Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for BlackCat

BlackCat

NCR sedang Menyelidiki Insiden Ransomware yang Menyebabkan Pemadaman POS

by

Raksasa pemrosesan pembayaran NCR mengungkapkan serangan ransomware akhir pekan ini yang menyebabkan pemadaman pada teknologi titik penjualannya yang digunakan secara luas oleh restoran.

NCR menemukan serangan ransomware saat pemadaman pusat data berdampak pada beberapa pelanggan mereka pada 13 April.

Insiden tersebut memengaruhi layanan Aloha perusahaan yang menyediakan restoran dengan sistem untuk mengelola perangkat keras tempat penjualan, pesanan online, alat pemasaran, dan lainnya.

Juru bicara menegaskan bahwa serangan ransomware telah mempengaruhi kemampuan beberapa restoran untuk mengelola fungsi administratif. Perusahaan sekarang bekerja untuk menciptakan alternatif bagi pelanggan tersebut dan memulihkan alat yang terkena dampak.

NCR merespon insiden ini dengan menghubungi pelanggan, memberlakukan protokol keamanan sibernya dan melibatkan pakar dari luar untuk mengatasi insiden tersebut dan memulai proses pemulihan.

Investigasi atas insiden tersebut termasuk pakar NCR, pakar keamanan dunia maya forensik eksternal, dan penegak hukum federal, ”kata seorang juru bicara.

Pada 15 April, pakar keamanan dunia maya Dominic Alvieri mengatakan grup ransomware BlackCat/AlphV mengambil pujian atas serangan tersebut, memposting perusahaan di situs kebocorannya.

Cuitan twitter pakar keamanan siber Dominic Alvieri mengenai grup ransomware BlackCat/AlphV
Cuitan twitter pakar keamanan siber Dominic Alvieri mengenai grup ransomware BlackCat

Grup tersebut berbagi pesan yang diduga antara perwakilan NCR dan peretas BlackCat, mengklaim bahwa meskipun tidak ada data yang dicuri selama serangan, mereka dapat mencuri kredensial yang digunakan pelanggan untuk mengakses sistem mereka.

Selengkapnya: The Record

Geng Ransomware Mengkloning Situs Web Korban Untuk Membocorkan Data Yang Dicuri

by

Operator ransomware ALPHV menjadi kreatif dengan taktik pemerasan mereka, setidaknya dalam satu kasus, membuat replika situs korban untuk mempublikasikan data yang dicuri di dalamnya.

ALPHV sebagai Ransomware BlackCat, dikenal karena menguji taktik pemerasan baru sebagai cara untuk menekan dan mempermalukan korbannya agar membayar.

Peretas Membuat Data Yang Dicuri Lebih Mudah Didapat
Pada 26 Desember, aktor ancaman menerbitkan di situs kebocoran data mereka yang disembunyikan di jaringan Tor bahwa mereka telah menyusupi sebuah perusahaan di bidang jasa keuangan.

BlackCat melakukan langkah standar untuk operator ransomware dengan menerbitkan semua file yang dicuri sebagai hukuman akibat korban tidak memenuhi tuntutan pelaku ancaman.

Para peretas juga memutuskan untuk membocorkan data di situs yang meniru korban dalam hal penampilan dan nama domain.

Situs yang dikloning ada di web yang jelas untuk memastikan ketersediaan file yang dicuri secara luas.

ALPHV ransomware menerbitkan data curian di situs yang menyamar sebagai korban (BleepingComputer)

Pembentukan Tren Baru
Menurut Brett Callow, analis ancaman di perusahaan cybersecurity Emsisoft, berbagi data pada domain yang salah ketik akan menjadi perhatian lebih besar bagi perusahaan korban daripada mendistribusikan data melalui situs web di jaringan Tor, yang diketahui oleh komunitas infosec.

Operasi ransomware selalu mencari opsi baru untuk memeras korbannya. Antara mempublikasikan nama perusahaan yang dilanggar, mencuri data dan mengancam untuk meminta tebusan, dan ancaman DDoS. Taktik ini bisa menjadi awal dari tren baru yang mungkin diadopsi oleh geng ransomware lain, karena biayanya jauh dari signifikan.

