Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Ransomware

Ransomware

FBI menautkan ransomware Diavol ke grup kejahatan dunia maya TrickBot

by

FBI telah secara resmi menghubungkan operasi ransomware Diavol ke Grup TrickBot, pengembang malware di balik trojan perbankan TrickBot yang terkenal kejam.

Geng TrickBot, alias Wizard Spider, adalah pengembang infeksi malware yang telah merusak jaringan perusahaan selama bertahun-tahun, umumnya mengarah pada serangan ransomware Conti dan Ryuk, penyusupan jaringan, penipuan keuangan, dan spionase perusahaan.

Pada Juli 2021, peneliti dari FortiGuard Labs merilis analisis ransomware baru bernama Diavol (bahasa Rumania untuk Iblis) yang terlihat menargetkan korban perusahaan.

Para peneliti melihat muatan ransomware Diavol dan Conti disebarkan di jaringan dalam serangan ransomware yang sama pada awal Juni 2021.

Setelah menganalisis dua sampel ransomware, kesamaan ditemukan, seperti penggunaan operasi I/O asinkron untuk antrian enkripsi file dan parameter baris perintah yang hampir identik untuk fungsi yang sama.

Sebulan kemudian, peneliti IBM X-Force membangun hubungan yang lebih kuat antara ransomware Diavol dan malware TrickBot Gang lainnya, seperti Anchor dan TrickBot.

FBI menghubungkan ransomware Diavol ke geng TrickBot
FBI telah secara resmi mengumumkan bahwa mereka telah menghubungkan operasi Ransomware Diavol ke Geng TrickBot dalam indikator berbagi penasehat baru dari kompromi yang terlihat pada serangan sebelumnya.

Sejak itu, FBI telah melihat tuntutan tebusan berkisar antara $10.000 dan $500.000, dengan pembayaran yang lebih rendah diterima setelah negosiasi tebusan.

Warning.txt ransom note dari Diavol ransomware

Jumlah ini sangat kontras dengan tebusan yang lebih tinggi yang diminta oleh operasi ransomware lain yang terkait dengan TrickBot, seperti Conti dan Ryuk, yang secara historis meminta tebusan jutaan dolar.

FBI dapat secara resmi menghubungkan Diavol ke Geng TrickBot setelah penangkapan Alla Witte, seorang wanita Latvia yang terlibat dalam pengembangan ransomware untuk geng malware.

“Alla Witte memainkan peran penting untuk operasi TrickBot dan berdasarkan wawasan permusuhan mendalam AdvIntel sebelumnya, dia bertanggung jawab atas pengembangan ransomware Diavol dan proyek frontend/backend yang dimaksudkan untuk mendukung operasi TrickBot dengan ransomware khusus yang disesuaikan dengan bot backconnectivity antara TrickBot dan Diavol,” kata Kremez

“Nama lain untuk ransomware Diavol disebut ransomware “Enigma” yang dimanfaatkan oleh kru TrickBot sebelum merek ulang Diavol.”

Perlu dicatat bahwa ransomware Diavol awalnya membuat catatan tebusan bernama ‘README_FOR_DECRYPT.txt’ seperti yang ditunjukkan oleh penasihat FBI, tetapi geng ransomware beralih pada bulan November ke catatan tebusan bernama ‘Warning.txt.’

FBI juga mendesak semua korban, terlepas dari apakah mereka berencana untuk membayar uang tebusan, untuk segera memberi tahu penegak hukum tentang serangan untuk mengumpulkan IOC baru yang dapat mereka gunakan untuk tujuan investigasi dan operasi penegakan hukum.

Jika Anda terkena serangan Diavol, penting juga untuk memberi tahu FBI sebelum membayar karena mereka “mungkin dapat memberikan sumber daya mitigasi ancaman kepada mereka yang terkena dampak ransomware Diavol.”

Sumber : Bleeping Computer

Conti Ransomware Menambahkan Bank Indonesia Ke Dalam Daftar Korbannya

by

Bank Indonesia, yang merupakan bank sentral Indonesia, diumumkan sebagai korban ransomware Conti, dalam sebuah posting yang diterbitkan oleh pelaku ancaman. Postingan tersebut dipublikasikan di situs kebocoran dark web geng ransomware Conti, bersama dengan 838 file dengan ukuran 487,09 megabyte.

