Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Ransomware-as-a-Service (RaaS)

Ransomware-as-a-Service (RaaS)

Ransomware AustraliaNewVarian ESXiArgs Baru Muncul Setelah CISA Merilis Alat Decryptor

by

Setelah Cybersecurity and Infrastructure Security Agency (CISA) AS merilis dekripsi untuk korban yang terkena dampak untuk pulih dari serangan ransomware ESXiArgs, pelaku ancaman telah bangkit kembali dengan versi terbaru yang mengenkripsi lebih banyak data.

Dilaporkan oleh administrator sistem di forum online, varian baru ini memiliki file yang lebih besar dari 128MB akan memiliki 50% data terenkripsi, membuat proses pemulihan lebih menantang.

Perubahan penting lainnya adalah penghapusan alamat Bitcoin dari catatan tebusan. Penyerang mendesak korban untuk menghubungi mereka di Tox untuk mendapatkan informasi wallet.

Saatv peneliti sedang melacak pembayaran dan mungkin telah mengetahui sebelum merilis ransomware bahwa proses enkripsi dalam varian asli relatif mudah untuk dielakkan, pelaku ancaman mengetahui itu.

Sebanyak 1.252 server telah terinfeksi oleh versi baru ESXiArgs per 9 Februari 2023, 1.168 di antaranya adalah infeksi ulang. Dan lebih dari 3.800 host unik telah disusupi.

Sebagian besar infeksi berlokasi di Prancis, AS, Jerman, Kanada, Inggris, Belanda, Finlandia, Turki, Polandia, dan Taiwan.

Aspek penting yang membedakan ESXiArgs dari keluarga ransomware lainnya adalah tidak adanya situs kebocoran data, yang menunjukkan bahwa itu tidak berjalan di model ransomware-as-a-service (RaaS).

Total Host ESXiArgs yang Terinfeksi Kembali
Total Host ESXiArgs yang Terinfeksi Kembali, 23 Feb 2023

Perusahaan keamanan siber Rapid7 menemukan 18.581 server ESXi yang terhubung ke internet yang rentan terhadap CVE-2021-21974.

Selengkapnya: The Hacker News

Geng Ransomware Meminta Maaf, Memberikan Rumah Sakit SickKids Decryptor Gratis

by

Geng ransomware LockBit telah merilis decryptor gratis untuk Rumah Sakit Anak SickKids, mengatakan salah satu anggotanya melanggar aturan dengan menyerang organisasi perawatan kesehatan.

Rumah Sakit Anak, SickKids mendapatkan serangan ransomware pada tanggal 18 Desember, yang berdampak pada sistem internal dan perusahaan, saluran telepon rumah sakit, dan situs web.

Geng LockBit Meminta Maaf Atas Serangan
Dua hari setelah pemberitaan SickKids diumumkan, geng ransomware LockBit meminta maaf atas serangan di rumah sakit dan merilis decryptor secara gratis. Geng ransomware juga akan memblokir anggotanya yang melanggar aturan dan tidak lagi termasuk dalam program afiliasinya.

BleepingComputer telah mengonfirmasi bahwa file ini tersedia secara gratis dan diklaim sebagai dekripsi Linux/VMware ESXi. Karena tidak ada dekripsi Windows tambahan, ini menunjukkan bahwa penyerang hanya dapat mengenkripsi mesin virtual di jaringan rumah sakit.

Permintaan maaf kepada SickKids di situs kebocoran data LockBit (BleepingComputer)

Operasi LockBit berjalan sebagai Ransomware-as-a-Service, di mana operator memelihara enkripsi dan situs web, dan afiliasi operasi, atau anggota, melanggar jaringan korban, mencuri data, dan mengenkripsi perangkat. Operator LockBit menyimpan sekitar 20% dari semua pembayaran tebusan dan sisanya masuk ke afiliasi.

