Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Peretas menyembunyikan malware di gambar teleskop James Webb

by

Kampanye malware berbasis Golang yang terus-menerus dijuluki GO#WEBBFUSCATOR telah memanfaatkan gambar lapangan yang diambil dari Teleskop Luar Angkasa James Webb (JWST) NASA sebagai iming-iming untuk menyebarkan muatan berbahaya pada sistem yang terinfeksi.

Perkembangan tersebut, diungkapkan oleh Securonix, menunjuk pada adopsi Go yang berkembang di antara para pelaku ancaman, mengingat dukungan lintas platform bahasa pemrograman, yang secara efektif memungkinkan operator untuk memanfaatkan basis kode umum untuk menargetkan sistem operasi yang berbeda.

Go binari juga memiliki manfaat tambahan dari analisis rendering dan rekayasa balik yang sulit dibandingkan dengan malware yang ditulis dalam bahasa lain seperti C++ atau C#, belum lagi memperpanjang upaya analisis dan deteksi.

Email phishing yang berisi lampiran Microsoft Office bertindak sebagai titik masuk untuk rantai serangan yang, ketika dibuka, mengambil makro VBA yang dikaburkan, yang, pada gilirannya, dijalankan secara otomatis jika penerima mengaktifkan makro.

Eksekusi hasil makro dalam unduhan file gambar “OxB36F8GEEC634.jpg” yang tampaknya merupakan gambar First Deep Field yang ditangkap oleh JWST tetapi, ketika diperiksa menggunakan editor teks, sebenarnya adalah muatan yang dikodekan Base64.

“Kode [makro] yang dideobfuscate mengeksekusi [perintah] yang akan mengunduh file bernama OxB36F8GEEC634.jpg, gunakan certutil.exe untuk mendekodekannya menjadi biner (msdllupdate.exe) dan akhirnya, jalankan,” peneliti Securonix D. Iuzvyk , T. Peck, dan O. Kolesnikov berkata.

Biner, Windows 64-bit yang dapat dieksekusi dengan ukuran 1.7MB, tidak hanya dilengkapi untuk terbang di bawah radar mesin antimalware, tetapi juga dikaburkan melalui teknik yang disebut gobfuscation, yang menggunakan alat obfuscation Golang secara publik tersedia di GitHub.

Pustaka gobfuscate sebelumnya telah didokumentasikan seperti yang digunakan oleh aktor di belakang ChaChi, trojan akses jarak jauh yang digunakan oleh operator ransomware PYSA (alias Mespinoza) sebagai bagian dari perangkat mereka, dan kerangka kerja perintah-dan-kontrol (C2) Sliver.

Komunikasi dengan server C2 difasilitasi melalui kueri dan respons DNS terenkripsi, memungkinkan malware untuk menjalankan perintah yang dikirim oleh server melalui Prompt Perintah Windows (cmd.exe). Domain C2 untuk kampanye dikatakan telah didaftarkan pada akhir Mei 2022.

Keputusan Microsoft untuk memblokir makro secara default di seluruh aplikasi Office telah menyebabkan banyak musuh mengubah kampanye mereka dengan beralih ke file LNK dan ISO jahat untuk menyebarkan malware. Masih harus dilihat apakah aktor GO#WEBBFUSCATOR akan menggunakan metode serangan serupa.

Sumber: The Hackernews

Laporan Bitdefender mengidentifikasi Nama Domain dan Trojan Android teratas

by

Pada bulan Juli, Bitdefender mengidentifikasi 205 keluarga ransomware sebagai bagian dari Debrief Ancaman Bitdefender Agustus perusahaan.

Bitdefender’s August Bitdefender Threat Debrief (BDTD) adalah seri bulanan yang bertujuan untuk menganalisis berita ancaman, tren, dan penelitian dari bulan sebelumnya. Pada bulan Juli, peneliti Bitdefender melihat deteksi ransomware, bukan infeksi, dan menghitung total kasus, bukan seberapa signifikan dampak infeksi secara moneter.

