Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Ransomware

Ransomware

Aktor FIN7 mengirim drive USB Berbahaya ke perusahaan AS dengan ransomware

by

FBI telah mengidentifikasi perangkat USB berbahaya yang dikirim ke perusahaan AS dalam beberapa bulan terakhir dengan motif untuk menginfeksi jaringan perusahaan dengan malware dan penurunan muatan lebih lanjut.

Kelompok di balik operasi USB berbahaya ini diketahui sebagai aktor FIN7, yang berada di balik ransomware BlackMatter dan Darkside.

Sesuai laporan FBI, beberapa paket dengan drive USB telah dikirim ke perusahaan AS termasuk industri pertahanan, asuransi, dan transportasi.

Pengiriman dilakukan melalui United Parcel Service dan United States Postal Service. Paket datang dalam dua varian, satu dengan nama Departemen Kesehatan dan Layanan Kemanusiaan AS, dengan beberapa pedoman COVID-19 dan drive USB.

Yang lainnya disamarkan sebagai Paket Amazon dengan dekorasi hadiah, pesan terima kasih, kartu hadiah, dan drive USB. Satu hal yang umum di antara kedua paket ini adalah bahwa drive USB berasal dari merek LilyGo.

Setelah penerima menyambungkan drive USB ini ke perangkat mereka, serangan BadUSB dimulai.

Serangan BadUSB adalah serangan keamanan yang menginfeksi perangkat dengan memprogram ulang drive USB dengan perangkat lunak berbahaya.

Dengan program jahat ini, para aktor dapat mengunduh banyak muatan ke dalam perangkat dan menjadikannya sebagai pintu belakang untuk penyusupan lebih lanjut.

Setelah aktor mendapatkan hak istimewa admin untuk sistem, mereka melanjutkan serangan mereka dengan menyebarkan malware secara lateral di seluruh jaringan yang memengaruhi perangkat rekan lainnya.

Setelah distribusi lateral yang sukses, aktor FIN7 menggunakan beberapa alat untuk menyebarkan ransomware REvil dan BlackMatter. Alat-alat tersebut antara lain Cobalt Strike, Metasploit, Carbanak, TIRION, DICELOADER, GRIFFON, dan Carbanak.

Selengkapnya: The Cybersecurity Times

Ransomware Rook adalah bibit lain dari kode Babuk yang bocor

by

Operasi ransomware baru bernama Rook baru-baru ini muncul di ruang kejahatan dunia maya, menyatakan kebutuhan mendesak untuk menghasilkan “banyak uang” dengan menerobos jaringan perusahaan dan mengenkripsi perangkat.

Meskipun pernyataan pengantar di portal kebocoran data mereka sedikit lucu, pengumuman korban pertama di situs tersebut telah memperjelas bahwa Rook tidak sedang bermain-main.

Sumber: BleepingComputer

Para peneliti di SentinelLabs telah mendalami jenis baru ini, mengungkapkan detail teknisnya, rantai infeksi, dan bagaimana ini tumpang tindih dengan ransomware Babuk.

Muatan ransomware Rook biasanya dikirimkan melalui Cobalt Strike, dengan email phishing dan unduhan torrent yang tidak jelas dilaporkan sebagai vektor infeksi awal.

Payload dikemas dengan UPX atau crypter lain untuk membantu menghindari deteksi. Saat dieksekusi, ransomware mencoba menghentikan proses apa pun yang dapat mengganggu proses enkripsi.

Rook juga menggunakan vssadmin.exe untuk menghapus volume shadow copy, taktik standar yang digunakan oleh operasi ransomware untuk mencegah volume shadow digunakan untuk memulihkan file.

SentinelLabs telah menemukan banyak kesamaan kode antara Rook dan Babuk, RaaS yang sudah tidak berfungsi yang kode sumber lengkapnya bocor di forum berbahasa Rusia pada September 2021.

Misalnya, Rook menggunakan panggilan API yang sama untuk mengambil nama dan status setiap layanan yang berjalan dan fungsi yang sama untuk menghentikannya.

Juga, daftar proses dan layanan Windows yang dihentikan sama untuk kedua ransomware. Ini termasuk platform game Steam, klien email Microsoft Office dan Outlook, serta Mozilla Firefox dan Thunderbird.

