Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for ALPHV

ALPHV

NCR sedang Menyelidiki Insiden Ransomware yang Menyebabkan Pemadaman POS

by

Raksasa pemrosesan pembayaran NCR mengungkapkan serangan ransomware akhir pekan ini yang menyebabkan pemadaman pada teknologi titik penjualannya yang digunakan secara luas oleh restoran.

NCR menemukan serangan ransomware saat pemadaman pusat data berdampak pada beberapa pelanggan mereka pada 13 April.

Insiden tersebut memengaruhi layanan Aloha perusahaan yang menyediakan restoran dengan sistem untuk mengelola perangkat keras tempat penjualan, pesanan online, alat pemasaran, dan lainnya.

Juru bicara menegaskan bahwa serangan ransomware telah mempengaruhi kemampuan beberapa restoran untuk mengelola fungsi administratif. Perusahaan sekarang bekerja untuk menciptakan alternatif bagi pelanggan tersebut dan memulihkan alat yang terkena dampak.

NCR merespon insiden ini dengan menghubungi pelanggan, memberlakukan protokol keamanan sibernya dan melibatkan pakar dari luar untuk mengatasi insiden tersebut dan memulai proses pemulihan.

Investigasi atas insiden tersebut termasuk pakar NCR, pakar keamanan dunia maya forensik eksternal, dan penegak hukum federal, ”kata seorang juru bicara.

Pada 15 April, pakar keamanan dunia maya Dominic Alvieri mengatakan grup ransomware BlackCat/AlphV mengambil pujian atas serangan tersebut, memposting perusahaan di situs kebocorannya.

Cuitan twitter pakar keamanan siber Dominic Alvieri mengenai grup ransomware BlackCat/AlphV
Cuitan twitter pakar keamanan siber Dominic Alvieri mengenai grup ransomware BlackCat

Grup tersebut berbagi pesan yang diduga antara perwakilan NCR dan peretas BlackCat, mengklaim bahwa meskipun tidak ada data yang dicuri selama serangan, mereka dapat mencuri kredensial yang digunakan pelanggan untuk mengakses sistem mereka.

Selengkapnya: The Record

Geng Ransomware Mengkloning Situs Web Korban Untuk Membocorkan Data Yang Dicuri

by

Operator ransomware ALPHV menjadi kreatif dengan taktik pemerasan mereka, setidaknya dalam satu kasus, membuat replika situs korban untuk mempublikasikan data yang dicuri di dalamnya.

ALPHV sebagai Ransomware BlackCat, dikenal karena menguji taktik pemerasan baru sebagai cara untuk menekan dan mempermalukan korbannya agar membayar.

Peretas Membuat Data Yang Dicuri Lebih Mudah Didapat
Pada 26 Desember, aktor ancaman menerbitkan di situs kebocoran data mereka yang disembunyikan di jaringan Tor bahwa mereka telah menyusupi sebuah perusahaan di bidang jasa keuangan.

BlackCat melakukan langkah standar untuk operator ransomware dengan menerbitkan semua file yang dicuri sebagai hukuman akibat korban tidak memenuhi tuntutan pelaku ancaman.

Para peretas juga memutuskan untuk membocorkan data di situs yang meniru korban dalam hal penampilan dan nama domain.

Situs yang dikloning ada di web yang jelas untuk memastikan ketersediaan file yang dicuri secara luas.

ALPHV ransomware menerbitkan data curian di situs yang menyamar sebagai korban (BleepingComputer)

Pembentukan Tren Baru
Menurut Brett Callow, analis ancaman di perusahaan cybersecurity Emsisoft, berbagi data pada domain yang salah ketik akan menjadi perhatian lebih besar bagi perusahaan korban daripada mendistribusikan data melalui situs web di jaringan Tor, yang diketahui oleh komunitas infosec.

Operasi ransomware selalu mencari opsi baru untuk memeras korbannya. Antara mempublikasikan nama perusahaan yang dilanggar, mencuri data dan mengancam untuk meminta tebusan, dan ancaman DDoS. Taktik ini bisa menjadi awal dari tren baru yang mungkin diadopsi oleh geng ransomware lain, karena biayanya jauh dari signifikan.

Meski tidak jelas seberapa suksesnya, strategi ini mengekspos pelanggaran ke audiens yang lebih besar, menempatkan korban pada posisi yang lebih rentan karena datanya tersedia tanpa batasan apa pun.

