Ransomware

Geng ransomware kehilangan minat pada perusahaan AS

June 11, 2023 by Coffee Bean

Operator ransomware sekarang memusatkan upaya mereka pada wilayah dan industri tertentu, karena AS kehilangan daya tariknya.

Dengan menganalisis data yang tersedia untuk umum tentang serangan ransomware yang terjadi antara tahun 2020 dan 2023, para peneliti menemukan bahwa pada tahun 2022, bisnis Amerika mengalami 876 serangan, turun dari 1.237 pada tahun sebelumnya.

Perusahaan finance diserang
Meskipun tampaknya geng ransomware menyebarkan jaring yang lebih luas, mereka sebenarnya memusatkan upaya mereka. Pada tahun 2021, perusahaan di 102 negara menjadi sasaran ransomware, turun menjadi 91 negara tahun lalu.

Ada juga perubahan di antara target industri paling populer. Sementara pada 2021, manufaktur menjadi industri paling populer dengan 223 serangan, tahun lalu konstruksi menjadi yang paling populer dengan 142 serangan.

Secara keseluruhan, jumlah serangan ransomware di seluruh dunia menurun antara tahun 2021 dan 2022, dari 2.702 menjadi 2.257.

“Kami memperhatikan bahwa perusahaan keuangan semakin khawatir dengan keamanan siber mereka. Perusahaan memperhatikan peningkatan serangan dunia maya di sektor ini,” kata Aivaras Vencevičius, kepala produk NordLocker.

Namun meskipun manufaktur dan konstruksi menjadi pusat perhatian, sektor keuanganlah yang dengan cepat menjadi target terbesar. Pada tahun 2021, perusahaan keuangan hanya menjadi sektor keenam yang paling banyak diserang, tetapi naik ke posisi kedua pada tahun 2022.

Grup ransomware paling aktif tahun lalu adalah LockBit, terlibat dalam total 723 serangan di seluruh dunia, dan menggulingkan Conti yang terkenal. Pada tahun 2021 Conti, yang diyakini berafiliasi dengan Rusia, menjadi grup paling aktif dengan 445 serangan di seluruh dunia.

sumber : techradar.com

British Airways, Boots dan BBC telah Terkena Ultimatum dari Kelompok Kejahatan Siber berbahasa Rusia “Clop”

June 8, 2023 by Coffee Bean

Enam organisasi telah dipastikan terkena dampaknya, dengan Aer Lingus dan University of Rochester juga mengakui bahwa mereka telah terkena dampaknya. Banyak organisasi bukan pengguna langsung perangkat lunak MOVEit, tetapi mengalihdayakan layanan penggajian mereka ke pihak ketiga bernama Zellis, yang juga terpukul.

Grup peretas mengklaim memiliki informasi tentang “ratusan” perusahaan. Dalam postingan tersebut, mereka malu-malu tentang sifat serangan mereka, menggambarkannya hanya sebagai “layanan pengujian penetrasi setelah fakta”.

“Ini adalah pengumuman untuk mengedukasi perusahaan yang menggunakan produk Progress MOVEit bahwa kemungkinan besar kami mengunduh banyak data Anda sebagai bagian dari eksploitasi luar biasa,” bunyi permintaan tersebut. “Kami adalah satu-satunya yang melakukan serangan seperti itu dan santai karena data Anda aman.”

Ultimatum tidak berisi jumlah eksplisit yang harus dibayar oleh bisnis, tetapi menuntut agar mereka mengadakan negosiasi.

Kelompok tersebut juga mengklaim telah menghapus data yang mungkin telah dicuri dari aktor negara. “Jangan khawatir, kami menghapus data Anda, Anda tidak perlu menghubungi kami,” katanya. “Kami tidak tertarik untuk mengungkapkan informasi semacam itu.”

Cabang-cabang zaitun seperti itu biasa terjadi pada kelompok peretas profesional, yang ingin memaksimalkan pendapatan mereka tanpa menarik perhatian yang tidak perlu dari penegak hukum.

Ancaman tersebut merupakan peningkatan serangan ransomware konvensional dan dikenal sebagai “doxware”. Alih-alih hanya mengenkripsi data dan menagih kunci, peretas mencuri data secara langsung dan mengancam akan menerbitkannya kecuali uang tebusan dibayarkan.