Selengkapnya: Bleeping Computer

Windows 10 21H2 menambahkan perlindungan ransomware ke Dasar Keamanan

by

Microsoft telah merilis versi final pengaturan dasar konfigurasi keamanan untuk Windows 10, versi 21H2, tersedia hari ini dari Microsoft Security Compliance Toolkit.

“Pembaruan fitur Windows 10 ini membawa sangat sedikit pengaturan kebijakan baru,” kata konsultan keamanan Microsoft Rick Munck.

“Satu pengaturan telah ditambahkan untuk rilis ini untuk pembatasan penginstalan driver printer (yang juga ditambahkan ke rilis Windows 11). Selain itu, semua pengaturan Microsoft Edge Legacy telah dihapus,”

Namun, sorotan dari dasar keamanan Windows 10 yang baru adalah penambahan tamper protection sebagai pengaturan yang diaktifkan secara default (ini juga dibuat sebagai pengaturan default di dasar keamanan Windows 11 dua bulan lalu).

Saat mengaktifkan Microsoft Security Baseline untuk Windows 10 21H2, Microsoft mendesak admin untuk mengaktifkan fitur perlindungan tamper Defender for Endpoint untuk melindungi dari serangan ransomware yang dioperasikan oleh manusia.

Fitur ini melakukannya dengan memblokir upaya operator ransomware atau malware untuk menonaktifkan fitur keamanan OS dan solusi keamanan untuk mendapatkan akses yang lebih mudah ke data sensitif dan menyebarkan malware atau alat berbahaya lainnya.

Perlindungan tamper secara otomatis mengunci Microsoft Defender Antivirus menggunakan nilai aman default, menggagalkan upaya untuk mengubahnya menggunakan registri, cmdlet PowerShell, atau kebijakan grup.

Dengan dasar keamanan Windows 10 21H2 yang baru, Microsoft menghapus semua pengaturan Microsoft Edge Legacy setelah browser web berbasis EdgeHTML-nya mencapai masa akhir dukungan pada bulan Maret.

Dasar keamanan Windows 10 21H2 sekarang tersedia untuk diunduh melalui Microsoft Security Compliance Toolkit, dan mencakup pencadangan dan laporan Group Policy Object (GPO), skrip yang diperlukan untuk menerapkan pengaturan ke GPO lokal, serta aturan Policy Analyzer.

Selengkapnya: Bleeping Computer

TellYouThePass ransomware revived in Linux, Windows Log4j attacks

by

Pelaku ancaman telah menghidupkan kembali keluarga ransomware lama dan relatif tidak aktif yang dikenal sebagai TellYouThePass, menyebarkannya dalam serangan terhadap perangkat Windows dan Linux yang menargetkan bug eksekusi kode jarak jauh yang kritis di perpustakaan Apache Log4j.

Heige dari Tim KnownSec 404 pertama kali melaporkan serangan ini di Twitter pada hari Senin setelah mengamati bahwa ransomware dijatuhkan pada sistem Windows lama menggunakan eksploitasi yang menyalahgunakan kelemahan yang dilacak sebagai CVE-2021-44228 dan dikenal sebagai Log4Shell.

Laporan Heige dikonfirmasi oleh Tim Intelijen Ancaman Sangfor, yang berhasil menangkap salah satu sampel ransomware TellYouThePass yang digunakan dalam serangan menggunakan eksploitasi Log4Shell yang sebagian besar berdampak pada target China, menurut Curated Intelligence.

Ketika mereka menemukan lebih lanjut (temuan yang juga dikonfirmasi oleh CronUP’s Germán Fernández), ransomware memiliki versi Linux yang memanen kunci SSH dan bergerak secara lateral di seluruh jaringan korban.

“Perlu dicatat bahwa ini bukan pertama kalinya Tellyouthepass ransomware menggunakan kerentanan berisiko tinggi untuk meluncurkan serangan,” kata peneliti Sangfor. “Pada awal tahun lalu, ia telah menggunakan kerentanan Eternal Blue untuk menyerang beberapa unit organisasi.”

