Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for ransomware REvil

ransomware REvil

FBI menyita $2,2 juta dari afiliasi REvil, geng ransomware Gandcrab

by

FBI menyita $2,2 juta pada bulan Agustus dari afiliasi ransomware REvil dan GandCrab. Dalam pengaduan yang dibuka hari ini, FBI menyita 39.89138522 bitcoin senilai sekitar $2,2 juta dari dompet Exodus pada 3 Agustus 2021.

Exodus adalah dompet desktop atau seluler yang dapat digunakan pemiliknya untuk menyimpan cryptocurrency, termasuk Bitcoin, Ethereum, Solana, dan banyak lainnya.

“Amerika Serikat mengajukan keluhan terverifikasi ini dalam rem terhadap 39.89138522 Bitcoin yang Disita Dari Dompet Keluaran (“Properti Tergugat”) yang sekarang berada dan dalam pengawasan dan pengelolaan Biro Investigasi Federal (“FBI”) Divisi Dallas, One Justice Way, Dallas Texas,” demikian bunyi Complaint for Forfeiture Amerika Serikat.

Keluhan selanjutnya mengatakan bahwa dompet berisi pembayaran tebusan REvil milik afiliasi yang diidentifikasi sebagai “Aleksandr Sikerin, a/k/a Alexander Sikerin, a/k/a Oleksandr Sikerin” dengan alamat email ‘engfog1337@gmail.com .’

Sementara FBI tidak menunjukkan alias online dari pelaku ancaman, nama ‘engfog’ di alamat email terkait dengan afiliasi GandCrab dan REvil/Sodinokibi yang terkenal yang dikenal sebagai ‘Lalartu.’

Organisasi GandCrab dan REvil beroperasi sebagai Ransomware-as-a-Service (RaaS), di mana operator inti bermitra dengan peretas pihak ketiga, yang dikenal sebagai afiliasi.

Operator inti akan mengembangkan dan mengelola perangkat lunak enkripsi/dekripsi, portal pembayaran, dan situs kebocoran data. Afiliasinya ditugaskan untuk meretas jaringan perusahaan, mencuri data, dan menyebarkan ransomware untuk mengenkripsi perangkat.

Setiap pembayaran tebusan kemudian akan dibagi antara afiliasi dan operator inti, dengan operator umumnya mendapatkan 20-30% dari tebusan dan afiliasi membuat sisanya.

Dalam laporan REvil oleh McAfee, para peneliti mengikuti jejak uang untuk aktor ancaman terkenal yang dikenal sebagai ‘Lalartu,’ afiliasi untuk operasi ransomware GandCrab dan REvil.

Pada tahun 2019, aktor ancaman memposting ke forum peretasan berbahasa Rusia yang mengakui bahwa mereka bekerja dengan GandCrab dan beralih ke REvil setelah operasi sebelumnya ditutup.

Posting oleh Lalartu di forum peretasan berbahasa Rusia
Sumber: McAfee

Gal melacak Lalartu ke alias ‘Engfog’ atau ‘Eng_Fog’, yang cocok dengan alamat email ‘engfog1337@gmail.com’ yang tercantum dalam pengaduan FBI.

Pada bulan November, Departemen Kehakiman mengumumkan bahwa FBI menyita $6 juta uang tebusan yang dibayarkan kepada geng ransomware REvil. Strategi lanjutan penegakan hukum untuk mengganggu ekonomi dan sistem afiliasi operasi ransomware membuahkan hasil.

Kegiatan ini telah menyebabkan banyak penangkapan dan pencopotan infrastruktur, termasuk:

  • Gangguan operasi ransomware Netwalker dan penangkapan afiliasi di Kanada.
  • Penangkapan dua anggota operasi Egregor menyebabkan penutupan organisasi.
  • Penangkapan 12 orang yang diyakini terkait dengan serangan ransomware terhadap 1.800 korban di 71 negara.
  • Penangkapan seorang warga negara Ukraina yang diyakini berada di balik serangan ransomware Kaseya.

Penangkapan dan penyitaan infrastruktur juga menakut-nakuti geng ransomware untuk menutup operasi mereka, termasuk REvil pada bulan Oktober dan BlackMatter pada bulan Juli.

Grup Ransomware REvil Yang Meretas Desain Apple Telah Diretas Oleh FBI

by

Grup Ransomware REvil mengatakan pada bulan April bahwa mereka telah meretas sistem milik pemasok Apple Quanta Computer dan memperoleh skema rekayasa internal untuk sejumlah produk baru yang belum dirilis. Ini mendukung klaim ini dengan berbagi contoh, yang awalnya tidak mengungkapkan hal baru.

