Black Basta

Perusahaan teknologi multinasional ABB terkena serangan ransomware Black Basta

May 12, 2023 by Søren

Perusahaan multinasional Swiss ABB, penyedia teknologi elektrifikasi dan otomasi terkemuka, telah mengalami serangan ransomware Black Basta, yang dilaporkan berdampak pada operasi bisnis.

Berkantor pusat di Zurich, Swiss, ABB mempekerjakan sekitar 105.000 karyawan dan memiliki pendapatan $29,4 miliar untuk tahun 2022. Sebagai bagian dari layanannya, perusahaan mengembangkan sistem kontrol industri (ICS) dan sistem SCADA untuk manufaktur dan pemasok energi.

Perusahaan bekerja dengan berbagai pelanggan dan pemerintah daerah, termasuk Volvo, Hitachi, DS Smith, Kota Nashville, dan Kota Zaragoza.

“ABB mengoperasikan lebih dari 40 fasilitas teknik, manufaktur, penelitian, dan layanan yang berbasis di A.S. dengan rekam jejak yang terbukti melayani berbagai lembaga federal termasuk Departemen Pertahanan, seperti Korps Insinyur Angkatan Darat A.S., dan lembaga Sipil Federal seperti Departemen Interior, Transportasi, Energi, Penjaga Pantai Amerika Serikat, serta Layanan Pos AS,” bunyi situs web ABB.

Pada 7 Mei, perusahaan tersebut menjadi korban serangan ransomware yang dilakukan oleh Black Basta, sebuah grup kejahatan dunia maya yang muncul pada April 2022.

BleepingComputer telah belajar dari banyak karyawan bahwa serangan ransomware telah memengaruhi Direktori Aktif Windows perusahaan, memengaruhi ratusan perangkat.

Menanggapi serangan itu, ABB menghentikan koneksi VPN dengan pelanggannya untuk mencegah penyebaran ransomware ke jaringan lain.

BleepingComputer secara independen mengkonfirmasi serangan tersebut dari sumber yang mengetahui situasi tersebut dan meminta untuk tetap anonim.

Serangan itu dilaporkan mengganggu operasi perusahaan, menunda proyek dan berdampak pada pabrik.

BleepingComputer menghubungi ABB tentang serangan itu, tetapi mereka menolak berkomentar.

Selengkapnya: Bleeping Computer

Peretas FIN7 Membuat Platform Serangan Otomatis Untuk Menembus Server Exchange

December 23, 2022 by Coffee Bean

Grup peretasan FIN7 yang terkenal menggunakan sistem serangan otomatis yang mengeksploitasi Microsoft Exchange dan kerentanan injeksi SQL untuk menembus jaringan perusahaan, mencuri data, dan memilih target untuk serangan ransomware berdasarkan ukuran finansial.

Sistem ini ditemukan oleh tim intelijen ancaman Prodaft, yang telah mengikuti operasi FIN7 dengan cermat selama bertahun-tahun.

Menyerang otomatis Microsoft Exchange
Sistem serangan otomatis yang ditemukan oleh Prodaft disebut ‘Tanda centang’, dan ini adalah pemindai untuk beberapa eksekusi kode jarak jauh Microsoft Exchange dan kerentanan elevasi hak istimewa seperti CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207.

FIN7 menggunakan berbagai eksploit untuk mendapatkan akses ke jaringan target, termasuk kode kustom mereka sendiri dan PoC yang tersedia untuk umum.

Selain kelemahan MS Exchange, platform serangan Checkmarks juga dilengkapi modul injeksi SQL menggunakan SQLMap untuk memindai potensi kelemahan yang dapat dieksploitasi di situs web target.

Setelah tahap serangan awal, Tanda centang secara otomatis melakukan langkah pascaeksploitasi, seperti ekstraksi email dari Active Directory dan pengumpulan informasi server Exchange.

Korban baru ditambahkan secara otomatis ke panel pusat tempat operator FIN7 dapat melihat detail tambahan tentang titik akhir yang disusupi.

Uji tuntas yang dilakukan untuk mengevaluasi ukuran perusahaan dan status keuangan patut diperhatikan, dengan tim pemasaran FIN7 mengumpulkan informasi dari berbagai sumber, termasuk Owler, Crunchbase, DNB, Zoominfo, Mustat, dan Similarweb.

