Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Ransomware

Ransomware

Ramalan Malware dan Ransomeware Mendatang

by

Laporan ancaman Sophos tahun 2022 menjelaskan Infeksi malware dan ransomware di masa depan akan terdiri dari “shotgun attacks with pinpoint targeting.”

Seolah itu tidak cukup, infosec biz Inggris menganggap serangan malware komoditas yang sudah mapan akan berakhir dengan memberikan lebih banyak ransomware, sementara taktik pemerasan yang digunakan oleh geng ransomware akan menjadi lebih beragam dan intens – dengan tujuan menggertak korban agar menyerahkan uang tunai.

“Ransomware berkembang pesat karena kemampuannya untuk beradaptasi dan berinovasi,” kata Chester Wisniewski seorang ilmuwan peneliti utama di Sophos. “Misalnya, meskipun penawaran RaaS bukanlah hal baru, di tahun-tahun sebelumnya kontribusi utama mereka adalah membawa ransomware ke dalam jangkauan penyerang berketerampilan rendah atau kurang didanai.”

Ancaman dunia maya yang hampir ada di mana-mana telah banyak ditampilkan dalam berita baru-baru ini, menyusul penghargaan AS senilai jutaan dolar untuk informasi yang mengarah pada penangkapan dan hukuman terhadap geng ransomware high profile tertentu. Selain itu, banyak polisi negara – terutama Ukraina – telah menangkap orang-orang yang diduga sebagai anggota geng.

Selain ransomware, Sophos mengatakan pada 2022 akan terjadi serangan ulang ProxyLogon dan ProxyShell di mana vuln dalam layanan dan produk TI yang banyak digunakan langsung dilompati oleh penjahat dan negara. Perusahaan mengharapkan untuk melihat “peningkatan minat kejahatan dalam sistem berbasis Linux selama tahun 2022, baik di cloud maupun di web dan server virtual.”

Serangan shotgun yang ditargetkan, seperti yang dijelaskan Sophos, juga dapat meningkat. Perusahaan menggunakan serangan Gootloader sebagai contoh, menyoroti bagaimana situs web berbahaya didorong ke atas peringkat hasil pencarian Google oleh kejahatan. Pemfilteran tanda yang mengklik tautan berbahaya ini mengesampingkan mereka yang tidak menjalankan kombinasi sistem operasi dan browser tertentu.

“SophosLabs percaya bahwa ini mungkin merupakan cara baru bagi distributor malware untuk menggagalkan peneliti malware sambil memberi diri mereka sendiri tingkat kepastian yang lebih besar bahwa malware mereka akan menjadi bagian dari korban yang mungkin lebih diinginkan daripada populasi umum,” perusahaan menyimpulkan.

Linux dan sistem virtual dapat berada di bawah ancaman yang lebih besar pada tahun 2022, menurut pandangan Sophos, dengan peringatan tegas: “Satu ransomware yang kami temui pada tahun 2021 menargetkan platform VMware ESXi dan datang dalam bentuk skrip Python yang, ketika dijalankan pada hypervisor, mematikan semua mesin virtual yang berjalan dan kemudian mengenkripsi penyimpanan data tempat hard drive virtual, dan file konfigurasi lainnya, disimpan di hypervisor.”

Hal-hal yang menghebohkan – dan kejadian di atas terjadi pada perusahaan “logistik dan industri perkapalan” selama tahun ini. Trojan RansomEXX, yang menargetkan hypervisor VMware ESXi, ditemukan oleh Sophos pada Juni 2021 setelah serangan terhadap hypervisor ESXi yang berbeda “dijalankan oleh toko roti komersial besar”.

“Ancaman, mereka sedang berkembang. Keyakinan lama bahwa organisasi Anda terlalu kecil, tidak jelas, atau pendapatannya rendah untuk dijadikan target berbahaya akhir-akhir ini – jadi persiapkan diri.”

sumber: The Register

Snapshot yang tidak dapat diubah bertujuan untuk menetralisir ransomware

by

Ada beberapa fase kunci serangan ransomware, yaitu intrusi awal, periode pengintaian di dalam sistem korban, kemudian eksekusi enkripsi dan eksfiltrasi data. Lalu datanglah tuntutan tebusan.

