Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Ransomware

Ransomware

Inggris, AS, Australia mengeluarkan nasihat bersama: Ransomware berkeliaran, infrastruktur nasional kritis terpengaruh

by

Serangan Ransomware berkembang biak ketika penjahat beralih ke geng yang menyediakan layanan turnkey pasca-kompromi, Pusat Keamanan Siber Nasional Inggris (NCSC) telah memperingatkan.

Dalam penasehat bersama Inggris-AS-Australia yang dikeluarkan sore ini, ketiga negara tersebut mengatakan bahwa mereka telah “mengamati peningkatan insiden ransomware yang canggih dan berdampak tinggi terhadap organisasi infrastruktur penting secara global.”

Peringatan itu muncul setelah beberapa serangan profil tinggi terhadap perusahaan distribusi minyak dan juga bisnis yang mengoperasikan pelabuhan di Barat – meskipun catatan hari ini menegaskan ada langkah para penjahat dari “perburuan besar” terhadap target AS.

Di antara ancaman utama yang dihadapi organisasi-organisasi Barat adalah penggunaan “layanan-untuk-disewa kejahatan dunia maya”. Ini, sebagaimana dirinci dalam nasihat, termasuk “layanan independen untuk menegosiasikan pembayaran, membantu korban melakukan pembayaran, dan menengahi perselisihan pembayaran antara mereka dan penjahat dunia maya lainnya.”

Pembayaran adalah intinya dan penasihat mengutuk pembayaran uang tebusan, dengan mengatakan: “Setiap kali uang tebusan dibayarkan, itu menegaskan kelayakan dan daya tarik finansial dari model bisnis kriminal ransomware.”

NCSC mengatakan kepada The Register bahwa peringatan hari ini tidak terkait dengan potensi invasi Rusia ke Ukraina, dengan penasehat menambahkan bahwa perpindahan dari AS oleh penjahat tidak benar-benar mempengaruhi Inggris: organisasi dari semua ukuran masih berada di garis tembak – bahkan mereka yang membuat jajanan favorit bangsa.

Rute umum ke infrastruktur TI organisasi untuk serangan ransomware berkisar dari kompromi aplikasi dan penyimpanan cloud (termasuk serangan yang memanfaatkan API yang tidak diamankan dengan benar), hingga serangan rantai pasokan seperti yang ditujukan terhadap MSP hulu, dan taktik kuno menyerang pada akhir pekan atau hari libur.

Selengkapnya: The Register

Pengembang Ransomware merilis Egregor, kunci dekripsi master Maze

by

Ransomware Maze mulai beroperasi pada Mei 2019 dan dengan cepat menjadi terkenal karena mereka bertanggung jawab atas penggunaan pencurian data dan taktik pemerasan ganda yang sekarang digunakan oleh banyak operasi ransomware.

Setelah Maze mengumumkan penutupannya pada Oktober 2020, mereka berganti nama pada September sebagai Egregor, yang kemudian menghilang setelah anggotanya ditangkap di Ukraina.

Maju cepat 14 bulan kemudian, dan kunci dekripsi untuk operasi ini sekarang telah bocor di forum BleepingComputer oleh pengguna bernama ‘Topleak’ yang mengaku sebagai pengembang untuk ketiga operasi tersebut.

Poster tersebut mengatakan bahwa ini adalah kebocoran yang direncanakan dan tidak terkait dengan operasi penegakan hukum baru-baru ini yang telah menyebabkan penyitaan server dan penangkapan afiliasi ransomware.

Mereka lebih lanjut menyatakan bahwa tidak ada anggota tim mereka yang akan kembali ke ransomware dan bahwa mereka menghancurkan semua kode sumber untuk ransomware mereka.

Forum post leaking Maze, Egregor, and Sekhmet decryption keys
Source: BleepingComputer

Postingan tersebut menyertakan tautan unduhan untuk file 7zip dengan empat arsip yang berisi kunci dekripsi Maze, Egregor, dan Sekhmet, dan kode sumber untuk malware ‘M0yv’ yang digunakan oleh geng ransomware.

