ransomware Hive

Bank nasional terkena ransomware troll hacker dengan foto penis

May 19, 2022 by Eevee

Setelah menderita serangan ransomware oleh operasi Hive, Bank Zambia menjelaskan bahwa mereka tidak akan membayar dengan memposting gambar alat kelamin laki-laki dan memberi tahu para peretas untuk s… (yah, Anda dapat menggunakan imajinasi Anda).

Pekan lalu, Bank of Zambia, bank sentral negara itu, mengungkapkan bahwa pemadaman teknis baru-baru ini diakibatkan oleh serangan siber.

“Bank Zambia ingin menginformasikan kepada masyarakat bahwa pihaknya mengalami gangguan sebagian pada beberapa aplikasi Teknologi Informasi (TI) pada Senin 9 Mei 2022,” ungkap bank dalam siaran pers.

“Gangguan, yang mempengaruhi beberapa sistem di Bank seperti Sistem Pemantauan Bureau De Change dan Situs Web, berasal dari insiden keamanan siber yang dicurigai. Kami ingin memberitahukan bahwa sistem ini telah dipulihkan sepenuhnya.”

Sementara Bank of Zambia tidak mengungkapkan rincian serangan siber, BleepingComputer mengetahui bahwa serangan itu dilakukan oleh operasi ransomware Hive, yang mengklaim telah mengenkripsi perangkat Network Attached Storage (NAS) bank.

Namun, alih-alih membayar uang tebusan, perwakilan bank menanggapi negosiasi tebusan dengan mengolok-olok ’14m3-sk1llz’ milik peretas.

Mereka kemudian melanjutkan untuk memposting tautan ke gambar kontol sambil menyatakan, “hisap penis ini dan berhenti mengunci jaringan bank dengan berpikir bahwa Anda akan memonetisasi sesuatu, belajarlah untuk menghasilkan uang.”

Obrolan ini membuat peneliti keamanan MalwareHunterTeam memposting jajak pendapat yang menanyakan apakah orang merasa foto seperti ini dalam negosiasi tebusan berarti dibajak atau pesannya berasal dari korban.

Hari ini, Bloomberg melaporkan bahwa Direktur Teknis Bank, Greg Nsofu, mengatakan mereka telah melindungi sistem inti bank, sehingga tidak perlu terlibat dengan pelaku ancaman.

Namun, Nsofu berkata, “Jadi kami cukup memberi tahu mereka di mana harus turun,” membenarkan bahwa seseorang yang berafiliasi dengan bank yang menanggapi Hive.

Tanggapan bank terhadap pelaku ancaman mungkin bukan metode yang tepat untuk semua organisasi, tetapi mereka harus dipuji karena menjelaskan bahwa mereka tidak akan menyerah pada tuntutan penyerang.

Sementara ransomware tetap menjadi masalah besar bagi pengguna perusahaan dan rumahan, cara terbaik untuk mengakhiri momok ini adalah dengan tidak membayar uang tebusan dan memulihkan dari cadangan.

Menggabungkan non-pembayaran dengan peningkatan tindakan penegakan hukum dan sanksi pemerintah, semoga kita akan melihat operasi ransomware perlahan memudar.

Sumber: Bleeping Computer

Server Microsoft Exchange diretas untuk menyebarkan ransomware Hive

April 21, 2022 by Eevee

Afiliasi ransomware Hive telah menargetkan server Microsoft Exchange yang rentan terhadap masalah keamanan ProxyShell untuk menyebarkan berbagai pintu belakang, termasuk suar Cobalt Strike.

Dari sana, pelaku ancaman melakukan pengintaian jaringan, mencuri kredensial akun admin, mengekstrak data berharga, dan akhirnya menyebarkan muatan enkripsi file.

ProxyShell adalah kumpulan tiga kerentanan di Microsoft Exchange Server yang memungkinkan eksekusi kode jarak jauh tanpa otentikasi pada penyebaran yang rentan. Cacat telah digunakan oleh beberapa pelaku ancaman, termasuk ransomware seperti Conti, BlackByte, Babuk, Kuba, dan LockFile, setelah eksploitasi tersedia.

