Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Ransomware

Ransomware

Eksploitasi Microsoft Exchange ProxyShell yang digunakan untuk menyebarkan ransomware Babuk

by

Aktor ancaman baru meretas server Microsoft Exchange dan menerobos jaringan perusahaan menggunakan kerentanan ProxyShell untuk menyebarkan Ransomware Babuk.

Serangan ProxyShell terhadap server Microsoft Exchange yang rentan dimulai beberapa bulan yang lalu, dengan LockFile dan Conti menjadi salah satu kelompok ransomware pertama yang mengeksploitasinya.

Menurut sebuah laporan oleh para peneliti di Cisco Talos, afiliasi ransomware Babuk yang dikenal sebagai ‘Tortilla’ telah bergabung dengan klub pada bulan Oktober, ketika aktor tersebut mulai menggunakan web shell ‘China Chopper’ di server Exchange yang dilanggar.

Nama Tortilla didasarkan pada executable berbahaya yang terlihat dalam kampanye menggunakan nama Tortilla.exe.

Dimulai dengan Exchange

Serangan ransomware Babuk dimulai dengan DLL, atau .NET executable yang dijatuhkan di server Exchange menggunakan kerentanan ProxyShell. Proses pekerja Exchange IIS w3wp.exe kemudian mengeksekusi muatan berbahaya ini untuk menjalankan perintah PowerShell yang dikaburkan yang menampilkan perlindungan titik akhir yang melewati, yang akhirnya menjalankan permintaan web untuk mengambil pemuat muatan bernama ‘tortilla.exe.’

Pemuat ini akan terhubung ke ‘pastebin.pl’ dan mengunduh muatan yang dimuat ke dalam memori dan disuntikkan ke dalam proses NET Framework, yang pada akhirnya mengenkripsi perangkat dengan Babuk Ransomware.

Infection chain diagram
Source: Cisco

Meskipun analis Cisco menemukan bukti eksploitasi kerentanan ProxyShell di sebagian besar merupakan infeksi, terutama web shell ‘China Chopper’, data telemetri mencerminkan spektrum luas dari upaya eksploitasi.

Lebih khusus lagi, Tortilla mengikuti jalur ini untuk menghapus modul DLL dan NET:

  • Microsoft Exchange menemukan upaya pemalsuan permintaan sisi server secara otomatis
  • Upaya eksekusi kode jarak jauh injeksi Atlassian Confluence OGNL
  • Upaya eksekusi kode jarak jauh Apache Struts
  • Akses wp-config.php WordPress melalui upaya traversal direktori
  • Upaya bypass otentikasi SolarWinds Orion
  • Upaya eksekusi perintah jarak jauh Oracle WebLogic Server
  • Upaya deserialisasi objek Java sewenang-wenang Liferay

Serangan ini bergantung pada kerentanan yang ditambal, maka sangat disarankan agar admin meningkatkan server mereka ke versi terbaru untuk mencegahnya dieksploitasi dalam serangan.

Menggunakan Babuk dalam serangan baru

Babuk Locker adalah operasi ransomware yang diluncurkan pada awal 2021 ketika mulai menargetkan bisnis dan mengenkripsi data mereka dalam serangan pemerasan ganda.

Setelah melakukan serangan terhadap Departemen Kepolisian Metropolitan (MPD) Washinton DC, dan merasakan panas dari penegakan hukum AS, geng ransomware menutup operasi mereka.

Setelah kode sumber untuk versi pertama Babu dan pembuatnya bocor di forum peretasan, pelaku ancaman lainnya mulai memanfaatkan ransomware untuk meluncurkan serangan mereka sendiri.

Tidak jelas apakah Tortilla adalah afiliasi dari Babuk saat RaaS aktif atau apakah mereka hanya mengambil kode sumber strain ketika keluar untuk melakukan serangan baru.

Namun, karena catatan tebusan yang digunakan dalam serangan ini meminta uang $10.000 yang rendah di Monero, kemungkinan itu tidak dilakukan oleh operasi Babuk yang asli, yang menuntut uang tebusan yang jauh lebih besar dalam Bitcoin.

Tortilla’s ransom note
Source: Cisco

Menargetkan AS

Meskipun peneliti Talos melihat beberapa serangan di Jerman, Thailand, Brasil, dan Inggris, sebagian besar target Tortilla berbasis di AS.

I.P. alamat server unduhan terletak di Moskow, Rusia, yang dapat menunjukkan asal serangan ini, tetapi tidak ada kesimpulan atribusi dalam laporan tersebut. Domain ‘pastebin.pl’ yang digunakan untuk tahap pembongkaran sebelumnya telah disalahgunakan oleh kampanye distribusi AgentTesla dan FormBook.

Victim heatmap
Source: Cisco

Meskipun decryptor sebelumnya dirilis untuk ransomware Babuk, ia hanya dapat mendekripsi korban yang kunci pribadinya merupakan bagian dari kebocoran kode sumber.

Oleh karena itu, pelaku ancaman dapat terus menggunakan ransomware Babuk untuk meluncurkan operasi mereka sendiri, seperti ypelaku ancaman Tortilla.