Meski tidak jelas seberapa suksesnya, strategi ini mengekspos pelanggaran ke audiens yang lebih besar, menempatkan korban pada posisi yang lebih rentan karena datanya tersedia tanpa batasan apa pun.

Selengkapnya: BleepingComputer

Ransomware BlackCat mengklaim serangan terhadap agen energi Italia

by

Geng ransomware BlackCat/ALPHV mengaku bertanggung jawab atas serangan yang menghantam sistem agen energi Italia Gestore dei Servizi Energetici SpA (GSE) selama akhir pekan.

GSE adalah perusahaan milik publik yang mempromosikan dan mendukung sumber energi terbarukan (RES) di seluruh Italia.

GSE mengungkapkan bahwa situs web dan sistemnya diturunkan untuk memblokir penyerang mendapatkan akses ke data setelah mendeteksi serangan pada Minggu malam—situs web GSE masih tidak aktif, hampir seminggu setelah insiden tersebut.

Sebelum pengungkapan GSE, grup ransomware BlackCat menambahkan entri baru ke situs kebocoran data web gelapnya yang mengklaim telah mencuri sekitar 700GB file dari server badan energi Italia.

Para penyerang mengatakan bahwa file yang dicuri berisi data rahasia, termasuk kontrak, laporan, informasi proyek, dokumen akuntansi, dan dokumentasi internal lainnya.

Serangan ini menyusul insiden lain yang melibatkan Eni SpA, perusahaan energi terbesar di Italia, dengan lebih dari 31.000 karyawan yang beroperasi di pasar nasional dan internasional.

Eni SpA juga mengungkapkan bahwa baru-baru ini diretas sebagai bagian dari serangan siber yang menurut perusahaan memiliki konsekuensi kecil pada operasinya.

Awal tahun ini, BlackCat juga mengatakan berada di balik serangan ransomware terhadap Creos Luxembourg S.A., jaringan pipa gas alam dan operator jaringan listrik dari Eropa Tengah, dan perusahaan pemasok bensin Jerman Oiltanking.

Situs GSE masih down (BleepingComputer)

Operasi ransomware BlackCat/ALPHV diluncurkan pada November 2021 dan diyakini sebagai rebrand dari geng DarkSide/BlackMatter.

Geng ransomware pertama kali mendapatkan ketenaran sebagai DarkSide setelah menyerang Colonial Pipeline dan mendarat di garis bidik penegakan hukum internasional.

Meskipun mereka berganti nama menjadi BlackMatter pada Juli 2021, mereka dengan cepat terpaksa ditutup lagi pada November, setelah server geng disita dan Emsisoft menemukan dan mengeksploitasi kelemahan ransomware untuk membuat decryptor.

Grup ini dianggap sebagai salah satu ancaman ransomware paling signifikan yang saat ini menargetkan perusahaan di seluruh dunia.

Sejauh ini, telah dikaitkan dengan serangan terhadap perusahaan seperti penyedia layanan penanganan kargo maskapai Swissport dan grup mode Moncler.

Baru-baru ini, BlackCat juga telah mengembangkan taktik pemerasannya, meluncurkan basis data baru yang dapat dicari dari data curian yang membuat serangan pemerasan ganda kelompok itu semakin merusak korban.

Pada bulan April, FBI memperingatkan bahwa BlackCat memiliki “jaringan dan pengalaman luas dengan operasi ransomware” karena mereka telah melanggar lebih dari 60 entitas di seluruh dunia antara November 2021 dan Maret 2022.

Sumber: Bleeping Computer

Ransomware BlackCat mengklaim serangan terhadap Creos Luxembourg S.A.

by

Geng ransomware ALPHV, alias BlackCat, mengaku bertanggung jawab atas serangan siber terhadap Creos Luxembourg S.A. pekan lalu, operator jaringan pipa gas alam dan listrik di negara Eropa tengah itu.

Pemilik Creos, Encevo, yang beroperasi sebagai pemasok energi di lima negara Uni Eropa, mengumumkan pada 25 Juli bahwa mereka telah mengalami serangan siber pada akhir pekan sebelumnya, antara 22 dan 23 Juli.

Sementara serangan siber telah mengakibatkan portal pelanggan Encevo dan Creos menjadi tidak tersedia, tidak ada gangguan dalam layanan yang disediakan.