Ransomware

Analis Bitdefender mengidentifikasi 205 kelompok ransomware pada bulan Juli, dengan jumlah kelompok ransomware yang terdeteksi bervariasi setiap bulan tergantung pada kampanye ransomware saat ini di berbagai negara. WannaCry adalah keluarga ransomware yang paling banyak terdeteksi, terhitung 37 persen. Robin berada di urutan kedua dengan 20 persen.

Para analis mendeteksi ransomware dari 151 negara dalam kumpulan datanya bulan ini karena ransomware terus menjadi ancaman yang menyentuh hampir seluruh dunia. Banyak serangan ransomware terus menjadi oportunistik, dan ukuran populasi berkorelasi dengan jumlah deteksi. Amerika Serikat adalah yang paling terkena dampak ransomware, terhitung 24 persen, diikuti oleh Brasil 17 persen dan India 14 persen.

Trojan Android

Perusahaan solusi keamanan siber global juga menganalisis 10 Trojan teratas yang menargetkan Android yang telah dilihat perusahaan dalam telemetrinya selama bulan Juli.

Downloader.DN, aplikasi yang dikemas ulang yang diambil dari Google app store dan dibundel dengan adware agresif, adalah Trojan terbesar yang menargetkan Android sebesar 43 persen. Berikutnya adalah malware SMSSend.AYE (33 persen) yang mencoba mendaftar sebagai aplikasi SMS default saat pertama kali dijalankan dengan meminta persetujuan pengguna.

Sumber: Cybersecurity Connect

Google Memperluas Bug Bounty ke Proyek Open Source-nya

by

Google pada hari Senin memperkenalkan program bug bounty baru untuk proyek open source-nya, menawarkan pembayaran mulai dari $100 hingga $31.337 (referensi untuk eleet atau leet) untuk mengamankan ekosistem dari serangan rantai pasokan (supply chain).

Disebut Open Source Software Vulnerability Rewards Program (OSS VRP), penawaran ini adalah salah satu program kerentanan khusus open source pertama.

Dengan raksasa teknologi pengelola proyek-proyek besar seperti Angular, Bazel, Golang, Protocol Buffers, dan Fuchsia, program ini bertujuan untuk menghargai penemuan kerentanan yang jika tidak dapat memiliki dampak signifikan pada lanskap open source yang lebih besar.

Proyek lain yang dikelola oleh Google dan dihosting di repositori publik seperti GitHub serta dependensi pihak ketiga yang disertakan dalam proyek tersebut juga memenuhi syarat.

  • Kerentanan yang mengarah pada kompromi rantai pasokan
  • Masalah desain yang menyebabkan kerentanan produk
  • Masalah keamanan lainnya seperti kredensial yang sensitif atau bocor, kata sandi yang lemah, atau instalasi yang tidak aman

Meningkatkan komponen sumber terbuka, terutama perpustakaan pihak ketiga yang bertindak sebagai blok pembangun banyak perangkat lunak, telah muncul sebagai prioritas utama setelah eskalasi yang stabil dalam serangan rantai pasokan yang menargetkan Maven, NPM, PyPI, dan RubyGems.

Kerentanan Log4Shell di perpustakaan logging Java Log4j yang terungkap pada bulan Desember 2021 adalah contoh utama, menyebabkan kekacauan yang meluas dan menjadi seruan untuk meningkatkan status rantai pasokan perangkat lunak.

“Tahun lalu terjadi peningkatan 650% dari tahun ke tahun dalam serangan yang menargetkan rantai pasokan open source, termasuk insiden utama seperti Codecov dan kerentanan Log4j yang menunjukkan potensi destruktif dari satu kerentanan open source,” Francis Perron dan Krzysztof Kotowicz dari Google. dikatakan.

Langkah ini mengikuti program penghargaan serupa yang dilembagakan Google November lalu untuk mengungkap eskalasi hak istimewa dan Kubernetes lolos dari eksploitasi di Kernel Linux. Sejak itu telah menaikkan jumlah maksimum dari $50.337 menjadi $91.337 hingga akhir 2022.

