Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Ransomware

Ransomware

Ransomware Ingin Anda Like dan Subscribe

by

Ransomware telah menjadi masalah endemik di internet. Tidak ada hari yang berlalu tanpa berita utama tentang serangan baru di mana peretas meminta ratusan ribu dolar, atau bahkan jutaan, setelah mengunci korban dari komputer dan server mereka.

Tetapi jenis ransomware baru meminta sesuatu yang sedikit berbeda: berlangganan saluran YouTube.

Ransomware pertama kali ditemukan oleh MalwareHunterTeam, sekelompok peneliti keamanan siber independen.

“HALO SEMUA FILE ANDA TELAH DIKUNCI OLEH RANOMWARE [sic] TAPI CALSE [SIC] ANDA DAPAT MENGAKSES BAK DENGAN SUBSCRIBE MY CHANEL [sic] YOUTUBE,” bunyi pesan yang muncul di layar korban.

Allan Liska, peneliti keamanan siber di Recorded Future mengatakan kepada Motherboard dalam obrolan online bahwa malware itu nyata. Dia mengatakan telah melihat analisis independen dari peneliti lain di forum industri swasta. Liska mengatakan bahwa ransomware “adalah ransomware mesin tunggal, jadi hanya mengenai satu komputer dan tidak menyebar.”

Saluran YouTube yang mereka minta untuk dilanggani oleh para korban hanya memiliki 64 langganan pada saat penulisan. Saluran ini menampilkan sebagian besar video terkait peretasan yang menampilkan logo kelompok peretasan yang kurang dikenal, dan beberapa video yang diambil di tempat yang tampak seperti sekolah.

Dalam pesan tersebut, para peretas menyebut diri mereka sebagai GHOST CYBER TEAM dan mengaku berasal dari Indonesia.

Apakah Anda memiliki informasi lebih lanjut tentang geng ransomware atau jenis ransomware lain? Kami ingin mendengar dari Anda. Anda dapat menghubungi Lorenzo Franceschi-Bicchierai dengan aman di Signal di +1 917 257 1382, Wire/Wickr @lorenzofb, atau email lorenzofb@vice.com.

Tidak jelas apakah ransomware ini hanya lelucon, atau pekerjaan beberapa peretas remaja yang mencari perhatian. Namun sampel ransomware yang ditemukan oleh MalwareHunterTeam terdeteksi sebagai berbahaya oleh beberapa mesin antivirus, menurut VirusTotal, gudang malware.

Sumber : Vice

Ransomware BlackCat Melambung ke Puncak

by

BlackCat RaaS, juga dikenal sebagai ALPHV, pertama kali muncul pada pertengahan November dan sudah terbukti kecanggihannya. Itu menjadi geng ransomware profesional pertama yang menggunakan malware berbasis Rust. Sekarang, grup agresif ini sedang menuju puncak, dan mari kita lihat apa yang terjadi.

Unit 42 menyatakan bahwa BlackCat naik ke posisi ketujuh dalam peringkat kelompok ransomware global. Pemeringkatan ini didasarkan pada jumlah korban yang terdaftar di situs kebocoran data grup. Dalam waktu kurang dari sebulan, geng tersebut telah mengumpulkan lebih dari selusin korban yang berlokasi di AS, Jerman, Belanda, Prancis, Spanyol, dan Filipina.

Laporan lain oleh Sentinel Labs menyatakan bahwa kelompok tersebut telah menargetkan organisasi di India dan Australia, dan menuntut pembayaran tebusan antara $400.000 dan $3.000.000 dalam bentuk Bitcoin atau Monero.

Berbagai alasan dapat menjadi faktor dalam munculnya ALPHV RaaS. Beberapa dianataranya adalah:

  • Pemasaran yang efektif untuk afiliasi adalah salah satu alasan utama. Geng meminta afiliasi di forum web gelap populer dan membiarkan mereka menyimpan 80–90% dari pembayaran tebusan.
  • Dengan menggunakan bahasa pemrograman Rust, para pengembang dapat dengan mudah mengkompilasi malware terhadap OS apapun. Menjadi sangat dapat disesuaikan, Rust memungkinkan penyerang untuk mengindividualisasikan serangan.
  • Varonis menemukan bahwa BlackCat secara aktif merekrut mantan operator dari REvil, DarkSide, dan BlackMatter. Mereka mewawancara dan memeriksa afiliasi sebelum menambahkan mereka ke dalam grup.