Ransomware dan pintu belakang SSH
Investigasi Prodaft menemukan bukti lebih lanjut dari koneksi DarkSide setelah mereka menemukan apa yang tampak seperti catatan tebusan dan file terenkripsi dari operasi ransomware.

Selain itu, para peneliti menemukan banyak bukti komunikasi dengan beberapa geng ransomware, termasuk Darkside, REvil, dan LockBit, dari log Jabber yang diambil.

penyelidikan menunjukkan bahwa alih-alih secara khusus menargetkan perusahaan yang berharga, FIN7 menargetkan semua orang dan mengevaluasi seberapa berharganya mereka di fase kedua.

Prodaft telah memberikan indikator kompromi (IOCs) dalam laporan mereka untuk backdoor berbasis SSH dan malware lain yang digunakan dalam serangan mereka. Sangat disarankan agar semua admin meninjau laporan untuk mempelajari bagaimana FIN7 menargetkan jaringan mereka.

sumber : bleeping computer

Ransomware Black Basta versi Linux menargetkan server VMware ESXi

June 8, 2022 by Eevee

Black Basta adalah geng ransomware terbaru yang menambahkan dukungan untuk mengenkripsi mesin virtual (VM) VMware ESXi yang berjalan di server Linux perusahaan.

Sebagian besar grup ransomware sekarang memfokuskan serangan mereka pada VM ESXi karena taktik ini selaras dengan penargetan perusahaan mereka. Ini juga memungkinkan untuk memanfaatkan enkripsi yang lebih cepat dari beberapa server dengan satu perintah.

Mengenkripsi VM masuk akal karena banyak perusahaan baru-baru ini bermigrasi ke mesin virtual karena memungkinkan pengelolaan perangkat yang lebih mudah dan penggunaan sumber daya yang jauh lebih efisien.

Dalam sebuah laporan baru, analis Uptycs Threat Research mengungkapkan bahwa mereka melihat binari ransomware Black Basta baru yang secara khusus menargetkan server VMWare ESXi.

Encryptor ransomware Linux bukanlah hal baru, dan BleepingComputer telah melaporkan encryptor serupa yang dirilis oleh beberapa geng lain, termasuk LockBit, HelloKitty, BlackMatter, REvil, AvosLocker, RansomEXX, dan Hive.

Seperti encryptor Linux lainnya, biner ransomware Black Basta akan mencari /vmfs/volumes tempat mesin virtual disimpan di server ESXi yang disusupi (jika tidak ada folder seperti itu yang ditemukan, ransomware akan keluar).

Ransomware menggunakan algoritma ChaCha20 untuk mengenkripsi file. Ini juga memanfaatkan multithreading untuk menggunakan banyak prosesor dan mempercepat proses enkripsi.

Saat mengenkripsi, ransomware akan menambahkan ekstensi .basta ke nama file terenkripsi dan membuat catatan tebusan bernama readme.txt di setiap folder.

Catatan tersebut menyertakan tautan ke panel dukungan obrolan dan ID unik yang dapat digunakan korban untuk berkomunikasi dengan penyerang.

Catatan tebusan Black Basta Linux (BleepingComputer)

“Berdasarkan tautan dukungan obrolan dan ekstensi file terenkripsi, kami percaya bahwa aktor di balik kampanye ini adalah sama yang menargetkan sistem Windows sebelumnya dengan ransomware Black Basta.”

Ransomware Black Basta pertama kali terlihat di alam liar pada minggu kedua bulan April, saat operasi tersebut dengan cepat meningkatkan serangannya yang menargetkan perusahaan di seluruh dunia.

Meskipun tuntutan tebusan geng cenderung bervariasi antara korban, BleepingComputer tahu setidaknya satu yang menerima permintaan lebih dari $ 2 juta untuk decryptor dan untuk menghindari kebocoran data online.

Meskipun tidak banyak lagi yang diketahui tentang geng ransomware baru, ini mungkin bukan operasi baru melainkan perubahan citra karena kemampuan mereka yang ditunjukkan untuk dengan cepat menembus korban baru dan gaya negosiasi (mungkin perubahan citra operasi ransomware Conti).

CTO Emsisoft Fabian Wosar sebelumnya telah memberi tahu bahwa geng ransomware lain (selain yang kami laporkan), termasuk Babuk, RansomExx/Defray, Mespinoza, GoGoogle, Snatch, PureLocker, dan DarkSide, juga telah mengembangkan dan menggunakan enkripsi Linux mereka sendiri.

