Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Ransomware

Ransomware

Kit malware keabadian menawarkan alat pencuri, penambang, worm, ransomware

by

Pelaku ancaman telah meluncurkan ‘Proyek Keabadian,’ malware-as-a-service baru di mana pelaku ancaman dapat membeli perangkat malware yang dapat disesuaikan dengan modul yang berbeda tergantung pada serangan yang dilakukan.

Perangkat malware bersifat modular dan dapat mencakup pencuri info, penambang koin, pemotong, program ransomware, penyebar worm, dan segera, juga bot DDoS (penolakan layanan terdistribusi), masing-masing dibeli secara terpisah.

Situs Proyek Keabadian (Cyble)

Semua hal di atas dipromosikan di saluran Telegram khusus yang memiliki lebih dari 500 anggota, tempat penulis memposting catatan rilis untuk pembaruan, petunjuk penggunaan, dan mendiskusikan saran fitur.

Mereka yang telah membeli perangkat malware dapat memanfaatkan Bot Telegram untuk membangun biner secara otomatis setelah memilih fitur mana yang ingin mereka aktifkan dan membayarnya dengan kripto.

Membeli modul malware untuk pembuatan otomatis (Cyble)

Dimulai dengan pencuri info, yang dijual seharga $260/tahun, alat ini mengambil kata sandi, kartu kredit, bookmark, token, cookie, dan data pengisian otomatis yang disimpan di lebih dari dua puluh browser web.

Selain itu, ia dapat mencuri informasi dari ekstensi cryptocurrency atau bahkan dompet dingin, dan juga menargetkan sepuluh pengelola kata sandi, klien VPN, messenger, dan klien game.

Modul penambang berharga $90/tahun dan menampilkan penyembunyian pengelola tugas, restart otomatis saat dimatikan, dan ketekunan peluncuran startup.

Clipper dijual seharga $ 110 dan merupakan utilitas yang memantau clipboard untuk alamat dompet cryptocurrency untuk menggantikannya dengan dompet di bawah kendali operator.

Pengembang menjual Eternity Worm seharga $ 390, memberikan malware kemampuan untuk menyebar sendiri melalui driver USB, berbagi jaringan lokal, file lokal, drive cloud, proyek Python (melalui juru bahasa), akun Discord, dan akun Telegram.

Contoh malware menyebar melalui akun Discord (Cyble)

Terakhir, Eternity ransomware, modul paling mahal, adalah $490. Ini mendukung enkripsi offline menggunakan kombinasi AES dan RSA dan menargetkan dokumen, foto, dan database.

Penulis mengklaim itu FUD (sepenuhnya tidak terdeteksi), klaim yang diduga didukung oleh Virus Total hasil di mana strain mengembalikan deteksi nol.

Menariknya, modul ransomware menawarkan opsi untuk menyetel timer yang membuat file benar-benar tidak dapat dipulihkan saat kedaluwarsa. Ini memberi tekanan tambahan pada korban untuk membayar uang tebusan dengan cepat.

Pengatur waktu ransomware mengancam file yang rusak (Cyble)

Analis di Cyble yang menemukan Proyek Keabadian mengatakan bahwa meskipun mereka belum memiliki kesempatan untuk memeriksa semua modul, mereka telah melihat sampel malware yang beredar dan digunakan di alam liar, dan semua komentar pengguna di Telegram mengarah ke ini menjadi ancaman nyata.

Dengan melihat ke dalam modul stealer, analis Cyble menemukan beberapa kesamaan dengan Jester Stealer, keduanya mungkin berasal dari proyek GitHub bernama DynamicStealer.

Dengan demikian, “Eternity Stealer” kemungkinan besar adalah salinan kode itu, diikuti dengan modifikasi dan rebranding untuk menjualnya di Telegram demi keuntungan.

Bahkan jika ini adalah “skidware”, modul tambahan, dukungan pelanggan, pembuatan otomatis, dan instruksi terperinci tentang cara menggunakan malware, menjadikannya senjata ampuh di tangan peretas yang tidak terampil dan ancaman parah bagi pengguna internet.