Cyware Social

Kontraktor Apple dan Tesla Taiwan terkena ransomware Conti

by

Delta Electronics, perusahaan elektronik Taiwan dan penyedia Apple, Tesla, HP, dan Dell, mengungkapkan bahwa mereka adalah korban serangan siber yang ditemukan pada Jumat pagi.

Pada 22 Januari 2022, perusahaan mengatakan insiden itu hanya berdampak pada sistem yang tidak kritis, yang tidak berdampak signifikan pada operasinya. Platform AdvIntel “Andariel” mendeteksi serangan pada 18 Januari.

Saat ini Delta bekerja untuk memulihkan sistem yang rusak selama serangan dan mengatakan telah menyewa jasa pakar keamanan pihak ketiga untuk membantu penyelidikan dan proses pemulihan.

Sementara pernyataan Delta tidak mengatakan siapa yang berada di balik serangan itu, sebuah perusahaan keamanan informasi yang dirahasiakan menemukan sampel ransomware Conti yang disebarkan di jaringan perusahaan, seperti yang dilaporkan pertama kali oleh CTWANT.

Catatan tebusan Delta Electronics Conti (BleepingComputer)

Menurut negosiasi antara Conti dan Delta, operator Conti mengklaim telah mengenkripsi 1.500 server dan 12.000 komputer dari sekitar 65.000 perangkat di jaringan Delta.

Geng ransomware Conti meminta Delta untuk membayar tebusan $15 juta untuk decryptor dan berhenti membocorkan file yang dicuri dari jaringannya. Juga dijanjikan diskon jika perusahaan mau membayar dengan cepat.

Sementara Delta dilaporkan masih bekerja dengan Trend dan tim keamanan Microsoft untuk menyelidiki insiden tersebut dan mengklaim bahwa produksinya tidak terpengaruh, situs webnya masih tidak aktif satu minggu setelah serangan tersebut.

Pelanggan Delta dapat menggunakan domain alternatif ini saat perusahaan menghidupkan kembali situs web utamanya, yang masih down setelah serangan ransomware, seperti yang ditemukan The Record.

“Grup Conti ransomware mengungkapkan bagian pola tertentu dari serangan Delta yang memanfaatkan Cobalt Strike dengan Atera untuk kegigihan seperti yang diungkapkan oleh visibilitas permusuhan platform kami. Tentu saja, serangan ini mengingatkan pada REvil Quanta yang memengaruhi salah satu pemasok Apple,” Vitali Kremez , CEO AdvIntel, mengatakan kepada BleepingComputer.

Conti adalah operasi Ransomware-as-a-Service (RaaS) yang terkait dengan kelompok kejahatan dunia maya Wizard Spider yang berbahasa Rusia.

Sumber : Bleeping Computer

Ransomware LockBit versi Linux menargetkan server VMware ESXi

by

Geng ransomware kini telah mengembangkan taktik mereka untuk membuat enkripsi Linux yang secara khusus menargetkan platform virtualisasi VMware vSphere dan ESXi yang populer selama setahun terakhir.

Meskipun ESXi tidak sepenuhnya Linux, ia memiliki banyak karakteristik yang sama, termasuk kemampuan untuk menjalankan executable ELF64 Linux.

Pada bulan Oktober, LockBit mulai mempromosikan fitur baru dari operasi Ransomware-as-a-Service mereka di forum peretasan RAMP, termasuk encryptor Linux baru yang menargetkan mesin virtual VMware ESXi.

Peneliti Trend Micro menganalisis encryptor Linux geng ransomware dan menjelaskan bagaimana itu digunakan untuk menargetkan instalasi VMWare ESXi dan vCenter.

Seperti encryptor Linux lainnya, LockBits menyediakan antarmuka baris perintah yang memungkinkan afiliasi untuk mengaktifkan dan menonaktifkan berbagai fitur untuk menyesuaikan serangan mereka.