Sumber: Bleeping Computer

Bug ransomware Conti, REvil, LockBit dieksploitasi untuk memblokir enkripsi

May 5, 2022 by Winnie the Pooh

Peretas biasanya mengeksploitasi kerentanan di jaringan perusahaan untuk mendapatkan akses, tetapi seorang peneliti telah membalikkan keadaan dengan menemukan eksploitasi di ransomware dan malware paling umum yang didistribusikan saat ini.

Malware dari operasi ransomware terkenal seperti Conti, REvil, Black Basta, LockBit, atau AvosLocker, semuanya datang dengan masalah keamanan yang dapat dieksploitasi untuk menghentikan langkah terakhir dan paling merusak dari serangan, enkripsi file.

Menganalisis jenis malware dari geng ransomware ini, seorang peneliti keamanan bernama hyp3rlinx menemukan bahwa sampel tersebut rentan terhadap DLL hijacking, sebuah metode yang biasanya dimanfaatkan oleh penyerang untuk menyuntikkan kode berbahaya ke dalam aplikasi yang sah.

Untuk setiap bagian malware yang dianalisis, peneliti memberikan laporan yang menjelaskan jenis kerentanan yang ditemukan, hash sampel, eksploitasi proof-of-concept (PoC), dan video demo.

Untuk sampel ransomware yang rentan dari Conti, REvil, LockBit, Black Basta, LockiLocker, dan AvosLocker, peneliti mengatakan bahwa exploit mereka memungkinkan mengeksekusi kode untuk “mengendalikan dan menghentikan pra-enkripsi malware.”

Di bawah ini adalah video dari peneliti yang mengeksploitasi kerentanan DLL hijacking di REvil ransomware untuk menghentikan malware sebelum proses enkripsi dimulai.

Untuk bertahan melawan keluarga ransomware ini, hyp3rlinx mengatakan bahwa DLL dapat ditempatkan di lokasi di mana penjahat siber cenderung menjalankan ransomware mereka, seperti lokasi jaringan dengan data penting.

Berikut adalah laporan kerentanan untuk sampel ransomware yang dianalisis: Conti, REvil, LockBit, Black Basta, LockiLocker, dan AvosLocker.

Selengkapnya: Bleeping Computer

Ransomware Black Basta baru beraksi dengan selusin pelanggaran

April 28, 2022 by Eevee

Geng ransomware baru yang dikenal sebagai Black Basta dengan cepat diluncurkan ke dalam operasi bulan ini, melanggar setidaknya dua belas perusahaan hanya dalam beberapa minggu.

Serangan Black Basta pertama yang diketahui terjadi pada minggu kedua bulan April, saat operasi tersebut dengan cepat mulai menyerang perusahaan di seluruh dunia.

Sementara tuntutan tebusan kemungkinan bervariasi antara korban, Salah satu korban yang menerima lebih dari $ 2 juta permintaan dari geng Black Basta untuk mendekripsi file dan tidak membocorkan data.

Seperti operasi ransomware penargetan perusahaan lainnya, Black Basta akan mencuri data dan dokumen perusahaan sebelum mengenkripsi perangkat perusahaan.

Data yang dicuri ini kemudian digunakan dalam serangan pemerasan ganda, di mana pelaku ancaman meminta uang tebusan untuk menerima decryptor dan mencegah penerbitan data korban yang dicuri.

Bagian pemerasan data dari serangan ini dilakukan di situs ‘Black Basta Blog’ atau ‘Basta News’ Tor, yang berisi daftar semua korban yang belum membayar uang tebusan. Black Basta perlahan akan membocorkan data setiap korban untuk mencoba dan menekan mereka agar membayar uang tebusan.

Situs kebocoran data Black Basta
Sumber: BleepingComputer

Situs kebocoran data Black Basta saat ini memuat halaman kebocoran data sepuluh perusahaan yang mereka langgar.

Korban terbaru mereka yang terdaftar adalah Deutsche Windtechnik, yang mengalami serangan cyber pada 11 April tetapi tidak mengungkapkan bahwa itu adalah serangan ransomware.

Kemarin, situs pembocor data juga mulai membocorkan data American Dental Association, yang diserang pada 22 April, tetapi halaman itu telah dihapus. Penghapusan halaman mereka menunjukkan bahwa perusahaan sedang bernegosiasi dengan pelaku ancaman.

