Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Ransomware

Ransomware

Geng ransomware OldGremlin menargetkan Rusia dengan malware baru

by

OldGremlin telah membuat comeback bulan lalu setelah diam lebih dari satu tahun.

Grup ini membedakan dirinya dari operasi ransomware lainnya melalui sejumlah kecil kampanye – kurang dari lima sejak awal 2021 – yang hanya menargetkan bisnis di Rusia dan penggunaan pintu belakang khusus yang dibuat sendiri.

Meskipun kurang aktif, yang mungkin menunjukkan bahwa bisnis ransomware lebih dekat ke bisnis sampingan, OldGremlin telah menuntut uang tebusan setinggi $3 juta dari salah satu korbannya.

Peneliti keamanan di perusahaan keamanan siber Group-IB yang berbasis di Singapura mengatakan bahwa kali ini OldGremlin menyamar sebagai akuntan senior di organisasi keuangan Rusia yang memperingatkan bahwa sanksi baru-baru ini yang dijatuhkan pada Rusia akan menangguhkan operasi sistem pemrosesan pembayaran Visa dan Mastercard.

Email tersebut mengarahkan penerima ke dokumen berbahaya yang disimpan di Dropbox yang mengunduh pintu belakang bernama TinyFluff, yang meluncurkan interpreter Node.js dan memberi penyerang akses jarak jauh ke sistem target.

TinyFluff adalah varian baru dari backdoor lama, TinyNode, yang digunakan dalam serangan sebelumnya.

Kedua varian backdoor tersebut saat ini terdeteksi oleh lebih dari 20 mesin antivirus di platform pemindaian Virus Total.

Dalam laporan yang dibagikan dengan BleepingComputer, Group-IB memberikan indicators of compromise (IoC) dan analisis teknis terperinci dari alat yang digunakan OldGremlin dalam dua kampanye phishing yang digunakan bulan lalu.

Selengkapnya: Bleeping Computer

Geng ransomware Hive telah mengumumkan “Kementerian Luar Negeri Republik Indonesia” pada daftar korban.

by

Geng ransomware Hive baru saja mengumumkan bahwa Kementerian Luar Negeri Republik Indonesia masuk kedalam pada daftar korban mereka.

Ransomware Hive merupakan ransomware-as-a-service (RaaS) bertarget tipikal yang menggunakan ancaman untuk mempublikasikan data yang dieksfiltrasi sebagai pengungkit ekstra untuk membuat korban membayar. Grup ransomware diketahui bekerja dengan afiliasi yang menggunakan berbagai metode untuk menyusup ke jaringan perusahaan.

Berdasarkan postingan @darktracer_int diketahui bahwa data Kementerian Luar Negeri Republik Indonesia sudah terenkripsi sejak 27 Januari 2022 lalu dan diungkapkan pada tanggal 22 Maret 2020 kemarin.

Sumber : @darktracer_int (twitter)

Info: Artikel ini masih dalam pengembangan, apabila ada info tambahan akan segera di update.

Sumber : Dark Tracer

Keluarga Ransomware Baru Diidentifikasi: LokiLocker RaaS Menargetkan Sistem Windows

by

BlackBerry Threat Intelligence telah mengidentifikasi keluarga Ransomware-as-a-Service (Raas) baru, dan melacak garis keturunannya hingga kemungkinan rilis tahap beta.

Seperti banyak jenis ransomware lainnya, LokiLocker mengenkripsi file Anda dan akan membuat mesin Anda tidak dapat digunakan jika Anda tidak membayar tepat waktu.

Namun, seperti dewa senama Loki, ancaman ini tampaknya memiliki beberapa trik halus – paling tidak menjadi taktik “bendera palsu” potensial yang menuding pelaku ancaman Iran.

LokiLocker adalah keluarga ransomware yang relatif baru yang menargetkan korban berbahasa Inggris dan PC Windows®; ancaman pertama kali terlihat di alam liar pada pertengahan Agustus 2021.

Jangan bingung dengan keluarga ransomware yang lebih tua bernama Locky, yang terkenal pada tahun 2016, atau LokiBot, yang merupakan pencuri info. Ini memiliki beberapa kesamaan dengan ransomware LockBit (nilai registri, nama file catatan tebusan), tetapi tampaknya bukan turunan langsungnya.