Peneliti keamanan lainnya [1, 2] juga telah menganalisis salah satu sampel ransomware yang digunakan dalam serangan ini dan menandainya sebagai “kemungkinan milik” keluarga TellYouThePass.

Menurut statistik pengiriman ke layanan ID Ransomware, ransomware TellYouThePass telah melihat lonjakan aktivitas yang besar dan tiba-tiba setelah eksploitasi proof-of-concept Log4Shell dirilis secara online.

Selengkapnya: Bleeping Computer

Bug Log4j Dimanfaatkan Oleh Ransomware Gang Untuk Menyerang Server Minecraft

by

Sejumlah kecil pelanggan Minecraft yang menjalankan server mereka sendiri dengan versi Log4j yang rentan telah terkena ransomware Khonsari, Microsoft melaporkan pada hari Rabu.

Raksasa perangkat lunak yang berbasis di Redmond, Wash. mengatakan bahwa musuh telah mengirim pesan berbahaya dalam game ke server Minecraft yang rentan. Server kemudian mengeksploitasi kerentanan Log4j untuk mengambil dan mengeksekusi muatan yang dihosting penyerang di server serta klien rentan yang terhubung, menurut Microsoft.

“Karena pergeseran lanskap ancaman, Microsoft mengulangi panduan bagi pelanggan Minecraft yang menjalankan server mereka sendiri untuk menerapkan pembaruan server Minecraft terbaru dan bagi pemain untuk berhati-hati dengan hanya menghubungkan ke server Minecraft yang tepercaya,” tulis tim intelijen ancaman terpadu Microsoft dalam sebuah posting blog.

Ransomware Khonsari dikemas sebagai Java class file berbahaya dan dieksekusi dalam konteks javaw.exe untuk menebus perangkat. Microsoft mengatakan temuannya mengkonfirmasi laporan sebelumnya dari Bucharest, Bitdefender yang berbasis di Rumania bahwa Khonsari ransomware dikirimkan sebagai muatan setelah eksploitasi kerentanan Log4j.

Minecraft telah mengarahkan pelanggan yang menghosting server mereka sendiri untuk mengunduh file ke direktori kerja tempat server mereka berjalan atau menambahkan argumen JVM ke baris perintah startup mereka tergantung pada versi yang mereka gunakan. Selain itu, klien yang dimodifikasi dan launcher pihak ketiga mungkin tidak diperbarui secara otomatis, dan Minecraft telah memberi tahu pengguna dalam posisi itu untuk mengikuti saran dari penyedia pihak ketiga mereka.

Selengkapnya: CRN

Ransomware baru sekarang digunakan dalam serangan Log4Shell

by

Kasus publik pertama dari kerentanan Log4j Log4Shell yang digunakan untuk mengunduh dan menginstal ransomware telah ditemukan oleh para peneliti.

Jumat lalu, eksploitasi publik dirilis untuk kerentanan kritis zero-day bernama ‘Log4Shell’ di platform logging berbasis Apache Log4j Java. Log4j adalah kerangka kerja pengembangan yang memungkinkan pengembang untuk menambahkan log event dan error ke dalam aplikasi Java mereka.

Kerentanan ini memungkinkan aktor ancaman untuk membuat string JNDI khusus yang, ketika dibaca oleh Log4j, menyebabkan platform terhubung dan mengeksekusi kode di URL yang disertakan. Ini memungkinkan penyerang untuk dengan mudah mendeteksi perangkat yang rentan atau mengeksekusi kode yang disediakan oleh situs jarak jauh atau melalui string yang disandikan Base64.

Meskipun kerentanan ini telah diperbaiki di Log4j 2.15.0 dan bahkan diperketat lebih lanjut di Log4j 2.16.0, kerentanan ini dimanfaatkan secara luas oleh pelaku ancaman untuk menginstal berbagai malware, termasuk penambang koin, botnet, dan bahkan Cobalt Strike.

Kemarin, BitDefender melaporkan bahwa mereka menemukan keluarga ransomware pertama yang diinstal langsung melalui eksploitasi Log4Shell.

Eksploitasi mengunduh Java class dari hxxp://3.145.115[.]94/Main.class yang dimuat dan dijalankan oleh aplikasi Log4j.