Saat dijalankan, encryptor Black Basta perlu dijalankan dengan hak administratif, atau ia tidak akan mengenkripsi file. Setelah diluncurkan, encryptor akan menghapus Volume Shadow Copies menggunakan perintah berikut:

C:\Windows\system32\cmd.exe /c C:\Windows\SysNative\vssadmin.exe hapus bayangan /all /quiet
Kemudian akan membajak layanan Windows yang ada dan menggunakannya untuk meluncurkan enkripsi ransomware yang dapat dieksekusi. Dalam pengujian kami, Layanan Windows yang dibajak adalah layanan ‘Faks’, seperti yang ditunjukkan di bawah ini.

Layanan Fax Windows yang dibajak digunakan untuk meluncurkan Black Basta
Sumber: BleepingComputer

Ransomware juga akan mengubah wallpaper untuk menampilkan pesan yang menyatakan, “Jaringan Anda dienkripsi oleh grup Black Basta. Petunjuk dalam file readme.txt.”

Wallpaper ditambahkan oleh encryptor Black Basta
Sumber: BleepingComputer

Ransomware sekarang akan mem-boot ulang komputer ke Safe Mode with Networking, di mana layanan Windows yang dibajak akan dimulai dan secara otomatis mulai mengenkripsi file pada perangkat.

Pakar Ransomware Michael Gillespie, yang menganalisis proses enkripsi Black Basta, mengatakan bahwa ia menggunakan algoritma ChaCha20 untuk mengenkripsi file. Kunci enkripsi ChaCha20 kemudian dienkripsi dengan kunci RSA-4096 publik yang disertakan dalam file yang dapat dieksekusi.

Saat mengenkripsi file, ransomware akan menambahkan ekstensi .basta ke nama file terenkripsi. Jadi, misalnya, test.jpg akan dienkripsi dan diganti namanya menjadi test.jpg.basta.

File terenkripsi Black Basta
Sumber: BleepingComputer

Untuk menampilkan ikon kustom yang terkait dengan ekstensi .basta, ransomware akan membuat ekstensi kustom di Windows Registry dan mengaitkan ikon dengan file ICO bernama acak di folder %Temp%. Ikon kustom ini sangat mirip dengan yang digunakan oleh aplikasi ice.tools.

Di setiap folder pada perangkat terenkripsi, ransomware akan membuat file readme.txt yang berisi informasi tentang serangan dan tautan serta ID unik yang diperlukan untuk masuk ke sesi obrolan negosiasi mereka.

Catatan Tebusan Basta Hitam
Sumber: BleepingComputer

Situs negosiasi Tor berjudul ‘Obrolan Black Basta’ dan hanya menyertakan layar masuk dan obrolan web yang dapat digunakan untuk bernegosiasi dengan pelaku ancaman.

Pelaku ancaman menggunakan layar ini untuk mengeluarkan pesan selamat datang yang berisi permintaan tebusan, ancaman bahwa data akan bocor jika pembayaran tidak dilakukan dalam tujuh hari, dan janji laporan keamanan setelah uang tebusan dibayarkan.

Sayangnya, Gillespie mengatakan bahwa algoritma enkripsi aman dan tidak ada cara untuk memulihkan file secara gratis.

Berdasarkan seberapa cepat Black Basta mengumpulkan korban dan gaya negosiasi mereka, ini kemungkinan besar merupakan rebranding dari operasi yang berpengalaman.

Satu teori yang dibahas antara peneliti keamanan MalwareHunterTeam dan penulis ini adalah bahwa Black Basta mungkin merupakan rebranding yang akan datang dari operasi ransomware Conti.

Conti telah berada di bawah pengawasan ketat selama dua bulan terakhir setelah seorang peneliti Ukraina membocorkan harta karun berupa percakapan pribadi dan kode sumber ransomware.

Karena itu, telah berspekulasi bahwa Conti akan mengubah citra operasi mereka untuk menghindari penegakan hukum dan memulai dari awal dengan nama yang berbeda.

Sementara encryptor Black Basta sangat berbeda dari Conti, MalwareHunterTeam percaya bahwa ada banyak kesamaan dalam gaya negosiasi dan desain situs web mereka.

Selanjutnya, Black Basta merilis data untuk korban baru setelah tangkapan layar negosiasi bocor.

Sementara koneksi ini lemah, geng Black Basta perlu diawasi secara ketat karena mereka baru saja memulai operasinya.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Black Basta

Cookies Settings