Sumber: Bleeping Computer

Bug ransomware Conti, REvil, LockBit dieksploitasi untuk memblokir enkripsi

by

Peretas biasanya mengeksploitasi kerentanan di jaringan perusahaan untuk mendapatkan akses, tetapi seorang peneliti telah membalikkan keadaan dengan menemukan eksploitasi di ransomware dan malware paling umum yang didistribusikan saat ini.

Malware dari operasi ransomware terkenal seperti Conti, REvil, Black Basta, LockBit, atau AvosLocker, semuanya datang dengan masalah keamanan yang dapat dieksploitasi untuk menghentikan langkah terakhir dan paling merusak dari serangan, enkripsi file.

Menganalisis jenis malware dari geng ransomware ini, seorang peneliti keamanan bernama hyp3rlinx menemukan bahwa sampel tersebut rentan terhadap DLL hijacking, sebuah metode yang biasanya dimanfaatkan oleh penyerang untuk menyuntikkan kode berbahaya ke dalam aplikasi yang sah.

Untuk setiap bagian malware yang dianalisis, peneliti memberikan laporan yang menjelaskan jenis kerentanan yang ditemukan, hash sampel, eksploitasi proof-of-concept (PoC), dan video demo.

Untuk sampel ransomware yang rentan dari Conti, REvil, LockBit, Black Basta, LockiLocker, dan AvosLocker, peneliti mengatakan bahwa exploit mereka memungkinkan mengeksekusi kode untuk “mengendalikan dan menghentikan pra-enkripsi malware.”

Di bawah ini adalah video dari peneliti yang mengeksploitasi kerentanan DLL hijacking di REvil ransomware untuk menghentikan malware sebelum proses enkripsi dimulai.

Untuk bertahan melawan keluarga ransomware ini, hyp3rlinx mengatakan bahwa DLL dapat ditempatkan di lokasi di mana penjahat siber cenderung menjalankan ransomware mereka, seperti lokasi jaringan dengan data penting.

Berikut adalah laporan kerentanan untuk sampel ransomware yang dianalisis: Conti, REvil, LockBit, Black Basta, LockiLocker, dan AvosLocker.

Selengkapnya: Bleeping Computer

Sampel malware baru mengonfirmasi bahwa REvil telah kembali

by

Operasi ransomware REvil yang terkenal telah kembali di tengah meningkatnya ketegangan antara Rusia dan AS, dengan infrastruktur baru dan encryptor yang dimodifikasi memungkinkan serangan yang lebih bertarget.

Pada bulan Oktober, geng ransomware REvil ditutup setelah operasi penegakan hukum membajak server Tor mereka, diikuti oleh penangkapan salah satu anggota oleh penegak hukum Rusia.

Namun, setelah invasi ke Ukraina, Rusia menyatakan bahwa AS telah menarik diri dari proses negosiasi mengenai geng REvil dan menutup saluran komunikasi.

Segera setelah itu, infrastruktur REvil Tor yang lama mulai beroperasi kembali, tetapi alih-alih menampilkan situs web lama, mereka mengarahkan pengunjung ke URL untuk operasi ransomware baru yang tidak disebutkan namanya.

Sementara situs-situs ini tidak terlihat seperti situs web REvil sebelumnya, fakta bahwa infrastruktur lama dialihkan ke situs baru menunjukkan bahwa REvil kemungkinan akan beroperasi kembali.

Satu-satunya cara untuk mengetahui dengan pasti apakah REvil telah kembali adalah dengan menemukan contoh enkripsi ransomware dan menganalisisnya.

Sebuah sampel dari enkripsi operasi ransomware baru akhirnya ditemukan minggu ini oleh penelitian AVAST Jakub Kroustek dan telah mengkonfirmasi hubungan operasi baru dengan grup REvil.

BleepingComputer telah diberitahu oleh beberapa peneliti keamanan dan analis malware bahwa sampel REvil yang ditemukan yang digunakan oleh operasi baru dikompilasi dari kode sumber dan mencakup perubahan baru.