Seperti dewa yang dinamai, LokiLocker memasuki kehidupan korban tanpa diundang dan mulai mencari properti untuk dicuri. Ancaman kemudian mengenkripsi file mereka, dan menuntut mereka membayar uang tebusan untuk memulihkan akses.

Malware ini ditulis dalam .NET dan dilindungi dengan NETGuard (ConfuserEX yang dimodifikasi) menggunakan plugin virtualisasi tambahan yang disebut KoiVM. KoiVM dulunya adalah pelindung komersial berlisensi untuk aplikasi .NET, tetapi sekitar tahun 2018, kodenya bersumber terbuka (atau mungkin bocor), dan sekarang tersedia untuk umum di GitHub.

Meskipun Koi tampaknya populer dengan alat peretasan dan crack, kami belum melihat banyak malware lain menggunakannya hingga saat ini.

Selengkapnya: Blackberry

Pelanggaran simultan: berurusan dengan dua kelompok ransomware pada hari yang sama

by

Meskipun umum bagi kelompok ransomware untuk menerapkan taktik pemerasan ganda dan tiga kali lipat terhadap korban mereka, sangat jarang beberapa kelompok berbeda menyerang target yang sama pada waktu yang sama.

Menurut Sean Gallagher, Peneliti Ancaman Senior di Sophos, pada awal Desember, penyedia layanan kesehatan di Kanada dihantam oleh dua pelaku ransomware menggunakan taktik yang berbeda.

Sementara kelompok ransomware Karma mengekstrak data tetapi memilih untuk tidak mengenkripsi data karena korban berada dalam perawatan kesehatan, Conti, secara mengejutkan, tidak menahan diri seperti itu.

Menurut laporan itu, kedua penyerang memperoleh akses melalui eksploitasi ProxyShell. ProxyShell adalah rantai serangan yang dirancang untuk mengeksploitasi tiga kerentanan terpisah (CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207) pada platform Exchange Server Microsoft.

Sementara menurut Gallagher, tidak jarang geng ransomware menggunakan eksploitasi ProxyShell untuk menembus jaringan korban, sangat jarang terlihat beberapa kelompok yang fokus pada target yang sama.

Sophos percaya bahwa broker akses awal kemungkinan menembus jaringan pada 10 Agustus. Tiga bulan kemudian, pada 30 November, Karma muncul dan mengekstrak 52 gigabyte data.

Meskipun geng Karma menjatuhkan catatan ransomware pada 3 Desember, kelompok itu tidak mengenkripsi data milik penyedia layanan kesehatan. Pada saat yang sama, Conti ransomware sedang mengekstrak data. Pada tanggal 4 Desember, grup tersebut menyebarkan ransomware dari server yang disusupi dan data organisasi yang dienkripsi.

18 bulan terakhir penuh dengan serangan siber besar-besaran, seperti peretasan SolarWinds, serangan terhadap Colonial Pipeline, perusahaan pemrosesan daging JBS, dan perusahaan perangkat lunak Kaseya.

Sementara para pakar berbicara tentang demam emas ransomware, penelitian menunjukkan bahwa 74% yang mengejutkan dari semua pendapatan ransomware masuk ke pelaku ancaman yang berafiliasi dengan Rusia tahun lalu.

Dengan kata lain, cryptocurrency senilai sekitar $400 juta akhirnya mengisi kantong penjahat dunia maya yang terhubung ke Rusia dalam beberapa bentuk.

Conti juga merupakan geng ransomware yang terkait dengan Rusia. Setelah Rusia menginvasi Ukraina, kelompok tersebut menyatakan dukungan penuhnya kepada pemerintah Rusia.

Ternyata, tidak semua orang senang dengan pengumuman tersebut. Seorang peretas tak dikenal merilis bocoran komunikasi selama 13 bulan dari anggota grup Conti dan afiliasinya.

“Isi dump [informasi] pertama berisi komunikasi obrolan saat ini, mulai hari ini dari geng ransomware Conti. Kami berjanji itu sangat menarik,” kata pernyataan tentang kebocoran itu.

