Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Ransomware Night Sky Menggunakan Bug Log4j untuk Meretas Server VMware Horizon

by

Geng ransomware Night Sky telah mulai mengeksploitasi kerentanan CVE-2021-44228 yang kritis di perpustakaan penebangan Log4j, juga dikenal sebagai Log4Shell, untuk mendapatkan akses ke sistem VMware Horizon.

Aktor ancaman menargetkan mesin rentan yang terpapar di web publik dari domain yang meniru perusahaan yang sah, beberapa di antaranya di sektor teknologi dan cybersecurity.

Serangan dimulai pada awal Januari

Terlihat pada akhir Desember 2021 oleh peneliti keamanan MalwareHunterTeam, ransomware Night Sky berfokus pada penguncian jaringan perusahaan. Ini telah mengenkripsi beberapa korban, meminta tebusan $ 800.000 dari salah satu dari mereka.

Pada hari Senin, Microsoft menerbitkan peringatan tentang kampanye baru dari aktor yang berbasis di China yang dilacaknya sebagai DEV-0401 untuk mengeksploitasi kerentanan Log4Shell pada sistem VMware Horizon yang terpapar di internet, dan menyebarkan ransomware Night Sky.

VMware Horizon digunakan untuk virtualisasi desktop dan aplikasi di cloud, memungkinkan pengguna untuk mengaksesnya dari jarak jauh melalui klien khusus atau browser web.

Ini juga merupakan solusi bagi administrator untuk manajemen yang lebih baik, kepatuhan keamanan, dan otomatisasi di seluruh armada sistem virtual.

VMware telah menambal produk Log4Shell in Horizon dan menyediakan solusi untuk pelanggan yang tidak dapat menginstal versi baru yang berisi perbaikan (2111, 7.13.1, 7.10.3). Namun, beberapa perusahaan belum menerapkan perbaikan.

Perusahaan menambahkan bahwa kelompok ini dikenal karena menyebarkan keluarga ransomware lainnya di masa lalu, seperti LockFile, AtomSilo, dan Rook.

Serangan sebelumnya dari aktor ini juga mengeksploitasi masalah keamanan dalam sistem yang menghadap internet seperti Confluence (CVE-2021-26084) dan server Exchange di tempat (CVE-2021-34473 – ProxyShell). Hal ini diyakini bahwa Night Sky adalah kelanjutan dari operasi ransomware tersebut.

Hubungan dengan rook ransomware telah ditetapkan. Setelah merekayasa balik malware, Jiří Vinopal – analis forensik di CERT Republik Ceko, menemukan bahwa Night Sky adalah garpu dari ransomware Rook.

Microsoft mencatat bahwa operator ransomware Night Sky mengandalkan server perintah dan kontrol yang meniru domain yang digunakan oleh perusahaan yang sah seperti perusahaan cybersecurity Sophos, Trend Micro, perusahaan teknologi Nvidia dan Rogers Corporation.

Vektor serangan yang menarik

Log4Shell adalah vektor serangan yang menarik bagi peretas negara-bangsa dan penjahat dunia maya karena komponen Log4J open-source hadir dalam berbagai sistem dari puluhan vendor.

Mengeksploitasi bug untuk mencapai eksekusi kode tanpa otentikasi membutuhkan upaya minimum. Aktor ancaman dapat memulai panggilan balik atau permintaan ke server berbahaya yang lewat hanya perlu mengunjungi situs atau mencarinya untuk string tertentu untuk menyebabkan panggilan balik server ke lokasi berbahaya.

Kelemahan keamanan dapat dimanfaatkan dari jarak jauh pada mesin rentan yang terpapar di internet publik atau dari jaringan lokal, oleh musuh lokal untuk bergerak secara lateral ke sistem internal yang sensitif.

Salah satu geng ransomware “top-tier” pertama yang mengintegrasikan Log4Shell dalam serangan mereka adalah Conti, yang menunjukkan minat di dalamnya sebagai jalan serangan potensial pada 12 Desember, hanya tiga hari setelah eksploitasi proof-of-concept (PoC) pertama menjadi publik.