Setelah dimuat, itu akan mengunduh binary .NET dari server yang sama untuk menginstal ransomware baru [VirusTotal] bernama ‘Khonsari.’

Dalam serangan selanjutnya, BitDefender memperhatikan bahwa pelaku ancaman ini menggunakan server yang sama untuk mendistribusikan Trojan Orcus Remote Access.

Selengkapnya: Bleeping Computer

Serangan ransomware Kronos dapat menyebabkan berhentinya solusi HR selama berminggu-minggu

by

Penyedia solusi manajemen tenaga kerja Kronos telah mengalami serangan ransomware yang kemungkinan akan mengganggu banyak solusi berbasis cloud mereka selama berminggu-minggu.

Kronos adalah penyedia manajemen tenaga kerja dan sumber daya manusia yang menyediakan solusi berbasis cloud untuk mengelola ketepatan waktu, penggajian, tunjangan karyawan, analitik, dan banyak lagi. Pada tahun 2020, Kronos bergabung dengan Ultimate Software untuk membuat perusahaan baru bernama UKG.

Hari ini, Kronos mengungkapkan bahwa solusi UKG yang menggunakan ‘Kronos Private Cloud’ (KPC) tidak tersedia karena serangan ransomware pada 11 Desember. Solusi UKG yang tidak menggunakan Kronos Private Cloud tidak terpengaruh, termasuk UKG Pro, UKG Ready, dan UKG Dimensions.

Menurut Kronos, KPC diamankan menggunakan firewall, otentikasi multi-faktor, dan transmisi terenkripsi untuk mencegah akses tidak sah ke sistem mereka. Sayangnya, pelaku ancaman dapat menembus sistem ini dan kemungkinan server yang terenkripsi adalah bagian dari serangan.

Karena itu, Kronos mengatakan solusi KPC mereka tidak tersedia dan kemungkinan akan memakan waktu beberapa minggu sebelum sistem tersedia lagi. Selama waktu ini, mereka menyarankan pelanggan “mengevaluasi dan menerapkan protokol kelangsungan bisnis alternatif yang terkait dengan solusi UKG yang terpengaruh.”

Selengkapnya: Bleeping Computer

Microsoft: Secured-core server membantu mencegah serangan ransomware

by

Microsoft mengatakan perangkat Windows Server dan Microsoft Azure Stack HCI bersertifikat Secured-core pertama sekarang tersedia untuk melindungi jaringan pelanggan dari ancaman keamanan, termasuk serangan ransomware.

Perangkat inti aman dipasarkan sebagai solusi untuk meningkatnya jumlah kerentanan firmware yang dapat dimanfaatkan penyerang untuk melewati Secure boot mesin Windows dan kurangnya visibilitas di tingkat firmware dalam solusi keamanan endpoint saat ini.

Semua perangkat Secured-core dilengkapi dengan perlindungan bawaan untuk ancaman yang menyalahgunakan firmware dan kelemahan keamanan driver sejak Oktober 2019. Perangkat tersebut dapat membantu melindungi dari malware yang dirancang untuk memanfaatkan kelemahan keamanan driver untuk menonaktifkan solusi keamanan.

Secured-core server yang baru disertifikasi menggunakan secure boot dan Trusted Platform Module 2.0 untuk memastikan bahwa hanya tepercaya yang dapat memuat saat boot.

Mereka juga memanfaatkan Dynamic Root of Trust Measurement (DRTM) untuk meluncurkan sistem operasi ke status tepercaya, memblokir upaya malware untuk merusak sistem.

Secured-core server juga menggunakan Hypervisor-Protected Code Integrity (HVCI) untuk memblokir semua executable dan driver (seperti Mimikatz) yang tidak ditandatangani oleh otoritas yang dikenal dan disetujui agar tidak diluncurkan.

Dengan memblokir upaya pencurian kredensial, Secured-core server dapat membantu mempersulit pelaku ancaman (termasuk geng ransomware seperti REvil) untuk bergerak secara lateral melalui jaringan, sehingga menghentikan serangan mereka sebelum mereka dapat memperoleh kegigihan dan menyebarkan muatannya.

Selengkapnya: Bleeping Computer