Awal Mei ini, raksasa internet mengumumkan pembuatan “Kru Pemeliharaan Sumber Terbuka” baru untuk fokus pada peningkatan keamanan proyek sumber terbuka yang kritis.

Sumber: The Hackernews

Ekstensi Chrome dengan 1,4 juta pemasangan mencuri data penjelajahan

by

Analis ancaman di McAfee menemukan lima ekstensi Google Chrome yang mencuri aktivitas penelusuran pengguna yang telah diunduh lebih dari 1,4 juta kali.

Tujuan dari ekstensi jahat adalah untuk memantau saat pengguna mengunjungi situs web e-niaga dan untuk mengubah cookie pengunjung agar tampak seolah-olah mereka datang melalui tautan perujuk. Untuk ini, penulis ekstensi mendapatkan biaya afiliasi untuk setiap pembelian di toko elektronik.

Lima ekstensi berbahaya yang ditemukan oleh peneliti McAfee adalah sebagai berikut:

  • Netflix Party (mmnbenehknklpbendgmgneaignppnbe) – 800.000 unduhan
  • Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300.000 unduhan
  • Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200.000 unduhan
  • FlipShope – Price Tracker Extension (adikhbfjdbjkhelbdnffogkobkekkkej) – 80.000 unduhan
  • AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20.000 unduhan
Empat dari ekstensi berbahaya (McAfee)

Kelima ekstensi yang ditemukan oleh McAfee memiliki perilaku yang serupa. Manifes aplikasi web (file “manifest.json”), yang menentukan bagaimana ekstensi harus berperilaku pada sistem, memuat skrip multifungsi (B0.js) yang mengirimkan data penelusuran ke domain yang dikontrol penyerang (“langhort[.] com”).

Data dikirimkan melalui permintaan POST setiap kali pengguna mengunjungi URL baru. Info yang menjangkau penipu termasuk URL dalam bentuk base64, ID pengguna, lokasi perangkat (negara, kota, kode pos), dan URL rujukan yang disandikan.

Jika situs web yang dikunjungi cocok dengan entri apa pun pada daftar situs web yang pembuat ekstensinya memiliki afiliasi aktif, server akan merespons B0.js dengan salah satu dari dua kemungkinan fungsi.

Yang pertama, “Result[‘c’] – passf_url “, memerintahkan skrip untuk memasukkan URL yang disediakan (tautan rujukan) sebagai iframe di situs web yang dikunjungi.

Yang kedua, “Result[‘e’] setCookie”, memerintahkan B0.js untuk memodifikasi cookie atau menggantinya dengan cookie yang disediakan jika ekstensi telah diberikan izin terkait untuk melakukan tindakan ini.

Untuk menghindari deteksi, analisis, dan untuk membingungkan peneliti atau pengguna yang waspada, beberapa ekstensi menampilkan penundaan 15 hari sejak pemasangannya sebelum mulai mengirimkan aktivitas browser.

Pada saat penulisan ini, “Full Page Screenshot Capture – Screenshotting” dan “FlipShope – Price Tracker Extension” masih tersedia di Toko Web Chrome.

Kedua ekstensi Netflix Party telah dihapus dari toko, tetapi ini tidak menghapusnya dari browser web, jadi pengguna harus mengambil tindakan manual untuk mencopot pemasangannya.

Sumber: Bleeping Computer

Otoritas Pajak Prancis Menggunakan AI Google untuk Membasmi Lebih dari 20.000 Kolam Renang yang Tidak Dideklarasikan

by

Setelah percobaan menggunakan kecerdasan buatan (AI), lebih dari 20.000 kolam tersembunyi ditemukan.

Mereka telah mengumpulkan sekitar €10m ($9,9; £8,5m) pendapatan, media Prancis melaporkan.