BleepingComputer juga menguji sampel ransomware, dan meskipun tidak mengenkripsi, sampel tersebut membuat catatan tebusan, yang identik dengan catatan tebusan lama REvil.

Tidak mengherankan bahwa REvil telah berganti nama di bawah operasi baru, terutama dengan menurunnya hubungan antara AS dan Rusia.

Selengkapnya: Bleeping Computer

Ransomware: Bagaimana Penyerang Melanggar Jaringan Perusahaan

by

Symantec, sebuah divisi dari Broadcom Software, melacak berbagai ancaman ransomware; namun, tiga kelompok ransomware berikut diamati di sebagian besar serangan baru-baru ini yaitu: Hive, Conti, dan Avoslocker.

Mirip dengan banyak keluarga ransomware lainnya, Hive, Conti, dan Avoslocker mengikuti model bisnis ransomware-as-a-service (RaaS). Dalam model RaaS, operator ransomware mempekerjakan afiliasi yang bertanggung jawab meluncurkan serangan ransomware atas nama mereka. Dalam kebanyakan kasus, afiliasi tetap berpegang pada buku pedoman yang berisi langkah-langkah serangan terperinci yang ditetapkan oleh operator ransomware.

Afiliasi untuk operator ransomware Hive, Conti, dan Avoslocker menggunakan berbagai teknik untuk mendapatkan pijakan awal di jaringan korban. Beberapa teknik tersebut antara lain: spear phishing, kredensial RDP yang lemah, dan eksploitasi kelemahan.

Setelah mendapatkan akses awal, Symantec telah mengamati afiliasi untuk ketiga keluarga ransomware menggunakan perangkat lunak pihak ketiga seperti AnyDesk dan ConnectWise Control (sebelumnya dikenal sebagai ScreenConnect) untuk mempertahankan akses ke jaringan korban.

Selama fase penemuan, pelaku ransomware mencoba menyapu jaringan korban untuk mengidentifikasi target potensial.

Mimikatz adalah alat masuk untuk sebagian besar grup ransomware dan Hive, Conti, dan Avoslocker tidak terkecuali. Peneliti telah mengamati mereka menggunakan versi PowerShell dari Mimikatz serta versi PE dari alat tersebut. Ada juga contoh di mana aktor ancaman secara langsung memuat versi PowerShell dari Mimikatz dari repositori GitHub.

Penyerang menggunakan alat seperti PsExec, WMI, dan BITSAdmin untuk menyebarkan dan mengeksekusi ransomware secara lateral di jaringan korban. Kami juga telah mengamati penyerang menggunakan beberapa teknik lain untuk bergerak secara lateral melintasi jaringan.

Untuk menghindar deteksi keamanan campur tangan dengan layanan keamanan menggunakan perintah net, taskkill, dan sc untuk menonaktifkan atau menghentikannya.

Musuh cenderung menonaktifkan atau mengutak-atik pengaturan sistem operasi untuk mempersulit administrator memulihkan data. Menghapus salinan bayangan adalah taktik umum yang dilakukan aktor ancaman sebelum memulai proses enkripsi. Mereka melakukan tugas ini dengan menggunakan alat seperti Vssadmin atau WMIC

Penyerang biasanya mengekstrak data penting dari lingkungan korban sebelum mengenkripsinya.

TTP yang diuraikan dalam blog ini adalah cuplikan lanskap ancaman ransomware saat ini. TTP yang digunakan oleh pelaku ancaman ini terus berkembang, dengan kelompok yang terus-menerus mengubah metode mereka dalam upaya untuk mengungguli pertahanan keamanan target mereka. Dengan demikian, organisasi perlu waspada dan menggunakan pendekatan keamanan berlapis-lapis.

Selengkapnya: Symantec

Ransomware Black Basta baru beraksi dengan selusin pelanggaran

by

Geng ransomware baru yang dikenal sebagai Black Basta dengan cepat diluncurkan ke dalam operasi bulan ini, melanggar setidaknya dua belas perusahaan hanya dalam beberapa minggu.