Snapshots memberi pelanggan kemampuan untuk memutar kembali salinan data mereka yang tidak rusak yang dibuat sebelum eksekusi kode yang diperkenalkan oleh penyerang. Secara teori, dari sini mereka dapat mengabaikan permintaan tebusan, membersihkan sistem mereka dari efek penyusupan, dan melanjutkan bisnis seperti biasa.

Snapshots bukan backup, karena mereka bukan hanya salinan data. Mereka adalah catatan status dan lokasi file dan blok yang membentuk file pada waktu tertentu yang dapat dikembalikan oleh pelanggan. Catatan itu mungkin terdiri lebih dari sekadar catatan keadaan, dengan metadata, data yang dihapus, salinan induk, dan sebagainya, semua perlu dipertahankan.

Snapshots tidak dapat diubah, karena mereka write-once read-many (Worm). Apa yang telah ditambahkan oleh pemasok penyimpanan dan cadangan adalah fitur seperti enkripsi, mekanisme yang mengunci snapshot agar tidak dipindahkan atau dipasang secara eksternal, dengan otentikasi multifaktor (MFA) yang diperlukan untuk mengelolanya.

Tanpa seorang pun – bahkan administrator, tetapi tentu saja bukan perangkat lunak ransomware – yang memiliki kemampuan untuk mengakses snapshot atau memindahkan atau menghapusnya, pelanggan seharusnya selalu memiliki akses ke salinan data mereka yang bersih setelah terjadi pelanggaran. Itu kelebihannya.

Kelemahannya, secara historis, snapshot tidak disimpan dalam waktu lama karena memerlukan kapasitas penyimpanan. Karena alasan ini, periode retensi untuk snapshot sering kali pendek – sekitar 48 jam.

Dengan kasus penggunaan pemulihan ransomware, periode yang dibutuhkan pelanggan untuk mempertahankan snapshot yang tidak dapat diubah akan lebih besar.

Waktu yang dihabiskan oleh penyerang di dalam sistem – “dwell time” – rata-rata 11 hari menurut Sophos dan 24 hari menurut Mandiant. Selama periode ini, mereka akan melakukan pengintaian, bergerak secara lateral di antara berbagai bagian jaringan, mengumpulkan kredensial, mengidentifikasi data sensitif dan menguntungkan, mengekstrak data, dan sebagainya.

Itu berarti periode retensi snapshot, dan oleh karena itu kapasitas yang diperlukan untuk menyimpannya, akan meningkat. Pemasok mengetahui hal ini, dan dalam beberapa kasus telah menargetkan subsistem penyimpanan dengan kapasitas massal pada kasus penggunaan ini.

Selengkapnya: Computer Weekly

MediaMarkt terkena ransomware Hive, tebusan awal $240 juta

by

Raksasa ritel elektronik MediaMarkt telah menderita ransomware Hive dengan permintaan tebusan awal sebesar $240 juta, menyebabkan sistem TI ditutup dan operasi toko terganggu di Belanda dan Jerman.

MediaMarkt adalah pengecer elektronik konsumen terbesar di Eropa, dengan lebih dari 1.000 toko di 13 negara. MediaMarkt mempekerjakan sekitar 53.000 karyawan dan memiliki total penjualan €20,8 miliar.

MediaMarkt mengalami serangan ransomware Minggu malam hingga Senin pagi yang mengenkripsi server dan workstation dan menyebabkan penutupan sistem TI untuk mencegah penyebaran serangan.

Sementara penjualan online terus berfungsi seperti yang diharapkan, mesin kasir tidak dapat menerima kartu kredit atau mencetak tanda terima di toko yang terkena dampak. Pemadaman sistem juga mencegah pengembalian barang karena ketidakmampuan untuk mencari pembelian sebelumnya.

Media lokal melaporkan bahwa komunikasi internal MediaMarkt memberi tahu karyawan untuk menghindari sistem terenkripsi dan memutuskan mesin kasir dari jaringan.

BleepingComputer telah mengkonfirmasi bahwa operasi Hive Ransomware berada di balik serangan itu dan awalnya menuntut jumlah uang tebusan yang sangat besar, tetapi tidak realistis, $ 240 juta untuk menerima decryptor untuk file terenkripsi.

Meskipun tidak jelas apakah data yang tidak terenkripsi telah dicuri sebagai bagian dari serangan, ransomware Hive diketahui mencuri file dan mempublikasikannya di situs kebocoran data ‘HiveLeaks’ jika uang tebusan tidak dibayarkan.