Geng ransomware lain, pendatang baru bernama Khonsari, mulai memanfaatkan eksploitasi pada hari berikutnya PoC muncul di GitHub.

Pada hari-hari setelah pengungkapannya, beberapa aktor ancaman mulai memanfaatkan bug Log4j. Yang pertama mengambil keuntungan adalah penambang cryptocurrency, dengan peretas yang didukung negara dan geng ransomware mengikutinya.

Sumber: Bleepingcomputer

FIN7 Mengirimkan USB Sticks Berbahaya untuk Menjatuhkan Ransomware

by

Geng ransomware mengirimkan drive USB berbahaya, menyamar sebagai Departemen Kesehatan dan Layanan Kemanusiaan AS (HHS) dan / atau Amazon untuk menargetkan industri transportasi, asuransi dan pertahanan untuk infeksi ransomware, FBI memperingatkan pada hari Jumat.

Dalam peringatan keamanan yang dikirim ke organisasi, FBI mengatakan bahwa FIN7 – alias Carbanak atau Navigator Group, geng cybercrime yang terkenal dan termotivasi secara finansial di balik malware backdoor Carbanak – adalah pihak yang bersalah.

FIN7 telah ada setidaknya sejak 2015. Awalnya, geng membuat reputasinya dengan mempertahankan akses terus-menerus di perusahaan target dengan malware backdoor kustom, dan untuk menargetkan point-of-sale (PoS) sistem dengan perangkat lunak skimmer. Ini sering menargetkan restoran santai, kasino dan hotel. Tetapi pada tahun 2020, FIN7 juga masuk ke permainan ransomware / eksfiltrasi data, dengan kegiatannya melibatkan REvil atau Ryuk sebagai muatan.

FBI mengatakan bahwa selama beberapa bulan terakhir, FIN7 telah mengirimkan perangkat USB berbahaya ke perusahaan AS, dengan harapan bahwa seseorang akan mencolokkan drive, menginfeksi sistem dengan malware dan dengan demikian mengaturnya untuk serangan ransomware di masa depan.

“Sejak Agustus 2021, FBI telah menerima laporan beberapa paket yang berisi perangkat USB ini, dikirim ke bisnis AS di industri transportasi, asuransi, dan pertahanan,” kata fbi dalam peringatan keamanan.

Infeksi BadUSB yang Dikirim Siput

“Paket-paket itu dikirim menggunakan Layanan Pos Amerika Serikat dan Layanan Paket Amerika Serikat,” tambah FBI.

Para penyerang menyemburkan paket, menyamarkan mereka sebagai terkait pandemi atau sebagai barang dari Amazon, biro itu mengatakan: “Ada dua variasi paket – yang meniru HHS sering disertai dengan surat-surat yang merujuk pedoman COVID-19 yang disertakan dengan USB; Dan mereka yang meniru Amazon tiba di kotak hadiah dekoratif yang berisi surat terima kasih palsu, kartu hadiah palsu dan USB.

Yang pasti, paket berisi perangkat USB bermerek LilyGO.

FBI mengatakan bahwa perangkat mengeksekusi serangan BadUSB. Serangan BadUSB mengeksploitasi kerentanan yang melekat pada firmware USB yang memungkinkan aktor jahat untuk memprogram ulang perangkat USB sehingga dapat bertindak sebagai perangkat antarmuka manusia – yaitu, sebagai keyboard USB berbahaya yang dimuat dengan penekanan tombol yang dieksekusi secara otomatis. Setelah pemrograman ulang, USB dapat digunakan untuk diam-diam mengeksekusi perintah atau menjalankan program jahat pada komputer korban.

Serangan terbaru ini adalah salinan karbon dari serangan 2020, ketika FBI juga mengeluarkan peringatan publik yang menyebut FIN7 sebagai pelakunya.

Cara Mengalahkan Kembali Tongkat BadUSB

Karl Sigler, manajer riset keamanan senior Trustwave SpiderLabs, mengatakan kepada Threatpost pada hari Senin bahwa pelatihan kesadaran keamanan yang sedang berlangsung “harus mencakup jenis serangan dan memperingatkan agar tidak menghubungkan perangkat aneh ke komputer Anda.”