LockBit memiliki riwayat mengenkripsi rumah sakit dan tidak menyediakan enkripsi. Seperti terjadinya serangan terhadap rumah sakit Prancis menyebabkan pasien dirujuk ke pusat medis lain dan penundaan operasi, yang dapat menimbulkan risiko yang signifikan bagi pasien.

BleepingComputer telah menghubungi LockBit pada saat itu untuk memahami mengapa mereka menuntut uang tebusan dari CHSF, meskipun itu bertentangan dengan kebijakan, tetapi tidak pernah mendapat tanggapan.

Ini bukan pertama kalinya geng ransomware menyediakan decryptor gratis untuk organisasi layanan kesehatan.

Pada Mei 2021, operasi Conti Ransomware menyediakan decryptor gratis untuk layanan kesehatan nasional Irlandia, HSE, setelah menghadapi tekanan yang meningkat dari penegakan hukum internasional.

Selengkapnya: BleepingComputer

Afiliasi ransomware Netwalker dijatuhi hukuman 20 tahun penjara

by

Mantan afiliasi Netwalker ransomware Sebastien Vachon-Desjardins telah dijatuhi hukuman 20 tahun penjara dan dituntut untuk kehilangan $ 21,5 juta untuk serangannya terhadap perusahaan Tampa dan entitas lainnya.

Vachon-Desjardins, seorang pria Kanada 34 yang diekstradisi dari Quebec dijatuhi hukuman di pengadilan Florida setelah mengaku bersalah atas ‘Konspirasi untuk melakukan Penipuan Komputer’, ‘Konspirasi untuk Melakukan Penipuan Kawat’, ‘Kerusakan yang Disengaja pada Komputer yang Dilindungi,’ dan ‘Mentransmisikan Permintaan Terkait dengan Merusak Komputer yang Dilindungi.’

Selain hukuman tersebut, Vachon-Desjardins juga diharuskan menjalani tiga tahun pembebasan yang diawasi setelah dia keluar dari penjara. Selama jangka waktu ini, Vachon-Desjardins tidak akan diizinkan untuk memiliki pekerjaan di bidang teknologi informasi atau menggunakan komputer yang dapat terhubung ke Internet, termasuk smartphone, perangkat game, atau perangkat elektronik lainnya.

Hakim memerintahkan penyitaan terhadap terdakwa sebesar $ 21,5 juta, di mana 27,65 Bitcoin, yang sudah dipegang oleh penegak hukum, akan dikreditkan ke jumlah tersebut.

Pada 27 Januari 2021, ketika DOJ AS mendakwa Desjardins, operasi penegakan hukum internasional menyita situs web Netwalker, termasuk situs pembayaran Tor dan kebocoran data mereka.

Netwalker adalah operasi Ransomware-as-a-Service (RaaS) yang diluncurkan pada 2019, merekrut afiliasi untuk menyebarkan ransomware dengan imbalan 60-75% bagian dari semua pembayaran tebusan.

Vachon-Desjardins beroperasi sebagai afiliasi untuk operasi ransomware, di mana diyakini dia melakukan serangan terhadap perusahaan di seluruh dunia, termasuk perusahaan AS dan setidaknya 17 entitas Kanada.

Selama serangan ini, operasi ransomware akan mencuri data dari sistem perusahaan dan pada akhirnya mengenkripsi perangkat. Untuk memulihkan file dan mencegah rilis data, pelaku ancaman memeras para korban untuk membayar permintaan tebusan mulai dari ratusan ribu hingga jutaan dolar.

Mantan situs kebocoran data ransomware Netwalker
Sumber: BleepingComputer

Vachon-Desjardins sebelumnya ditangkap di Gatineau, Quebec, pada 27 Januari 2021, ketika penegak hukum menyita 719 Bitcoin dan $790.000 dalam mata uang Kanada saat menggeledah rumahnya. Dia kemudian dijatuhi hukuman 6 tahun delapan bulan penjara setelah mengaku bersalah di depan hakim Ontario. Vachon-Desjardins diekstradisi ke Amerika Serikat pada Maret 2022.