Serangan Black Basta pertama yang diketahui terjadi pada minggu kedua bulan April, saat operasi tersebut dengan cepat mulai menyerang perusahaan di seluruh dunia.

Sementara tuntutan tebusan kemungkinan bervariasi antara korban, Salah satu korban yang menerima lebih dari $ 2 juta permintaan dari geng Black Basta untuk mendekripsi file dan tidak membocorkan data.

Seperti operasi ransomware penargetan perusahaan lainnya, Black Basta akan mencuri data dan dokumen perusahaan sebelum mengenkripsi perangkat perusahaan.

Data yang dicuri ini kemudian digunakan dalam serangan pemerasan ganda, di mana pelaku ancaman meminta uang tebusan untuk menerima decryptor dan mencegah penerbitan data korban yang dicuri.

Bagian pemerasan data dari serangan ini dilakukan di situs ‘Black Basta Blog’ atau ‘Basta News’ Tor, yang berisi daftar semua korban yang belum membayar uang tebusan. Black Basta perlahan akan membocorkan data setiap korban untuk mencoba dan menekan mereka agar membayar uang tebusan.

Situs kebocoran data Black Basta
Sumber: BleepingComputer

Situs kebocoran data Black Basta saat ini memuat halaman kebocoran data sepuluh perusahaan yang mereka langgar.

Korban terbaru mereka yang terdaftar adalah Deutsche Windtechnik, yang mengalami serangan cyber pada 11 April tetapi tidak mengungkapkan bahwa itu adalah serangan ransomware.

Kemarin, situs pembocor data juga mulai membocorkan data American Dental Association, yang diserang pada 22 April, tetapi halaman itu telah dihapus. Penghapusan halaman mereka menunjukkan bahwa perusahaan sedang bernegosiasi dengan pelaku ancaman.

Saat dijalankan, encryptor Black Basta perlu dijalankan dengan hak administratif, atau ia tidak akan mengenkripsi file. Setelah diluncurkan, encryptor akan menghapus Volume Shadow Copies menggunakan perintah berikut:

C:\Windows\system32\cmd.exe /c C:\Windows\SysNative\vssadmin.exe hapus bayangan /all /quiet
Kemudian akan membajak layanan Windows yang ada dan menggunakannya untuk meluncurkan enkripsi ransomware yang dapat dieksekusi. Dalam pengujian kami, Layanan Windows yang dibajak adalah layanan ‘Faks’, seperti yang ditunjukkan di bawah ini.

Layanan Fax Windows yang dibajak digunakan untuk meluncurkan Black Basta
Sumber: BleepingComputer

Ransomware juga akan mengubah wallpaper untuk menampilkan pesan yang menyatakan, “Jaringan Anda dienkripsi oleh grup Black Basta. Petunjuk dalam file readme.txt.”

Wallpaper ditambahkan oleh encryptor Black Basta
Sumber: BleepingComputer

Ransomware sekarang akan mem-boot ulang komputer ke Safe Mode with Networking, di mana layanan Windows yang dibajak akan dimulai dan secara otomatis mulai mengenkripsi file pada perangkat.

Pakar Ransomware Michael Gillespie, yang menganalisis proses enkripsi Black Basta, mengatakan bahwa ia menggunakan algoritma ChaCha20 untuk mengenkripsi file. Kunci enkripsi ChaCha20 kemudian dienkripsi dengan kunci RSA-4096 publik yang disertakan dalam file yang dapat dieksekusi.

Saat mengenkripsi file, ransomware akan menambahkan ekstensi .basta ke nama file terenkripsi. Jadi, misalnya, test.jpg akan dienkripsi dan diganti namanya menjadi test.jpg.basta.

File terenkripsi Black Basta
Sumber: BleepingComputer

Untuk menampilkan ikon kustom yang terkait dengan ekstensi .basta, ransomware akan membuat ekstensi kustom di Windows Registry dan mengaitkan ikon dengan file ICO bernama acak di folder %Temp%. Ikon kustom ini sangat mirip dengan yang digunakan oleh aplikasi ice.tools.

