Maze

FBI mengirimkan peringatan pertamanya tentang ‘afiliasi ransomware’

August 24, 2021 by Winnie the Pooh

Biro Investigasi Federal AS hari ini telah menerbitkan nasihat publik pertamanya yang merinci modus operandi “afiliasi ransomware.”

Istilah yang relatif baru, afiliasi ransomware mengacu pada orang atau kelompok yang menyewa akses ke platform Ransomware-as-a-Service (RaaS), mengatur intrusi ke dalam jaringan perusahaan, mengenkripsi file dengan “ransomware sewaan”, dan kemudian mendapatkan komisi dari pemerasan yang berhasil.

Dengan nama OnePercent Group, FBI mengatakan hari ini aktor ancaman ini telah aktif setidaknya sejak November 2020.

Menurut laporan FBI, secara historis, kelompok tersebut terutama mengandalkan taktik berikut untuk serangannya:

Menggunakan kampanye email phishing untuk menginfeksi korban dengan trojan IcedID.
Menggunakan trojan IcedID untuk menyebarkan muatan tambahan pada jaringan yang terinfeksi.
Menggunakan penetration testing framework Cobalt Strike untuk bergerak secara lateral melintasi jaringan korban.
Menggunakan RClone untuk mengekstrak data sensitif dari server korban.
Data terenkripsi dan meminta tebusan.
Menelepon atau mengirim email kepada korban untuk mengancam akan menjual data curian mereka di web gelap jika mereka tidak membayar tepat waktu.

Meskipun FBI tidak secara spesifik menyebut grup tersebut sebagai afiliasi ransomware, sumber di industri keamanan siber mengatakan kepada The Record bahwa OnePercent telah lama berkolaborasi dengan pencipta dan operator ransomware REvil (Sodinokibi) dan juga bekerja dengan operasi Maze dan Egregor.

Selengkapnya: The Record

Transaksi blockchain mengonfirmasi pemandangan ransomware yang suram dan saling berhubungan

February 5, 2021 by Winnie the Pooh

Sebuah laporan yang diterbitkan oleh firma investigasi blockchain Chainalysis mengonfirmasi bahwa kelompok kejahatan siber yang terlibat dalam serangan ransomware tidak beroperasi dalam gelembung mereka sendiri tetapi sering mengganti pemasok ransomware (layanan RaaS) untuk mencari keuntungan yang lebih baik.

Laporan tersebut menganalisis bagaimana dana Bitcoin ditransfer dari korban ke kelompok kriminal, dan bagaimana uang itu dibagi di antara berbagai pihak yang terlibat dalam serangan ransomware, dan bagaimana uang itu akhirnya dicuci.

Lanskap ransomware telah berevolusi dari tahun-tahun sebelumnya dan sekarang menjadi kumpulan dari berbagai kelompok kriminal, masing-masing menyediakan layanannya sendiri yang sangat terspesialisasi satu sama lain, seringkali di berbagai penyedia RaaS (Ransomware-as-a-Service) yang berbeda.

Laporan Chainalysis mengkonfirmasi teori informal ini dengan bukti kriptografi yang tak terbantahkan yang ditinggalkan oleh transaksi Bitcoin yang telah terjadi di antara beberapa kelompok ini.

Misalnya, berdasarkan grafik di bawah ini, Chainalysis mengatakan menemukan bukti yang menunjukkan bahwa afiliasi untuk Maze RaaS yang sekarang sudah tidak berfungsi juga terlibat dengan SunCrypt RaaS.

Temuan serupa juga menunjukkan hubungan antara operasi Egregor dan DoppelPaymer.

Dan yang tak kalah pentingnya, peneliti Chainalysis juga menemukan bukti bahwa operator operasi Maze dan Egregor juga menggunakan layanan pencucian uang dan broker over-the-counter yang sama untuk mengubah dana curian menjadi mata uang fiat.

Sumber: ZDNet

Lonjakan ancaman ransomware, Ryuk menyerang sekitar 20 org per minggu

October 7, 2020 by Winnie the Pooh

Peneliti malware yang memantau ancaman ransomware melihat peningkatan tajam dalam beberapa serangan ransomware selama beberapa bulan terakhir dibandingkan dengan enam bulan pertama tahun 2020.

Di bagian atas daftar adalah keluarga ransomware Maze, Ryuk, dan REvil (Sodinokibi), menurut data yang baru-baru ini diterbitkan dari Check Point dan tim IBM Security X-Force Incident Response.

Data dari Check Point mengacu pada kuartal ketiga tahun ini menunjukkan bahwa Maze dan Ryuk adalah keluarga ransomware yang paling umum, dengan ransomware menyerang rata-rata 20 perusahaan per minggu.

Perusahaan mengatakan bahwa serangan ransomware meningkat sebesar 50% pada tingkat global pada kuartal ketiga tahun 2020, Ryuk dan Maze adalah ancaman yang paling umum.

Di Amerika, serangan ini hampir dua kali lipat pada kuartal ketiga, menempatkannya di lima besar negara yang paling terpengaruh di Q3:

Amerika Serikat (98,1% meningkat)
India (39,2% meningkat)
Sri Lanka (436% meningkat)
Rusia (57,9% meningkat)
Turki (32,5% meningkat)

Serangan ransomware sangat menguntungkan bagi penjahat siber sehingga hampir tidak ada peluang ancaman ini menghilang dalam waktu dekat, terutama dengan taktik yang berkembang (mencuri data dan membocorkan atau menjualnya di web gelap) yang dirancang untuk memaksa membayar tebusan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Ransomware mencuri data sebelum dienkripsi, membuat cadangan saja tidak akan cukup.

February 10, 2020 by Winnie the Pooh

Asosiasi Nasional Serikat Kredit (CUNA) telah mengalami “masalah gangguan bisnis” yang disebabkan oleh ransomware, menurut sumber yang berbicara dengan Zack Whittaker dari TechCrunch. Dan pada 4 Februari, situs tersebut telah dipulihkan sepenuhnya.

CUNA mengatakan bahwa mereka tidak menyimpan nomor Jaminan Sosial atau nomor kartu kredit anggota nya dan mereka yakin bahwa tidak ada data pribadi di sistem mereka yang dicuri pada serangan ransomware tersebut, sesuatu yang wajar terjadi pada korban ransomware. Dan itu sebagian disebabkan karena operator ransomware sebelumnya menghindari klaim bahwa mereka memiliki akses ke data korban untuk menjaga “kepercayaan” yang diperlukan untuk mendapatkan bayarannya.

Sayangnya, teknik seperti itu sudah dipatahkan oleh ransomware Maze dan Sodinokibi (REvil). Mereka telah mengadopsi model teknik yang menggunakan data curian sebagai alat untuk memastikan pelanggan akan melakukan pembayaran. Bahkan jika korban mampu memulihkan sistem mereka dari serangan ransomware, mereka harus tetap membayar untuk menghindari publikasi atau penjualan data yang telah dicuri oleh pelaku sebelum ransomware dijalankan. Ars telah melacak aktivitas di portal “pelanggan” Maze, di mana kelompok itu memposting bukti pelanggaran data dari para korban yang tidak membayar uang tebusan tepat waktu.

Hal-hal tersebut menunjukkan bahwa memiliki cadangan yang baik tidak lagi cukup untuk mencegah kerusakan yang ditimbulkan oleh ransomware.

Klik link dibawah untuk membaca berita selengkapnya

Source: Ars Technica

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Maze

Cookies Settings