Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Security advisory secara tidak sengaja mengekspos sistem yang rentan

by

Security advisory untuk kerentanan (CVE) yang diterbitkan oleh MITRE secara tidak sengaja telah mengekspos tautan ke konsol admin jarak jauh dari lebih dari selusin perangkat IP yang rentan setidaknya sejak April 2022.

Penasihat CVE yang diterbitkan oleh MITRE mendapatkan sindikasi kata demi kata di sejumlah besar sumber publik, umpan, situs berita infosec, dan vendor yang menyediakan data tersebut kepada pelanggan mereka.

Bagian “referensi” dari nasihat ini biasanya mencantumkan tautan ke sumber asli (tulisan, posting blog, demo PoC) yang menjelaskan kerentanan. Namun, menyertakan tautan ke sistem yang belum ditambal secara publik berpotensi memungkinkan pelaku ancaman untuk sekarang menargetkan sistem ini dan melakukan aktivitas jahat mereka.

Penasihat kerentanan yang diterbitkan oleh MITRE untuk kerentanan pengungkapan informasi dengan tingkat keparahan tinggi pada bulan April secara ironis mengungkapkan tautan ke lebih dari selusin perangkat IoT langsung yang rentan terhadap kelemahan tersebut.

Bukan hal yang aneh jika penasihat keamanan menyertakan bagian “referensi” dengan beberapa tautan yang memvalidasi keberadaan kerentanan. Namun, tautan semacam itu biasanya mengarah pada demonstrasi atau penulisan bukti konsep (PoC) yang menjelaskan kerentanan daripada sistem yang rentan itu sendiri.

Setelah kerentanan dipublikasikan, penyerang menggunakan mesin pencari IoT publik seperti Shodan atau Censys untuk memburu dan menargetkan perangkat yang rentan.

Semua ini membuat kasus yang sangat luar biasa untuk buletin keamanan publik untuk mencantumkan bukan hanya satu tetapi lokasi dari beberapa perangkat rentan yang masih terhubung ke internet.

Karena sejumlah besar sumber bergantung pada MITER dan NVD/NIST untuk menerima umpan kerentanan, penasihat CVE (dihapus di bawah) telah disindikasikan oleh beberapa vendor, sumber publik, dan layanan yang menyediakan data CVE, seperti yang diamati oleh BleepingComputer.

Penasihat MITRE CVE mencantumkan lebih dari selusin tautan ke kamera IP yang rentan (BleepingComputer)

Mengklik salah satu tautan “referensi” di atas akan mengarahkan pengguna ke dasbor administrasi jarak jauh dari kamera IP atau perangkat video (rentan), yang berpotensi memungkinkan mereka untuk melihat umpan kamera langsung atau mengeksploitasi kerentanan.

Will Dormann, seorang analis kerentanan di Pusat Koordinasi CERT (CERT/CC) menyebut ini “hal yang tidak normal dan sangat BURUK” untuk dilakukan. Dan, peneliti keamanan Jonathan Leitschuh mengatakan hal yang sama dalam sebuah pernyataan kepada BleepingComputer.

Memang benar, penasehat CVE itu sendiri diterbitkan oleh MITRE, organisasi induk dari proyek CVE yang sering kali menjadi titik kontak pertama bagi pengguna yang melaporkan kerentanan keamanan dalam sistem pihak ketiga dan meminta pengidentifikasi CVE.

Namun, BleepingComputer menemukan bahwa sumber asli dari kesalahan tersebut adalah catatan keamanan yang diterbitkan oleh satu atau lebih peneliti keamanan China di GitHub sementara entri CVE MITRE untuk kerentanan telah “dipesan” dan menunggu produksi.

Dalam versi saran GitHub inilah beberapa tautan ke perangkat yang rentan terdaftar sebagai “contoh”. Dan informasi ini tampaknya telah disalin-tempel di entri CVE MITRE yang kemudian disindikasikan di beberapa situs:

Original security advisory di publis ke GitHub tetapi sekarang sudah dihapus (BleepingComputer)

Ironisnya, nasihat asli yang diterbitkan ke GitHub telah lama dihapus.