Pada tanggal 28 Juli, perusahaan memposting pembaruan tentang serangan siber, dengan hasil awal penyelidikan mereka menunjukkan bahwa penyusup jaringan telah mengekstrak “sejumlah data” dari sistem yang diakses.

Pada saat itu, Encevo tidak dalam posisi untuk memperkirakan cakupan dampak dan dengan ramah meminta pelanggan untuk bersabar sampai penyelidikan selesai, di mana setiap orang akan menerima pemberitahuan yang dipersonalisasi.

Karena tidak ada pembaruan lebih lanjut yang diposting di portal media Encevo, prosedur ini kemungkinan masih berlangsung. Encevo mengatakan bahwa ketika lebih banyak informasi tersedia, itu akan diposting di halaman web khusus untuk serangan siber.

Untuk saat ini, semua pelanggan disarankan untuk mengatur ulang kredensial akun online mereka, yang mereka gunakan untuk berinteraksi dengan layanan Encevo dan Creos. Selanjutnya, jika kata sandi tersebut sama di situs lain, pelanggan juga harus mengubah kata sandi mereka di situs tersebut.

Grup ransomware ALPHV/BlackCat menambahkan Creos ke situs pemerasannya pada hari Sabtu, mengancam akan menerbitkan 180.000 file curian dengan ukuran total 150 GB, termasuk kontrak, perjanjian, paspor, tagihan, dan email.

Meskipun tidak ada waktu pasti yang diumumkan untuk pemenuhan ancaman ini, para peretas berjanji pengungkapan akan terjadi hari ini (Senin).

ALPHV ransomware adding Creos on extortion site

ALPHV/BlackCat baru-baru ini meluncurkan platform pemerasan baru di mana mereka membuat data yang dicuri dapat dicari oleh pengunjung, dengan tujuan untuk meningkatkan tekanan pada korban mereka agar mereka membayar uang tebusan.

Sementara BlackCat terus berinovasi pemerasan data, mereka tampaknya tidak pernah belajar dari kesalahan mereka dan terus menargetkan perusahaan-perusahaan terkenal yang kemungkinan akan menempatkan mereka di persimpangan lembaga penegak hukum internasional.

BlackCat diyakini sebagai operasi rebranding DarkSide, yang ditutup di bawah tekanan dari penegak hukum setelah serangan ransomware yang dipublikasikan di Colonial Pipeline.

Setelah menutup DarkSide, mereka berganti nama menjadi BlackMatter untuk menghindari penegakan hukum, tetapi tekanan berlanjut dengan geng ditutup lagi.

Sejak November 2021, ketika pelaku ancaman diluncurkan kembali sebagai BlackCat/ALPHV, pelaku ancaman cenderung menghindari target besar Amerika dan malah menargetkan entitas Eropa, seperti negara bagian Austria, rantai mode Italia, dan penyedia layanan bandara Swiss.

Namun, tampaknya mereka belum belajar dari kesalahan mereka dan terus menyerang infrastruktur penting, seperti perusahaan pemasok bensin Jerman Oiltanking pada Februari dan sekarang Creos Luxembourg.

Sumber: Bleeping Computer

BlackCat Menambahkan Penerbit Elden Ring Sebagai Korban Terbarunya

by

Bandai Namco, penerbit Jepang di balik game Ace Combat, Dragon Ball Z, dan Dark Souls, tampaknya menjadi perusahaan game besar terbaru yang mengalami peretasan besar. Kelompok ransomware BlackCat menambahkan penerbit Elden Ring ke daftar korbannya hari ini, meskipun belum jelas tingkat kerusakan atau berapa banyak uang yang diminta kelompok itu.

Bandai Namco tidak segera menanggapi permintaan komentar. Vx-underground sebelumnya telah melaporkan peretasan lain, termasuk Lapsu$ yang terkenal, sebelum perusahaan itu sendiri mengonfirmasinya.

Grup pengawas ransomware DarkFeed juga membagikan tangkapan layar peretasan yang diklaim BlackCat sebelumnya hari ini. Vx-underground dan DarkFeed juga tidak segera menanggapi permintaan komentar.

BlackCat, yang anggotanya diyakini juga terlibat dalam peretasan Colonial Pipeline tahun lalu, telah meningkatkan serangan ransomware, menurut beberapa analis keamanan komputer serta FBI.