Alat pencurian data Ransomware mungkin menunjukkan pergeseran dalam taktik pemerasan

by

Malware pemusnahan data yang dikenal sebagai Exmatter dan sebelumnya ditautkan dengan grup ransomware BlackMatter kini ditingkatkan dengan fungsionalitas korupsi data yang mungkin mengindikasikan taktik baru yang mungkin digunakan oleh afiliasi ransomware di masa mendatang.

Sampel baru ditemukan oleh analis malware dengan tim Operasi Khusus Cyderes selama respons insiden baru-baru ini setelah serangan ransomware BlackCat dan kemudian dibagikan dengan tim Stairwell Threat Research untuk analisis lebih lanjut (Symantec melihat sampel serupa digunakan dalam serangan ransomware Noberus).

Sementara Exmatter telah digunakan oleh afiliasi BlackMatter setidaknya sejak Oktober 2021, ini adalah pertama kalinya alat berbahaya itu terlihat menggunakan modul yang merusak.

Taktik menggunakan data dari satu file yang dieksfiltrasi untuk merusak file lain mungkin merupakan bagian dari upaya untuk menghindari ransomware atau deteksi berbasis heuristik penghapus yang dapat memicu saat menggunakan data yang dibuat secara acak.

Seperti yang ditemukan oleh peneliti ancaman Stairwell, kemampuan penghancuran data yang diimplementasikan sebagian dari Exmatter kemungkinan masih dalam pengembangan mengingat bahwa:

Tidak ada mekanisme untuk menghapus file dari antrian korupsi, yang berarti bahwa beberapa file dapat ditimpa berkali-kali sebelum program dihentikan, sementara yang lain mungkin tidak pernah dipilih.

Fungsi yang membuat instance kelas Eraser, bernama Erase, tampaknya tidak sepenuhnya diimplementasikan dan tidak didekompilasi dengan benar.

Panjang potongan file kedua, yang digunakan untuk menimpa file pertama, ditentukan secara acak dan bisa sesingkat satu byte.

Fitur korupsi data ini merupakan perkembangan yang menarik, dan meskipun juga dapat digunakan untuk menghindari perangkat lunak keamanan, peneliti di Stairwell dan Cyderes berpikir ini mungkin bagian dari perubahan strategi yang digunakan oleh afiliasi ransomware.

Banyak operasi ransomware berjalan sebagai Ransomware-as-a-Service, di mana operator/pengembang bertanggung jawab mengembangkan ransomware, situs pembayaran, dan menangani negosiasi, sementara afiliasi bergabung untuk menembus jaringan perusahaan, mencuri data, menghapus cadangan, dan mengenkripsi perangkat .

Sebagai bagian dari pengaturan ini, operator ransomware menerima antara 15-30% dari setiap pembayaran tebusan, dan afiliasi menerima sisanya.

Namun, operasi ransomware telah dikenal di masa lalu untuk memperkenalkan bug yang memungkinkan peneliti keamanan membuat dekripsi yang membantu korban memulihkan file secara gratis.

Ketika ini terjadi, afiliasi kehilangan potensi pendapatan yang akan mereka terima sebagai bagian dari pembayaran tebusan.

Karena itu, para peneliti percaya bahwa fitur korupsi data baru ini bisa menjadi perubahan baru dari serangan ransomware tradisional, di mana data dicuri dan kemudian dienkripsi, ke serangan di mana data dicuri dan kemudian dihapus atau rusak.

Di bawah metode ini, afiliasi dapat menyimpan semua pendapatan yang dihasilkan dari serangan, karena mereka tidak perlu berbagi persentase dengan pengembang encryptor.

“Afiliasi juga kehilangan keuntungan dari penyusupan yang berhasil karena kelemahan yang dapat dieksploitasi dalam ransomware yang disebarkan, seperti halnya dengan BlackMatter, ransomware yang terkait dengan penampilan sebelumnya dari alat eksfiltrasi berbasis .NET ini,” tambah Cyderes.