“Meskipun tidak pernah disarankan untuk membayar tuntutan uang tebusan kepada penjahat dunia maya, ada risiko yang tak terhindarkan bahwa beberapa perusahaan yang ditargetkan akan menyerah pada tekanan tersebut. Ini hanya akan menyulut api dan melanjutkan siklus kelompok kriminal yang menghancurkan ini.

“Yang lebih penting adalah perusahaan yang terkena dampak terbuka dan jujur dengan karyawan dan pelanggan mereka yang menawarkan dukungan dalam cara melindungi diri mereka sendiri dan cara menemukan … serangan.”

sumber : theguardian.com

Terminator Antivirus Killer: Driver Windows Rentan yang Mengancam

June 1, 2023 by Eevee

Terminator antivirus killer adalah sebuah driver Windows yang rentan yang menyamar sebagai alat yang dapat menghentikan antivirus dan platform keamanan lainnya. Dikenal sebagai Spyboy, aktor ancaman ini mempromosikan alat Terminator di forum peretas berbahasa Rusia. Namun, menurut CrowdStrike, ini hanyalah serangan Bring Your Own Vulnerable Driver (BYOVD) yang terlihat mewah.

Terminator diklaim dapat melewati 24 solusi keamanan seperti antivirus, Endpoint Detection and Response (EDR), dan Extended Detection and Response (XDR). Ini termasuk Windows Defender pada perangkat dengan sistem operasi Windows 7 ke atas.

Spyboy menjual alat ini dengan harga mulai dari $300 hingga $3,000. Namun, beberapa solusi EDR seperti SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex, dan Cylance tidak bisa dibeli secara terpisah.

Untuk menggunakan Terminator, pengguna harus memiliki hak administratif pada sistem Windows dan memperdaya pengguna agar menerima pop-up User Account Controls (UAC) saat menjalankan alat ini.

Terminator sebenarnya hanya menjatuhkan driver kernel anti-malware bernama zamguard64.sys atau zam64.sys ke folder C:\Windows\System32\ dengan nama acak. Driver ini digunakan untuk menghentikan proses perangkat lunak keamanan yang berjalan pada perangkat dengan hak istimewa tingkat kernel.

Aktivitas Terminator ini baru terdeteksi oleh satu mesin pemindai anti-malware. Namun, peneliti keamanan telah membagikan aturan yang dapat membantu deteksi driver yang rentan yang digunakan oleh alat Terminator.

Teknik ini sering digunakan oleh aktor ancaman untuk melewati perangkat lunak keamanan dengan menjalankan driver Windows yang rentan. Kelompok ancaman yang berbeda, mulai dari kelompok ransomware hingga kelompok peretas yang didukung oleh negara, menggunakan teknik ini.

Baru-baru ini, peneliti keamanan Sophos X-Ops menemukan sebuah alat peretasan baru bernama AuKill yang menggunakan driver Process Explorer yang rentan untuk menonaktifkan perangkat lunak EDR sebelum menyerang dengan ransomware dalam serangan BYOVD.

Sumber: Bleeping Computer

Ancaman Ransomware Semakin Meningkat, dan Semakin Banyak Menargetkan Perangkat Microsoft

May 22, 2023 by Flamango

Peretas mengeksploitasi ribuan kelemahan. Serangan ransomware tidak pernah sepopuler ini, laporan baru dari peneliti keamanan siber Securin, Ivanti, dan Cyware menyatakan.

Grup ransomware baru muncul terus-menerus dan kerentanan baru yang dieksploitasi ditemukan hampir setiap hari. Produk Microsoft adalah yang paling diminati untuk menjadi sasaran.

Secara umum, penyerang kini menargetkan lebih dari 7.000 produk yang dibuat oleh 121 vendor, semuanya digunakan oleh bisnis dalam operasi sehari-hari mereka. Sebagian besar milik Microsoft, yang memiliki 135 kerentanan terkait dengan ransomware, klaim para peneliti.

Sebanyak 59 kerentanan ada rantai pembunuh MITRE ATT&CK lengkap, mencakup dua kelemahan baru. Sementara 18 kelemahan tidak ditandai oleh program antivirus.

Jumlah kerentanan yang ditemukan dalam perangkat lunak open source (OSS) juga terus bertambah. Saat ini terdapat 119 kelemahan yang terkait dengan serangan ransomware. Karena OSS digunakan oleh semakin banyak perusahaan, para peneliti menyimpulkan bahwa ini adalah kekhawatiran yang sangat mendesak.