Arsip yang berisi kunci dekripsi yang bocor
Sumber: BleepingComputer

Masing-masing arsip ini berisi kunci enkripsi master publik dan kunci dekripsi master pribadi yang terkait dengan “iklan” tertentu, atau afiliasi dari operasi ransomware.

Michael Gillespie dan Fabian Wosar dari Emsisoft telah meninjau kunci dekripsi dan mengonfirmasi ke BleepingComputer bahwa kunci tersebut sah dan dapat digunakan untuk mendekripsi file yang dienkripsi oleh tiga keluarga ransomware.

Gillespie memberi tahu kami bahwa kunci tersebut digunakan untuk mendekripsi kunci terenkripsi korban yang disematkan dalam catatan tebusan.

Encrypted key in Maze ransom note
Source: BleepingComputer

Emsisoft telah merilis decryptor untuk memungkinkan korban Maze, Egregor, dan Sekhmet yang telah menunggu untuk memulihkan file mereka secara gratis.

Emsisoft decryptor for Maze, Egregor, and Sekhmet

Untuk menggunakan dekripsi, korban akan memerlukan catatan tebusan yang dibuat selama serangan karena berisi kunci dekripsi terenkripsi.

Arsip juga menyertakan kode sumber untuk ‘modular x86/x64 file infector’ M0yv yang dikembangkan oleh operasi ransomware Maze dan digunakan sebelumnya dalam serangan.

“Juga ada sedikit kode sumber yang tidak berbahaya dari file infector file EPO polimorfik x86/x64 modular m0yv yang terdeteksi di alam liar sebagai virus Win64/Expiro, tetapi sebenarnya bukan expiro, tetapi mesin AV mendeteksinya seperti ini, jadi tidak ada satu hal pun di dalamnya. sama dengan gazavat,” kata pengembang ransomware dalam posting forum.

Cuplikan kode sumber untuk malware M0yv
Sumber: BleepingComputer

File todo.txt menunjukkan kode sumber untuk malware ini terakhir diperbarui pada 19 Januari 2022.

Selengkapnya : Bleeping Computer

Puma terkena pelanggaran data setelah serangan ransomware Kronos

by

Pabrikan pakaian olahraga Puma terkena pelanggaran data menyusul serangan ransomware yang menghantam Kronos, salah satu penyedia layanan manajemen tenaga kerja Amerika Utara, pada Desember 2021.

Pemberitahuan pelanggaran data yang diajukan ke beberapa kantor jaksa agung awal bulan ini mengatakan penyerang juga mencuri informasi pribadi milik karyawan Puma dan tanggungan mereka dari lingkungan cloud Kronos Private Cloud (KPC) sebelum mengenkripsi data.

Kronos menggambarkan KPC sebagai penyimpanan aman yang dilindungi dari serangan menggunakan firewall, otentikasi multi-faktor, dan transmisi terenkripsi.

Ini digunakan sebagai fasilitas server untuk meng-hosting Workforce Central, Workforce TeleStaff, Enterprise Archive, TeleTime IP, Extensions for Healthcare (EHC), dan lingkungan FMSI.

“Pada 7 Januari 2022, Kronos mengonfirmasi bahwa beberapa informasi pribadi Anda termasuk di antara data yang dicuri. Kami memberi tahu PUMA tentang insiden ini pada 10 Januari 2022.”

Meskipun pemberitahuan pelanggaran tidak menyebutkan berapa banyak karyawan Puma yang informasinya dicuri selama serangan itu, informasi yang diberikan kepada Kantor Kejaksaan Agung Maine mengungkapkan bahwa operator ransomware mendapatkan data milik 6.632 orang.

Puma juga mengatakan bahwa dokumen yang dicuri selama serangan ransomware Kronos termasuk Nomor Jaminan Sosial dalam pengajuan dengan kantor yang sama.

Orang-orang yang terkena dampak pelanggaran data ini juga ditawarkan dua tahun keanggotaan Experian IdentityWorks gratis, yang dilengkapi dengan pemantauan kredit, pemulihan identitas, dan asuransi pencurian identitas.

