang menyerang dan mengkhawatirkan tanpa pandang bulu yang menargetkan entitas penting secara global,” tulis pejabat Uni Eropa. “Peningkatan aktivitas siber berbahaya ini, dalam konteks perang melawan Ukraina, menciptakan risiko efek limpahan yang tidak dapat diterima, salah tafsir, dan kemungkinan eskalasi.”

Sumber: Ars Technica

Bagaimana Conti Ransomware Meretas dan Mengenkripsi Pemerintah Kosta Rika

by

Rincian telah muncul tentang bagaimana geng ransomware Conti melanggar pemerintah Kosta Rika, menunjukkan ketepatan serangan dan kecepatan bergerak dari akses awal ke tahap akhir perangkat enkripsi.

Sebuah laporan dari perusahaan intelijen siber Advanced Intelligence (AdvIntel) merinci langkah-langkah peretas Rusia dari pijakan awal hingga mengekstraksi 672GB data pada 15 April dan mengeksekusi ransomware.

Titik masuk aktor ancaman adalah sistem milik Kementerian Keuangan Kosta Rika, di mana anggota grup yang disebut sebagai ‘MemberX’ memperoleh akses melalui koneksi VPN menggunakan kredensial yang disusupi.

CEO Advanced Intelligence Vitali Kremez mengatakan kepada BleepingComputer bahwa kredensial yang dikompromikan diperoleh dari malware yang diinstal pada perangkat awal yang dikompromikan di jaringan korban.

Lebih dari 10 sesi malware Cobalt Strike disiapkan pada tahap awal serangan, kata peneliti AdvIntel dalam laporan tersebut.

Rincian AdvIntel tentang aktivitas aktor ancaman di jaringan pemerintah Kosta Rika mencakup perintah khusus yang digunakan pada setiap langkah.

Menurut para peneliti, MemberX kemudian menggunakan saluran backdoor Cobalt Strike untuk mengunduh output fileshare ke mesin lokal.

Penyerang dapat mengakses pembagian administratif tempat mereka mengunggah suar Cobalt Strike DLL dan kemudian menjalankannya menggunakan alat PsExec untuk eksekusi file jarak jauh.

Menggunakan alat pasca-eksploitasi Mimikatz untuk mengekstrak kredensial, musuh mengumpulkan kata sandi masuk dan hash NTDS untuk pengguna lokal, sehingga mendapatkan “hash administrator lokal, domain, dan administrator perusahaan yang biasa dan bruteable.”

Para peneliti mengatakan bahwa operator Conti memanfaatkan Mimikatz untuk menjalankan serangan DCSync dan Zerologon yang memberi mereka akses ke setiap host di jaringan interkoneksi Kosta Rika.

Untuk memastikan bahwa mereka tidak kehilangan akses jika defender mendeteksi malware Cobalt Strike, Conti menanam alat akses jarak jauh Atera pada host dengan aktivitas pengguna yang lebih sedikit di mana mereka memiliki hak administratif.

Pencurian data dimungkinkan menggunakan program baris perintah Rclone yang dapat mengelola file di beberapa layanan penyimpanan cloud. Conti menggunakan ini untuk mengunggah data ke layanan hosting file MEGA.

Diagram aliran serangan:

Sumber: BleepingComputer

Kerentanan Twitter Terverifikasi Mengekspos Data dari 5,4 Juta Akun

by

Kerentanan Twitter terverifikasi dari Januari telah dieksploitasi oleh aktor ancaman untuk mendapatkan data akun yang diduga berasal dari 5,4 juta pengguna. Sementara Twitter sejak itu menambal kerentanan, basis data yang diduga diperoleh dari eksploitasi ini sekarang dijual di forum peretasan populer, yang diposting sebelumnya hari ini.

Kembali pada bulan Januari, sebuah laporan dibuat di HackerOne tentang kerentanan yang memungkinkan penyerang memperoleh nomor telepon dan/atau alamat email yang terkait dengan akun Twitter, bahkan jika pengguna telah menyembunyikan bidang ini di pengaturan privasi.

Bug itu khusus untuk klien Android Twitter dan terjadi dengan proses Otorisasi Twitter.