Perhatikan, dalam beberapa jam setelah email kami ke MITRE, saran CVE diperbarui dengan cepat untuk menghapus semua tautan “referensi” yang menunjuk ke perangkat IoT yang rentan, baik dari repo CVEProject GitHub MITRE dan database. Tetapi pembaruan ini mungkin tidak menghapus informasi ini dari sumber pihak ketiga yang telah mengambil dan menerbitkan salinan entri sebelumnya.

Sumber: Bleeping Computer

Mode Lockdown baru Apple bertahan dari spyware pemerintah

by

Apple mengumumkan bahwa fitur keamanan baru yang dikenal sebagai Lockdown Mode akan diluncurkan dengan iOS 16, iPadOS 16, dan macOS Ventura untuk melindungi individu berisiko tinggi seperti pembela hak asasi manusia, jurnalis, dan pembangkang dari serangan spyware yang ditargetkan.

Setelah diaktifkan, Mode Penguncian akan memberi pelanggan Apple perpesanan, penelusuran web, dan perlindungan konektivitas yang dirancang untuk memblokir spyware tentara bayaran (seperti Pegasus NSO Group) yang digunakan oleh peretas yang didukung pemerintah untuk memantau perangkat Apple mereka setelah menginfeksi mereka dengan malware.

Upaya penyerang untuk berkompromi dengan perangkat Apple menggunakan eksploitasi tanpa klik yang menargetkan aplikasi perpesanan seperti WhatsApp dan Facetime atau browser web akan diblokir secara otomatis, melihat bahwa fitur rentan seperti pratinjau tautan akan dinonaktifkan.

Versi pertama dari Mode Lockdown akan mencakup perlindungan untuk beberapa fitur sistem operasi yang terkena serangan, termasuk:

Pesan: Sebagian besar jenis lampiran pesan selain gambar diblokir. Beberapa fitur, seperti pratinjau tautan, dinonaktifkan.
Penjelajahan web: Teknologi web kompleks tertentu, seperti kompilasi JavaScript just-in-time (JIT), dinonaktifkan kecuali pengguna mengecualikan situs tepercaya dari Mode Penguncian.

Layanan Apple: Undangan masuk dan permintaan layanan, termasuk panggilan FaceTime, diblokir jika pengguna belum pernah mengirim panggilan atau permintaan kepada pemrakarsa sebelumnya.

Koneksi kabel dengan komputer atau aksesori diblokir saat iPhone terkunci.
Profil konfigurasi tidak dapat dipasang, dan perangkat tidak dapat mendaftar ke manajemen perangkat seluler (MDM) saat Mode Penguncian diaktifkan.

Mode Penguncian Apple (Apple)

Pengumuman hari ini datang setelah Apple menggugat pembuat spyware Pegasus NSO Group pada November 2021 karena menargetkan dan dan memata-matai pengguna Apple menggunakan teknologi pengawasan NSO.

Apple mengatakan pada saat itu bahwa serangan yang disponsori negara menggunakan spyware NSO hanya menargetkan “sejumlah kecil” individu, di berbagai platform, termasuk Android dan iOS Apple.

Para penyerang menyebarkan perangkat lunak pengawasan NSO pada perangkat target profil tinggi yang disusupi, termasuk pejabat pemerintah, diplomat, pembangkang, akademisi, dan jurnalis di seluruh dunia.

Sejak Desember 2021, spyware NSO Group juga ditemukan di iPhone milik politisi, jurnalis, dan aktivis Catalan, diplomat Finlandia, pegawai pemerintah Inggris, dan pegawai Departemen Luar Negeri AS.

Biro Industri dan Keamanan (BIS) Departemen Perdagangan AS juga memberi sanksi kepada NSO Group dan tiga perusahaan lain dari Israel, Rusia, dan Singapura pada November atas pengembangan spyware dan penjualan alat peretasan yang digunakan oleh kelompok peretas yang didukung pemerintah.