Menurut catatan yang dibuat oleh geng ransomware Conti, ini hanya mewakili satu persen dari total data yang telah dicuri. Jika itu benar, volume yang dicuri berjumlah seratus kali lipat, atau 48,7 gigabyte.

Dilaporkan oleh Bleeping Computer, Bank Indonesia (BI) telah mengkonfirmasi bahwa serangan ransomware memang menyerang jaringannya bulan lalu.

Selama insiden tersebut, para penyerang mencuri “data non-kritis” milik pegawai Bank Indonesia sebelum menyebarkan muatan ransomware di lebih dari selusin sistem di jaringan bank, seperti yang dilaporkan CNN Indonesia.

Namun, menurut juru bicara bank, insiden itu telah dimitigasi sebelum berdampak pada layanan publik BI, seperti yang dilaporkan pertama kali oleh Reuters.

Conti adalah operasi Ransomware-as-a-Service (RaaS) yang memiliki kaitan dengan kelompok kejahatan dunia maya Wizard Spider Rusia, yang juga dikenal dengan malware terkenal lainnya, termasuk Ryuk, TrickBot, dan BazarLoader.

Afiliasi grup ransomware melanggar jaringan target setelah perangkat perusahaan terinfeksi malware BazarLoader atau TrickBot, memberi mereka akses jarak jauh ke sistem yang disusupi.

Setelah mendapatkan akses ke jaringan internal korban, operator Conti akan mengkompromikan perangkat lain yang menyebar melalui jaringan korban.

Layanan Keamanan Ukraina menangkap kelompok ransomware karena menyerang 50 perusahaan

by

Spesialis Siber Ukraina dari Dinas Keamanan Ukraina melakukan operasi bersama dengan polisi siber, mitra Amerika dan Inggris untuk melenyapkan sekelompok peretas yang kuat.

Dan mereka berhasil menahan lima penjahat yang tergabung dalam geng ransomware yang bertanggung jawab melancarkan serangan terhadap 50 perusahaan milik Amerika dan Eropa. Namun, geng ransomware milik mereka belum diungkapkan.

Penangkapan terjadi awal pekan ini dengan peretas utama adalah warga Kyiv berusia 36 tahun, pasangannya dan tiga orang lainnya. Penangkapan tersebut dibenarkan oleh kelompok-kelompok yang melakukan tindakan ilegal dan jahat terhadap badan-badan pemerintah dan swasta untuk mengenkripsi dan mencuri data, dengan serangan ransomware dan DDOS.

Sesuai pernyataan pihak berwenang Ukraina, Seluruh tindakan itu dilakukan dari perangkat pribadi mereka, dan untuk menghindari klaim ilegal, mereka menyamar dengan nama berbeda di jaringan Darknet.

Selain itu, mereka memiliki koneksi dan jaringan untuk mencuci uang dan keuntungan mereka ke kartu pembayaran yang dimiliki oleh individu fiktif.

Setelah beberapa analisis, pihak berwenang Ukraina mengklaim bahwa geng tersebut telah menghasilkan sekitar satu juta dollar dari serangan tersebut.

Pihak berwenang melakukan pencarian menyeluruh di sembilan lokasi berbeda yang penggerebekan dilakukan dengan bantuan dari lembaga penegak hukum AS dan Inggris. Peralatan yang disita meliputi laptop, desktop, ponsel, kartu kredit/debit, flash drive, dan tiga mobil.

Pihak berwenang dari negara lain juga siap untuk menahan dan menyelidiki para penjahat karena serangan itu juga dilakukan di luar negeri.

Namun, kita perlu apresiasi pihak berwenang Ukraina atas penyaringan berkelanjutan dan prosedur perang siber yang telah mereka lakukan sejak awal tahun 2021.

Selengkapnya: The Cybersecurity Times

TellYouThePass ransomware kembali sebagai ancaman Golang lintas platform

by

TellYouThePass ransomware telah muncul kembali sebagai malware yang dikompilasi Golang, membuatnya lebih mudah untuk menargetkan lebih banyak sistem operasi, khususnya macOS dan Linux.