Sumber : Cybernews

Microsoft: Ukraina terkena malware FoxBlade baru beberapa jam sebelum invasi

by

Microsoft mengatakan bahwa jaringan Ukraina ditargetkan dengan malware yang baru ditemukan beberapa jam sebelum invasi Rusia ke Ukraina pada 24 Februari.

Para peneliti dari Microsoft Threat Intelligence Center (MSTIC) mengamati serangan destruktif yang menargetkan Ukraina dan menemukan jenis malware baru yang mereka namakan FoxBlade.

“Kami segera memberi tahu pemerintah Ukraina tentang situasinya, termasuk identifikasi kami tentang penggunaan paket malware baru (yang kami denominasikan FoxBlade), dan memberikan saran teknis tentang langkah-langkah untuk mencegah keberhasilan malware.”

Smith juga mengatakan bahwa perusahaan memperbarui platform keamanan Defender dengan tanda tangan baru untuk memblokir malware FoxBlade dalam waktu tiga jam setelah menemukan alat berbahaya yang digunakan di alam liar.

Microsoft menggambarkan malware dalam penasehat Intelijen Keamanan yang diterbitkan pada 23 Februari sebagai trojan yang dapat menggunakan komputer “untuk serangan penolakan layanan (DDoS) terdistribusi” tanpa sepengetahuan pemiliknya.

Serangan siber yang baru-baru ini terlihat dan masih aktif ini “telah ditargetkan dengan tepat,” Smith juga mengungkapkan.

Ini kontras dengan serangan malware tanpa pandang bulu yang berdampak pada ekonomi Ukraina dan negara lain selama serangan NotPetya di seluruh dunia tahun 2017 yang terkait dengan grup peretasan Direktorat Intelijen Utama GRU Rusia yang dikenal sebagai Sandworm.

Jaringan Ukraina diserang dengan malware yang merusak
Serangan siber ofensif yang terdeteksi oleh peneliti MSTIC tepat sebelum invasi Rusia mengikuti beberapa rangkaian serangan malware lainnya sejak awal tahun 2021.

Awal bulan ini, malware HermeticWiper yang baru ditemukan digunakan untuk menargetkan Ukraina bersama dengan umpan ransomware untuk menghapus data dan membuat perangkat tidak dapat di-boot.

Pada bulan Januari, negara itu dilanda serangkaian serangan malware lainnya yang menggunakan wiper WhisperGate yang disamarkan sebagai muatan ransomware.

Selama akhir pekan, CISA dan FBI memperingatkan organisasi AS bahwa data yang menghapus serangan terhadap Ukraina dapat menyebar ke negara lain, mendesak organisasi AS untuk “meningkatkan kewaspadaan” dan memperkuat pertahanan mereka.

Pada hari yang sama, Wakil Perdana Menteri Ukraina Mykhailo Fedorov juga mengungkapkan pembentukan “tentara TI” untuk membantu negara “bertarung di front cyber.”

Tepat sebelum perang dimulai, Layanan Keamanan Ukraina (SSU) melaporkan bahwa Ukraina menjadi sasaran “gelombang besar perang hibrida”.

Sumber : Bleeping Computer

Cadangan ‘tidak lagi efektif’ untuk menghentikan serangan ransomware

by

Pertumbuhan pemerasan ganda dan bahkan pemerasan tiga kali lipat serangan ransomware berada dalam bahaya menghadirkan metode tradisional yang umum untuk mengurangi dampak serangan ransomware, seperti pencadangan yang terpelihara dengan baik, kurang efektif, menurut laporan dari spesialis identitas mesin Venafi .

Data yang dikumpulkan dari survei dunia TI dan pembuat keputusan keamanan Venafi mengungkapkan bahwa 83% serangan ransomware yang berhasil sekarang melibatkan metode pemerasan alternatif –misalnya, menggunakan data curian untuk memeras pelanggan (38%), membocorkan data ke web gelap (35% ), dan memberi tahu pelanggan bahwa data mereka telah disusupi (32%). Hanya 17% dari serangan hanya meminta uang untuk kunci dekripsi.

Venafi mengatakan bahwa serangan ransomware sekarang bergantung pada eksfiltrasi data, strategi pencadangan yang efektif sampai batas tertentu “tidak lagi efektif” untuk mengatasi pelanggaran.