Selengkapnya: BleepingComputer

Ransomware BlackCat mengklaim serangan terhadap agen energi Italia

by

Geng ransomware BlackCat/ALPHV mengaku bertanggung jawab atas serangan yang menghantam sistem agen energi Italia Gestore dei Servizi Energetici SpA (GSE) selama akhir pekan.

GSE adalah perusahaan milik publik yang mempromosikan dan mendukung sumber energi terbarukan (RES) di seluruh Italia.

GSE mengungkapkan bahwa situs web dan sistemnya diturunkan untuk memblokir penyerang mendapatkan akses ke data setelah mendeteksi serangan pada Minggu malam—situs web GSE masih tidak aktif, hampir seminggu setelah insiden tersebut.

Sebelum pengungkapan GSE, grup ransomware BlackCat menambahkan entri baru ke situs kebocoran data web gelapnya yang mengklaim telah mencuri sekitar 700GB file dari server badan energi Italia.

Para penyerang mengatakan bahwa file yang dicuri berisi data rahasia, termasuk kontrak, laporan, informasi proyek, dokumen akuntansi, dan dokumentasi internal lainnya.

Serangan ini menyusul insiden lain yang melibatkan Eni SpA, perusahaan energi terbesar di Italia, dengan lebih dari 31.000 karyawan yang beroperasi di pasar nasional dan internasional.

Eni SpA juga mengungkapkan bahwa baru-baru ini diretas sebagai bagian dari serangan siber yang menurut perusahaan memiliki konsekuensi kecil pada operasinya.

Awal tahun ini, BlackCat juga mengatakan berada di balik serangan ransomware terhadap Creos Luxembourg S.A., jaringan pipa gas alam dan operator jaringan listrik dari Eropa Tengah, dan perusahaan pemasok bensin Jerman Oiltanking.

Situs GSE masih down (BleepingComputer)

Operasi ransomware BlackCat/ALPHV diluncurkan pada November 2021 dan diyakini sebagai rebrand dari geng DarkSide/BlackMatter.

Geng ransomware pertama kali mendapatkan ketenaran sebagai DarkSide setelah menyerang Colonial Pipeline dan mendarat di garis bidik penegakan hukum internasional.

Meskipun mereka berganti nama menjadi BlackMatter pada Juli 2021, mereka dengan cepat terpaksa ditutup lagi pada November, setelah server geng disita dan Emsisoft menemukan dan mengeksploitasi kelemahan ransomware untuk membuat decryptor.

Grup ini dianggap sebagai salah satu ancaman ransomware paling signifikan yang saat ini menargetkan perusahaan di seluruh dunia.

Sejauh ini, telah dikaitkan dengan serangan terhadap perusahaan seperti penyedia layanan penanganan kargo maskapai Swissport dan grup mode Moncler.

Baru-baru ini, BlackCat juga telah mengembangkan taktik pemerasannya, meluncurkan basis data baru yang dapat dicari dari data curian yang membuat serangan pemerasan ganda kelompok itu semakin merusak korban.

Pada bulan April, FBI memperingatkan bahwa BlackCat memiliki “jaringan dan pengalaman luas dengan operasi ransomware” karena mereka telah melanggar lebih dari 60 entitas di seluruh dunia antara November 2021 dan Maret 2022.

Sumber: Bleeping Computer

Ransomware BlackCat mengklaim serangan terhadap Creos Luxembourg S.A.

by

Geng ransomware ALPHV, alias BlackCat, mengaku bertanggung jawab atas serangan siber terhadap Creos Luxembourg S.A. pekan lalu, operator jaringan pipa gas alam dan listrik di negara Eropa tengah itu.

Pemilik Creos, Encevo, yang beroperasi sebagai pemasok energi di lima negara Uni Eropa, mengumumkan pada 25 Juli bahwa mereka telah mengalami serangan siber pada akhir pekan sebelumnya, antara 22 dan 23 Juli.

Sementara serangan siber telah mengakibatkan portal pelanggan Encevo dan Creos menjadi tidak tersedia, tidak ada gangguan dalam layanan yang disediakan.

Pada tanggal 28 Juli, perusahaan memposting pembaruan tentang serangan siber, dengan hasil awal penyelidikan mereka menunjukkan bahwa penyusup jaringan telah mengekstrak “sejumlah data” dari sistem yang diakses.

Pada saat itu, Encevo tidak dalam posisi untuk memperkirakan cakupan dampak dan dengan ramah meminta pelanggan untuk bersabar sampai penyelidikan selesai, di mana setiap orang akan menerima pemberitahuan yang dipersonalisasi.