Selengkapnya: Bleeping Computer

Perusahaan perangkat lunak medis mendesak pengaturan ulang kata sandi setelah serangan ransomware

by

Medatixx, vendor perangkat lunak medis Jerman yang produknya digunakan di lebih dari 21.000 institusi kesehatan, mendesak pelanggan untuk mengubah kata sandi aplikasi mereka setelah serangan ransomware yang telah sangat mengganggu seluruh operasinya.

Perusahaan mengklarifikasi bahwa dampaknya belum mencapai klien dan terbatas pada sistem TI internal mereka dan tidak boleh memengaruhi PVS (sistem manajemen praktik) mereka.

Namun, karena tidak diketahui data apa yang dicuri selama serangan, pelaku ancaman mungkin telah memperoleh kata sandi pelanggan Medatixx.

Oleh karena itu, Medatixx merekomendasikan agar pelanggan melakukan langkah-langkah berikut untuk memastikan perangkat lunak manajemen praktik mereka tetap aman:

  • Ubah kata sandi pengguna pada perangkat lunak praktik (petunjuk).
  • Ubah kata sandi masuk Windows di semua workstation dan server (petunjuk).
  • Ubah kata sandi konektor TI (petunjuk).

Perusahaan menjelaskan bahwa langkah di atas adalah tindakan pencegahan, tetapi mereka harus diterapkan sesegera mungkin.

Serangan ransomware pada Mediatixx terjadi minggu lalu, dan perusahaan masih dalam pemulihan, sejauh ini hanya berhasil memulihkan sistem email dan telepon pusat.

Belum ada perkiraan kapan perusahaan akan kembali beroperasi normal.

Belum diketahui apakah pelaku berhasil melakukan eksfiltrasi data klien, dokter, atau pasien. Namun, perusahaan menyatakan bahwa mereka memberi tahu otoritas perlindungan data Jerman tentang insiden tersebut dan akan mengeluarkan pembaruan setelah penyelidikan selesai.

Selengkapnya: Bleeping Computer

Penangkapan Ransomware REvil, Penyitaan $6 juta dan Hadiah $10 juta

by

Departemen Kehakiman AS hari ini mengumumkan penangkapan pria Ukraina yang dituduh menyebarkan ransomware atas nama geng ransomware REvil, sebuah kolektif penjahat dunia maya berbahasa Rusia yang telah memeras ratusan juta dari organisasi korban. DOJ mengatakan telah menyita $6,1 juta dalam cryptocurrency yang dikirim ke afiliasi REvil lainnya, Departemen Luar Negeri AS sekarang menawarkan hingga $10 juta untuk nama atau lokasi setiap pemimpin REvil utama, dan hingga $5 juta untuk informasi tentang REvil afiliasi.

Yaroslav Vasinskyi, warga negara Ukraina berusia 22 tahun yang dituduh sebagai Afiliasi REvil #22. Vasinskyi ditangkap 8 Oktober di Polandia, Jaksa mengatakan Vasinskyi terlibat dalam sejumlah serangan ransomware REvil, termasuk serangan Juli 2021 terhadap Kaseya, sebuah perusahaan yang berbasis di Miami yang produknya membantu administrator sistem mengelola jaringan besar dari jarak jauh.

Vasinskyi menggunakan berbagai nama peretas, termasuk “Profcomserv” nama panggilan di balik layanan online yang membanjiri nomor telepon dengan panggilan sampah dengan biaya tertentu. Jaksa mengatakan Vasinskyi juga menggunakan moniker “Yarik45,” dan “Yaroslav2468.”

Dua nama panggilan terakhir ini sesuai dengan akun di beberapa forum kejahatan dunia maya teratas pada tahun 2013, di mana pengguna bernama “Yaroslav2468” mendaftar menggunakan alamat email yarik45@gmail.com.

Alamat email itu digunakan untuk mendaftarkan akun di Vkontakte (Facebook/Meta versi Rusia) dengan nama profil “Yaroslav ‘jual darah css’ Vasinskyi.” Profil Vkontakte Vasinskyi mengatakan kotanya saat ini pada 3 Oktober adalah Lublin, Polandia. Mungkin mengejek, halaman profil Vasinskyi juga mencantumkan nomor telepon 1-800 FBI sebagai nomor telepon kontaknya. Dia sekarang ditahan di Polandia, menunggu ekstradisi ke Amerika Serikat.