Di setiap folder pada perangkat terenkripsi, ransomware akan membuat file readme.txt yang berisi informasi tentang serangan dan tautan serta ID unik yang diperlukan untuk masuk ke sesi obrolan negosiasi mereka.

Catatan Tebusan Basta Hitam
Sumber: BleepingComputer

Situs negosiasi Tor berjudul ‘Obrolan Black Basta’ dan hanya menyertakan layar masuk dan obrolan web yang dapat digunakan untuk bernegosiasi dengan pelaku ancaman.

Pelaku ancaman menggunakan layar ini untuk mengeluarkan pesan selamat datang yang berisi permintaan tebusan, ancaman bahwa data akan bocor jika pembayaran tidak dilakukan dalam tujuh hari, dan janji laporan keamanan setelah uang tebusan dibayarkan.

Sayangnya, Gillespie mengatakan bahwa algoritma enkripsi aman dan tidak ada cara untuk memulihkan file secara gratis.

Berdasarkan seberapa cepat Black Basta mengumpulkan korban dan gaya negosiasi mereka, ini kemungkinan besar merupakan rebranding dari operasi yang berpengalaman.

Satu teori yang dibahas antara peneliti keamanan MalwareHunterTeam dan penulis ini adalah bahwa Black Basta mungkin merupakan rebranding yang akan datang dari operasi ransomware Conti.

Conti telah berada di bawah pengawasan ketat selama dua bulan terakhir setelah seorang peneliti Ukraina membocorkan harta karun berupa percakapan pribadi dan kode sumber ransomware.

Karena itu, telah berspekulasi bahwa Conti akan mengubah citra operasi mereka untuk menghindari penegakan hukum dan memulai dari awal dengan nama yang berbeda.

Sementara encryptor Black Basta sangat berbeda dari Conti, MalwareHunterTeam percaya bahwa ada banyak kesamaan dalam gaya negosiasi dan desain situs web mereka.

Selanjutnya, Black Basta merilis data untuk korban baru setelah tangkapan layar negosiasi bocor.

Sementara koneksi ini lemah, geng Black Basta perlu diawasi secara ketat karena mereka baru saja memulai operasinya.

Sumber: Bleeping Computer

FBI Memperingatkan Sektor Pertanian Tentang Meningkatnya Risiko Serangan Ransomware

by

FBI pada hari Rabu memperingatkan perusahaan makanan dan pertanian untuk bersiap-siap bagi operasi ransomware untuk berpotensi menyerang entitas pertanian selama musim tanam dan panen – kerangka waktu yang diperingatkan FBI lebih mungkin untuk menarik perhatian aktor ransomware yang bertekad memanfaatkan sektor ini pada yang paling rentan, termasuk sekarang saat musim tanam musim semi berlangsung.

Pemberitahuan FBI kepada industri menegaskan bahwa peretas ransomware bertekad “mengganggu operasi, menyebabkan kerugian finansial, dan berdampak negatif pada rantai pasokan makanan,” dan mencatat ada serangan ransomware terhadap enam koperasi biji-bijian selama panen musim gugur 2021, bersama dengan dua serangan pada awal 2022 terhadap target yang tidak disebutkan biro yang dapat mempengaruhi musim tanam dengan mengganggu pasokan benih dan pupuk.

Pemberitahuan FBI hari Rabu mengungkapkan untuk pertama kalinya seberapa luas serangan ransomware terhadap target pertanian tahun lalu dan awal tahun ini, menurut Allan Liska, seorang analis intelijen di Recorded Future.

“Perusahaan pertanian tidak selalu mampu untuk staf TI dan peran keamanan, sehingga mereka sangat bergantung pada MSPs untuk memberikan perlindungan,” kata Liska. “Ketika MSP itu dikompromikan, biasanya tidak ada perlindungan untuk melindungi para korban.”