Argumen baris perintah enkripsi LockBit Linux
Sumber: Trend Micro

Yang membuat encryptor linux LockBit menonjol adalah penggunaan luas utilitas baris perintah VMware ESXI dan VMware vCenter untuk memeriksa mesin virtual apa yang sedang berjalan dan untuk mematikannya dengan bersih sehingga tidak rusak saat dienkripsi.

Trend Micro menyatakan bahwa encryptor menggunakan AES untuk mengenkripsi file dan algoritma elliptic-curve cryptography (ECC) untuk mengenkripsi kunci dekripsi.

Dengan meluasnya penggunaan VMware ESXI di perusahaan, semua pembela jaringan dan profesional keamanan harus mengharapkan bahwa setiap operasi ransomware besar telah mengembangkan varian Linux.

Dengan membuat asumsi ini, admin dan profesional keamanan dapat membuat pertahanan dan rencana yang sesuai untuk melindungi semua perangkat di jaringan mereka, bukan hanya perangkat Windows.

Hal ini terutama berlaku untuk operasi LockBit, yang telah menjadi operasi ransomware paling menonjol sejak REvil ditutup dan membanggakan kecepatan dan rangkaian fitur enkripsinya.

Penting juga untuk diingat bahwa sebanyak kita menonton geng ransomware, mereka juga mengawasi kita kembali.

Ini berarti bahwa mereka memantau umpan sosial peneliti dan jurnalis untuk taktik, pertahanan, dan kerentanan terbaru yang kemudian dapat mereka gunakan terhadap target perusahaan.

Selengkapnya : Bleeping Computer

FBI menautkan ransomware Diavol ke grup kejahatan dunia maya TrickBot

by

FBI telah secara resmi menghubungkan operasi ransomware Diavol ke Grup TrickBot, pengembang malware di balik trojan perbankan TrickBot yang terkenal kejam.

Geng TrickBot, alias Wizard Spider, adalah pengembang infeksi malware yang telah merusak jaringan perusahaan selama bertahun-tahun, umumnya mengarah pada serangan ransomware Conti dan Ryuk, penyusupan jaringan, penipuan keuangan, dan spionase perusahaan.

Pada Juli 2021, peneliti dari FortiGuard Labs merilis analisis ransomware baru bernama Diavol (bahasa Rumania untuk Iblis) yang terlihat menargetkan korban perusahaan.

Para peneliti melihat muatan ransomware Diavol dan Conti disebarkan di jaringan dalam serangan ransomware yang sama pada awal Juni 2021.

Setelah menganalisis dua sampel ransomware, kesamaan ditemukan, seperti penggunaan operasi I/O asinkron untuk antrian enkripsi file dan parameter baris perintah yang hampir identik untuk fungsi yang sama.

Sebulan kemudian, peneliti IBM X-Force membangun hubungan yang lebih kuat antara ransomware Diavol dan malware TrickBot Gang lainnya, seperti Anchor dan TrickBot.

FBI menghubungkan ransomware Diavol ke geng TrickBot
FBI telah secara resmi mengumumkan bahwa mereka telah menghubungkan operasi Ransomware Diavol ke Geng TrickBot dalam indikator berbagi penasehat baru dari kompromi yang terlihat pada serangan sebelumnya.

Sejak itu, FBI telah melihat tuntutan tebusan berkisar antara $10.000 dan $500.000, dengan pembayaran yang lebih rendah diterima setelah negosiasi tebusan.

Warning.txt ransom note dari Diavol ransomware

Jumlah ini sangat kontras dengan tebusan yang lebih tinggi yang diminta oleh operasi ransomware lain yang terkait dengan TrickBot, seperti Conti dan Ryuk, yang secara historis meminta tebusan jutaan dolar.

FBI dapat secara resmi menghubungkan Diavol ke Geng TrickBot setelah penangkapan Alla Witte, seorang wanita Latvia yang terlibat dalam pengembangan ransomware untuk geng malware.