Sumber: Bleeping Computer

Marriott terkena data breach baru dan upaya pemerasan yang gagal

by

Raksasa hotel Marriott International mengonfirmasi bahwa mereka terkena pelanggaran data lain setelah aktor ancaman yang tidak dikenal melanggar salah satu propertinya dan mencuri 20GB file.

Para penyerang hanya dapat menembus salah satu properti rantai, BWI Airport Marriott, dan hanya memiliki akses ke jaringannya untuk waktu yang terbatas.

Meskipun perusahaan tidak membagikan informasi apa pun tentang data yang dicuri dengan BleepingComputer, ia mengatakan kepada DataBreaches (yang pertama kali melaporkan insiden tersebut) bahwa dokumen senilai 20GB yang dicuri selama pelanggaran berisi file bisnis internal yang tidak sensitif dan beberapa informasi kartu kredit.

Namun, pihak Marriott belum mau membeberkan apakah pelaku pembobolan informasi milik tamu hotel, karyawannya, atau keduanya.

Para penyerang juga berusaha memeras Marriot di bawah ancaman membocorkan file yang dicuri secara online. Namun, grup hotel mengatakan kepada BleepingComputer bahwa mereka “tidak melakukan pembayaran atau memberikan apa pun kepada pelaku ancaman.”

Marriott mengatakan bahwa mereka memberi tahu FBI dan menyewa perusahaan keamanan pihak ketiga untuk menyelidiki insiden tersebut.

Raksasa hotel menambahkan bahwa mereka akan memberi tahu regulator data yang relevan dan sekitar 300-400 orang yang terkena dampak pelanggaran data ini.

Ini adalah pelanggaran data ketiga yang dikonfirmasi Marriott sejak 2018 setelah mengungkap informasi pribadi 5,2 juta tamu hotel (termasuk kontak dan detail pribadi) dalam pelanggaran data yang diungkapkan pada 2020.

Perusahaan juga mengumumkan pada November 2018 bahwa database reservasi tamu Starwood Hotels yang berisi info tentang ratusan juta tamu telah diretas.

Marriott menemukan insiden tersebut dua tahun setelah akuisisi Starwood dan mengatakan informasi yang dicuri dalam insiden tersebut termasuk nama tamu, info pribadi, alamat, nomor paspor tak terenkripsi, dan informasi pembayaran terenkripsi AES-128.

Seperti yang ditambahkan Marriott pada saat itu, tanda-tanda akses tidak sah terdeteksi sejak tahun 2014, mengorbankan informasi pribadi sekitar 339 juta catatan tamu secara global.

Kantor Komisaris Informasi Inggris (ICO) mendenda Marriott International £14,4 juta (sekitar $24 juta) karena melanggar Peraturan Perlindungan Data Umum (GDPR).

Sumber: Bleeping Computer

Ransomware, kelompok peretas berpindah dari Cobalt Strike ke Brute Rate

by

Grup peretasan dan operasi ransomware beralih dari Cobalt Strike ke toolkit pasca-eksploitasi Brute Ratel yang lebih baru untuk menghindari deteksi oleh solusi EDR dan antivirus.

Tim keamanan siber perusahaan biasanya terdiri dari karyawan yang berusaha menembus jaringan perusahaan (tim merah) dan mereka yang secara aktif membela mereka (tim biru). Kedua tim kemudian berbagi catatan setelah pertemuan untuk memperkuat pertahanan keamanan siber jaringan.

Selama bertahun-tahun, salah satu alat paling populer dalam keterlibatan tim merah adalah Cobalt Strike, alat yang memungkinkan penyerang untuk menyebarkan “suar” pada perangkat yang disusupi untuk melakukan pengawasan jaringan jarak jauh atau menjalankan perintah.

