Clop ransomware

Clop Ransomware Menggunakan Malware TrueBot Untuk Akses ke Jaringan

December 13, 2022 by Coffee Bean

Peneliti keamanan telah memperhatikan lonjakan perangkat yang terinfeksi pengunduh malware TrueBot yang dibuat oleh grup peretasan berbahasa Rusia yang dikenal sebagai Silence.

Grup Silence dikenal karena perampokannya yang besar terhadap lembaga keuangan, dan telah mulai beralih dari phishing sebagai vektor kompromi awal.

Infeksi truebot

silence hackers telah menanam malware mereka di lebih dari 1500 sistem di seluruh dunia untuk mengambil shellcode, cobalt strike beacon the grace malwaare

Kampanye baru dianalisis oleh para peneliti di Cisco Talos, yang mengamati beberapa vektor serangan baru yang digunakan sejak Agustus 2022. para peretas menginfeksi sistem dengan Truebot (Silence.Downloader) setelah mengeksploitasi kerentanan kritis di server Netwrix Auditor yang dilacak sebagai CVE-2022- 31199.

Laporan dari Microsoft pada bulan Oktober telah menghubungkan worm dengan distribusi ransomware Clop oleh aktor ancaman yang mereka lacak sebagai DEV-0950, yang aktivitas jahatnya tumpang tindih dengan FIN11 dan TA505 (dikenal menggunakan Clop).

Truebot adalah modul tahap pertama yang dapat mengumpulkan informasi dasar dan mengambil tangkapan layar. Itu juga mengekstraksi informasi hubungan kepercayaan Direktori Aktif yang membantu aktor ancaman merencanakan aktivitas pasca-infeksi.

Alat eksfiltrasi data teleport baru

Pada fase pasca-kompromi, peretas menggunakan Truebot untuk menjatuhkan beacon Cobalt Strike atau malware Grace (FlawedGrace, GraceWire), yang dikaitkan dengan kelompok penjahat dunia maya TA505.

Setelah itu, penyusup menyebarkan Teleport, yang digambarkan Cisco sebagai alat kustom baru yang dibangun di C++ yang membantu peretas mencuri data secara diam-diam.

Saluran komunikasi antara Teleport dan server C2 dienkripsi. Operator dapat membatasi kecepatan unggah, memfilter file berdasarkan ukuran untuk mencuri lebih banyak, atau menghapus muatan. Semua ini dirancang untuk menjaga profil rendah pada mesin korban.

Teleportasi juga menampilkan opsi untuk mencuri file dari folder OneDrive, mengumpulkan email Outlook korban, atau menargetkan ekstensi file tertentu.

Dalam beberapa kasus, penyerang menyebarkan ransomware Clop setelah berpindah secara lateral ke sebanyak mungkin sistem dengan bantuan Cobalt Strike.

Aktivitas pasca-infeksi yang mengarah ke penerapan Clop (Cisco Talos)

Aktivitas silence gang
Silence melanjutkan serangan mereka dan dalam tiga tahun antara 2016 dan 2019 mereka mencuri setidaknya $4,2 juta dari bank-bank di bekas Uni Soviet, Eropa, Amerika Latin, dan Asia,

Pada dasarnya, mereka hanya menyerang organisasi di Russia namun Silence memperluas kemampuan mereka hingga titik global.

sumber : bleeping computer

Polisi Ukraina Menangkap Enam Orang Yang Terlibat dengan CLOP Ransomware

June 21, 2021 by Winnie the Pooh

Pihak berwenang di Ukraina minggu ini mendakwa enam orang yang diduga menjadi bagian dari kelompok ransomware CLOP, sebuah geng penjahat dunia maya dikatakan telah memeras lebih dari setengah miliar dolar dari para korban. Beberapa korban CLOP tahun ini saja termasuk Stanford University Medical School, University of California, dan University of Maryland.

Menurut pernyataan dan video yang dirilis, Polisi Cyber Ukraina mendakwa enam terdakwa dengan berbagai kejahatan komputer yang terkait dengan geng CLOP, dan melakukan 21 pencarian di seluruh wilayah Kyiv.