Bukti #2: Yevgeniy Igorevich Polyanin, warga negara Rusia berusia 28 tahun yang diduga sebagai Afiliasi REvil #23. DOJ mengatakan telah menyita $6,1 juta dana yang dapat dilacak ke dugaan pembayaran uang tebusan yang diterima oleh Polyanin, dan bahwa terdakwa telah terlibat dalam serangan ransomware REvil pada beberapa organisasi korban di AS.

The FBI’s wanted poster for Polyanin.

Surat dakwaan Polyanin (PDF) mengatakan dia juga menyukai banyak peretas, termasuk LK4D4, Damnating, Damn2life, Noolleds, dan Antunpitre. Beberapa nama panggilan ini sudah ada lebih dari satu dekade di forum kejahatan dunia maya Rusia, banyak di antaranya telah diretas dan dihapus dari basis data pengguna mereka selama bertahun-tahun.

Di antara mereka adalah carder[.]su, dan database forum itu mengatakan seorang pengguna dengan nama “Damnating” terdaftar di forum pada tahun 2008 menggunakan alamat email damnating@yandex.ru. Benar saja, ada profil Vkontakte yang terkait dengan alamat email itu dengan nama “Yevgeniy ‘sialan’ Polyanin” dari Barnaul, sebuah kota di wilayah Siberia selatan Rusia.

Departemen Luar Negeri AS mengatakan pihaknya menawarkan hadiah hingga $10 juta untuk informasi yang mengarah ke identifikasi atau lokasi setiap individu yang memegang posisi kepemimpinan kunci dalam grup ransomware REvil. Departemen tersebut mengatakan bahwa pihaknya juga menawarkan hadiah hingga $5 juta untuk informasi yang mengarah pada penangkapan dan/atau hukuman di negara mana pun dari individu mana pun yang berkonspirasi untuk berpartisipasi atau mencoba berpartisipasi dalam insiden ransomware REvil.

krebsonsecurity

Penawaran Hadiah Bagi Pembawa Informasi Co-Conspirator Variant Ransomware DarkSide ke Pengadilan

by

Departemen Luar Negeri AS mengumumkan tawaran hadiah hingga $10.000.000 untuk informasi yang mengarah ke identifikasi atau lokasi setiap individu yang memegang posisi kepemimpinan kunci dalam kelompok kejahatan terorganisir transnasional varian ransomware DarkSide.

Selain itu, Departemen juga menawarkan tawaran hadiah hingga $5.000.000 untuk informasi yang mengarah pada penangkapan dan/atau hukuman di negara mana pun dari individu mana pun yang berkonspirasi untuk berpartisipasi atau mencoba berpartisipasi dalam insiden ransomware varian DarkSide.

Grup ransomware DarkSide bertanggung jawab atas insiden ransomware Colonial Pipeline Company pada Mei 2021, yang menyebabkan keputusan perusahaan untuk secara proaktif dan sementara menutup pipa sepanjang 5.500 mil yang membawa 45 persen bahan bakar yang digunakan di Pantai Timur Amerika Serikat.

Dalam menawarkan hadiah ini, Amerika Serikat menunjukkan komitmennya untuk melindungi korban ransomware di seluruh dunia dari eksploitasi oleh penjahat cyber.

Amerika Serikat mencari negara-negara yang menampung penjahat ransomware yang bersedia membawa keadilan bagi bisnis dan organisasi korban yang terkena ransomware.

Hadiah ini ditawarkan di bawah Program Hadiah Kejahatan Terorganisir Transnasional (TOCRP) Departemen Luar Negeri.

Departemen mengelola TOCRP dalam koordinasi yang erat dengan mitra penegak hukum federal kami sebagai bagian dari keseluruhan upaya pemerintah untuk mengganggu dan membongkar kejahatan terorganisir transnasional secara global, termasuk kejahatan dunia maya.

Lebih dari 75 penjahat transnasional dan pengedar narkoba utama telah diadili di bawah TOCRP dan Program Hadiah Narkotika (NRP) sejak 1986. Departemen telah membayar hadiah lebih dari $135 juta hingga saat ini.