Perangkat lunak perlindungan endpoint juga dapat membantu mencegah serangan ini, katanya.

“Serangan ini dipicu oleh stik USB yang meniru keyboard USB, sehingga perangkat lunak perlindungan titik akhir yang dapat memantau akses ke command shell harus mengurus sebagian besar masalah,” kata Sigler melalui email.

Untuk sistem penting yang tidak memerlukan aksesori USB, pemblokir port USB fisik dan berbasis perangkat lunak juga dapat membantu mencegah serangan ini, Sigler menambahkan.

Untuk bagiannya, ACA Group telah menciptakan akronim “CAPs” untuk merujuk pada kebersihan standar yang harus dipantau secara aktif oleh semua organisasi untuk mencegah serangan ransomware. CAPs mengacu pada Konfigurasi, Akses dan Patching, dengan kesadaran karyawan dan pendidikan lagi dianggap penting juga. CAPs mengacu pada:

Manajemen konfigurasi – Kurangi jumlah titik masuk yang dapat digunakan penyerang untuk mendapatkan akses ke sistem Anda. Banyak serangan berhasil karena ada kesalahan konfigurasi pada perangkat keamanan, konfigurasi cloud dan sebagainya.

Akses – Kurangi jumlah titik akses internal untuk penyerang yang telah memasuki sistem Anda.

Patching – Mengurangi kemungkinan serangan terjadi melalui titik yang tidak diketahui atau masuk, dasar dalam memperbaiki dan kerentanan keamanan dan bug lainnya.

Sumber: Threatpost

Microsoft: Kerentanan HTTP Windows kritis baru dapat di-worm

by

Microsoft telah menambal kelemahan kritis yang ditandai sebagai wormable dan ditemukan berdampak pada desktop dan server versi Windows terbaru, termasuk Windows 11 dan Windows Server 2022.

Bug, dilacak sebagai CVE-2022-21907 dan ditambal selama Patch Tuesday bulan ini, ditemukan di HTTP Protocol Stack (HTTP.sys) yang digunakan sebagai pendengar protokol untuk memproses permintaan HTTP oleh server web Windows Internet Information Services (IIS). .

Eksploitasi yang berhasil memerlukan pelaku ancaman untuk mengirim paket yang dibuat dengan jahat ke server Windows yang ditargetkan, yang menggunakan HTTP Protocol Stack yang rentan untuk memproses paket.

Microsoft merekomendasikan pengguna untuk memprioritaskan penambalan kelemahan ini pada semua server yang terpengaruh karena ini dapat memungkinkan penyerang yang tidak terautentikasi untuk mengeksekusi kode arbitrer dari jarak jauh dalam serangan dengan kompleksitas rendah dan “dalam kebanyakan situasi,” tanpa memerlukan interaksi pengguna.

Pada beberapa versi Windows (yaitu, Windows Server 2019 dan Windows 10 versi 1809), fitur Dukungan Trailer HTTP yang berisi bug tidak diaktifkan secara default.

Menurut Microsoft, kunci registri Windows berikut harus dikonfigurasi pada dua versi Windows ini untuk memperkenalkan kerentanan:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters\

“EnableTrailerSupport”=dword:00000001

Menonaktifkan fitur Dukungan Trailer HTTP akan melindungi sistem yang menjalankan dua versi, tetapi mitigasi ini tidak berlaku untuk rilis Windows lain yang terpengaruh.

Dalam dua tahun terakhir, Microsoft telah menambal beberapa bug wormable lainnya, berdampak pada Windows DNS Server (juga dikenal sebagai SIGRed), platform Remote Desktop Services (RDS) (alias BlueKeep), dan protokol Server Message Block v3 (alias SMBGhost) .

Redmond juga mengatasi kerentanan Windows HTTP RCE lainnya pada Mei 2021 (dilacak sebagai CVE-2021-31166 dan juga ditandai sebagai wormable), di mana peneliti keamanan merilis kode eksploitasi demo yang dapat memicu layar biru kematian.

Namun, pelaku ancaman belum mengeksploitasinya untuk membuat malware yang dapat menginfeksi yang mampu menyebar di antara sistem rentan yang menjalankan perangkat lunak Windows yang rentan.