Pools dapat menyebabkan pajak properti yang lebih tinggi karena mereka meningkatkan nilai properti, dan harus dinyatakan di bawah hukum Prancis.

Perangkat lunak, yang dikembangkan oleh Google dan perusahaan konsultan Prancis Capgemini, melihat kolam pada gambar udara dari sembilan wilayah Prancis selama uji coba pada Oktober 2021.

Wilayah Alpes-Maritimes, Var, Bouches-du-Rhône, Ardèche, Rhône, Haute -Savoie, Vendée, Maine-et-Loire dan Morbihan adalah bagian dari uji coba – tetapi pejabat pajak mengatakan sekarang mungkin akan diluncurkan secara nasional.

Ada lebih dari 3,2 juta kolam renang pribadi di Prancis pada tahun 2020, menurut situs data Statista, dengan penjualan yang sudah booming sebelum pandemi Covid.

Tetapi karena lebih banyak karyawan bekerja dari rumah, ada lonjakan lebih lanjut dalam pemasangan kolam renang.

Menurut surat kabar Le Parisien, kolam rata-rata seluas 30 meter persegi (322 kaki persegi) dikenai pajak sebesar €200 ($200; £170) setahun.

Otoritas pajak mengatakan perangkat lunak itu pada akhirnya dapat digunakan untuk menemukan ekstensi rumah, teras atau gazebo yang tidak diumumkan, yang juga berperan dalam pajak properti.

Antoine Magnant, wakil direktur jenderal keuangan publik, mengatakan kepada Le Parisien: “Kami secara khusus menargetkan perluasan rumah seperti beranda.

Tindakan keras itu terjadi setelah Julien Bayou, dari partai Eropa-Ekologi Hijau Prancis, tidak mengesampingkan larangan kolam renang pribadi baru.

BFMTV mengatakan bahwa Prancis membutuhkan “hubungan yang berbeda dengan air” dan larangan itu akan menjadi “jalan terakhir”.

Komentarnya muncul saat Prancis menangani kekeringan terburuk yang tercatat yang telah menyebabkan lebih dari 100 kota kekurangan air minum.

Pada bulan Juli, Prancis hanya memiliki hujan 9,7 mm (0,38 inci), menjadikannya bulan terkering sejak Maret 1961, kata layanan cuaca nasional Meteo-France.

Irigasi telah dilarang di sebagian besar barat laut dan tenggara Prancis untuk menghemat air.

Sumber: BBC

Nitrokod Crypto Miner Menginfeksi Lebih dari 111.000 Pengguna dengan Salinan Perangkat Lunak Populer

by

Kampanye malware baru yang menyamar sebagai program pengunduh Google Translate atau MP3 ditemukan mendistribusikan malware penambangan cryptocurrency di 11 negara.

Menurut laporan Check Point, malware tersebut dibuat oleh pengembang bernama ‘Nitrokod’, yang pada awalnya tampak bersih dari malware dan menyediakan fungsionalitas yang diiklankan.

Namun, Check Point mengatakan perangkat lunak itu sengaja menunda pemasangan komponen malware berbahaya hingga satu bulan untuk menghindari deteksi.

Beranda situs web Nitrokod

Sayangnya, penawaran Nitrokod berperingkat tinggi dalam hasil Google Penelusuran, sehingga situs web tersebut bertindak sebagai jebakan yang sangat baik bagi pengguna yang mencari utilitas tertentu.

Selain itu, applet Google Terjemahan Nitrokod juga diunggah di Softpedia, yang mencapai lebih dari 112.000 unduhan.

Aplikasi malware di Softpedia (Check Point)

Terlepas dari program mana yang diunduh dari situs web Nitrokod, pengguna menerima RAR yang dilindungi kata sandi yang menghindari deteksi AV dan berisi executable yang dinamai sesuai dengan aplikasi yang dipilih.

Setelah menjalankan file, perangkat lunak diinstal pada sistem pengguna bersama dengan dua kunci registri.