Kembalinya jenis malware ini terlihat bulan lalu, ketika pelaku ancaman menggunakannya bersama dengan eksploitasi Log4Shell untuk menargetkan mesin yang rentan.

Crowdstrike menjelaskan lebih banyak tentang pengembalian ini, dengan fokus pada perubahan tingkat kode yang membuatnya lebih mudah untuk dikompilasi untuk platform lain selain Windows.

Mengapa Golang?

Golang adalah bahasa pemrograman yang pertama kali diadopsi oleh pembuat malware pada tahun 2019 karena keserbagunaan lintas platformnya.

Golang memungkinkan pustaka dependensi lapisan ke dalam satu file biner, yang mengarah ke jejak yang lebih kecil dari komunikasi server perintah dan kontrol (C2), sehingga mengurangi tingkat deteksi.

Sampel TellYouThePass baru
Analis Crowdstrike melaporkan kesamaan kode sebesar 85% antara sampel Linux dan Windows dari TellYouThePass, menunjukkan penyesuaian minimal yang diperlukan untuk membuat ransomware berjalan di sistem operasi yang berbeda.

Functions on the Windows and Linux samples
Source: Crowdstrike

Satu perubahan penting dalam sampel ransomware terbaru adalah pengacakan nama semua fungsi selain dari yang ‘utama’, yang mencoba menggagalkan analisis.

Sebelum memulai rutinitas enkripsi, TellYouThePass mematikan tugas dan layanan yang dapat mempertaruhkan proses atau mengakibatkan enkripsi yang tidak lengkap, seperti klien email, aplikasi database, server web, dan editor dokumen.

Selain itu, beberapa direktori dikecualikan dari enkripsi untuk mencegah membuat sistem tidak dapat di-boot dan dengan demikian menyia-nyiakan kesempatan untuk mendapatkan bayaran.

Direktori dikecualikan dari enkripsi
Sumber: Crowdstrike

Catatan tebusan dijatuhkan dalam infeksi TellYouThePass baru-baru ini meminta 0,05 Bitcoin, saat ini dikonversi menjadi sekitar $2,150, sebagai ganti alat dekripsi.

Sumber : Bleeping Computer

Magniber ransomware menggunakan file APPX yang ditandatangani untuk menginfeksi sistem

by

Ransomware Magniber menggunakan file paket aplikasi Windows (.APPX) yang ditandatangani dengan sertifikat yang valid untuk menghapus malware yang berpura-pura sebagai pembaruan browser web Chrome dan Edge.

Metode distribusi ini menandai pergeseran dari pendekatan sebelumnya yang terlihat dengan aktor ancaman ini, yang biasanya bergantung pada eksploitasi kerentanan Internet Explorer.

Infeksi dimulai dengan mengunjungi situs web yang menjatuhkan muatan, para peneliti di perusahaan keamanan siber AhnLab mencatat dalam sebuah laporan yang diterbitkan hari ini.

Dua dari URL yang mendistribusikan payload adalah “hxxp://b5305c364336bqd.bytesoh.cam”, dan “hxxp://hadhill.quest/376s53290a9n2j”, tetapi ini mungkin bukan satu-satunya.

Pengunjung situs ini menerima peringatan untuk memperbarui browser Edge/Chrome mereka secara manual, dan ditawari file APPX untuk menyelesaikan tindakan.

Peringatan untuk mengunduh pembaruan Edge palsu
Sumber: ASEC

Dalam kasus ransomware Magniber, file APPX yang disamarkan ditandatangani secara digital dengan sertifikat yang valid, sehingga Windows melihatnya sebagai file tepercaya yang tidak memicu peringatan.

DLL code part responsible for downloading and decoding the payload
Source: ASEC

File-file ini menjalankan fungsi yang mengambil muatan ransomware Magniber, mendekodekannya, dan kemudian menjalankannya. Setelah mengenkripsi data pada sistem, ancaman membuat catatan tebusan berikut:

Magniber ransom note dropped onto encrypted systems
Source: ASEC

Meskipun catatan dalam bahasa Inggris, perlu dicatat bahwa ransomware Magniber menargetkan pengguna Asia secara eksklusif akhir-akhir ini. Saat ini tidak ada kemungkinan untuk mendekripsi file yang dikunci oleh malware ini secara gratis.