Sumber : Bleeping Computer

Microsoft memperbaiki bug Office yang kritis, menunda pembaruan keamanan macOS

by

Microsoft telah mengatasi kerentanan Office yang sangat parah yang dapat membuat penyerang mengeksekusi kode berbahaya dari jarak jauh pada sistem yang rentan.

Dilacak sebagai CVE-2022-21840, merupakan bug eksekusi kode jarak jauh (RCE) yang dapat dieksploitasi penyerang tanpa hak istimewa pada perangkat yang ditargetkan sebagai bagian dari serangan kompleksitas rendah yang memerlukan interaksi pengguna.

Agar berhasil mengeksploitasi kerentanan kritis ini, penyerang harus mengelabui target mereka agar membuka dokumen Office yang dibuat khusus yang dikirimkan menggunakan tautan yang dibagikan melalui pesan instan atau email.

Untungnya, Microsoft mengatakan bahwa panel pratinjau Outlook tidak dapat digunakan sebagai vektor serangan dalam upaya eksploitasi yang menargetkan kerentanan ini.

Namun, itu dapat dieksploitasi melalui panel pratinjau Windows Explorer sebagaimana dikonfirmasi oleh analis kerentanan CERT/CC Will Dormann.

Ini menyiratkan bahwa eksploitasi dimungkinkan tanpa harus mengelabui calon korban untuk membuka file Office yang dibuat dengan jahat, tetapi, sebaliknya, hanya harus memilihnya di jendela Explorer dengan panel pratinjau diaktifkan.

Meskipun Redmond telah merilis pembaruan keamanan untuk Microsoft 365 Apps for Enterprise dan versi Windows dari Microsoft Office, perusahaan masih mengerjakan patch yang mengatasi kerentanan pada macOS.

Pengguna Mac yang menjalankan Microsoft Office LTSC untuk Mac 2021 dan Microsoft Office 2019 untuk Mac diberitahu bahwa mereka harus menunggu lebih lama untuk mendapatkan patch CVE-2022-21840.

Microsoft juga telah gagal untuk segera merilis patch macOS untuk Excel zero-day yang dieksploitasi secara aktif pada bulan November, bug bypass fitur keamanan parah yang memungkinkan eksploitasi lokal dari penyerang yang tidak diautentikasi dalam serangan kompleksitas rendah yang tidak memerlukan interaksi pengguna.

Menurut pembaruan info CVE, Redmond mengeluarkan pembaruan keamanan untuk Microsoft Office untuk Mac satu minggu kemudian, menyarankan pengguna untuk menyebarkan tambalan agar produk mereka dilindungi dari serangan liar.

Sumber : Bleeping Computer

Microsoft: bug powerdir memberikan akses ke data pengguna macOS yang dilindungi

by

Microsoft mengatakan pelaku ancaman dapat menggunakan kerentanan macOS untuk melewati teknologi Transparansi, Persetujuan, dan Kontrol (TCC) untuk mengakses data pengguna yang dilindungi.

Tim Riset Pembela Microsoft 365 telah melaporkan kerentanan yang dijuluki powerdir (dilacak sebagai CVE-2021-30970) ke Apple pada 15 Juli 2021, melalui Microsoft Security Vulnerability Research (MSVR).

TCC adalah teknologi keamanan yang dirancang untuk memblokir aplikasi agar tidak mengakses data pengguna yang sensitif dengan memungkinkan pengguna macOS mengonfigurasi pengaturan privasi untuk aplikasi yang diinstal pada sistem dan perangkat mereka yang terhubung ke Mac mereka, termasuk kamera dan mikrofon.

Sementara Apple telah membatasi akses TCC hanya untuk aplikasi dengan akses disk penuh dan mengatur fitur untuk secara otomatis memblokir eksekusi kode yang tidak sah, peneliti keamanan Microsoft menemukan bahwa penyerang dapat menanam database TCC kedua yang dibuat khusus yang memungkinkan mereka mengakses info pengguna yang dilindungi.