Menghancurkan data sensitif setelah mengekstraknya ke server mereka akan mencegah hal ini terjadi dan kemungkinan besar juga akan bertindak sebagai insentif tambahan bagi korban untuk membayar permintaan tebusan.

Ini mungkin mengapa kami melihat alat eksfiltrasi dalam proses ditingkatkan dengan kemampuan korupsi data dalam pengembangan yang kemungkinan akan memungkinkan afiliasi RaaS untuk menghapus bagian penyebaran ransomware dalam serangan mereka untuk menyimpan semua uang untuk diri mereka sendiri.

Sumber: Bleeping Computer

Operasi Ransomware Yanluowang Tumbuh Dengan Afiliasi Berpengalaman

by

Afiliasi dari operasi ransomware Yanluowang yang baru-baru ini ditemukan memfokuskan serangannya pada organisasi AS di sektor keuangan menggunakan malware BazarLoader dalam tahap pengintaian.

Berdasarkan taktik, teknik, dan prosedur yang diamati, aktor ancaman berpengalaman dengan operasi ransomware-as-a-service (RaaS) dan dapat dikaitkan dengan kelompok Fivehands.

Koneksi ransomware Fivehands

Para peneliti di Symantec, sebuah divisi dari Broadcom Software, mencatat bahwa aktor tersebut telah mencapai target profil yang lebih tinggi di AS setidaknya sejak Agustus.

Selain lembaga keuangan, afiliasi ransomware Yanluowang juga menargetkan perusahaan di sektor manufaktur, layanan TI, konsultasi, dan teknik.

Melihat taktik, teknik, dan prosedur (TTP), para peneliti melihat kemungkinan hubungan dengan serangan yang lebih tua dengan Thieflock, operasi ransomware yang dikembangkan oleh kelompok Fivehands.

Fivehands ransomware sendiri relatif baru di skena ini, dikenal pada bulan April – pertama kali dalam laporan dari Mandiant, yang melacak pengembangnya sebagai UNC2447, dan kemudian saat dapat peringatan dari CISA.

Pada saat itu, Mandiant mengatakan bahwa UNC2447 menunjukkan “kemampuan canggih untuk menghindari deteksi dan meminimalkan forensik pasca-intrusi,” dan bahwa afiliasinya telah menyebarkan ransomware RagnarLocker.

Alat perdagangan

Setelah mendapatkan akses ke jaringan target, penyerang menggunakan PowerShell untuk mengunduh alat, seperti malware BazarLoader untuk membantu bergerak secara lateral.

BazarLoader dikirim ke target perusahaan oleh botnet TrickBot, yang juga menyebarkan ransomware Conti. Baru-baru ini, operator TrickBot mulai membantu membangun kembali botnet Emotet.

Aktor ancaman Yanluowang memungkinkan layanan desktop jarak jauh (RDP) dari registri dan menginstal alat ConnectWise untuk akses jarak jauh.

Para peneliti mengatakan bahwa afiliasi menemukan sistem yang menarik dengan alat AdFind – untuk query Active Directory, dan SoftPerfect Network Scanner – untuk menemukan nama host dan layanan jaringan.

Beberapa alat digunakan untuk mencuri kredensial dari browser (Firefox, Chrome, Internet Explorer) dari mesin yang dikompromikan: GrabFF, GrabChrome, BrowserPassView.

Peneliti Symantec juga memperhatikan bahwa penyerang menggunakan KeeThief untuk mencuri kunci utama untuk pengelola kata sandi KeePass, alat tangkapan layar, dan utilitas exfiltrasi data Filegrab.

Dalam laporan sebelumnya tentang serangan Yanluowang, perusahaan mengatakan bahwa peretas mengancam dengan serangan denial-of-service (DDoS) dan data wiping jika korban tidak memenuhi tuntutan.

Sumber: Bleepingcomputer

FBI menyita $2,2 juta dari afiliasi REvil, geng ransomware Gandcrab

by

FBI menyita $2,2 juta pada bulan Agustus dari afiliasi ransomware REvil dan GandCrab. Dalam pengaduan yang dibuka hari ini, FBI menyita 39.89138522 bitcoin senilai sekitar $2,2 juta dari dompet Exodus pada 3 Agustus 2021.