Tidak seperti kebanyakan operasi ransomware, Magniber tidak mengadopsi taktik pemerasan ganda, sehingga tidak mencuri file sebelum mengenkripsi sistem.

Mencadangkan data secara teratur adalah solusi yang baik untuk memulihkan dari serangan dengan ransomware tingkat rendah seperti Magniber.

Sumber : Bleeping Computer

Serangan ransomware membuat penjara New Mexico offline, membuat narapidana terkunci

by

Serangan ransomware minggu lalu telah membuat penjara area Albuquerque tanpa akses ke umpan kameranya dan membuat mekanisme pintu otomatis tidak dapat digunakan. Akibatnya, narapidana dikurung di sel mereka, sementara teknisi berjuang untuk mengembalikan sistem online.

Seperti yang pertama kali dilaporkan oleh Source New Mexico, akses pengunjung ke Pusat Penahanan Metropolitan sepenuhnya ditangguhkan karena penjara dikunci. Semua layanan internet di penjara juga dimatikan, membuat staf tidak dapat mencari catatan narapidana.

Berdasarkan kurangnya liputan kamera, semua narapidana di dalam fasilitas tersebut dikunci sejak pagi hari tanggal 5 Januari. Selain itu database pelacakan insiden yang berisi semua laporan pertempuran, penggunaan kekuatan, dan tuduhan penyerangan seksual tidak tersedia dan diyakini telah dirusak oleh serangan tersebut.

Pusat penahanan hanyalah satu titik dampak dalam serangan ransomware yang lebih besar yang melanda Bernalillo County, daerah terpadat di New Mexico, pada tanggal 5 Januari. Pegawai kabupaten tidak dapat mengakses basis data pemerintah daerah, dan semua kantor publik ditutup sementara. Siaran pers tertanggal 10 Januari mencatat bahwa kantor pusat kantor daerah masih dibuka kembali sebagian.

Penguncian yang tidak terduga menempatkan penjara dalam potensi pelanggaran persyaratan penyelesaian dalam gugatan atas kondisi kurungan, memaksa Bernalillo County untuk mengajukan pemberitahuan darurat di pengadilan federal. Sebuah kesepakatan penyelesaian dari gugatan tahun 1995 mengharuskan penjara daerah untuk mengadopsi protokol baru dalam menanggapi keluhan yang lebih luas tentang kepadatan penduduk dan kondisi lainnya, termasuk jaminan bahwa narapidana diberikan akses reguler ke telepon dan perangkat komunikasi lainnya.

Tetapi kegagalan total jaringan komputer internal penjara dapat memaksa fasilitas tersebut untuk melanggar perjanjian itu.

Rahn mengatakan dia tidak segera dapat dihubungi untuk dimintai komentar. Email dan pesan suara yang dikirim ke pejabat Bernalillo County belum dijawab pada saat pers.

Ransomware semakin dilihat sebagai salah satu ancaman utama yang dihadapi bisnis swasta dan institusi pemerintah di seluruh AS. Tahun lalu Departemen Kehakiman membentuk Ransomware dan Satuan Tugas Pemerasan Digital untuk mengoordinasikan pembagian informasi antara divisi DOJ dan dengan lembaga luar, menandakan pendekatan baru untuk mengatasi masalah tersebut. Meskipun demikian, laporan dari Departemen Keuangan AS memperkirakan bahwa pembayaran ransomware untuk tahun 2021 masih akan melampaui semua rekor sebelumnya.

Selengkapnya : The Verge

Ransomware AvosLocker versi Linux menargetkan server VMware ESXi

by

AvosLocker adalah geng ransomware terbaru yang telah menambahkan dukungan untuk mengenkripsi sistem Linux ke varian malware terbaru, yang secara khusus menargetkan mesin virtual VMware ESXi.

Beberapa bulan yang lalu, geng AvosLocker juga terlihat mengiklankan varian ransomware terbarunya, Windows Avos2 dan AvosLinux, sambil memperingatkan afiliasi untuk tidak menyerang target pasca-soviet/CIS.