Sementara Cobalt Strike adalah perangkat lunak yang sah, para pelaku ancaman telah membagikan versi crack secara online, menjadikannya salah satu alat paling populer yang digunakan oleh peretas dan operasi ransomware untuk menyebar secara lateral melalui jaringan perusahaan yang dilanggar.

Pada tahun 2020, Chetan Nayak, mantan tim merah di Mandiant dan CrowdStrike, merilis Pusat Komando dan Kontrol Brute Ratel (BRc4) sebagai alternatif Cobalt Strike untuk keterlibatan pengujian penetrasi tim merah.

Seperti Cobalt Strike, Brute Ratel adalah alat simulasi serangan permusuhan yang memungkinkan tim merah untuk menyebarkan ‘Badgers’ (mirip dengan suar di Cobalt Strike) pada host jarak jauh. Badger ini terhubung kembali ke server Command and Control penyerang untuk menerima perintah untuk mengeksekusi atau mengirimkan output dari perintah yang dijalankan sebelumnya.

Dalam laporan baru oleh Palo Alto Unit 42, para peneliti telah melihat aktor ancaman pindah dari Cobalt Strike menggunakan Brute Ratel sebagai toolkit pilihan pasca-eksploitasi mereka.

Perubahan taktik ini signifikan karena BRc4 dirancang untuk menghindari deteksi oleh EDR dan solusi antivirus, dengan hampir semua perangkat lunak keamanan tidak mendeteksinya sebagai berbahaya saat pertama kali terlihat di alam liar.

Dalam serangan yang diduga terkait dengan kelompok peretas yang disponsori negara Rusia APT29 (alias CozyBear and Dukes), pelaku ancaman mendistribusikan ISO berbahaya yang diduga berisi resume (CV) yang dikirimkan.

Isi file ISO berbahaya
Sumber: BleepingComputer

Namun, file resume ‘Roshan-Bandara_CV_Dialog’ sebenarnya adalah pintasan Windows yang akan meluncurkan file OneDriveUpdater.exe yang dibundel, seperti yang ditunjukkan pada properti file di bawah ini.

Pintasan Windows menyamar sebagai CV untuk meluncurkan program
Sumber: BleepingComputer

Sementara OneDriveUpdater.exe adalah sah Microsoft executable, termasuk version.dll yang dimuat oleh program telah dimodifikasi untuk bertindak sebagai loader untuk Brute Ratel badger, yang dimuat ke dalam proses RuntimeBroker.exe.

Setelah badger Brute Ratel dimuat, pelaku ancaman dapat mengakses perangkat yang disusupi dari jarak jauh untuk menjalankan perintah dan menyebar lebih jauh di jaringan yang sekarang dilanggar.

Brute Rate saat ini berharga $2.500 per pengguna untuk lisensi satu tahun, dengan pelanggan diharuskan memberikan alamat email bisnis dan diverifikasi sebelum lisensi diterbitkan.

Karena ini adalah proses verifikasi manual, ini menimbulkan pertanyaan tentang bagaimana pelaku ancaman menerima lisensi perangkat lunak.

Pengembang Brute Ratel Chetan Nayak mengatakan bahwa lisensi yang digunakan dalam serangan yang dilaporkan oleh Unit 42 dibocorkan oleh karyawan yang tidak puas dari salah satu pelanggannya.

Karena muatan memungkinkan Nayak untuk melihat kepada siapa mereka dilisensikan, dia dapat mengidentifikasi dan mencabut lisensi tersebut.

Namun, menurut CEO AdvIntel Vitali Kremez, mantan anggota ransomware Conti juga mulai memperoleh lisensi dengan membuat perusahaan AS palsu untuk melewati sistem verifikasi lisensi.

Sumber: Bleeping Computer

NIST Mengumumkan Empat Quantum-Resistant Cryptographic Algorithms Pertama

by

National Institute of Standards and Technology (NIST) telah memilih alat enkripsi yang dirancang untuk menahan serangan komputer kuantum masa depan yang berpotensi merusak keamanan dan mengakses data sensitif. Empat Algoritma enkripsi tersebut akan menjadi bagian dari standar kriptografi pasca-kuantum NIST, yang diharapkan akan diselesaikan dalam waktu sekitar dua tahun.