Peretas juga mencuri kode sumber untuk aplikasi internal Puma pada bulan Agustus dan menjualnya di portal kebocoran data Marketo. Serangan itu dikonfirmasi oleh kepala komunikasi korporat Puma, Robert-Jan Bartunek.

Pembaruan 08 Februari, 04:41 EST: Kepala Komunikasi Senior Puma Kerstin Neuber mengatakan bahwa tidak ada data pelanggan Puma yang terpengaruh dalam pernyataan tindak lanjut yang dikirim setelah kami menerbitkan:

Pada 10 Januari 2022, PUMA Amerika Utara diberi tahu bahwa UKG/ Kronos, salah satu vendor PUMA, sedang mengurangi dampak insiden ransomware. Pelanggaran hanya terjadi di dalam sistem UKG/Kronos. Tidak ada sistem di jaringan PUMA yang dilanggar dan tidak ada data pelanggan PUMA yang terpengaruh. Insiden itu terbatas pada Private Cloud Kronos.

UKG/ Kronos telah melibatkan pakar keamanan siber, memberi tahu pihak berwenang, dan berkomunikasi dengan mereka yang terkena dampak. Setiap pertanyaan media terkait dengan pelanggaran UKG/Kronos yang mendasari harus diarahkan ke UKG karena masalah tersebut sedang diselidiki.

Sumber : Bleeping Computer

LockBit, BlackCat, Swissport, Astaga! Aktivitas Ransomware Tetap Kuat

by

Penegakan hukum, eksekutif C-suite, dan komunitas keamanan telah fokus untuk menghentikan rentetan serangan ransomware. Namun meskipun demikian, langkah-langkah terbaru dari geng LockBit 2.0 dan BlackCat, ditambah pukulan akhir pekan ini di perusahaan logistik darat bandara Swissport, menunjukkan momok masih jauh dari selesai.

Kelompok ransomware telah meningkatkan lebih sedikit serangan dengan permintaan ransomware yang lebih tinggi, Coveware telah melaporkan, menemukan bahwa rata-rata pembayaran ransomware pada kuartal keempat tahun lalu naik 130 persen mencapai $322.168 . Demikian juga, Coveware menemukan lonjakan 63 persen dalam pembayaran tebusan rata-rata, hingga $117.116.

“Pergeseran taktis melibatkan upaya yang disengaja untuk memeras perusahaan yang cukup besar untuk membayar sejumlah uang tebusan ‘permainan besar’ tetapi cukup kecil untuk menjaga biaya operasi serangan dan mengakibatkan perhatian media dan penegakan hukum tetap rendah.”

Grup yang Ingin Menurunkan Profilnya
“Proporsi perusahaan yang diserang dalam ukuran 1.000 hingga 10.000 karyawan meningkat dari 8 persen di Q3 menjadi 14 persen di Q4,” para peneliti menemukan. “Pembayaran tebusan rata-rata hanya dalam ember karyawan ini jauh di utara satu juta dolar, yang menyeret jumlah rata-rata dan median Q4 lebih tinggi.”

Rebranding BlackCat, Ancaman Pemerasan Tiga Kali
BlackCat, juga dikenal sebagai ALPHV, operasi RaaS pemula, sedang meningkat dan dengan cepat merekrut afiliasi, menurut Graham Cluley dari Tripwire kelompok tersebut telah mulai menambahkan tekanan bagi korban mereka untuk membayar dengan tidak hanya mencuri data mereka dan mengancam akan merilisnya, tetapi juga menjanjikan penolakan layanan (DDoS) yang melumpuhkan jika mereka menolak untuk membayar taktik ransomware yang dikenal sebagai “pemerasan tiga kali lipat.”