Debut pertama pada awal 2019, CLOP adalah salah satu dari beberapa kelompok ransomware yang meretas ke dalam organisasi, meluncurkan ransomware yang mengenkripsi file dan server, dan kemudian meminta pembayaran pemerasan sebagai imbalan atas kunci digital yang diperlukan untuk membuka kunci akses.

CLOP telah sangat sibuk selama enam bulan terakhir mengeksploitasi empat kerentanan zero-day yang berbeda di File Transfer Appliance (FTA), produk berbagi file yang dibuat oleh Accellion yang berbasis di California.

Geng CLOP memanfaatkan kelemahan tersebut untuk menyebarkan ransomware ke sejumlah besar pelanggan FTA Accellion, termasuk jaringan grosir AS Krogers, firma hukum Jones Day, firma keamanan Qualys, dan raksasa telekomunikasi Singapura Singtel.

Tidak jelas seberapa besar operasi penegakan hukum oleh otoritas Ukraina ini akan mempengaruhi keseluruhan operasi kelompok CLOP. Perusahaan intelijen cybersecurity Intel 471 mengatakan penggerebekan penegakan hukum di Ukraina terbatas pada sisi cash-out dan pencucian uang dari bisnis CLOP saja.

Selengkpanya: Krebs On Security

Geng ransomware membocorkan data yang dicuri dari universitas Colorado, Miami

March 24, 2021 by Winnie the Pooh

Nilai dan nomor jaminan sosial untuk mahasiswa di University of Colorado dan data pasien di University of Miami telah diposting online oleh grup ransomware Clop.

Mulai bulan Desember, pelaku ancaman yang berafiliasi dengan operasi ransomware Clop mulai menargetkan server Accellion FTA dan mencuri data yang tersimpan di dalamnya. Perusahaan menggunakan server ini untuk berbagi file dan informasi sensitif dengan orang di luar organisasi mereka.

Geng ransomware kemudian menghubungi organisasi tersebut dan meminta $ 10 juta dalam bentuk bitcoin atau mereka akan mempublikasikan data yang dicuri.

Sejak Februari, operasi ransomware Clop telah menerbitkan file yang dicuri menggunakan kerentanan di server berbagi file Accellion FTA.

Minggu ini, geng ransomware Clop mulai menerbitkan tangkapan layar file yang dicuri dari server Accellion FTA yang digunakan oleh Universitas Miami dan Colorado.

Pada bulan Februari, University of Colorado (CU) mengungkapkan bahwa mereka mengalami serangan siber di mana pelaku ancaman mencuri data melalui kerentanan Accellion FTA.

Clop ransomware telah mulai memposting tangkapan layar dari data yang dicuri, termasuk dokumen keuangan universitas, nilai siswa, catatan akademik, informasi pendaftaran, dan informasi biografi siswa.

Sementara University of Miami tidak pernah mengungkapkan insiden keamanan, operasi ransomware Clop juga menerbitkan tangkapan layar data pasien.

Data ini mencakup rekam medis, laporan demografis, dan spreadsheet dengan alamat email dan nomor telepon.

Selengkapnya: Bleeping Computer

Data Bombardier pembuat pesawat diposting di situs kebocoran ransomware setelah peretasan FTA

February 24, 2021 by Winnie the Pooh Leave a Comment

Produsen pesawat Kanada Bombardier hari ini telah mengungkapkan pelanggaran keamanan setelah beberapa datanya dipublikasikan di portal dark web yang dioperasikan oleh geng ransomware Clop.

Meskipun perusahaan tidak secara spesifik menyebutkan nama alat tersebut, kemungkinan besar mereka mengacu pada Accellion FTA, server web yang dapat digunakan oleh perusahaan untuk menghosting dan berbagi file besar yang tidak dapat dikirim melalui email ke pelanggan dan karyawan.

Pada Desember 2020, sebuah grup peretas menemukan zero-day di perangkat lunak FTA dan mulai menyerang perusahaan di seluruh dunia. Penyerang mengambil alih sistem, memasang shell web, dan kemudian mencuri data sensitif.