“Kami menemukan bahwa adalah mungkin untuk secara terprogram mengubah direktori home pengguna target dan menanam database TCC palsu, yang menyimpan riwayat persetujuan permintaan aplikasi,” kata Jonathan Bar Or, peneliti keamanan utama di Microsoft.

“Jika dieksploitasi pada sistem yang belum ditambal, kerentanan ini dapat memungkinkan aktor jahat untuk berpotensi mengatur serangan berdasarkan data pribadi pengguna yang dilindungi.

“Misalnya, penyerang dapat membajak aplikasi yang diinstal pada perangkat—atau menginstal aplikasi berbahaya mereka sendiri—dan mengakses mikrofon untuk merekam percakapan pribadi atau menangkap tangkapan layar dari informasi sensitif yang ditampilkan di layar pengguna.”

eksploitasi PoC powerdir (Microsoft)

Apple telah memperbaiki kerentanan dalam pembaruan keamanan yang dirilis bulan lalu, pada 13 Desember 2021. “Aplikasi berbahaya mungkin dapat melewati preferensi Privasi,” perusahaan menjelaskan dalam penasihat keamanan.

“Selama penelitian ini, kami harus memperbarui eksploitasi proof-of-concept (POC) kami karena versi awal tidak lagi berfungsi pada versi macOS terbaru, Monterey,” tambah Jonathan Bar Or.

“Ini menunjukkan bahwa bahkan ketika macOS atau sistem operasi dan aplikasi lain menjadi lebih keras dengan setiap rilis, vendor perangkat lunak seperti Apple, peneliti keamanan, dan komunitas keamanan yang lebih besar, perlu terus bekerja sama untuk mengidentifikasi dan memperbaiki kerentanan sebelum penyerang dapat memanfaatkannya. mereka.”

Microsoft sebelumnya telah melaporkan menemukan kelemahan keamanan yang dijuluki Shrootless yang akan memungkinkan penyerang untuk melewati Perlindungan Integritas Sistem (SIP) dan melakukan operasi sewenang-wenang, meningkatkan hak istimewa untuk melakukan root, dan menginstal rootkit pada perangkat yang rentan.

Peneliti perusahaan juga menemukan varian baru malware MacOS WizardUpdate (alias UpdateAgent atau Vigram), yang diperbarui dengan taktik penghindaran dan ketekunan baru.

Tahun lalu, pada bulan Juni, Redmond mengungkapkan bug firmware kritis di beberapa model router NETGEAR yang dapat digunakan peretas untuk menembus dan bergerak secara lateral dalam jaringan perusahaan.

Sumber : Bleeping Computer

Serangan DDoS pemerasan tumbuh lebih kuat dan lebih umum

by

Akhir tahun 2021 terjadi peningkatan jumlah insiden penolakan layanan terdistribusi yang datang dengan permintaan tebusan dari penyerang untuk menghentikan serangan tersebut.

Pada kuartal keempat tahun lalu, sekitar seperempat pelanggan Cloudflare yang menjadi target serangan DDoS mengatakan bahwa mereka menerima catatan tebusan dari pelaku.

Sebagian besar serangan ini terjadi pada Desember 2021, ketika hampir sepertiga pelanggan Cloudflare melaporkan menerima surat tebusan.

Menurut perusahaan, 2021 adalah saat sebagian besar serangan ini terjadi, dengan peningkatan 29% tahun-ke-tahun yang tercatat dan lompatan kuartal-ke-kuartal 175%.

Sekitar 200Gbps dan kemudian ditekuk menjadi lebih dari 500Gbps pada pertengahan September. Pada Februari 2021, perusahaan layanan keamanan internet Akamai melihat bagiannya dari tantangan berurusan dengan RDDoS 800Gbps yang menargetkan perusahaan perjudian di Eropa.

September lalu, seorang aktor ancaman menyebarkan RDDoS terhadap penyedia voice-over-Internet VoIP.ms, mengganggu layanan telepon karena server DNS perusahaan menjadi tidak dapat dijangkau.

Melihat alamat IP, sebagian besar insiden DDoS ini berasal dari China, AS, Brasil, dan India, yang disebarkan oleh bot seperti Meris, yang muncul tahun ini dengan serangan memecahkan rekor sebanyak 21,8 juta permintaan terhadap raksasa internet Rusia Yandex.