Pengumuman tersebut mengikuti penelitian yang dikelola oleh NIST, yang pada tahun 2016 meminta para kriptografer dunia untuk merancang dan kemudian memeriksa apakah metode enkripsi tersebut dapat menahan serangan dari komputer quantum masa depan yang lebih kuat daripada mesin yang relatif terbatas yang tersedia saat ini.

Sedangkan empat Algoritma lainnya masih dipertimbangkan untuk dimasukkan dalam standar, NIST berencana untuk mengumumkan algoritma terpilih di masa mendatang.

Enkripsi menggunakan matematika untuk melindungi informasi elektronik yang sensitif, termasuk situs website yang kita jelajahi dan email yang kita kirim. Sistem public-key encryption yang biasa kita digunakan saat ini dapat melindungi situs web dan pesan agar tidak dapat diakses oleh pihak ketiga yang tidak diinginkan bahkan pada komputer konvensional yang tercepat.

Namun, pada komputer Quantum yang dibuat dengan teknologi yang berbeda dari komputer konvensional yang kita miliki saat ini, mampu menyelesaikan masalah enkripsi tersebut dengan cepat. Untuk mengatasi ancaman ini, empat Algoritma Quantum-Resistant bergantung pada masalah matematika yang sulit dipecahkan baik oleh komputer konvensional maupun komputer quantum, sehingga dapat mempertahankan privasi baik sekarang maupun di masa mendatang.

Empat Algoritma yang dipilih adalah CRYSTALS-Kyber sebagai Enkripsi umum untuk mengakses situs website yang aman dan CRYSTALS-Dilithium, FALCON, dan SPHINCS+ untuk digital signature.

Tiga dari algoritma yang dipilih didasarkan pada kelompok masalah matematika yang disebut kisi terstruktur, sementara SPHINCS+ menggunakan fungsi hash. Empat algoritme tambahan yang masih dalam pertimbangan dirancang untuk enkripsi umum dan tidak menggunakan kisi terstruktur atau fungsi hash dalam pendekatannya.

Sementara standar sedang dalam pengembangan, NIST mendorong pakar keamanan untuk mengeksplorasi algoritme baru dan mempertimbangkan bagaimana aplikasi mereka akan menggunakannya, namun tidak untuk dimasukkan ke dalam sistem karena algoritma dapat sedikit berubah sebelum standar diselesaikan.

Sebagai persiapan, pengguna dapat menginventarisasi sistem mereka untuk aplikasi yang menggunakan kriptografi public-key, yang perlu diganti sebelum komputer quantum yang relevan secara kriptografi muncul. Mereka juga dapat memberi tahu departemen TI dan vendor mereka tentang perubahan yang akan datang.

Sumber: NIST GOV

Akun Twitter dan YouTube Angkatan Darat Inggris diretas untuk mendorong penipuan crypto

by

Akun Twitter dan YouTube Angkatan Darat Inggris diretas dan diubah untuk mempromosikan penipuan kripto online kemarin.

Khususnya, akun Twitter terverifikasi tentara mulai menampilkan NFT palsu dan skema pemberian kripto palsu.

Akun YouTube terlihat menayangkan streaming langsung “Ark Invest” yang menampilkan klip Elon Musk yang lebih lama untuk menyesatkan pengguna agar mengunjungi situs penipuan cryptocurrency.

Dalam sebuah pernyataan yang dirilis tadi malam, Kementerian Pertahanan Inggris mengkonfirmasi telah mendapatkan kembali kendali atas akun Twitter dan YouTube-nya yang telah diretas untuk mempromosikan penipuan cryptocurrency.

Pelaku ancaman telah membajak akun media sosial Angkatan Darat untuk mendorong Non-Fungible Token (NFT) palsu dan skema pemberian crypto palsu.