REvil pertama kali mencoba memeras Quanta untuk $50 juta sebagai imbalan karena tidak membuat file tersedia untuk umum, dan kemudian mencoba hal yang sama dengan Apple.

Ketika ini gagal, REvil melanjutkan dan merilis skema yang mengungkapkan port baru yang ditemukan di MacBook Pro 2021. Skema terbukti akurat saat mesin diluncurkan dengan MagSafe, HDMI, dan slot kartu SD I/O ditampilkan.

Reuters melaporkan bahwa FBI dan lembaga penegak hukum lainnya kini telah membalikkan keadaan pada kelompok tersebut.

Kelompok ransomware REvil sendiri diretas dan dipaksa offline minggu ini oleh operasi multi-negara, menurut tiga pakar dunia maya sektor swasta yang bekerja dengan Amerika Serikat dan satu mantan pejabat […] Situs web kelompok kejahatan “Happy Blog”, yang telah digunakan untuk membocorkan data korban dan memeras perusahaan, tidak lagi tersedia […]

Kepala strategi keamanan siber VMWare Tom Kellermann mengatakan aparat penegak hukum dan intelijen menghentikan kelompok itu dari mengorbankan perusahaan tambahan.

“FBI, bersama dengan Komando Siber, Dinas Rahasia, dan negara-negara yang berpikiran sama, telah benar-benar terlibat dalam tindakan mengganggu yang signifikan terhadap kelompok-kelompok ini,” kata Kellermann, penasihat Dinas Rahasia AS untuk investigasi kejahatan dunia maya. “REvil berada di urutan teratas daftar.”

Selengkapnya: 9T05Mac

REvil Memukul Kontraktor Senjata Nuklir AS: Laporan

by

“Dengan ini kami memiliki hak untuk meneruskan semua dokumentasi dan data yang relevan ke badan militer pilihan kami” tulis REvil.

Sol Oriens, subkontraktor untuk Departemen Energi AS (DOE) yang bekerja pada senjata nuklir dengan Administrasi Keamanan Nuklir Nasional (NNSA), bulan lalu dilanda serangan siber yang menurut para ahli berasal dari ransomware-as-a- REvil tanpa henti. geng layanan (RaaS).

Situs web perusahaan Albuquerque, N.M. telah tidak dapat dijangkau setidaknya sejak 3 Juni, tetapi pejabat Sol Oriens mengkonfirmasi kepada Fox News dan kepada CNBC bahwa perusahaan tersebut mengetahui pelanggaran tersebut sekitar bulan lalu.

Seperti yang dicatat Javers, “kami tidak tahu semua yang dilakukan perusahaan kecil ini,” tetapi dia memposting contoh posting pekerjaan yang menunjukkan bahwa ia menangani masalah senjata nuklir: “Materi Subjek Sistem Senjata Nuklir Senior. Pakar dengan pengalaman lebih dari 20 tahun dengan senjata nuklir seperti W80-4.” W80 adalah jenis hulu ledak nuklir yang dibawa pada rudal jelajah yang diluncurkan dari udara.

Menurut versi yang diarsipkan dan profil LinkedIn-nya, Sol Oriens adalah “perusahaan konsultan kecil milik veteran yang berfokus pada pengelolaan teknologi dan konsep canggih dengan potensi kuat untuk aplikasi militer dan ruang angkasa” yang bekerja dengan “Departemen Pertahanan dan Departemen Energi”. Organisasi, Kontraktor Dirgantara, dan Perusahaan Teknologi (sic) menjalankan program yang kompleks. … Kami fokus untuk memastikan bahwa ada teknologi yang dikembangkan dengan baik yang tersedia untuk mempertahankan Pertahanan Nasional yang kuat.”

selengkapnya : threatpost.com

REvil ransomware targets unpatched Pulse Secure VPN servers

by

 

Penjahat siber yang menggunakan ransomware REvil (Sodinokibi) untuk memeras organisasi besar sekarang menargetkan server VPN Secure Pulse yang belum dipatch untuk mendapatkan pijakan dan menonaktifkan antivirus.

 

Ransomware REvil (Sodinokibi) digunakan dalam serangan bulan lalu pada penyedia pusat data AS yang terdaftar di NASDAQ, CyrusOne dan, selama musim panas, terhadap beberapa penyedia layanan yang dikelola, 20 pemerintah daerah Texas, dan lebih dari 400 kantor dokter gigi.

 

Peneliti keamanan mendesak para organisasi yang menggunakan Pulse Secure VPN untuk memasang patch sekarang atau menghadapi serangan ransomware REvil.

 

Klik link dibawah ini untuk membaca berita selengkapnya.

Source: ZDNet