Tidak seperti DDoS lapisan aplikasi, yang menolak akses pengguna ke layanan, serangan DDoS lapisan jaringan menargetkan seluruh infrastruktur jaringan perusahaan yang mencoba untuk menghapus router dan server.

Salah satu serangan DDoS terbesar yang dimitigasi Cloudflare berlangsung selama 60 detik dan berasal dari botnet dengan 15.000 sistem yang melemparkan hampir 2Tbps paket sampah ke pelanggan, ini dikerahkan dari jaringan perangkat IoT yang berjalan dikompromikan oleh varian botnet Mirai.

Cloudflare mencatat bahwa banjir SYN tetap menjadi metode serangan yang populer. Protokol SNMP telah mengalami lonjakan dramatis hampir 6.000% dari satu kuartal ke kuartal lainnya, meskipun serangan DDoS berbasis UDP adalah vektor kedua yang paling banyak digunakan.

“Saat kami melihat vektor serangan yang muncul — yang membantu kami memahami vektor baru yang digunakan penyerang untuk meluncurkan serangan — kami mengamati lonjakan besar dalam serangan DDoS berbasis UDP, MSSQL, dan generik” – Cloudflare

Sumber : Bleeping Computer

Pengguna Antivirus Avira 500M Dikenalkan ke Cryptomining

by

Banyak pembaca terkejut mengetahui baru-baru ini bahwa suite antivirus Norton 360 yang populer sekarang dikirimkan dengan program yang memungkinkan pelanggan menghasilkan uang dengan menambang mata uang virtual. Tetapi Norton 360 tidak sendirian dalam upaya yang meragukan ini: Antivirus Avira – yang telah membangun basis 500 juta pengguna di seluruh dunia sebagian besar dengan membuat produk gratis – baru-baru ini dibeli oleh perusahaan yang sama yang memiliki Norton 360 dan memperkenalkan pelanggannya ke layanan yang disebut Avira Crypto.

Didirikan pada tahun 2006, Avira Operations GmbH &Co. KG adalah perusahaan perangkat lunak multinasional Jerman yang terkenal dengan Avira Free Security (alias Avira Free Antivirus). Pada Januari 2021, Avira diakuisisi oleh Tempe, NortonLifeLock Inc. yang berbasis di Ariz., perusahaan yang sama yang sekarang memiliki Norton 360.

Pada 2017, perusahaan perlindungan pencurian identitas LifeLock diakuisisi oleh Symantec Corp., yang berganti nama menjadi NortonLifeLock pada 2019. LifeLock sekarang termasuk dalam layanan Norton 360; Avira menawarkan pengguna layanan serupa yang disebut Breach Monitor.

Seperti Norton 360, Avira hadir dengan cryptominer yang sudah diinstal, tetapi pelanggan harus memilih untuk menggunakan layanan yang memberi daya padanya. FAQ Avira pada layanan cryptomining-nya agak jarang. Misalnya, itu tidak menentukan berapa banyak NortonLifeLock keluar dari kesepakatan (NortonLifeLock menyimpan 15 persen dari cryptocurrency yang ditambang oleh Norton Crypto).

“Avira Crypto memungkinkan Anda menggunakan waktu idle komputer Anda untuk menambang cryptocurrency Ethereum (ETH),” FAQ menjelaskan. “Karena cryptomining membutuhkan tingkat kekuatan pemrosesan yang tinggi, itu tidak cocok untuk pengguna dengan komputer rata-rata. Bahkan dengan perangkat keras yang kompatibel, menambang cryptocurrency sendiri bisa kurang bermanfaat. Pilihan terbaik Anda adalah bergabung dengan kolam penambangan yang berbagi kekuatan komputer mereka untuk meningkatkan peluang mereka menambang cryptocurrency. Hadiahnya kemudian didistribusikan secara merata kepada semua anggota di kolam renang.”

Tangkapan layar di atas diambil pada Virustotal.com, layanan milik Google yang memindai file yang dikirimkan terhadap puluhan produk antivirus. Laporan deteksi yang digambarkan ditemukan dengan mencari Virustotal untuk “ANvOptimusEnablementCuda,” sebuah fungsi yang termasuk dalam komponen penambangan Norton Crypto “Ncrypt.exe.”