Akun Twitter terverifikasi Angkatan Darat Inggris diretas dan diganti namanya menjadi ‘pssssd’ (Wayback Machine)

Peretas semakin menargetkan akun Twitter terverifikasi untuk melakukan berbagai aktivitas jahat—mulai dari menipu korban demi uang hingga mengirimkan pemberitahuan “penangguhan” akun palsu, seperti yang dilaporkan oleh BleepingComputer minggu ini.

Twitter biasanya memverifikasi akun hanya jika akun tersebut mewakili selebritas, politisi, jurnalis, aktivis, pemberi pengaruh terkemuka, serta organisasi pemerintah dan swasta.

Untuk menerima ‘lencana biru’ terverifikasi, pengguna Twitter harus mengajukan permohonan verifikasi dan mengirimkan dokumentasi pendukung untuk menunjukkan mengapa akun mereka ‘terkenal.’

Mendapatkan lencana biru tidak mudah dan memilikinya dapat membuat akun terlihat lebih “asli”, yang membuatnya memberi insentif bagi pelaku ancaman untuk meretas akun terverifikasi yang ada dan merusaknya untuk tujuan mereka.

Dengan cara yang sama, saluran YouTube Angkatan Darat Inggris memulai “streaming langsung” video lama Elon Musk untuk memikat pengguna agar mengunjungi situs penipuan crypto “Ark Invest” palsu.

Saluran YouTube Angkatan Darat Inggris mempromosikan skema crypto Elon Musk palsu​​​​

Perhatikan, streaming langsung “Ark Invest” yang digunakan dalam serangan ini juga bukan hal baru.

Pada bulan Mei tahun ini, peneliti keamanan McAfee dan BleepingComputer telah melaporkan melihat banyak streaming langsung YouTube “Ark Invest” Elon Musk. Pada bulan Mei, Penipu di balik serangan semacam itu telah mencuri lebih dari $1,3 juta setelah streaming ulang versi yang diedit dari diskusi panel langsung lama tentang cryptocurrency yang menampilkan Elon Musk, Jack Dorsey, dan Cathie Wood di konferensi “The Word” Ark Invest.

Masih belum diketahui bagaimana tepatnya dua akun media sosial Angkatan Darat Inggris dibajak hampir bersamaan, dan apakah ada yang menjadi korban penipuan ini.

Sumber: Bleeping Computer

Peretas mengklaim telah mencuri data 1 miliar warga Tiongkok

by

Seorang aktor ancaman anonim menjual beberapa database yang mereka klaim berisi lebih dari 22 terabyte informasi curian pada sekitar 1 miliar warga China untuk 10 bitcoin (sekitar $195.000).

Pengumuman tersebut diposting di forum peretas oleh seseorang yang menggunakan nama ‘ChinaDan’, yang mengatakan bahwa informasi tersebut bocor dari database Kepolisian Nasional Shanghai (SHGA).

Berdasarkan informasi yang mereka bagikan mengenai data yang diduga dicuri, database berisi nama warga negara China, alamat, nomor ID nasional, nomor info kontak, dan beberapa miliar catatan kriminal.

ChinaDan juga membagikan sampel dengan 750.000 catatan yang berisi info pengiriman, informasi ID, dan catatan panggilan polisi. Catatan ini akan memungkinkan pembeli yang tertarik untuk memverifikasi bahwa data yang dijual tidak palsu.

“Pada tahun 2022, database Shanghai National Police (SHGA) bocor. Database ini berisi banyak TB data dan informasi tentang Miliaran warga China,” kata aktor ancaman itu dalam postingannya pekan lalu.

“Basis data berisi informasi tentang 1 Miliar penduduk nasional Tiongkok dan beberapa miliar catatan kasus, termasuk: Nama, Alamat, Tempat Lahir, Nomor ID Nasional, Nomor Ponsel, Semua Rincian Kejahatan / Kasus.”

Pelaku ancaman mengonfirmasi bahwa data dieksfiltrasi dari cloud pribadi lokal yang disediakan oleh Aliyun (Alibaba Cloud), bagian dari jaringan polisi China (alias jaringan keamanan publik).