Para penyerang kemudian mencoba memeras perusahaan yang diretas, meminta pembayaran tebusan, atau mereka akan membuat data yang dicuri itu publik, menurut firma keamanan FireEye.

Data dari perusahaan data geo-spasial Fugro, firma teknologi Danaher, perusahaan telekomunikasi terbesar Singapura Singtel, dan firma hukum AS Jones Day sejauh ini telah dipublikasikan di situs yang sama.

Hari ini, nama Bombardier menambah daftar panjang dari korban peretasan tersebut, yang mendorong pembuat pesawat itu untuk mengumumkan pelanggaran keamanannya.

Data yang dibagikan di situs termasuk dokumen desain untuk berbagai pesawat Bombardier dan bagian pesawat. Tidak ada data pribadi yang dibagikan, tetapi pembuat pesawat kemungkinan besar marah karena beberapa kekayaan intelektual pribadinya sekarang ditawarkan sebagai unduhan gratis di dark web.

Sumber: ZDNet

FireEye menghubungkan serangan zero day di server FTA & kampanye pemerasan ke grup FIN11

February 23, 2021 by Winnie the Pooh

Serangan menggunakan zero-day di server Accellion FTA yang telah melanda sekitar 100 perusahaan di seluruh dunia pada Desember 2020 dan Januari 2021 telah dilakukan oleh kelompok kejahatan siber yang dikenal sebagai FIN11, kata firma keamanan siber FireEye hari ini.

Selama serangan, peretas mengeksploitasi empat kelemahan keamanan untuk menyerang server FTA, memasang kerangka web bernama DEWMODE, yang kemudian digunakan penyerang untuk mengunduh file yang disimpan pada peralatan FTA korban.

“Dari sekitar 300 total klien FTA, kurang dari 100 menjadi korban serangan itu,” kata Accellion dalam siaran pers hari ini. “Dalam grup ini, kurang dari 25 tampaknya mengalami pencurian data yang signifikan”.

Tetapi FireEye mengatakan bahwa beberapa dari 25 pelanggan ini sekarang telah menerima permintaan tebusan menyusul serangan terhadap server berbagi file FTA mereka.

Para penyerang menghubungi melalui email dan meminta pembayaran Bitcoin, atau mereka akan mempublikasikan data korban di “situs kebocoran” yang dioperasikan oleh geng ransomware Clop.

FireEye, yang telah membantu Accellion menyelidiki serangan-serangan ini, mengatakan serangan tersebut telah dikaitkan dengan dua kelompok aktivitas yang dilacak perusahaan sebagai UNC2546 (eksploitasi zero-day pada perangkat FTA) dan UNC2582 (email yang dikirim ke korban yang mengancam untuk mempublikasikan data tentang Tutup situs kebocoran ransomware).

Kedua grup memiliki infrastruktur yang tumpang tindih dengan FIN11, geng kejahatan siber besar yang ditemukan dan didokumentasikan FireEye tahun lalu, yang memiliki berbagai bentuk operasi kejahatan siber.

Selengkapnya: ZDNet

Forbes: High-Impact Windows 10 Security Threat Revealed As App-Killing Malware Evolves

January 6, 2020 by Winnie the Pooh

Biro Investigasi Federal (FBI) mengeluarkan peringatan ancaman yang berdampak tinggi kepada bisnis dan organisasi AS pada 2 Oktober 2019 lalu. Ancaman itu adalah ransomware, dan FBI memperingatkan bahwa penjahat dunia maya “meningkatkan dan mengubah teknik mereka untuk membuat serangan mereka lebih efektif dan untuk mencegah deteksi.”

Ransomware di balik serangan 23 Desember yang mengenkripsi “hampir semua sistem Windows” di Universitas Maastricht, telah berevolusi menjadi lebih dari ancaman bagi pengguna Windows 10. Peneliti keamanan telah mengungkapkan bahwa varian Clop ransomware terbaru sekarang akan menghentikan total 663 proses Windows sebelum enkripsi file dimulai.

Klik link dibawah ini untuk membaca berita selengkapnya.

Source: Forbes | Raw Github User Content

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Clop ransomware

Cookies Settings