Selengkapnya: techradar.pro

3 Akun Vektor Serangan Awal Umum untuk Sebagian Besar Kampanye Ransomware

May 21, 2023 by Coffee Bean

Sebagian besar penyerang ransomware menggunakan salah satu dari tiga vektor utama untuk menyusupi jaringan dan mendapatkan akses ke sistem dan data penting organisasi.

Vektor paling signifikan dalam serangan ransomware yang berhasil pada tahun 2022, misalnya, melibatkan eksploitasi aplikasi publik, yang menyumbang 43% dari semua pelanggaran, diikuti oleh penggunaan akun yang dikompromikan (24%) dan email berbahaya (12%). , menurut laporan Kaspersky yang baru dirilis, “The Nature of Cyber Incidents.”

Eksploitasi aplikasi dan email jahat menurun sebagai bagian dari semua serangan dibandingkan tahun sebelumnya, sementara penggunaan akun yang disusupi meningkat dari 18% pada tahun 2021.

Intinya: Menggandakan vektor serangan yang paling umum bisa sangat membantu untuk mencegah serangan ransomware. “Banyak perusahaan bukan target awal penyerang tetapi memiliki keamanan TI yang lemah dan [memungkinkan mereka] diretas dengan mudah, jadi penjahat dunia maya mengambil kesempatan ini,” kata Konstantin Sapronov, kepala tim tanggap darurat global di Kaspersky. “Jika kita melihat tiga vektor awal teratas, yang bersama-sama menyumbang hampir 80% dari semua kasus, kita dapat menerapkan beberapa tindakan defensif untuk menguranginya, dan sangat membantu untuk mengurangi kemungkinan menjadi korban.”

selengkapnya : darkreading.com

Ransomware MalasLocker menargetkan server Zimbra, menuntut sumbangan amal

May 19, 2023 by Coffee Bean

Catatan tebusan berisi alamat email untuk menghubungi pelaku ancaman atau URL TOR yang menyertakan alamat email terbaru untuk grup tersebut. Catatan itu juga memiliki bagian teks yang disandikan Base64 di bagian bawah yang diperlukan untuk menerima dekripsi, yang akan kita bahas lebih detail nanti di artikel.

Meskipun catatan tebusan tidak berisi tautan ke situs kebocoran data geng ransomware, analis ancaman Emsisoft Brett Callow menemukan tautan ke situs kebocoran data mereka, dengan judul, “Somos malas… podemos ser peores,” diterjemahkan menjadi, ” Kami buruk… kami bisa lebih buruk.”

Situs kebocoran data MalasLocker saat ini mendistribusikan data yang dicuri untuk tiga perusahaan dan konfigurasi Zimbra untuk 169 korban lainnya.

Halaman utama situs kebocoran data itu juga berisi pesan panjang berisi emoji yang menjelaskan apa yang mereka perjuangkan dan uang tebusan yang mereka butuhkan.

“Kami adalah grup ransomware baru yang telah mengenkripsi komputer perusahaan untuk meminta mereka menyumbangkan uang kepada siapa pun yang mereka inginkan,” demikian bunyi situs kebocoran data MalasLocker.

“Kami meminta mereka memberikan donasi ke organisasi nirlaba pilihan mereka, lalu menyimpan email yang mereka terima untuk mengonfirmasi donasi dan mengirimkannya kepada kami sehingga kami dapat memeriksa tanda tangan DKIM untuk memastikan email tersebut asli.”

Tuntutan tebusan ini sangat tidak biasa dan, jika jujur, menempatkan operasi lebih ke ranah hacktivisme.

Namun, BleepingComputer belum menentukan apakah pelaku ancaman menepati janjinya ketika korban menyumbangkan uang untuk amal bagi dekripsi.

selengkapnya : bleepingcomputer.com

Perusahaan teknologi multinasional ABB terkena serangan ransomware Black Basta

May 12, 2023 by Søren

Perusahaan multinasional Swiss ABB, penyedia teknologi elektrifikasi dan otomasi terkemuka, telah mengalami serangan ransomware Black Basta, yang dilaporkan berdampak pada operasi bisnis.

Berkantor pusat di Zurich, Swiss, ABB mempekerjakan sekitar 105.000 karyawan dan memiliki pendapatan $29,4 miliar untuk tahun 2022. Sebagai bagian dari layanannya, perusahaan mengembangkan sistem kontrol industri (ICS) dan sistem SCADA untuk manufaktur dan pemasok energi.