Baru-baru ini, peretasan telah mengakibatkan BlackCat memposting data karyawan pribadi secara online jika para korban menolak untuk membayar. Di masa lalu, kelompok tersebut telah menuntut jutaan, dan menargetkan distrik sekolah dan entitas publik lainnya selain perusahaan nirlaba.

Jika sah, ini akan menjadi yang terbaru dari serangkaian peretasan baru-baru ini di perusahaan game besar. Capcom dipukul pada akhir 2020, dengan beberapa rilis yang tidak diumumkan yang akan datang seperti Dragon’s Dogma 2 bocor pada saat itu.

Peretasan produsen chip grafis Nvidia yang sekarang terkenal akhirnya membocorkan banyak proyek game besar lainnya seperti Kingdom Hearts 4. CD Projekt Red, studio Polandia di belakang The Witcher 3 dan Cyberpunk 2077, memiliki data karyawan dan kode sumber untuk salah satu gamenya dicuri pada awal 2021. Bahkan penerbit FIFA Electronic Arts dipukul, dengan para pelaku yang diduga mencoba membuat outlet media Vice memeras perusahaan atas namanya.

Tidak jelas berapa banyak peningkatan yang tampak dalam pelanggaran keamanan disebabkan oleh teknik baru yang digunakan oleh peretas vs. tantangan yang lebih besar yang dihadapi perusahaan ketika pindah ke bekerja dari rumah selama pandemi global. Capcom menyalahkan sebagian dari kerentanannya pada pekerjaan jarak jauh.

Pada saat yang sama, jaringan blockchain yang menampung raksasa game crypto Axie Infinity mengalami salah satu peretasan paling mahal dalam sejarah awal tahun ini, dilaporkan semua karena seorang karyawan jatuh ke skema phishing yang rumit.

Awal tahun ini, Bandai Namco membuat server untuk Dark Souls I, II, dan III offline setelah eksploitasi eksekusi kode jarak jauh (RCE) yang berbahaya ditemukan.

Sumber: Kotaku

Microsoft: Server Exchange diretas untuk menyebarkan ransomware BlackCat

by

Microsoft mengatakan afiliasi ransomware BlackCat sekarang menyerang server Microsoft Exchange menggunakan eksploitasi yang menargetkan kerentanan yang belum ditambal.

Setidaknya dalam satu insiden yang diamati oleh pakar keamanan Microsoft, penyerang perlahan-lahan bergerak melalui jaringan korban, mencuri kredensial, dan mengekstrak informasi yang akan digunakan untuk pemerasan ganda.

Dua minggu setelah kompromi awal menggunakan server Exchange yang belum ditambal sebagai vektor entri, pelaku ancaman menyebarkan muatan ransomware BlackCat di seluruh jaringan melalui PsExec.

Meskipun tidak menyebutkan kerentanan Exchange yang digunakan untuk akses awal, Microsoft menautkan ke penasihat keamanan mulai Maret 2021 dengan panduan untuk menyelidiki dan mengurangi serangan ProxyLogon.

Selain itu, meskipun Microsoft tidak menyebutkan nama afiliasi ransomware yang menyebarkan ransomware BlackCat dalam studi kasus ini, perusahaan tersebut mengatakan beberapa kelompok kejahatan dunia maya sekarang berafiliasi dengan operasi Ransomware sebagai Layanan (RaaS) ini dan secara aktif menggunakannya dalam serangan.

Masuk melalui server Exchange yang rentan (Microsoft)

Salah satunya, kelompok kejahatan dunia maya bermotivasi finansial yang dilacak sebagai FIN12, dikenal karena sebelumnya menggunakan ransomware Ryuk, Conti, dan Hive dalam serangan yang terutama menargetkan organisasi perawatan kesehatan.

Namun, seperti yang diungkapkan Mandiant, operator FIN12 jauh lebih cepat karena terkadang mereka melewatkan langkah pencurian data dan membutuhkan waktu kurang dari dua hari untuk melepaskan muatan enkripsi file mereka di seluruh jaringan target.

Ransomware BlackCat juga disebarkan oleh grup afiliasi yang dilacak sebagai DEV-0504 yang biasanya mengekstrak data yang dicuri menggunakan Stealbit, alat berbahaya yang disediakan geng LockBit kepada afiliasinya sebagai bagian dari program RaaS-nya.