Venafi juga menemukan bahwa penjahat cyber semakin menindaklanjuti ancaman mereka apakah mereka dibayar atau tidak. Memang, 18% korban mengalami kebocoran data meskipun telah membayar, sementara lebih dari 16% yang menolak untuk membayar apa pun dan datanya bocor. Sekitar 8% menolak mentah-mentah, tetapi kemudian pelanggan mereka diperas; dan 35% dibayar, tetapi dibiarkan menggantung, tidak dapat mengambil data mereka.

Penyerang sekarang memahami bahwa korban mereka kemungkinan telah menerapkan sistem pemulihan dan pencadangan, dan menyadari bahwa taktik semacam ini adalah cara terbaik mereka untuk menang.

“Organisasi tidak siap untuk bertahan melawan ransomware yang mengekstrak data, jadi mereka membayar uang tebusan, tetapi ini hanya memotivasi penyerang untuk mencari lebih banyak. Berita buruknya adalah bahwa penyerang menindaklanjuti ancaman pemerasan, bahkan setelah uang tebusan dibayarkan. Ini berarti CISO berada di bawah tekanan yang lebih besar karena serangan yang berhasil kemungkinan besar akan menciptakan gangguan layanan skala penuh yang memengaruhi pelanggan,” kata Bocek.

Responden survei Venafi setuju dengan beberapa margin bahwa serangan pemerasan ganda dan tiga kali lipat semakin populer, dan ini membuat lebih sulit untuk menolak tuntutan tebusan, menciptakan masalah lebih lanjut bagi tim keamanan.

Responden juga cenderung setuju bahwa serangan ransomware berkembang lebih cepat daripada yang dapat diikuti oleh teknologi keamanan. Akibatnya, 76% merencanakan pengeluaran lebih lanjut untuk kontrol khusus ransomware yang melampaui dan melampaui penyimpanan dengan celah udara.

“Aktor ancaman terus mengembangkan serangan mereka untuk membuatnya lebih kuat, dan inilah saatnya bagi industri keamanan siber untuk merespons dengan cara yang sama,” kata Bocek. “Ransomware sering menghindari deteksi hanya karena berjalan tanpa identitas mesin yang tepercaya. Menggunakan manajemen identitas mesin untuk mengurangi penggunaan skrip yang tidak ditandatangani, meningkatkan penandatanganan kode, dan membatasi eksekusi makro jahat sangat penting untuk perlindungan ransomware yang menyeluruh.”

Sumber : Computer Weekly

Perangkat penyimpanan jaringan Asustor sedang terkena serangan ransomware jahat

by

Pemilik berbagai model perangkat Asustor Network Attached Storage (NAS) turun ke Reddit dan forum resmi perusahaan hari ini, memperingatkan orang lain tentang serangan ransomware aktif yang menyandera perpustakaan media mereka dan data tersimpan lainnya (melalui Windows Central dan Tom’s Hardware). Pada awalnya, diduga bahwa pengguna yang menggunakan fitur konfigurasi EZConnect Asustor rentan, tetapi menurut akun dari beberapa pengguna Reddit yang terpengaruh, mereka menonaktifkan layanan di NAS mereka.

Komunitas r/asustor melacak informasi yang tersedia di sini, dan setelah merujuk silang layanan pada perangkat yang terpengaruh, mencurigai Plex sebagai salah satu kemungkinan vektor serangan.

Asustor secara aktif menyelidiki serangan ransomware, yang dikenal sebagai Deadbolt, dan memposting blog di situsnya yang menunjukkan bahwa Layanan Nama Domain Dinamis (DDNS) myasustor.com telah dinonaktifkan sementara demi keamanan. Perusahaan menyarankan mereka yang belum terkena dampak Deadbolt untuk mengambil tindakan pencegahan berikut:

  • Ubah port default, termasuk port akses web NAS default 8000 dan 8001, serta port akses web jarak jauh 80 dan 443.
  • Nonaktifkan EZ Connect.
  • Membuat cadangan segera.
  • Matikan layanan Terminal/SSH dan SFTP.