Karena tidak ada pembaruan lebih lanjut yang diposting di portal media Encevo, prosedur ini kemungkinan masih berlangsung. Encevo mengatakan bahwa ketika lebih banyak informasi tersedia, itu akan diposting di halaman web khusus untuk serangan siber.

Untuk saat ini, semua pelanggan disarankan untuk mengatur ulang kredensial akun online mereka, yang mereka gunakan untuk berinteraksi dengan layanan Encevo dan Creos. Selanjutnya, jika kata sandi tersebut sama di situs lain, pelanggan juga harus mengubah kata sandi mereka di situs tersebut.

Grup ransomware ALPHV/BlackCat menambahkan Creos ke situs pemerasannya pada hari Sabtu, mengancam akan menerbitkan 180.000 file curian dengan ukuran total 150 GB, termasuk kontrak, perjanjian, paspor, tagihan, dan email.

Meskipun tidak ada waktu pasti yang diumumkan untuk pemenuhan ancaman ini, para peretas berjanji pengungkapan akan terjadi hari ini (Senin).

ALPHV ransomware adding Creos on extortion site

ALPHV/BlackCat baru-baru ini meluncurkan platform pemerasan baru di mana mereka membuat data yang dicuri dapat dicari oleh pengunjung, dengan tujuan untuk meningkatkan tekanan pada korban mereka agar mereka membayar uang tebusan.

Sementara BlackCat terus berinovasi pemerasan data, mereka tampaknya tidak pernah belajar dari kesalahan mereka dan terus menargetkan perusahaan-perusahaan terkenal yang kemungkinan akan menempatkan mereka di persimpangan lembaga penegak hukum internasional.

BlackCat diyakini sebagai operasi rebranding DarkSide, yang ditutup di bawah tekanan dari penegak hukum setelah serangan ransomware yang dipublikasikan di Colonial Pipeline.

Setelah menutup DarkSide, mereka berganti nama menjadi BlackMatter untuk menghindari penegakan hukum, tetapi tekanan berlanjut dengan geng ditutup lagi.

Sejak November 2021, ketika pelaku ancaman diluncurkan kembali sebagai BlackCat/ALPHV, pelaku ancaman cenderung menghindari target besar Amerika dan malah menargetkan entitas Eropa, seperti negara bagian Austria, rantai mode Italia, dan penyedia layanan bandara Swiss.

Namun, tampaknya mereka belum belajar dari kesalahan mereka dan terus menyerang infrastruktur penting, seperti perusahaan pemasok bensin Jerman Oiltanking pada Februari dan sekarang Creos Luxembourg.

Sumber: Bleeping Computer

Ransomware BlackCat Melambung ke Puncak

by

BlackCat RaaS, juga dikenal sebagai ALPHV, pertama kali muncul pada pertengahan November dan sudah terbukti kecanggihannya. Itu menjadi geng ransomware profesional pertama yang menggunakan malware berbasis Rust. Sekarang, grup agresif ini sedang menuju puncak, dan mari kita lihat apa yang terjadi.

Unit 42 menyatakan bahwa BlackCat naik ke posisi ketujuh dalam peringkat kelompok ransomware global. Pemeringkatan ini didasarkan pada jumlah korban yang terdaftar di situs kebocoran data grup. Dalam waktu kurang dari sebulan, geng tersebut telah mengumpulkan lebih dari selusin korban yang berlokasi di AS, Jerman, Belanda, Prancis, Spanyol, dan Filipina.

Laporan lain oleh Sentinel Labs menyatakan bahwa kelompok tersebut telah menargetkan organisasi di India dan Australia, dan menuntut pembayaran tebusan antara $400.000 dan $3.000.000 dalam bentuk Bitcoin atau Monero.

Berbagai alasan dapat menjadi faktor dalam munculnya ALPHV RaaS. Beberapa dianataranya adalah:

  • Pemasaran yang efektif untuk afiliasi adalah salah satu alasan utama. Geng meminta afiliasi di forum web gelap populer dan membiarkan mereka menyimpan 80–90% dari pembayaran tebusan.
  • Dengan menggunakan bahasa pemrograman Rust, para pengembang dapat dengan mudah mengkompilasi malware terhadap OS apapun. Menjadi sangat dapat disesuaikan, Rust memungkinkan penyerang untuk mengindividualisasikan serangan.
  • Varonis menemukan bahwa BlackCat secara aktif merekrut mantan operator dari REvil, DarkSide, dan BlackMatter. Mereka mewawancara dan memeriksa afiliasi sebelum menambahkan mereka ke dalam grup.

Cyware Social