“Alla Witte memainkan peran penting untuk operasi TrickBot dan berdasarkan wawasan permusuhan mendalam AdvIntel sebelumnya, dia bertanggung jawab atas pengembangan ransomware Diavol dan proyek frontend/backend yang dimaksudkan untuk mendukung operasi TrickBot dengan ransomware khusus yang disesuaikan dengan bot backconnectivity antara TrickBot dan Diavol,” kata Kremez

“Nama lain untuk ransomware Diavol disebut ransomware “Enigma” yang dimanfaatkan oleh kru TrickBot sebelum merek ulang Diavol.”

Perlu dicatat bahwa ransomware Diavol awalnya membuat catatan tebusan bernama ‘README_FOR_DECRYPT.txt’ seperti yang ditunjukkan oleh penasihat FBI, tetapi geng ransomware beralih pada bulan November ke catatan tebusan bernama ‘Warning.txt.’

FBI juga mendesak semua korban, terlepas dari apakah mereka berencana untuk membayar uang tebusan, untuk segera memberi tahu penegak hukum tentang serangan untuk mengumpulkan IOC baru yang dapat mereka gunakan untuk tujuan investigasi dan operasi penegakan hukum.

Jika Anda terkena serangan Diavol, penting juga untuk memberi tahu FBI sebelum membayar karena mereka “mungkin dapat memberikan sumber daya mitigasi ancaman kepada mereka yang terkena dampak ransomware Diavol.”

Sumber : Bleeping Computer

Conti Ransomware Menambahkan Bank Indonesia Ke Dalam Daftar Korbannya

by

Bank Indonesia, yang merupakan bank sentral Indonesia, diumumkan sebagai korban ransomware Conti, dalam sebuah posting yang diterbitkan oleh pelaku ancaman. Postingan tersebut dipublikasikan di situs kebocoran dark web geng ransomware Conti, bersama dengan 838 file dengan ukuran 487,09 megabyte.

Menurut catatan yang dibuat oleh geng ransomware Conti, ini hanya mewakili satu persen dari total data yang telah dicuri. Jika itu benar, volume yang dicuri berjumlah seratus kali lipat, atau 48,7 gigabyte.

Dilaporkan oleh Bleeping Computer, Bank Indonesia (BI) telah mengkonfirmasi bahwa serangan ransomware memang menyerang jaringannya bulan lalu.

Selama insiden tersebut, para penyerang mencuri “data non-kritis” milik pegawai Bank Indonesia sebelum menyebarkan muatan ransomware di lebih dari selusin sistem di jaringan bank, seperti yang dilaporkan CNN Indonesia.

Namun, menurut juru bicara bank, insiden itu telah dimitigasi sebelum berdampak pada layanan publik BI, seperti yang dilaporkan pertama kali oleh Reuters.

Conti adalah operasi Ransomware-as-a-Service (RaaS) yang memiliki kaitan dengan kelompok kejahatan dunia maya Wizard Spider Rusia, yang juga dikenal dengan malware terkenal lainnya, termasuk Ryuk, TrickBot, dan BazarLoader.

Afiliasi grup ransomware melanggar jaringan target setelah perangkat perusahaan terinfeksi malware BazarLoader atau TrickBot, memberi mereka akses jarak jauh ke sistem yang disusupi.

Setelah mendapatkan akses ke jaringan internal korban, operator Conti akan mengkompromikan perangkat lain yang menyebar melalui jaringan korban.

TellYouThePass ransomware kembali sebagai ancaman Golang lintas platform

by

TellYouThePass ransomware telah muncul kembali sebagai malware yang dikompilasi Golang, membuatnya lebih mudah untuk menargetkan lebih banyak sistem operasi, khususnya macOS dan Linux.

Kembalinya jenis malware ini terlihat bulan lalu, ketika pelaku ancaman menggunakannya bersama dengan eksploitasi Log4Shell untuk menargetkan mesin yang rentan.

Crowdstrike menjelaskan lebih banyak tentang pengembalian ini, dengan fokus pada perubahan tingkat kode yang membuatnya lebih mudah untuk dikompilasi untuk platform lain selain Windows.

Mengapa Golang?

Golang adalah bahasa pemrograman yang pertama kali diadopsi oleh pembuat malware pada tahun 2019 karena keserbagunaan lintas platformnya.