Tetapi bagi mereka yang tidak cukup beruntung untuk melindungi diri mereka sendiri dan memiliki pesan ransomware yang tidak menyenangkan di GUI Asustor NAS, perusahaan menyarankan untuk sepenuhnya menonaktifkannya dengan mengambil langkah-langkah berikut:

  • Cabut kabel jaringan Ethernet
  • Matikan NAS Anda dengan aman dengan menekan dan menahan tombol daya selama tiga detik.
  • Jangan menginisialisasi NAS Anda, karena ini akan menghapus data Anda.

Serangan Ransomware telah meningkat yang mempengaruhi banyak orang, termasuk serangan Colonial Pipeline tahun lalu yang menyebabkan kekurangan gas dan kepanikan di sepanjang pantai tenggara, dan juga serangan Natal lalu di Kronos yang bisa membuat banyak orang kehilangan gaji.

Serangan Ransomware yang menargetkan produk jaringan konsumen khusus seperti Asustor NAS tidak terlalu terkenal, tetapi ini berfungsi sebagai pengingat untuk selalu mencadangkan data Anda. Dalam hal ini, orang mungkin kehilangan banyak media mereka dan kalah

Sumber : The Verge

San Francisco 49ers mengkonfirmasi insiden keamanan jaringan; geng ransomware mengaku bertanggung jawab

by

Tim sepak bola San Francisco 49ers mengatakan pada hari Minggu sebuah “insiden keamanan jaringan” telah mengganggu beberapa sistem komputer organisasi, setelah geng ransomware mengklaim waralaba NFL sebagai korban.

Berita tentang insiden itu pecah hanya beberapa jam sebelum kickoff Super Bowl LVI, yang akan dimainkan 49ers jika mereka tidak kalah tipis dari Los Angeles Rams dua minggu lalu.

Insiden itu tampaknya “terbatas pada jaringan TI perusahaan kami” dan tidak memengaruhi sistem komputer yang terlibat dalam operasi stadion tim atau sistem yang terkait dengan pemegang tiket, kata 49ers dalam sebuah pernyataan kepada CNN.

Peretas di balik jenis ransomware yang dikenal sebagai BlackByte mencantumkan 49ers di situs web mereka yang diduga menjadi korban, sebuah taktik yang sering digunakan penjahat dunia maya untuk menekan organisasi agar membayar uang tebusan.

FBI dan Secret Service mengatakan kepada perusahaan-perusahaan AS dalam peringatan 11 Februari untuk waspada terhadap ransomware BlackByte, yang menurut badan-badan tersebut telah digunakan untuk mengkompromikan organisasi-organisasi AS di fasilitas pemerintah, keuangan, dan sektor pangan dan pertanian.

BlackByte hanyalah salah satu dari beberapa jenis ransomware yang pemiliknya mengoperasikan apa yang dikenal sebagai model bisnis “ransomware sebagai layanan”. Pemilik ransomware menjual akses ke kode berbahaya ke penjahat dunia maya lainnya, yang melakukan serangan ransomware dan biasanya membagi hasilnya dengan pemiliknya. Sifat operasi kriminal yang menyebar dapat mempersulit aparat penegak hukum untuk melacaknya.

Pemerintahan Biden telah berusaha untuk secara agresif menindak sistem yang memungkinkan ransomware berkembang mulai dari membantu menangkap dugaan operasi ransomware di Eropa hingga memberi sanksi pada pertukaran mata uang kripto yang memfasilitasi pembayaran uang tebusan.

Tetapi sementara beberapa kelompok ransomware telah mengurangi serangan, yang lain terus mencoba memeras bisnis AS. Penjahat dunia maya menerima lebih dari $1,2 miliar pembayaran tebusan pada tahun 2020 dan 2021 jika digabungkan, menurut perusahaan pelacak cryptocurrency Chainalysis.

Keamanan siber telah menjadi pertimbangan bagi pejabat federal untuk mempersiapkan Super Bowl hari Minggu. Departemen Keamanan Dalam Negeri mengatakan sekitar 500 personel yang membantu keamanan fisik dan siber di acara tersebut telah melakukan penilaian keamanan siber terhadap infrastruktur game-day.

Sumber : CNN