Sektor pertanian telah mengalami peningkatan jumlah serangan ransomware dalam beberapa bulan terakhir. Oktober lalu, pabrik dan pusat distribusi di Schreiber Foods, sebuah perusahaan susu bernilai miliaran dolar, dipaksa offline mengikuti apa yang disebut perusahaan sebagai “peristiwa cyber.” Insiden itu menyusul pemberitahuan FBI september untuk peringatan industri makanan dan pertanian tentang ancaman ransomware. Pemberitahuan itu mengatakan bahwa dari 2019 hingga 2020 permintaan tebusan rata-rata dua kali lipat dan pembayaran asuransi cyber rata-rata meningkat sebesar 65%.

Sekitar waktu yang sama, Badan Keamanan Siber dan Infrastruktur Departemen Keamanan Dalam Negeri, FBI, dan Badan Keamanan Nasional memperingatkan sektor pertanian bahwa penyerang ransomware BlackMatter menargetkan mereka sebagai bagian dari ancaman yang lebih luas terhadap infrastruktur penting AS.

Selengkapnya: Cyberscoop

Situs TOR REvil menjadi hidup untuk dialihkan ke operasi ransomware baru

by

Server REvil ransomware di jaringan TOR dicadangkan setelah berbulan-bulan tidak aktif dan dialihkan ke operasi baru yang tampaknya telah dimulai setidaknya sejak pertengahan Desember tahun lalu.

Tidak jelas siapa yang berada di balik operasi baru yang terhubung dengan REvil tetapi situs kebocoran baru mencantumkan katalog besar korban dari serangan REvil sebelumnya ditambah dua yang baru.

Namun, beberapa hari yang lalu, peneliti keamanan pancak3 dan Soufiane Tahiri melihat situs kebocoran REvil baru sedang dipromosikan di RuTOR, sebuah forum pasar yang berfokus pada wilayah berbahasa Rusia.

Situs kebocoran memberikan rincian tentang kondisi untuk afiliasi, yang diduga mendapatkan versi perbaikan dari ransomware REvil dan pembagian 80/20 untuk afiliasi yang mengumpulkan uang tebusan.

sumber: BleepingComputer

Situs tersebut mencantumkan 26 halaman korban, kebanyakan dari serangan REvil lama, dan hanya dua yang terakhir tampaknya terkait dengan operasi baru. Salah satunya adalah Minyak India.

Peneliti keamanan MalwareHunterTeam pada bulan Januari, beberapa minggu setelah 14 tersangka anggota geng ditangkap di Rusia, mengatakan bahwa mulai pertengahan Desember tahun lalu mereka melihat aktivitas dari geng ransomware baru yang terkait dengan REvil, meskipun tidak ada hubungan yang jelas.

Peneliti kemudian mengamati situs kebocoran terkait REvil saat ini naik antara 5 April dan 10 April tetapi tanpa konten dan mulai diisi sekitar seminggu setelahnya.

Pengamatan lain dari MalwareHunterTeam adalah bahwa sumber umpan RSS menunjukkan string Corp Leaks, yang telah digunakan oleh geng ransomware Nefilim yang sekarang sudah tidak berfungsi [1, 2].

sumber: BleepingComputer

Blog dan situs pembayaran aktif dan berjalan di server yang berbeda. Melihat yang pertama, blog operasi ransomware baru menjatuhkan cookie bernama DEADBEEF, istilah komputer yang digunakan sebagai penanda file oleh geng ransomware TeslaCrypt.

source: BleepingComputer

Koneksi ke pelaku ancaman ransomware tidak dimungkinkan saat ini karena sampel muatan berbasis REvil baru harus dianalisis dan siapa pun yang berada di balik situs kebocoran baru belum mengklaim nama atau afiliasi apa pun.