SUMBER : Bleeping Computer

10 Cara Penyerang Ransomware Menekan Anda Untuk Membayar Uang Tebusan

by

Di masa lalu, ransomware adalah masalah yang relatif mudah. Seorang penyerang akan melanggar organisasi dan mengenkripsi data penting. Tanpa cadangan yang andal atau terbaru, organisasi itu akan memiliki beberapa pilihan selain membayar uang tebusan dengan harapan data akan didekripsi.

Sekarang, bagaimanapun, organisasi menjadi lebih rajin membuat cadangan data penting, yang berarti mereka cenderung tidak membayar uang tebusan. Akibatnya, penjahat dunia maya telah beralih ke trik yang lebih agresif dan kuat untuk menuntut agar uang tebusan dibayarkan.

1. Bersumpah untuk merilis data secara publik

Bahkan jika korban memiliki cadangan yang andal, mereka mungkin merasakan tekanan untuk membayar uang tebusan daripada mengambil risiko malu dan kemungkinan terlibat hukum jika data bocor.

2. Menghubungi karyawan secara langsung

Untuk lebih menekan organisasi, penyerang akan menghubungi eksekutif senior dan karyawan lain untuk memperingatkan mereka bahwa data pribadi mereka akan bocor jika uang tebusan tidak dibayarkan.

Menghubungi mitra, pelanggan, dan media

Dalam kasus lain, penyerang akan menjangkau mitra bisnis, pelanggan dan bahkan media dan memberitahu mereka untuk mendesak korban untuk membayar.

Memperingatkan korban untuk tidak menghubungi penegak hukum

Banyak organisasi akan menghubungi aparat penegak hukum atau pihak lain untuk meminta bantuan mereka dalam menyelesaikan insiden tersebut. Langkah tersebut dapat membantu korban memulihkan data mereka tanpa membayar uang tebusan. Khawatir karena ini, banyak penjahat akan memperingatkan korban mereka untuk tetap diam.

Memperkerjakan orang dalam

Beberapa penjahat akan mencoba meyakinkan karyawan atau orang dalam untuk membantu mereka menyusup ke organisasi untuk melakukan serangan ransomware. Harapannya adalah mereka akan menemukan beberapa karyawan yang tidak puas atau tidak jujur yang dengan sukarela mengeksploitasi majikan mereka sendiri.

Selengkapnya: Tech Republic

Waspada Ransomware dari Alt List Minecraft Palsu

by

Kelompok Chaos Ransomware mengenkripsi perangkat Windows gamer melalui daftar alternatif Minecraft palsu yang dipromosikan di forum game.

Minecraft adalah video game kotak pasir yang sangat populer saat ini dimainkan oleh lebih dari 140 juta orang, dan menurut angka penjualan Nintendo, game ini merupakan gim terlaris di Jepang.

Disamarkan Sebagai File Teks ‘Alt List’
Menurut para peneliti di FortiGuard, varian ransomware Chaos yang baru ditemukan sedang didistribusikan sementara di Jepang, mengenkripsi file pemain Minecraft dan menjatuhkan catatan tebusan.

Iming-iming yang digunakan oleh aktor ancaman adalah file teks ‘Alt List’ yang diduga berisi kredensial akun Minecraft yang dicuri, tetapi pada kenyataannya, Chaos ransomware dapat dieksekusi.

Pemain Minecraft yang ingin menjebak atau membuat sedih pemain lain tanpa risiko akun mereka diblokir terkadang akan menggunakan ‘Alt List’ untuk menemukan akun curian yang dapat mereka gunakan untuk pelanggaran yang dapat diblokir.

Karena popularitasnya, Alt List selalu diminati dan biasanya dibagikan secara gratis atau melalui generator akun otomatis yang memasok komunitas dengan akun “backup”.

Saat mengenkripsi korban, ransomware Chaos akan menambahkan empat karakter atau digit acak sebagai ekstensi ke file terenkripsi.

Ransomware juga akan mengeluarkan catatan tebusan bernama ‘ReadMe.txt,’ di mana pelaku ancaman meminta 2.000 yen (~ $ 17,56) dalam kartu pra-bayar.

Varian khusus dari Chaos Ransomware ini dikonfigurasi untuk mencari sistem yang terinfeksi untuk jenis file berbeda yang lebih kecil dari 2ΜΒ dan mengenkripsinya.

Namun, jika file lebih besar dari 2MB akan menyuntikkan byte acak ke dalam file, membuatnya tidak dapat dipulihkan bahkan jika uang tebusan dibayarkan.

Karena sifat serangan yang merusak, mereka yang membayar uang tebusan hanya dapat memulihkan file yang lebih kecil.

Alasan untuk fungsi ini tidak jelas, dan dapat disebabkan oleh pengkodean yang buruk, konfigurasi yang salah, atau dengan sengaja merusak file pemain.

Dalam kampanye khusus ini, aktor ancaman mempromosikan file teks untuk menciptakan rasa aman yang salah sambil menukarnya pada akhirnya dengan file yang dapat dieksekusi.