Untuk menghindari kecurigaan dan untuk menggagalkan analisis Sandbox, perangkat lunak mengaktifkan penetes dari file RAR terenkripsi lain yang diambil melalui Wget pada hari kelima infeksi.

Selanjutnya, perangkat lunak menghapus semua log sistem menggunakan perintah PowerShell dan, setelah 15 hari, mengambil RAR terenkripsi berikutnya dari “intelserviceupdate[.]com.”

Garis waktu tahap infeksi (Check Point)

Dropper tahap berikutnya memeriksa keberadaan perangkat lunak antivirus, mencari proses yang mungkin dimiliki oleh mesin virtual, dan akhirnya menambahkan aturan firewall dan pengecualian ke Windows Defender.

Sekarang perangkat telah disiapkan untuk muatan terakhir, program memuat penetes terakhir, yang mengambil file RAR lain yang berisi malware penambangan XMRig, pengontrolnya, dan file “.sys” yang memiliki pengaturannya.

Malware menentukan apakah itu berjalan di desktop atau laptop, kemudian terhubung ke C2-nya (“nvidiacenter[.]com”) dan mengirimkan laporan sistem host lengkap melalui permintaan HTTP POST.

Akhirnya, C2 merespons dengan instruksi seperti apakah akan mengaktifkan, berapa banyak daya CPU yang digunakan, kapan harus melakukan ping ke C2 lagi, atau program apa yang harus diperiksa dan keluar jika ditemukan.

Diagram rantai serangan lengkap (Check Point)

Malware penambangan kripto dapat menjadi risiko karena dapat merusak perangkat keras dengan menyebabkan tekanan dan panas berlebih pada perangkat keras, dan dapat memengaruhi kinerja komputer Anda dengan menggunakan sumber daya CPU tambahan.

Selain itu, malware dropper yang ditemukan oleh Check Point dapat menukar muatan akhir dengan sesuatu yang jauh lebih berbahaya kapan saja.

Untuk melindungi diri Anda, hindari mengunduh aplikasi yang menjanjikan fungsionalitas yang tidak dirilis secara resmi oleh pengembang asli, seperti versi desktop dari alat terjemahan Google.

Sumber: Bleeping Computer

Peretas mengadopsi toolkit Sliver sebagai alternatif Cobalt Strike

by

Pelaku ancaman membuang suite pengujian penetrasi Cobalt Strike demi kerangka kerja serupa yang kurang dikenal. Setelah Brute Ratel, kit lintas platform open-source yang disebut Sliver menjadi alternatif yang menarik.

Namun, aktivitas jahat menggunakan Sliver dapat dideteksi menggunakan kueri perburuan yang diambil dari analisis toolkit, cara kerjanya, dan komponennya.

Selama beberapa tahun terakhir, Cobalt Strike semakin populer sebagai alat serangan untuk berbagai pelaku ancaman, termasuk operasi ransomware, untuk menjatuhkan “suar” jaringan yang disusupi yang memungkinkan bergerak secara lateral ke sistem bernilai tinggi.

Karena para pembela HAM telah belajar untuk mendeteksi dan menghentikan serangan dengan mengandalkan toolkit ini, para peretas mencoba opsi lain yang dapat menghindari Endpoint Detection and Response (EDR) dan solusi antivirus.

Menghadapi pertahanan yang lebih kuat terhadap Cobalt Strike, aktor ancaman telah menemukan alternatif. Palo Alto Networks mengamati mereka beralih ke Brute Ratel, alat simulasi serangan permusuhan yang dirancang untuk menghindari produk keamanan.

Sebuah laporan dari Microsoft mencatat bahwa peretas, dari kelompok yang disponsori negara hingga geng kejahatan dunia maya, semakin banyak menggunakan alat pengujian keamanan Sliver berbasis Go yang dikembangkan oleh para peneliti di perusahaan keamanan siber BishopFox dalam serangan.

Satu grup yang mengadopsi Sliver dilacak sebagai DEV-0237 oleh Microsoft. Juga dikenal sebagai FIN12, geng tersebut telah dikaitkan dengan berbagai operator ransomware.