DEV-0504 juga telah menggunakan jenis ransomware lain mulai Desember 2021, termasuk BlackMatter, Conti, LockBit 2.0, Revil, dan Ryuk.

Untuk mempertahankan diri dari serangan ransomware BlackCat, Microsoft menyarankan organisasi untuk meninjau postur identitas mereka, memantau akses eksternal ke jaringan mereka, dan memperbarui semua server Exchange yang rentan di lingkungan mereka sesegera mungkin.

Pada bulan April, FBI memperingatkan dalam peringatan kilat bahwa ransomware BlackCat telah digunakan untuk mengenkripsi jaringan setidaknya 60 organisasi di seluruh dunia antara November 2021 dan Maret 2022.

Namun, jumlah sebenarnya dari korban BlackCat kemungkinan besar jauh lebih tinggi mengingat lebih dari 480 sampel telah dikirimkan pada platform ID-Ransomware antara November 2021 dan Juni 2022.

Aktivitas BlackCat (ID-Ransomware)

Dalam peringatan April, FBI juga meminta admin dan tim keamanan yang mendeteksi aktivitas BlackCat dalam jaringan mereka untuk berbagi info insiden terkait dengan Pasukan Siber FBI lokal mereka.

Informasi berguna yang akan membantu melacak dan mengidentifikasi pelaku ancaman yang menggunakan ransomware ini dalam serangan mereka termasuk “Log IP yang menunjukkan panggilan balik dari alamat IP asing, alamat Bitcoin atau Monero dan ID transaksi, komunikasi dengan pelaku ancaman, file dekripsi, dan/atau sampel jinak dari file terenkripsi.”

Sumber: Bleeping Computer

LockBit, BlackCat, Swissport, Astaga! Aktivitas Ransomware Tetap Kuat

by

Penegakan hukum, eksekutif C-suite, dan komunitas keamanan telah fokus untuk menghentikan rentetan serangan ransomware. Namun meskipun demikian, langkah-langkah terbaru dari geng LockBit 2.0 dan BlackCat, ditambah pukulan akhir pekan ini di perusahaan logistik darat bandara Swissport, menunjukkan momok masih jauh dari selesai.

Kelompok ransomware telah meningkatkan lebih sedikit serangan dengan permintaan ransomware yang lebih tinggi, Coveware telah melaporkan, menemukan bahwa rata-rata pembayaran ransomware pada kuartal keempat tahun lalu naik 130 persen mencapai $322.168 . Demikian juga, Coveware menemukan lonjakan 63 persen dalam pembayaran tebusan rata-rata, hingga $117.116.

“Pergeseran taktis melibatkan upaya yang disengaja untuk memeras perusahaan yang cukup besar untuk membayar sejumlah uang tebusan ‘permainan besar’ tetapi cukup kecil untuk menjaga biaya operasi serangan dan mengakibatkan perhatian media dan penegakan hukum tetap rendah.”

Grup yang Ingin Menurunkan Profilnya
“Proporsi perusahaan yang diserang dalam ukuran 1.000 hingga 10.000 karyawan meningkat dari 8 persen di Q3 menjadi 14 persen di Q4,” para peneliti menemukan. “Pembayaran tebusan rata-rata hanya dalam ember karyawan ini jauh di utara satu juta dolar, yang menyeret jumlah rata-rata dan median Q4 lebih tinggi.”

Rebranding BlackCat, Ancaman Pemerasan Tiga Kali
BlackCat, juga dikenal sebagai ALPHV, operasi RaaS pemula, sedang meningkat dan dengan cepat merekrut afiliasi, menurut Graham Cluley dari Tripwire kelompok tersebut telah mulai menambahkan tekanan bagi korban mereka untuk membayar dengan tidak hanya mencuri data mereka dan mengancam akan merilisnya, tetapi juga menjanjikan penolakan layanan (DDoS) yang melumpuhkan jika mereka menolak untuk membayar taktik ransomware yang dikenal sebagai “pemerasan tiga kali lipat.”