Golang memungkinkan pustaka dependensi lapisan ke dalam satu file biner, yang mengarah ke jejak yang lebih kecil dari komunikasi server perintah dan kontrol (C2), sehingga mengurangi tingkat deteksi.

Sampel TellYouThePass baru
Analis Crowdstrike melaporkan kesamaan kode sebesar 85% antara sampel Linux dan Windows dari TellYouThePass, menunjukkan penyesuaian minimal yang diperlukan untuk membuat ransomware berjalan di sistem operasi yang berbeda.

Functions on the Windows and Linux samples
Source: Crowdstrike

Satu perubahan penting dalam sampel ransomware terbaru adalah pengacakan nama semua fungsi selain dari yang ‘utama’, yang mencoba menggagalkan analisis.

Sebelum memulai rutinitas enkripsi, TellYouThePass mematikan tugas dan layanan yang dapat mempertaruhkan proses atau mengakibatkan enkripsi yang tidak lengkap, seperti klien email, aplikasi database, server web, dan editor dokumen.

Selain itu, beberapa direktori dikecualikan dari enkripsi untuk mencegah membuat sistem tidak dapat di-boot dan dengan demikian menyia-nyiakan kesempatan untuk mendapatkan bayaran.

Direktori dikecualikan dari enkripsi
Sumber: Crowdstrike

Catatan tebusan dijatuhkan dalam infeksi TellYouThePass baru-baru ini meminta 0,05 Bitcoin, saat ini dikonversi menjadi sekitar $2,150, sebagai ganti alat dekripsi.

Sumber : Bleeping Computer

Magniber ransomware menggunakan file APPX yang ditandatangani untuk menginfeksi sistem

by

Ransomware Magniber menggunakan file paket aplikasi Windows (.APPX) yang ditandatangani dengan sertifikat yang valid untuk menghapus malware yang berpura-pura sebagai pembaruan browser web Chrome dan Edge.

Metode distribusi ini menandai pergeseran dari pendekatan sebelumnya yang terlihat dengan aktor ancaman ini, yang biasanya bergantung pada eksploitasi kerentanan Internet Explorer.

Infeksi dimulai dengan mengunjungi situs web yang menjatuhkan muatan, para peneliti di perusahaan keamanan siber AhnLab mencatat dalam sebuah laporan yang diterbitkan hari ini.

Dua dari URL yang mendistribusikan payload adalah “hxxp://b5305c364336bqd.bytesoh.cam”, dan “hxxp://hadhill.quest/376s53290a9n2j”, tetapi ini mungkin bukan satu-satunya.

Pengunjung situs ini menerima peringatan untuk memperbarui browser Edge/Chrome mereka secara manual, dan ditawari file APPX untuk menyelesaikan tindakan.

Peringatan untuk mengunduh pembaruan Edge palsu
Sumber: ASEC

Dalam kasus ransomware Magniber, file APPX yang disamarkan ditandatangani secara digital dengan sertifikat yang valid, sehingga Windows melihatnya sebagai file tepercaya yang tidak memicu peringatan.

DLL code part responsible for downloading and decoding the payload
Source: ASEC

File-file ini menjalankan fungsi yang mengambil muatan ransomware Magniber, mendekodekannya, dan kemudian menjalankannya. Setelah mengenkripsi data pada sistem, ancaman membuat catatan tebusan berikut:

Magniber ransom note dropped onto encrypted systems
Source: ASEC

Meskipun catatan dalam bahasa Inggris, perlu dicatat bahwa ransomware Magniber menargetkan pengguna Asia secara eksklusif akhir-akhir ini. Saat ini tidak ada kemungkinan untuk mendekripsi file yang dikunci oleh malware ini secara gratis.

Tidak seperti kebanyakan operasi ransomware, Magniber tidak mengadopsi taktik pemerasan ganda, sehingga tidak mencuri file sebelum mengenkripsi sistem.

Mencadangkan data secara teratur adalah solusi yang baik untuk memulihkan dari serangan dengan ransomware tingkat rendah seperti Magniber.

Sumber : Bleeping Computer