VM ESXi dihentikan sebelum enkripsi
Setelah diluncurkan pada sistem Linux, AvosLocker akan menghentikan semua mesin ESXi di server menggunakan perintah berikut:

esxcli –formatter=csv –format-param=fields==”WorldID,DisplayName” daftar proses vm | ekor -n +2 | awk -F $’,’ ‘{system(“esxcli vm process kill –type=force –world-id=” $1)}’

Setelah mulai beroperasi pada sistem yang disusupi, ransomware akan menambahkan ekstensi .avoslinux ke semua file terenkripsi.

Itu juga menjatuhkan catatan tebusan yang meminta para korban untuk tidak mematikan komputer mereka untuk menghindari korupsi file dan mengunjungi situs bawang untuk rincian lebih lanjut tentang cara membayar uang tebusan.

AvosLocker adalah geng baru yang pertama kali muncul selama musim panas 2021, menyerukan afiliasi ransomware di forum bawah tanah untuk bergabung dengan operasi Ransomware-as-a-Service (RaaS) mereka yang baru diluncurkan.

Langkah untuk menargetkan mesin virtual ESXi sejalan dengan target perusahaan mereka, yang baru-baru ini bermigrasi ke mesin virtual untuk pengelolaan perangkat yang lebih mudah dan penggunaan sumber daya yang lebih efisien.

Dengan menargetkan VM, operator ransomware juga memanfaatkan enkripsi beberapa server yang lebih mudah dan lebih cepat dengan satu perintah.

Sejak Oktober, ransomware Hive mulai mengenkripsi sistem Linux dan FreeBSD menggunakan varian malware baru, dalam beberapa bulan setelah peneliti melihat encryptor Linux REvil ransomware menargetkan VMware ESXi VM.

Emsisoft CTO Fabian Wosar mengatakan bahwa geng ransomware lain, termasuk Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide, dan Hellokitty, juga telah membuat dan menggunakan enkripsi Linux mereka sendiri.

Varian Linux ransomware HelloKitty dan BlackMatter juga ditemukan di alam liar oleh peneliti keamanan pada bulan Juli dan Agustus, yang lebih lanjut mengkonfirmasi pernyataan Wosar. Operasi ransomware Snatch dan PureLocker juga telah diamati menggunakan enkripsi Linux di masa lalu.

Sumber : Bleeping Computer

Jaringan hotel mengubah PC Windows ke Chrome OS menggunakan CloudReady setelah serangan ransomware

by

Pada akhir tahun 2020, Google mengakuisisi perusahaan yang menawarkan perangkat lunak untuk mengubah PC lama menjadi perangkat seperti Chrome OS.

Dalam satu contoh terkenal, jaringan hotel Norwegia beralih ke CloudReady untuk mengubah beberapa ribu laptop Windows yang dikunci dari ransomware menjadi Chromebook.

Nordic Choice Hotels adalah jaringan besar di Skandinavia, Finlandia, dan Baltik dengan 200 properti. Nordic Choice Hotels mengalami serangan ransomware pada bulan Desember, seperti yang dilaporkan E24, yang mengenkripsi file perangkat dan mengharuskan staf TI untuk menghapus internet/jaringan mereka.

Peretasan langsung ini menuntut grup hotel membayar uang tebusan untuk mendapatkan kembali file (catatan karyawan tetapi bukan informasi tamu) dan mencegah kebocoran.

Dalam hal dampak, staf harus menggunakan pena dan kertas (atau lebih tepatnya, spidol dan papan tulis), sementara sistem kartu kunci yang jatuh mengharuskan karyawan untuk “mengunci semua tamu dengan kartu kunci utama.”

Alih-alih menghabiskan beberapa jam untuk menghapus virus dari setiap perangkat, Nordic Choice memutuskan untuk mempercepat proyek migrasi Chrome yang sebelumnya sudah berlangsung.

Secara keseluruhan, 2.000 laptop Windows, yang terlihat seperti Lenovo ThinkPads, diubah dengan CloudReady menjadi pengalaman seperti Chromebook dalam 48 jam.

Google tampaknya telah membantu ini dengan membiarkan mereka “melompat dalam antrian untuk menjalankan dan menjalankan proyek.”

Selengkapnya: 9to5 Google