Perusahaan bekerja dengan berbagai pelanggan dan pemerintah daerah, termasuk Volvo, Hitachi, DS Smith, Kota Nashville, dan Kota Zaragoza.

“ABB mengoperasikan lebih dari 40 fasilitas teknik, manufaktur, penelitian, dan layanan yang berbasis di A.S. dengan rekam jejak yang terbukti melayani berbagai lembaga federal termasuk Departemen Pertahanan, seperti Korps Insinyur Angkatan Darat A.S., dan lembaga Sipil Federal seperti Departemen Interior, Transportasi, Energi, Penjaga Pantai Amerika Serikat, serta Layanan Pos AS,” bunyi situs web ABB.

Pada 7 Mei, perusahaan tersebut menjadi korban serangan ransomware yang dilakukan oleh Black Basta, sebuah grup kejahatan dunia maya yang muncul pada April 2022.

BleepingComputer telah belajar dari banyak karyawan bahwa serangan ransomware telah memengaruhi Direktori Aktif Windows perusahaan, memengaruhi ratusan perangkat.

Menanggapi serangan itu, ABB menghentikan koneksi VPN dengan pelanggannya untuk mencegah penyebaran ransomware ke jaringan lain.

BleepingComputer secara independen mengkonfirmasi serangan tersebut dari sumber yang mengetahui situasi tersebut dan meminta untuk tetap anonim.

Serangan itu dilaporkan mengganggu operasi perusahaan, menunda proyek dan berdampak pada pabrik.

BleepingComputer menghubungi ABB tentang serangan itu, tetapi mereka menolak berkomentar.

Selengkapnya: Bleeping Computer

Mantan insinyur Ubiquiti di balik pencurian data yang “menakjubkan” mendapat hukuman penjara 6 tahun

May 12, 2023 by Coffee Bean

BRAZIL – 2022/03/10: In this photo illustration the logo from the cyber security company Ubiquiti Networks seen displayed on a smartphone. (Photo Illustration by Rafael Henrique/SOPA Images/LightRocket via Getty Images)

Seorang mantan insinyur Ubiquiti, Nickolas Sharp, dijatuhi hukuman enam tahun penjara kemarin setelah mengaku bersalah di pengadilan New York karena mencuri puluhan gigabyte data rahasia, menuntut uang tebusan $1,9 juta dari mantan majikannya, dan kemudian mempublikasikan data tersebut ke publik. ketika tuntutannya ditolak.

Sharp tidak meminta hukuman penjara, memberi tahu Hakim Distrik Amerika Serikat Katherine Polk Failla bahwa serangan dunia maya itu sebenarnya adalah “latihan keamanan tanpa izin” yang menjadikan Ubiquiti “tempat yang lebih aman untuk dirinya sendiri dan untuk kliennya,” lapor Bloomberg. Dalam dokumen pengadilan, Sharp mengklaim bahwa CEO Ubiquiti Robert Pera telah mencegah Sharp untuk “menyelesaikan masalah keamanan yang luar biasa”, dan Sharp mengatakan kepada hakim bahwa hal ini menyebabkan “hiperfiksasi bodoh” dalam memperbaiki kelemahan keamanan tersebut.

Ubiquiti memilih untuk tidak membayar uang tebusan dan malah melibatkan FBI. Segera setelah itu, kesalahan Sharp yang menunjukkan IP rumahnya membuat FBI melacaknya. Di tempat kerja, Sharp menyarankan IP rumahnya dicatat dalam upaya untuk menjebaknya, memberi tahu rekan kerja, “Saya akan sangat tidak kompeten jika saya meninggalkan IP saya di hal yang saya minta, unduh, dan unggah” dan mengatakan bahwa akan menjadi “penyamaran paling buruk yang pernah ada lol.”

Sementara FBI menganalisis semua perangkat kerja Sharp, Sharp menghapus dan menyetel ulang laptop yang dia gunakan dalam serangan itu, tetapi dengan berani meninggalkan laptop itu di rumah, di mana laptop itu disita selama penggeledahan FBI pada Maret 2021.

Setelah pencarian FBI, Sharp mulai menyamar sebagai pembocor rahasia, menghubungi jurnalis dan regulator untuk memberikan peringatan palsu bahwa pengungkapan publik dan tanggapan Ubiquiti terhadap serangan siber tidak memadai.

selengkapnya : arstechnica.com

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Ransomware

Cookies Settings