Selengkapnya: US Departement of State

Geng Ransomware ‘Groove’ Adalah Tipuan

by

Groove pertama kali diumumkan pada 22 Agustus di RAMP, forum cybercrime darknet berbahasa Rusia yang baru dan cukup eksklusif.

“GROOVE adalah yang pertama dan terutama organisasi kriminal agresif bermotivasi finansial yang berurusan dengan spionase industri selama sekitar dua tahun,” tulis administrator RAMP “Oranye” dalam sebuah posting yang meminta anggota forum untuk bersaing dalam kontes merancang situs web untuk grup baru.

Menurut sebuah laporan yang diterbitkan oleh McAfee, Orange meluncurkan RAMP untuk menarik pelaku ancaman terkait ransomware yang dikeluarkan dari forum kejahatan dunia maya utama karena terlalu beracun, atau kepada penjahat dunia maya yang mengeluhkan perubahan singkat atau kaku sama sekali oleh program afiliasi ransomware yang berbeda. .

Laporan itu mengatakan RAMP adalah produk dari perselisihan antara anggota geng ransomware Babuk, dan bahwa anggotanya kemungkinan memiliki koneksi ke grup ransomware lain yang disebut BlackMatter.

“[McAfee] percaya, dengan keyakinan tinggi, bahwa geng Groove adalah mantan afiliasi atau subkelompok geng Babuk, yang bersedia bekerja sama dengan pihak lain, selama ada keuntungan finansial bagi mereka,” kata laporan itu. “Jadi, kemungkinan berafiliasi dengan geng BlackMatter.”

Pada minggu pertama bulan September, Groove memposting di blog darknetnya hampir 500.000 kredensial masuk untuk pelanggan produk Fortinet VPN, nama pengguna, dan kata sandi yang dapat digunakan untuk terhubung dari jarak jauh ke sistem yang rentan. Fortinet mengatakan kredensial dikumpulkan dari sistem yang belum menerapkan tambalan yang dikeluarkan pada Mei 2019.

Beberapa pakar keamanan mengatakan posting nama pengguna dan kata sandi Fortinet VPN ditujukan untuk menarik afiliasi baru ke Groove. Tapi sepertinya kredensial itu diposting untuk menarik perhatian peneliti keamanan dan jurnalis.

Suatu saat dalam seminggu terakhir, blog darknet Groove menghilang. Dalam sebuah posting di forum kejahatan dunia maya Rusia XSS, seorang penjahat dunia maya yang mapan menggunakan pegangan “Boriselcin” menjelaskan bahwa Groove tidak lebih dari sebuah proyek hewan peliharaan untuk mengacaukan industri media dan keamanan.

Selengkapnya: Krebs on Security

Organisasi Diserang oleh Pelaku Ransomware Selama Acara Pembelian dan Penggabungan, FBI Memperingatkan

by

FBI memperingatkan bahwa aktor ancaman di balik kampanye ransomware menyerang organisasi yang mengambil bagian dalam peristiwa keuangan penting seperti penggabungan dan akuisisi perusahaan, untuk memeras target mereka dengan lebih mudah.

Pada hari Senin, FBI mengeluarkan pemberitahuan industri swasta yang memperingatkan bahwa pelaku ancaman ransomware akan memanfaatkan data keuangan yang diperoleh sebelum serangan sebagai pengaruh untuk menekan korban agar membayar uang tebusan yang diminta.

FBI menyatakan: “FBI menilai pelaku ransomware kemungkinan besar menggunakan peristiwa keuangan yang signifikan, seperti merger dan akuisisi, untuk menargetkan dan memanfaatkan perusahaan korban untuk infeksi ransomware.”

“Selama fase pengintaian awal, penjahat dunia maya mengidentifikasi informasi yang tidak tersedia untuk umum, yang mereka ancam untuk dilepaskan atau digunakan sebagai pengungkit selama pemerasan untuk membujuk korban agar mematuhi tuntutan tebusan.”

“Peristiwa yang akan datang yang dapat mempengaruhi nilai saham korban, seperti pengumuman, merger, dan akuisisi, mendorong pelaku ransomware untuk menargetkan jaringan atau menyesuaikan garis waktu mereka untuk pemerasan di mana akses dibuat.”

Selengkapnya: Heimdal Security