Pertama kali ditemukan oleh MalwareHunterTeam, operator ransomware BlackCat berkode Rust menyebut diri mereka ALPHV, tetapi MalwareHunterTeam menjuluki mereka BlackCat setelah gambar yang digunakan pada halaman pembayaran yang harus dikunjungi korban di Tor untuk membayar. Laporan tersebut juga mengkonfirmasi bahwa BlackCat pada dasarnya adalah merek ulang, menambahkan anggota grup telah mengonfirmasi bahwa mereka adalah anggota grup BlackMatter/DarkSide sebelumnya.

LockBit 2.0 adalah kelompok lain yang menambahkan tekanan pada korbannya untuk membayar dengan ancaman untuk merilis data pelanggan perusahaan dan itu juga tidak terlalu rendah.

LockBit 2.0 baru-baru ini mengambil kredit untuk melanggar platform pertukaran cryptocurrency playbito.com, pemburu ancaman DarkTracer tweeted. Peneliti juga memposting peringatan dari LockBit2.0 bahwa grup tersebut akan mempublikasikan data pribadi lebih dari 100.000 pengguna platform kecuali uang tebusan dibayarkan pada 21 Februari.

“FBI mencari informasi apa pun yang dapat dibagikan, untuk memasukkan log batas yang menunjukkan komunikasi ke dan dari alamat IP asing, contoh catatan tebusan, komunikasi dengan pelaku ancaman, informasi dompet Bitcoin, file dekripsi, dan/atau sampel jinak. dari file terenkripsi,” kata peringatan FBI, menambahkan bahwa departemen tidak mendorong pembayaran uang tebusan, tetapi memahami keputusan bisnis perlu dibuat untuk menjaga operasi tetap berjalan.

Serangan Swissport: Ransomware Masih Kuat
Selama akhir pekan, Swissport dijatuhkan oleh serangan ransomware yang menyebabkan penundaan 22 penerbangan dari Zurich, Swiss, menurut juru bicara bandara yang berbicara dengan Der Speigel.

Penelitian terbaru dari Trellix menunjukkan bahwa bergerak maju pada tahun 2022, layanan keuangan akan dibombardir dengan serangan ransomware. Dari kuartal kedua hingga ketiga tahun 2021, serangan terhadap sektor keuangan dan asuransi meningkat sebesar 21 persen, diikuti oleh peningkatan hanya 7 persen pada serangan perawatan kesehatan, catat perusahaan itu.

Sumber : Threat Post

Ransomware Ingin Anda Like dan Subscribe

by

Ransomware telah menjadi masalah endemik di internet. Tidak ada hari yang berlalu tanpa berita utama tentang serangan baru di mana peretas meminta ratusan ribu dolar, atau bahkan jutaan, setelah mengunci korban dari komputer dan server mereka.

Tetapi jenis ransomware baru meminta sesuatu yang sedikit berbeda: berlangganan saluran YouTube.

Ransomware pertama kali ditemukan oleh MalwareHunterTeam, sekelompok peneliti keamanan siber independen.

“HALO SEMUA FILE ANDA TELAH DIKUNCI OLEH RANOMWARE [sic] TAPI CALSE [SIC] ANDA DAPAT MENGAKSES BAK DENGAN SUBSCRIBE MY CHANEL [sic] YOUTUBE,” bunyi pesan yang muncul di layar korban.

Allan Liska, peneliti keamanan siber di Recorded Future mengatakan kepada Motherboard dalam obrolan online bahwa malware itu nyata. Dia mengatakan telah melihat analisis independen dari peneliti lain di forum industri swasta. Liska mengatakan bahwa ransomware “adalah ransomware mesin tunggal, jadi hanya mengenai satu komputer dan tidak menyebar.”

Saluran YouTube yang mereka minta untuk dilanggani oleh para korban hanya memiliki 64 langganan pada saat penulisan. Saluran ini menampilkan sebagian besar video terkait peretasan yang menampilkan logo kelompok peretasan yang kurang dikenal, dan beberapa video yang diambil di tempat yang tampak seperti sekolah.

Dalam pesan tersebut, para peretas menyebut diri mereka sebagai GHOST CYBER TEAM dan mengaku berasal dari Indonesia.