Cacat dilacak sebagai CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31297, dan peringkat keparahannya berkisar dari 7,2 (tinggi) hingga 9,8 (kritis).

Kerentanan keamanan dianggap sepenuhnya ditambal pada Mei 2021, tetapi detail teknis ekstensif tentang mereka hanya tersedia pada Agustus 2021, dan segera setelah itu, eksploitasi berbahaya dimulai [1, 2].

Fakta bahwa afiliasi Hive berhasil mengeksploitasi ProxyShell dalam serangan baru-baru ini menunjukkan bahwa masih ada ruang untuk menargetkan server yang rentan.

Setelah eksploitasi ProxyShell, para peretas menanam empat web shell di direktori Exchange yang dapat diakses, dan mengeksekusi kode PowerShell dengan hak istimewa tinggi untuk mengunduh stager Cobalt Strike.

Shell web yang digunakan dalam serangan khusus ini bersumber dari repositori Git publik dan hanya diganti namanya untuk menghindari deteksi selama kemungkinan inspeksi manual.

Web shell dengan nama acak (Varonis)

Dari sana, penyusup menggunakan Mimikatz, pencuri kredensial, untuk mengambil kata sandi akun admin domain dan melakukan gerakan lateral, mengakses lebih banyak aset di jaringan.

Meluncurkan prompt perintah baru pada sistem yang terpengaruh (Varonis)

Selanjutnya, pelaku ancaman melakukan operasi pencarian file ekstensif untuk menemukan data paling berharga untuk menekan korban agar membayar uang tebusan yang lebih besar.

Analis Varonis telah melihat sisa-sisa pemindai jaringan yang hilang, daftar alamat IP, enumerasi perangkat dan direktori, RDP ke server cadangan, pemindaian database SQL, dan banyak lagi.

Salah satu kasus penting penyalahgunaan perangkat lunak pemindaian jaringan adalah “SoftPerfect”, alat ringan yang digunakan aktor ancaman untuk menghitung host langsung dengan melakukan ping ke mereka dan menyimpan hasilnya pada file teks.

Akhirnya, dan setelah semua file dieksfiltrasi, muatan ransomware bernama “Windows.exe” dijatuhkan dan dijalankan di banyak perangkat.

Sebelum mengenkripsi file organisasi, muatan Golang menghapus salinan bayangan, menonaktifkan Windows Defender, menghapus log peristiwa Windows, menghentikan proses pengikatan file, dan menghentikan Manajer Akun Keamanan untuk menonaktifkan peringatan.

Perintah yang dijalankan oleh muatan akhir (Varonis)

Hive telah berjalan jauh sejak pertama kali diamati di alam liar pada Juni 2021, memiliki awal yang sukses yang mendorong FBI untuk merilis laporan khusus tentang taktik dan indikator komprominya.

Pada Oktober 2021, geng Hive menambahkan varian Linux dan FreeBSD, dan pada Desember menjadi salah satu operasi ransomware paling aktif dalam frekuensi serangan.

Sumber : Bleeping Computer

Geng ransomware Hive telah mengumumkan “Kementerian Luar Negeri Republik Indonesia” pada daftar korban.

March 23, 2022 by Eevee

Geng ransomware Hive baru saja mengumumkan bahwa Kementerian Luar Negeri Republik Indonesia masuk kedalam pada daftar korban mereka.

Ransomware Hive merupakan ransomware-as-a-service (RaaS) bertarget tipikal yang menggunakan ancaman untuk mempublikasikan data yang dieksfiltrasi sebagai pengungkit ekstra untuk membuat korban membayar. Grup ransomware diketahui bekerja dengan afiliasi yang menggunakan berbagai metode untuk menyusup ke jaringan perusahaan.

Berdasarkan postingan @darktracer_int diketahui bahwa data Kementerian Luar Negeri Republik Indonesia sudah terenkripsi sejak 27 Januari 2022 lalu dan diungkapkan pada tanggal 22 Maret 2020 kemarin.

Info: Artikel ini masih dalam pengembangan, apabila ada info tambahan akan segera di update.

Sumber : Dark Tracer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

ransomware Hive

Cookies Settings