Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for AvosLocker

AvosLocker

Bug ransomware Conti, REvil, LockBit dieksploitasi untuk memblokir enkripsi

by

Peretas biasanya mengeksploitasi kerentanan di jaringan perusahaan untuk mendapatkan akses, tetapi seorang peneliti telah membalikkan keadaan dengan menemukan eksploitasi di ransomware dan malware paling umum yang didistribusikan saat ini.

Malware dari operasi ransomware terkenal seperti Conti, REvil, Black Basta, LockBit, atau AvosLocker, semuanya datang dengan masalah keamanan yang dapat dieksploitasi untuk menghentikan langkah terakhir dan paling merusak dari serangan, enkripsi file.

Menganalisis jenis malware dari geng ransomware ini, seorang peneliti keamanan bernama hyp3rlinx menemukan bahwa sampel tersebut rentan terhadap DLL hijacking, sebuah metode yang biasanya dimanfaatkan oleh penyerang untuk menyuntikkan kode berbahaya ke dalam aplikasi yang sah.

Untuk setiap bagian malware yang dianalisis, peneliti memberikan laporan yang menjelaskan jenis kerentanan yang ditemukan, hash sampel, eksploitasi proof-of-concept (PoC), dan video demo.

Untuk sampel ransomware yang rentan dari Conti, REvil, LockBit, Black Basta, LockiLocker, dan AvosLocker, peneliti mengatakan bahwa exploit mereka memungkinkan mengeksekusi kode untuk “mengendalikan dan menghentikan pra-enkripsi malware.”

Di bawah ini adalah video dari peneliti yang mengeksploitasi kerentanan DLL hijacking di REvil ransomware untuk menghentikan malware sebelum proses enkripsi dimulai.

Untuk bertahan melawan keluarga ransomware ini, hyp3rlinx mengatakan bahwa DLL dapat ditempatkan di lokasi di mana penjahat siber cenderung menjalankan ransomware mereka, seperti lokasi jaringan dengan data penting.

Berikut adalah laporan kerentanan untuk sampel ransomware yang dianalisis: Conti, REvil, LockBit, Black Basta, LockiLocker, dan AvosLocker.

Selengkapnya: Bleeping Computer

Ransomware AvosLocker versi Linux menargetkan server VMware ESXi

by

AvosLocker adalah geng ransomware terbaru yang telah menambahkan dukungan untuk mengenkripsi sistem Linux ke varian malware terbaru, yang secara khusus menargetkan mesin virtual VMware ESXi.

Beberapa bulan yang lalu, geng AvosLocker juga terlihat mengiklankan varian ransomware terbarunya, Windows Avos2 dan AvosLinux, sambil memperingatkan afiliasi untuk tidak menyerang target pasca-soviet/CIS.

VM ESXi dihentikan sebelum enkripsi
Setelah diluncurkan pada sistem Linux, AvosLocker akan menghentikan semua mesin ESXi di server menggunakan perintah berikut:

esxcli –formatter=csv –format-param=fields==”WorldID,DisplayName” daftar proses vm | ekor -n +2 | awk -F $’,’ ‘{system(“esxcli vm process kill –type=force –world-id=” $1)}’

Setelah mulai beroperasi pada sistem yang disusupi, ransomware akan menambahkan ekstensi .avoslinux ke semua file terenkripsi.

Itu juga menjatuhkan catatan tebusan yang meminta para korban untuk tidak mematikan komputer mereka untuk menghindari korupsi file dan mengunjungi situs bawang untuk rincian lebih lanjut tentang cara membayar uang tebusan.

AvosLocker adalah geng baru yang pertama kali muncul selama musim panas 2021, menyerukan afiliasi ransomware di forum bawah tanah untuk bergabung dengan operasi Ransomware-as-a-Service (RaaS) mereka yang baru diluncurkan.

Langkah untuk menargetkan mesin virtual ESXi sejalan dengan target perusahaan mereka, yang baru-baru ini bermigrasi ke mesin virtual untuk pengelolaan perangkat yang lebih mudah dan penggunaan sumber daya yang lebih efisien.

Dengan menargetkan VM, operator ransomware juga memanfaatkan enkripsi beberapa server yang lebih mudah dan lebih cepat dengan satu perintah.

Sejak Oktober, ransomware Hive mulai mengenkripsi sistem Linux dan FreeBSD menggunakan varian malware baru, dalam beberapa bulan setelah peneliti melihat encryptor Linux REvil ransomware menargetkan VMware ESXi VM.

Emsisoft CTO Fabian Wosar mengatakan bahwa geng ransomware lain, termasuk Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide, dan Hellokitty, juga telah membuat dan menggunakan enkripsi Linux mereka sendiri.

Varian Linux ransomware HelloKitty dan BlackMatter juga ditemukan di alam liar oleh peneliti keamanan pada bulan Juli dan Agustus, yang lebih lanjut mengkonfirmasi pernyataan Wosar. Operasi ransomware Snatch dan PureLocker juga telah diamati menggunakan enkripsi Linux di masa lalu.

Sumber : Bleeping Computer

AvosLocker Ransomware Group Memberikan Decryptor Setelah Melanggar Polisi AS

by

Grup Ransomware AvosLocker telah memberikan decryptor gratis setelah secara tidak sengaja mengenkripsi agen pemerintah AS. Kelompok ransomware AvosLocker menyerang departemen kepolisian AS dan perangkat terenkripsi.

Kelompok ini juga mencuri data dari perangkat terenkripsi tersebut.

AvosLocker Ransomware Group dan niatnya

Menurut seorang peneliti keamanan pancak3, kelompok ransomware AvosLocker menyerahkan decryptor setelah menyadari bahwa korban adalah lembaga pemerintah.

Perlu dicatat bahwa para aktor hanya menyediakan decryptor dan bukan daftar file yang dicuri dan proses di mana mereka melanggar jaringan agensi. Menurut aktor AvosLocker, mereka biasanya tidak menargetkan badan pemerintah dan lembaga kesehatan.

AvosLocker juga menyebutkan bahwa mereka sengaja menghindari badan pemerintah karena uang pembayar pajak umumnya sulit didapat. Namun, penegak hukum telah menangkap beberapa anggota ransomware dalam beberapa waktu terakhir, yang mencakup kelompok ransomware Netwalker, REvil, Egregor dan Clop.

Tindakan penegakan hukum terhadap aktor ransomware

Tindakan ini telah membuat kelompok ransomware tertentu untuk menutup operasi mereka termasuk avaddon, REvil, BlackMatter dan kelompok DarkSide. Sementara kita tahu bahwa sebagian besar kelompok-kelompok ini mengubah citra diri mereka untuk melompat lagi untuk operasi lain, tekanan dari penegakan hukum harus dihargai.

Sumber: The Cyber Security Times