Geng telah mendistribusikan muatan ransomware dari berbagai operator ransomware di masa lalu (Ryuk, Conti, Hive, Conti, dan BlackCat) melalui berbagai malware, termasuk BazarLoader dan TrickBot.

Geng FIN12 menyebarkan berbagai muatan ransomware
sumber: Microsoft

Menurut laporan dari Government Communications Headquarters (GCHQ) Inggris, aktor yang disponsori negara di Rusia, khususnya APT29 (alias Cozy Bear, The Dukes, Grizzly Steppe) juga telah menggunakan Sliver untuk mempertahankan akses ke lingkungan yang disusupi.

Microsoft mencatat bahwa Sliver telah digunakan dalam serangan yang lebih baru menggunakan pemuat malware Bumblebee (Coldtrain), yang dikaitkan dengan sindikat Conti sebagai pengganti BazarLoader.

Microsoft menyediakan seperangkat taktik, teknik, dan prosedur (TTP) yang dapat digunakan para defender untuk mengidentifikasi Sliver dan kerangka kerja C2 lainnya yang muncul.

Karena jaringan Sliver C2 mendukung banyak protokol (DNS, HTTP/TLS, MTLS, TCP) dan menerima koneksi implan/operator, dan dapat meng-host file untuk meniru server web yang sah, pemburu ancaman dapat mengatur pendengar untuk mengidentifikasi anomali pada jaringan untuk Infrastruktur sliver.

Microsoft juga berbagi informasi tentang cara mendeteksi payload Sliver (shellcode, executable, shared library/DLL, dan layanan) yang dihasilkan menggunakan basis kode resmi yang tidak disesuaikan untuk kerangka kerja C2.

Insinyur deteksi dapat membuat deteksi khusus pemuat [mis. Bumblebee] atau, jika shellcode tidak di-obfuscate, aturan untuk payload shellcode yang disematkan di loader.

Untuk muatan malware Sliver yang tidak memiliki banyak konteks, Microsoft merekomendasikan untuk mengekstrak konfigurasi ketika dimuat ke dalam memori karena kerangka kerja harus menghilangkan penyamaran dan mendekripsinya agar dapat menggunakannya.

Memindai memori dapat memungkinkan peneliti untuk mengekstrak detail seperti data konfigurasi:

Ekstraksi konfigurasi dari implan uji Sliver
sumber: Microsoft

Pemburu ancaman juga dapat mencari perintah yang digunakan untuk injeksi proses, yang dicapai oleh kode Sliver default tanpa menyimpang dari implementasi umum. Di antara perintah yang digunakan untuk ini adalah:

  • migrasi (perintah) – migrasi ke proses jarak jauh
  • spawndll (perintah) – memuat dan menjalankan DLL reflektif dalam proses jarak jauh
  • sideload (perintah) – memuat dan menjalankan objek bersama (pustaka bersama/DLL) dalam proses jarak jauh
  • msf-inject (perintah) – menyuntikkan muatan Metasploit Framework ke dalam proses
  • execute-assembly (command) – memuat dan menjalankan .NET assembly dalam proses anak
  • getsystem (command) – memunculkan sesi Sliver baru sebagai Pengguna NT AUTHORITY\SYSTEM

      • Microsoft mencatat bahwa toolkit ini juga bergantung pada ekstensi dan alias (Beacon Object Files (BFO), aplikasi .NET, dan peralatan pihak ketiga lainnya) untuk injeksi perintah.

      Kerangka kerja ini juga menggunakan PsExect untuk menjalankan perintah yang memungkinkan gerakan lateral.

      Untuk mempermudah perusahaan yang dilindungi oleh Defender untuk mengidentifikasi aktivitas Sliver di lingkungan mereka, Microsoft telah membuat untuk perintah yang disebutkan di atas sekumpulan kueri berburu yang dapat dijalankan di portal Microsoft 365 Defender.