Pertama kali ditemukan oleh MalwareHunterTeam, operator ransomware BlackCat berkode Rust menyebut diri mereka ALPHV, tetapi MalwareHunterTeam menjuluki mereka BlackCat setelah gambar yang digunakan pada halaman pembayaran yang harus dikunjungi korban di Tor untuk membayar. Laporan tersebut juga mengkonfirmasi bahwa BlackCat pada dasarnya adalah merek ulang, menambahkan anggota grup telah mengonfirmasi bahwa mereka adalah anggota grup BlackMatter/DarkSide sebelumnya.

LockBit 2.0 adalah kelompok lain yang menambahkan tekanan pada korbannya untuk membayar dengan ancaman untuk merilis data pelanggan perusahaan dan itu juga tidak terlalu rendah.

LockBit 2.0 baru-baru ini mengambil kredit untuk melanggar platform pertukaran cryptocurrency playbito.com, pemburu ancaman DarkTracer tweeted. Peneliti juga memposting peringatan dari LockBit2.0 bahwa grup tersebut akan mempublikasikan data pribadi lebih dari 100.000 pengguna platform kecuali uang tebusan dibayarkan pada 21 Februari.

“FBI mencari informasi apa pun yang dapat dibagikan, untuk memasukkan log batas yang menunjukkan komunikasi ke dan dari alamat IP asing, contoh catatan tebusan, komunikasi dengan pelaku ancaman, informasi dompet Bitcoin, file dekripsi, dan/atau sampel jinak. dari file terenkripsi,” kata peringatan FBI, menambahkan bahwa departemen tidak mendorong pembayaran uang tebusan, tetapi memahami keputusan bisnis perlu dibuat untuk menjaga operasi tetap berjalan.

Serangan Swissport: Ransomware Masih Kuat
Selama akhir pekan, Swissport dijatuhkan oleh serangan ransomware yang menyebabkan penundaan 22 penerbangan dari Zurich, Swiss, menurut juru bicara bandara yang berbicara dengan Der Speigel.

Penelitian terbaru dari Trellix menunjukkan bahwa bergerak maju pada tahun 2022, layanan keuangan akan dibombardir dengan serangan ransomware. Dari kuartal kedua hingga ketiga tahun 2021, serangan terhadap sektor keuangan dan asuransi meningkat sebesar 21 persen, diikuti oleh peningkatan hanya 7 persen pada serangan perawatan kesehatan, catat perusahaan itu.

Sumber : Threat Post

Ransomware BlackCat Melambung ke Puncak

by

BlackCat RaaS, juga dikenal sebagai ALPHV, pertama kali muncul pada pertengahan November dan sudah terbukti kecanggihannya. Itu menjadi geng ransomware profesional pertama yang menggunakan malware berbasis Rust. Sekarang, grup agresif ini sedang menuju puncak, dan mari kita lihat apa yang terjadi.

Unit 42 menyatakan bahwa BlackCat naik ke posisi ketujuh dalam peringkat kelompok ransomware global. Pemeringkatan ini didasarkan pada jumlah korban yang terdaftar di situs kebocoran data grup. Dalam waktu kurang dari sebulan, geng tersebut telah mengumpulkan lebih dari selusin korban yang berlokasi di AS, Jerman, Belanda, Prancis, Spanyol, dan Filipina.

Laporan lain oleh Sentinel Labs menyatakan bahwa kelompok tersebut telah menargetkan organisasi di India dan Australia, dan menuntut pembayaran tebusan antara $400.000 dan $3.000.000 dalam bentuk Bitcoin atau Monero.

Berbagai alasan dapat menjadi faktor dalam munculnya ALPHV RaaS. Beberapa dianataranya adalah:

  • Pemasaran yang efektif untuk afiliasi adalah salah satu alasan utama. Geng meminta afiliasi di forum web gelap populer dan membiarkan mereka menyimpan 80–90% dari pembayaran tebusan.
  • Dengan menggunakan bahasa pemrograman Rust, para pengembang dapat dengan mudah mengkompilasi malware terhadap OS apapun. Menjadi sangat dapat disesuaikan, Rust memungkinkan penyerang untuk mengindividualisasikan serangan.
  • Varonis menemukan bahwa BlackCat secara aktif merekrut mantan operator dari REvil, DarkSide, dan BlackMatter. Mereka mewawancara dan memeriksa afiliasi sebelum menambahkan mereka ke dalam grup.

Cyware Social