Gambar: BleepingComputer

Pada hari Minggu, CEO Binance Zhao Changpeng mengkonfirmasi bahwa pakar intelijen ancaman perusahaannya melihat klaim ChinaDan dan mengatakan bahwa kebocoran itu kemungkinan disebabkan oleh database ElasticSearch yang secara tidak sengaja diekspos oleh agen pemerintah China secara online.

Jika klaim ChinaDan terbukti akurat, ini akan menjadi pelanggaran data paling signifikan yang pernah berdampak pada China dan salah satu yang terbesar dalam sejarah.

Sumber: Bleeping Computer

Ransomware AstraLocker dimatikan dan melepaskan decryptors

by

Pelaku ancaman di balik ransomware AstraLocker yang kurang dikenal mengatakan kepada BleepingComputer bahwa mereka menghentikan operasi dan berencana untuk beralih ke cryptojacking.

Pengembang ransomware mengirimkan arsip ZIP dengan dekripsi AstraLocker ke platform analisis malware VirusTotal.

BleepingComputer mengunduh arsip dan mengonfirmasi bahwa decryptor itu sah dan berfungsi setelah menguji salah satunya terhadap file yang dienkripsi dalam kampanye AstroLocker baru-baru ini.

Meskipun kami hanya menguji satu decryptor yang berhasil mendekripsi file yang dikunci dalam satu kampanye, decryptor lain dalam arsip kemungkinan dirancang untuk mendekripsi file yang dienkripsi dalam kampanye sebelumnya.

Dekripsi AstraLocker (BleepingComputer)

Sementara pengembang tidak mengungkapkan alasan di balik penutupan AstraLocker, kemungkinan karena publisitas tiba-tiba yang dibawa oleh laporan baru-baru ini yang akan mendaratkan operasi di garis bidik penegakan hukum.

Decryptor universal untuk ransomware AstraLocker saat ini sedang dalam pengerjaan, yang akan dirilis di masa mendatang oleh Emsisoft, sebuah perusahaan perangkat lunak yang dikenal membantu korban ransomware dengan dekripsi data.

Meskipun tidak terjadi sesering yang kami inginkan, grup ransomware lain telah merilis kunci dekripsi dan dekripsi ke BleepingComputer dan peneliti keamanan sebagai isyarat niat baik saat mematikan atau merilis versi baru.

Seperti yang baru-baru ini diungkapkan oleh firma intelijen ancaman ReversingLabs, AstraLocker menggunakan metode yang agak tidak lazim untuk mengenkripsi perangkat korbannya dibandingkan dengan jenis ransomware lainnya.

Alih-alih mengkompromikan perangkat terlebih dahulu (baik dengan meretasnya atau membeli akses dari pelaku ancaman lainnya), operator AstraLocker akan langsung menyebarkan muatan dari lampiran email menggunakan dokumen Microsoft Word yang berbahaya.

Umpan yang digunakan dalam serangan AstroLocker adalah dokumen yang menyembunyikan objek OLE dengan muatan ransomware yang akan disebarkan setelah target mengklik Jalankan dalam dialog peringatan yang ditampilkan saat membuka dokumen.

Catatan tebusan AstraLocker (ReversingLabs)

Sebelum mengenkripsi file pada perangkat yang sekarang disusupi, ransomware akan memeriksa apakah itu berjalan di mesin virtual, mematikan proses dan menghentikan pencadangan dan layanan AV yang akan menghambat proses enkripsi.

Berdasarkan analisis ReversingLabs, AstraLocker didasarkan pada kode sumber ransomware Babuk Locker (Babyk) yang bocor, jenis buggy tetapi masih berbahaya yang keluar dari ruang angkasa pada September 2021.

Selain itu, salah satu alamat dompet Monero dalam catatan tebusan AstraLocker juga terkait dengan operator ransomware Chaos.

Sumber: Bleeping Computer