Beberapa pelanggan Norton lama turun ke forum online NortonLifeLock untuk mengekspresikan kengerian pada prospek produk antivirus mereka menginstal perangkat lunak penambangan koin, terlepas dari apakah layanan penambangan dimatikan secara default.

“Norton harus MENDETEKSI dan membunuh pembajakan penambangan crypto, bukan menginstalnya sendiri,” bunyi utas 28 Desember di forum Norton berjudul “Benar-benar marah.”

Yang lain telah menuduh bahwa penawaran crypto akan berakhir dengan biaya pelanggan lebih banyak dalam tagihan listrik daripada yang dapat mereka harapkan dari membiarkan tambang antivirus mereka ETH. Terlebih lagi, ada biaya besar dan kuat yang terlibat dalam memindahkan ETH yang ditambang oleh Norton atau Avira Crypto ke akun yang dapat diuangkan pengguna, dan banyak pengguna tampaknya tidak mengerti bahwa mereka tidak dapat menguangkan sampai mereka setidaknya mendapatkan cukup ETH untuk menutupi biaya.

Sumber: Kresbon Security

Ransomware AvosLocker versi Linux menargetkan server VMware ESXi

by

AvosLocker adalah geng ransomware terbaru yang telah menambahkan dukungan untuk mengenkripsi sistem Linux ke varian malware terbaru, yang secara khusus menargetkan mesin virtual VMware ESXi.

Beberapa bulan yang lalu, geng AvosLocker juga terlihat mengiklankan varian ransomware terbarunya, Windows Avos2 dan AvosLinux, sambil memperingatkan afiliasi untuk tidak menyerang target pasca-soviet/CIS.

VM ESXi dihentikan sebelum enkripsi
Setelah diluncurkan pada sistem Linux, AvosLocker akan menghentikan semua mesin ESXi di server menggunakan perintah berikut:

esxcli –formatter=csv –format-param=fields==”WorldID,DisplayName” daftar proses vm | ekor -n +2 | awk -F $’,’ ‘{system(“esxcli vm process kill –type=force –world-id=” $1)}’

Setelah mulai beroperasi pada sistem yang disusupi, ransomware akan menambahkan ekstensi .avoslinux ke semua file terenkripsi.

Itu juga menjatuhkan catatan tebusan yang meminta para korban untuk tidak mematikan komputer mereka untuk menghindari korupsi file dan mengunjungi situs bawang untuk rincian lebih lanjut tentang cara membayar uang tebusan.

AvosLocker adalah geng baru yang pertama kali muncul selama musim panas 2021, menyerukan afiliasi ransomware di forum bawah tanah untuk bergabung dengan operasi Ransomware-as-a-Service (RaaS) mereka yang baru diluncurkan.

Langkah untuk menargetkan mesin virtual ESXi sejalan dengan target perusahaan mereka, yang baru-baru ini bermigrasi ke mesin virtual untuk pengelolaan perangkat yang lebih mudah dan penggunaan sumber daya yang lebih efisien.

Dengan menargetkan VM, operator ransomware juga memanfaatkan enkripsi beberapa server yang lebih mudah dan lebih cepat dengan satu perintah.

Sejak Oktober, ransomware Hive mulai mengenkripsi sistem Linux dan FreeBSD menggunakan varian malware baru, dalam beberapa bulan setelah peneliti melihat encryptor Linux REvil ransomware menargetkan VMware ESXi VM.

Emsisoft CTO Fabian Wosar mengatakan bahwa geng ransomware lain, termasuk Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide, dan Hellokitty, juga telah membuat dan menggunakan enkripsi Linux mereka sendiri.

Varian Linux ransomware HelloKitty dan BlackMatter juga ditemukan di alam liar oleh peneliti keamanan pada bulan Juli dan Agustus, yang lebih lanjut mengkonfirmasi pernyataan Wosar. Operasi ransomware Snatch dan PureLocker juga telah diamati menggunakan enkripsi Linux di masa lalu.

Sumber : Bleeping Computer