Apakah Anda memiliki informasi lebih lanjut tentang geng ransomware atau jenis ransomware lain? Kami ingin mendengar dari Anda. Anda dapat menghubungi Lorenzo Franceschi-Bicchierai dengan aman di Signal di +1 917 257 1382, Wire/Wickr @lorenzofb, atau email lorenzofb@vice.com.

Tidak jelas apakah ransomware ini hanya lelucon, atau pekerjaan beberapa peretas remaja yang mencari perhatian. Namun sampel ransomware yang ditemukan oleh MalwareHunterTeam terdeteksi sebagai berbahaya oleh beberapa mesin antivirus, menurut VirusTotal, gudang malware.

Sumber : Vice

Ransomware BlackCat Melambung ke Puncak

by

BlackCat RaaS, juga dikenal sebagai ALPHV, pertama kali muncul pada pertengahan November dan sudah terbukti kecanggihannya. Itu menjadi geng ransomware profesional pertama yang menggunakan malware berbasis Rust. Sekarang, grup agresif ini sedang menuju puncak, dan mari kita lihat apa yang terjadi.

Unit 42 menyatakan bahwa BlackCat naik ke posisi ketujuh dalam peringkat kelompok ransomware global. Pemeringkatan ini didasarkan pada jumlah korban yang terdaftar di situs kebocoran data grup. Dalam waktu kurang dari sebulan, geng tersebut telah mengumpulkan lebih dari selusin korban yang berlokasi di AS, Jerman, Belanda, Prancis, Spanyol, dan Filipina.

Laporan lain oleh Sentinel Labs menyatakan bahwa kelompok tersebut telah menargetkan organisasi di India dan Australia, dan menuntut pembayaran tebusan antara $400.000 dan $3.000.000 dalam bentuk Bitcoin atau Monero.

Berbagai alasan dapat menjadi faktor dalam munculnya ALPHV RaaS. Beberapa dianataranya adalah:

  • Pemasaran yang efektif untuk afiliasi adalah salah satu alasan utama. Geng meminta afiliasi di forum web gelap populer dan membiarkan mereka menyimpan 80–90% dari pembayaran tebusan.
  • Dengan menggunakan bahasa pemrograman Rust, para pengembang dapat dengan mudah mengkompilasi malware terhadap OS apapun. Menjadi sangat dapat disesuaikan, Rust memungkinkan penyerang untuk mengindividualisasikan serangan.
  • Varonis menemukan bahwa BlackCat secara aktif merekrut mantan operator dari REvil, DarkSide, dan BlackMatter. Mereka mewawancara dan memeriksa afiliasi sebelum menambahkan mereka ke dalam grup.

Cyware Social

Kontraktor Apple dan Tesla Taiwan terkena ransomware Conti

by

Delta Electronics, perusahaan elektronik Taiwan dan penyedia Apple, Tesla, HP, dan Dell, mengungkapkan bahwa mereka adalah korban serangan siber yang ditemukan pada Jumat pagi.

Pada 22 Januari 2022, perusahaan mengatakan insiden itu hanya berdampak pada sistem yang tidak kritis, yang tidak berdampak signifikan pada operasinya. Platform AdvIntel “Andariel” mendeteksi serangan pada 18 Januari.

Saat ini Delta bekerja untuk memulihkan sistem yang rusak selama serangan dan mengatakan telah menyewa jasa pakar keamanan pihak ketiga untuk membantu penyelidikan dan proses pemulihan.

Sementara pernyataan Delta tidak mengatakan siapa yang berada di balik serangan itu, sebuah perusahaan keamanan informasi yang dirahasiakan menemukan sampel ransomware Conti yang disebarkan di jaringan perusahaan, seperti yang dilaporkan pertama kali oleh CTWANT.

Catatan tebusan Delta Electronics Conti (BleepingComputer)

Menurut negosiasi antara Conti dan Delta, operator Conti mengklaim telah mengenkripsi 1.500 server dan 12.000 komputer dari sekitar 65.000 perangkat di jaringan Delta.