Exodus adalah dompet desktop atau seluler yang dapat digunakan pemiliknya untuk menyimpan cryptocurrency, termasuk Bitcoin, Ethereum, Solana, dan banyak lainnya.

“Amerika Serikat mengajukan keluhan terverifikasi ini dalam rem terhadap 39.89138522 Bitcoin yang Disita Dari Dompet Keluaran (“Properti Tergugat”) yang sekarang berada dan dalam pengawasan dan pengelolaan Biro Investigasi Federal (“FBI”) Divisi Dallas, One Justice Way, Dallas Texas,” demikian bunyi Complaint for Forfeiture Amerika Serikat.

Keluhan selanjutnya mengatakan bahwa dompet berisi pembayaran tebusan REvil milik afiliasi yang diidentifikasi sebagai “Aleksandr Sikerin, a/k/a Alexander Sikerin, a/k/a Oleksandr Sikerin” dengan alamat email ‘engfog1337@gmail.com .’

Sementara FBI tidak menunjukkan alias online dari pelaku ancaman, nama ‘engfog’ di alamat email terkait dengan afiliasi GandCrab dan REvil/Sodinokibi yang terkenal yang dikenal sebagai ‘Lalartu.’

Organisasi GandCrab dan REvil beroperasi sebagai Ransomware-as-a-Service (RaaS), di mana operator inti bermitra dengan peretas pihak ketiga, yang dikenal sebagai afiliasi.

Operator inti akan mengembangkan dan mengelola perangkat lunak enkripsi/dekripsi, portal pembayaran, dan situs kebocoran data. Afiliasinya ditugaskan untuk meretas jaringan perusahaan, mencuri data, dan menyebarkan ransomware untuk mengenkripsi perangkat.

Setiap pembayaran tebusan kemudian akan dibagi antara afiliasi dan operator inti, dengan operator umumnya mendapatkan 20-30% dari tebusan dan afiliasi membuat sisanya.

Dalam laporan REvil oleh McAfee, para peneliti mengikuti jejak uang untuk aktor ancaman terkenal yang dikenal sebagai ‘Lalartu,’ afiliasi untuk operasi ransomware GandCrab dan REvil.

Pada tahun 2019, aktor ancaman memposting ke forum peretasan berbahasa Rusia yang mengakui bahwa mereka bekerja dengan GandCrab dan beralih ke REvil setelah operasi sebelumnya ditutup.

Posting oleh Lalartu di forum peretasan berbahasa Rusia
Sumber: McAfee

Gal melacak Lalartu ke alias ‘Engfog’ atau ‘Eng_Fog’, yang cocok dengan alamat email ‘engfog1337@gmail.com’ yang tercantum dalam pengaduan FBI.

Pada bulan November, Departemen Kehakiman mengumumkan bahwa FBI menyita $6 juta uang tebusan yang dibayarkan kepada geng ransomware REvil. Strategi lanjutan penegakan hukum untuk mengganggu ekonomi dan sistem afiliasi operasi ransomware membuahkan hasil.

Kegiatan ini telah menyebabkan banyak penangkapan dan pencopotan infrastruktur, termasuk:

  • Gangguan operasi ransomware Netwalker dan penangkapan afiliasi di Kanada.
  • Penangkapan dua anggota operasi Egregor menyebabkan penutupan organisasi.
  • Penangkapan 12 orang yang diyakini terkait dengan serangan ransomware terhadap 1.800 korban di 71 negara.
  • Penangkapan seorang warga negara Ukraina yang diyakini berada di balik serangan ransomware Kaseya.

Penangkapan dan penyitaan infrastruktur juga menakut-nakuti geng ransomware untuk menutup operasi mereka, termasuk REvil pada bulan Oktober dan BlackMatter pada bulan Juli.