      Microsoft menggarisbawahi bahwa kumpulan aturan deteksi dan panduan berburu yang disediakan adalah untuk basis kode Sliver yang saat ini tersedia untuk umum. Penggunaan varian yang disesuaikan kemungkinan akan memengaruhi deteksi berdasarkan kueri Microsoft.

      Sumber: Bleeping Computer

    Geng ransomware LockBit menjadi agresif dengan taktik pemerasan tiga kali

    by

    Geng ransomware LockBit mengumumkan bahwa mereka meningkatkan pertahanan terhadap serangan denial-of-service (DDoS) terdistribusi dan bekerja untuk membawa operasi ke tingkat pemerasan tiga kali lipat.

    Geng baru-baru ini mengalami serangan DDoS, diduga atas nama raksasa keamanan digital Entrust, yang mencegah akses ke data yang dipublikasikan di situs kebocoran perusahaannya.

    Data dari Entrust dicuri oleh ransomware LockBit dalam serangan pada 18 Juni. Perusahaan mengkonfirmasi insiden tersebut dan memberitahu bahwa data telah dicuri.

    Entrust tidak membayar uang tebusan dan LockBit mengumumkan bahwa mereka akan mempublikasikan semua data yang dicuri pada 19 Agustus. Namun, ini tidak terjadi, karena situs kebocoran geng tersebut terkena serangan DDoS yang diyakini terhubung ke Entrust.

    Awal pekan ini, LockBitSupp, figur publik dari operasi ransomware LockBit, mengumumkan bahwa grup tersebut kembali berbisnis dengan infrastruktur yang lebih besar untuk memberikan akses ke kebocoran yang tidak terpengaruh oleh serangan DDoS.

    Serangan DDoS akhir pekan lalu yang menghentikan sementara kebocoran data Entrust dipandang sebagai peluang untuk mengeksplorasi taktik pemerasan rangkap tiga untuk menerapkan lebih banyak tekanan pada korban untuk membayar uang tebusan.

    LockBitSupp mengatakan bahwa operator ransomware sekarang ingin menambahkan DDoS sebagai taktik pemerasan selain mengenkripsi data dan membocorkannya.

    Geng juga berjanji untuk membagikan lebih dari 300GB data yang dicuri dari Entrust sehingga “seluruh dunia akan tahu rahasia Anda.”

    Juru bicara LockBit mengatakan bahwa mereka akan membagikan kebocoran data Entrust secara pribadi dengan siapa pun yang menghubungi mereka sebelum membuatnya tersedia melalui torrent.

    Tampaknya LockBit telah menepati janjinya dan merilis torrent akhir pekan ini yang disebut “entrust.com” dengan file 343GB.

    Lockbit ransomware bocor Entrust data
    sumber: Artie Yamamoto

    Operator ingin memastikan bahwa data Entrust tersedia dari berbagai sumber dan, selain mempublikasikannya di situs mereka, mereka juga membagikan torrent melalui setidaknya dua layanan penyimpanan file, dengan salah satunya tidak lagi tersedia.

    Salah satu metode yang sudah diterapkan untuk mencegah serangan DDoS lebih lanjut adalah dengan menggunakan tautan unik dalam catatan tebusan untuk para korban.

    Mereka juga mengumumkan peningkatan jumlah mirror dan server duplikat, dan rencana untuk meningkatkan ketersediaan data yang dicuri dengan membuatnya dapat diakses melalui clearnet juga, melalui layanan penyimpanan antipeluru.

    Lockbit ransomware changes after suffering DDoS attack
    source: BleepingComputer

    Operasi ransomware LockBit telah aktif selama hampir tiga tahun, sejak September 2019. Pada saat penulisan, situs kebocoran data LockBit aktif dan berjalan.

    Geng itu mendaftarkan lebih dari 700 korban dan Entrust adalah salah satunya, dengan data perusahaan bocor pada 27 Agustus.

    Sumber: Bleeping Computer