Geng ransomware Conti meminta Delta untuk membayar tebusan $15 juta untuk decryptor dan berhenti membocorkan file yang dicuri dari jaringannya. Juga dijanjikan diskon jika perusahaan mau membayar dengan cepat.

Sementara Delta dilaporkan masih bekerja dengan Trend dan tim keamanan Microsoft untuk menyelidiki insiden tersebut dan mengklaim bahwa produksinya tidak terpengaruh, situs webnya masih tidak aktif satu minggu setelah serangan tersebut.

Pelanggan Delta dapat menggunakan domain alternatif ini saat perusahaan menghidupkan kembali situs web utamanya, yang masih down setelah serangan ransomware, seperti yang ditemukan The Record.

“Grup Conti ransomware mengungkapkan bagian pola tertentu dari serangan Delta yang memanfaatkan Cobalt Strike dengan Atera untuk kegigihan seperti yang diungkapkan oleh visibilitas permusuhan platform kami. Tentu saja, serangan ini mengingatkan pada REvil Quanta yang memengaruhi salah satu pemasok Apple,” Vitali Kremez , CEO AdvIntel, mengatakan kepada BleepingComputer.

Conti adalah operasi Ransomware-as-a-Service (RaaS) yang terkait dengan kelompok kejahatan dunia maya Wizard Spider yang berbahasa Rusia.

Sumber : Bleeping Computer

Ransomware LockBit versi Linux menargetkan server VMware ESXi

by

Geng ransomware kini telah mengembangkan taktik mereka untuk membuat enkripsi Linux yang secara khusus menargetkan platform virtualisasi VMware vSphere dan ESXi yang populer selama setahun terakhir.

Meskipun ESXi tidak sepenuhnya Linux, ia memiliki banyak karakteristik yang sama, termasuk kemampuan untuk menjalankan executable ELF64 Linux.

Pada bulan Oktober, LockBit mulai mempromosikan fitur baru dari operasi Ransomware-as-a-Service mereka di forum peretasan RAMP, termasuk encryptor Linux baru yang menargetkan mesin virtual VMware ESXi.

Peneliti Trend Micro menganalisis encryptor Linux geng ransomware dan menjelaskan bagaimana itu digunakan untuk menargetkan instalasi VMWare ESXi dan vCenter.

Seperti encryptor Linux lainnya, LockBits menyediakan antarmuka baris perintah yang memungkinkan afiliasi untuk mengaktifkan dan menonaktifkan berbagai fitur untuk menyesuaikan serangan mereka.

Argumen baris perintah enkripsi LockBit Linux
Sumber: Trend Micro

Yang membuat encryptor linux LockBit menonjol adalah penggunaan luas utilitas baris perintah VMware ESXI dan VMware vCenter untuk memeriksa mesin virtual apa yang sedang berjalan dan untuk mematikannya dengan bersih sehingga tidak rusak saat dienkripsi.

Trend Micro menyatakan bahwa encryptor menggunakan AES untuk mengenkripsi file dan algoritma elliptic-curve cryptography (ECC) untuk mengenkripsi kunci dekripsi.

Dengan meluasnya penggunaan VMware ESXI di perusahaan, semua pembela jaringan dan profesional keamanan harus mengharapkan bahwa setiap operasi ransomware besar telah mengembangkan varian Linux.

Dengan membuat asumsi ini, admin dan profesional keamanan dapat membuat pertahanan dan rencana yang sesuai untuk melindungi semua perangkat di jaringan mereka, bukan hanya perangkat Windows.

Hal ini terutama berlaku untuk operasi LockBit, yang telah menjadi operasi ransomware paling menonjol sejak REvil ditutup dan membanggakan kecepatan dan rangkaian fitur enkripsinya.

Penting juga untuk diingat bahwa sebanyak kita menonton geng ransomware, mereka juga mengawasi kita kembali.

Ini berarti bahwa mereka memantau umpan sosial peneliti dan jurnalis untuk taktik, pertahanan, dan kerentanan terbaru yang kemudian dapat mereka gunakan terhadap target perusahaan.

Selengkapnya : Bleeping Computer