Pengguna HackerOne “zhirinovskiy” mengirimkan laporan bug pada 1 Januari tahun ini. Dia menggambarkan konsekuensi potensial dari kerentanan ini sebagai ancaman serius yang dapat dimanfaatkan oleh aktor ancaman.

Ini adalah ancaman serius, karena orang tidak hanya dapat menemukan pengguna yang telah membatasi kemampuan untuk ditemukan melalui email/nomor telepon, tetapi penyerang mana pun dengan pengetahuan dasar tentang skrip/pengkodean dapat menghitung sebagian besar basis pengguna Twitter yang tidak tersedia untuk enumeration prior (membuat database dengan koneksi telepon/email ke username). Basis semacam itu dapat dijual ke pihak jahat untuk tujuan periklanan, atau untuk tujuan menandai selebriti dalam berbagai aktivitas jahat.
– Pengguna HackerOne

Laporan HackerOne kemudian menjabarkan dengan tepat bagaimana mereplikasi kerentanan dan memperoleh data dari akun Twitter yang ditargetkan.

Lima hari setelah memposting laporan tersebut, staf Twitter mengakui ini sebagai “masalah keamanan yang valid” dan berjanji untuk menyelidiki lebih lanjut. Setelah menyelidiki lebih lanjut masalah ini dan bekerja untuk memperbaiki kerentanan, Twitter memberi pengguna zhirinovskiy hadiah $ 5.040.
Twitter diretas
Twitter mengakui kerentanan dan memberikan hadiah kepada pengguna HackerOne.

Hari ini, bagaimanapun, kita melihat konsekuensi dari kerentanan ini membuahkan hasil.

Sumber: Restore Privacy

Ransomware Luna baru mengenkripsi sistem Windows, Linux, dan ESXi

by

Keluarga ransomware baru yang dijuluki Luna dapat digunakan untuk mengenkripsi perangkat yang menjalankan beberapa sistem operasi, termasuk sistem Windows, Linux, dan ESXi.

Ditemukan oleh peneliti keamanan Kaspersky melalui iklan forum ransomware web gelap yang ditemukan oleh sistem pemantauan aktif Darknet Threat Intelligence perusahaan, Luna ransomware tampaknya dirancang khusus untuk digunakan hanya oleh aktor ancaman berbahasa Rusia.

Luna (Rusia untuk bulan) adalah ransomware yang sangat sederhana yang masih dalam pengembangan dan dengan kemampuan terbatas berdasarkan opsi baris perintah yang tersedia.

Namun, ia menggunakan skema enkripsi yang tidak umum, menggabungkan kurva elips X25519 yang cepat dan aman, pertukaran kunci Diffie-Hellman menggunakan Curve25519 dengan algoritma enkripsi simetris Advanced Encryption Standard (AES).

Argumen baris perintah ransomware Luna (Kaspersky)

Grup di balik ransomware baru ini mengembangkan jenis baru di Rust dan memanfaatkan sifat platform-agnostiknya untuk memindahkannya ke berbagai platform dengan sangat sedikit perubahan pada kode sumber.

Menggunakan bahasa lintas platform juga memungkinkan Luna ransomware untuk menghindari upaya analisis kode statis otomatis.

Luna lebih lanjut mengkonfirmasi tren terbaru yang diadopsi oleh geng kejahatan dunia maya yang mengembangkan ransomware lintas platform yang menggunakan bahasa seperti Rust dan Golang untuk membuat malware yang mampu menargetkan beberapa sistem operasi dengan sedikit atau tanpa perubahan.

Kaspersky mengatakan ada sangat sedikit data tentang korban yang telah dienkripsi menggunakan Luna ransomware, jika ada, mengingat kelompok itu baru saja ditemukan dan aktivitasnya masih dipantau.

Keluarga ransomware baru lainnya di bulan ini termasuk Lilith, ransomware berbasis konsol C/C++ yang menargetkan perangkat Windows 64-bit, dan 0mega, operasi ransomware baru yang menargetkan perusahaan sejak Mei dan menuntut tebusan jutaan dolar.

Keduanya dikenal mencuri data dari jaringan korban sebelum mengenkripsi sistem mereka untuk mendukung serangan pemerasan ganda mereka.

Sumber: Bleeping Computer