Saat berada di bawah kendali FBI pada November 2021, kebocoran data dan situs pembayaran REvil menunjukkan halaman berjudul “REvil buruk” dan formulir login, awalnya melalui gateway TOR dan di lokasi .Onion.

sumber: Lawrence Abrams

Misteri pengalihan, baik baru-baru ini dan dari tahun lalu, semakin dalam, karena ini menunjukkan bahwa seseorang selain penegak hukum, memiliki akses ke kunci pribadi TOR yang memungkinkan mereka membuat perubahan untuk situs .Onion.

Di forum peretas berbahasa Rusia yang populer, pengguna berspekulasi antara operasi baru sebagai scam, honeypot, atau kelanjutan resmi dari bisnis REvil lama yang kehilangan reputasinya dan memiliki banyak hal yang harus dilakukan untuk mendapatkannya kembali.

Ransomware REvil memiliki jangka panjang yang dimulai pada April 2019 sebagai kelanjutan dari operasi GandCrab, yang pertama kali membentuk model ransomware-as-a-service (RaaS).

Pada Agustus 2019 geng itu menyerang beberapa administrasi lokal di Texas dan menuntut tebusan kolektif sebesar $2,5 juta – tertinggi pada waktu itu.

Kelompok ini bertanggung jawab atas serangan rantai pasokan Kaseya yang mempengaruhi sekitar 1.500 bisnis dan juga menyebabkan kehancuran mereka tahun lalu ketika penegak hukum di seluruh dunia mengintensifkan kolaborasi mereka untuk menjatuhkan geng tersebut.

Pada pertengahan Januari, Rusia mengumumkan bahwa mereka menutup REvil setelah mengidentifikasi semua anggota geng dan menangkap 14 orang.

Dalam sebuah wawancara dengan Rossiyskaya Gazeta, Wakil Sekretaris Dewan Keamanan Federasi Rusia, Oleg Khramov, mengatakan bahwa lembaga penegak hukum Rusia memulai penyelidikannya terhadap REvil dari nama Puzyrevsky dan alamat IP yang dikirimkan oleh Amerika Serikat sebagai milik peretas utama grup.

Sumber : Bleeping Computer

Penyerang melepaskan ransomware LockBit di komputer pemerintah AS

by

Temuan baru dari perusahaan keamanan siber Sophos menunjukkan beberapa metode yang digunakan oleh peretas dalam hal mengeksploitasi celah di perangkat federal. Satu serangan yang disorot dalam laporan tersebut menemukan bahwa kelompok ransomware menghabiskan setidaknya lima bulan untuk menyisir file dan sistem badan pemerintah regional AS sebelum menyebarkan serangan LockBit ke komputer yang terpengaruh.

“Ini adalah serangan yang sangat kacau,” kata Andrew Brandt, peneliti keamanan utama di Sophos. “Bekerja sama dengan target, peneliti Sophos mampu membangun gambaran yang dimulai dengan apa yang tampak seperti penyerang pemula yang membobol server, mengaduk-aduk jaringan dan menggunakan server yang dikompromikan ke Google, kombinasi versi bajakan dan gratis dari peretas dan alat admin yang sah untuk digunakan dalam serangan mereka.”

Serangan yang tidak terampil tetapi efektif kemudian mencoba menggunakan perangkat lunak manajemen TI untuk menghindari deteksi, melalui penggunaan alat seperti ScreenConnect dan AnyDesk, yang biasanya digunakan untuk tujuan akses jarak jauh. Kemudian ditemukan oleh Sophos bahwa dalam pengaturan sistem itu sendiri, tim TI membiarkan port RDP terbuka di firewall untuk akses publik ke server, memungkinkan penyusupan oleh kelompok peretasan yang bersangkutan.

Setelah akses jarak jauh diaktifkan, ransomware LockBit kemudian disebarkan pada sistem dengan memanfaatkan kerentanan sistem. Pihak-pihak jahat berusaha untuk menutupi jejak mereka setelah selesai dengan menghapus file log, tetapi Sophos dapat merekonstruksi langkah-langkah yang diambil agar peretasan terjadi, karena diduga telah dilakukan oleh penyerang cyber yang tidak canggih.

Selengkapnya; Tech Republic