Pengguna harus curiga dan tidak mengeksekusi file apa pun yang mereka unduh dari Internet kecuali mereka mempercayai situs tersebut dan telah memindainya dengan alat seperti VirusTotal.

sumber: BLEEPING COMPUTER

Library NPM Berbahaya Memasang Ransomware Pencuri Kata Sandi

by

Paket NPM berbahaya yang berpura-pura menjadi library Roblox mengirimkan ransomware dan trojan pencuri kata sandi pada pengguna yang tidak menaruh curiga.

Kedua paket NPM diberi nama noblox.js-proxy dan noblox.js-proxies, dan menggunakan salah ketik untuk berpura-pura menjadi pembungkus Roblox API yang sah yang disebut noblox.js-proksi dengan mengubah satu huruf dalam nama library.

Malicious noblox.js-proxies NPM (sumber: Bleeping Computer)

Dalam laporan baru oleh perusahaan keamanan open source Sonatype dengan analisis lebih lanjut oleh BleepingComputer, NPM berbahaya ini menginfeksi korban dengan ransomware MBRLocker yang meniru ransomware GoldenEye yang terkenal, trollware, dan trojan pencuri kata sandi.

Kedua Library NPM berbahaya telah dihapus dan tidak lagi tersedia.

Kekacauan Aktivitas Malicious
Setelah libraby NPM berbahaya ditambahkan ke proyek dan diluncurkan, library akan menjalankan skrip postinstall.js. Skrip ini biasanya digunakan untuk menjalankan perintah yang sah setelah library diinstal, tetapi dalam kasus ini, skrip ini memulai rantai aktivitas jahat di komputer korban.

Seperti yang Anda lihat di bawah, skrip postinstall.js sangat dikaburkan untuk mencegah analisis oleh peneliti keamanan dan perangkat lunak.

Obfuscated postinstall.js script (sumber: Bleeping Computer)

Saat dieksekusi, skrip akan meluncurkan file batch yang sangat dikaburkan yang disebut ‘nobox.bat,’ yang ditunjukkan di bawah ini.

Obfuscated noblox.bat batch file (sumber: Bleeping Computer)

File batch ini didekodekan oleh peneliti keamanan Sonatype Juan Aguirre dan akan mengunduh berbagai malware dari Discord dan meluncurkannya dengan bantuan bypass UAC fodhelper.exe

File yang diunduh oleh file batch noblox.bat tercantum di bawah ini sesuai urutan penginstalannya, bersama dengan tautan VirusTotal dan deskripsi tindakannya.

exclude.bat – Menambahkan pengecualian Microsoft Defender untuk tidak memindai file di bawah drive C:\.
legion.exe – Menyebarkan trojan pencuri kata sandi yang mencuri riwayat browser, cookie, kata sandi yang disimpan, dan upaya untuk merekam video melalui webcam internal.
000.exe – Trollware yang mengubah nama pengguna saat ini menjadi ‘UR NEXT,’ memutar video, mengubah kata sandi pengguna, dan mencoba menguncinya dari sistem mereka.
tunamor.exe – Menginstal MBRLocker yang disebut ‘Monster Ransomware,’ yang meniru ransomware GoldenEye.

Rakasa Ransomware MBRLocker
Yang menarik adalah executable ‘tunamor.exe’, yang menginstal MBRLocker yang menyebut dirinya ‘Monster Ransomware.’

Ketika dieksekusi, ransomware akan melakukan restart paksa komputer dan kemudian menampilkan CHKDSK palsu dari sistem. Selama proses ini, ransomware diduga mengenkripsi disk di komputer.

Setelah selesai, komputer akan reboot dan menampilkan layar kunci tengkorak dan tulang bersilang yang awalnya ditemukan di keluarga ransomware Petya/GoldenEye.

Setelah menekan enter, korban diperlihatkan layar yang menyatakan bahwa hard disk mereka dienkripsi dan mereka harus mengunjungi situs http://monste3rxfp2f7g3i.onion/ Tor, yang sekarang sedang down, untuk membayar uang tebusan.

BleepingComputer menemukan string ‘qVwaofRW5NbLa8gj’, yang diterima sebagai kunci yang valid untuk mendekripsi komputer. Namun, sementara kuncinya diterima dan ransomware menyatakan itu mendekripsi komputer, Windows akan gagal untuk memulai sesudahnya.

Tidak jelas apakah string tambahan harus ditambahkan ke kunci itu untuk mendekripsi drive hard disk dengan benar atau apakah program ini hanya penghapus yang dirancang untuk menghancurkan sistem.

Ransomware ini tampaknya tidak tersebar luas dan hanya diketahui didistribusikan melalui paket NPM ini.

Berdasarkan aktivitas 000.exe trollware dan perilaku aneh ransomware Monster, kemungkinan paket ini dirancang untuk menghancurkan sistem daripada menghasilkan permintaan tebusan.

NPM berbahaya yang digunakan dalam serangan rantai pasokan, seperti ini, menjadi lebih umum.

Sonatype baru-baru ini menemukan tiga library NPM berbahaya yang digunakan untuk menyebarkan cryptominers di perangkat Linux dan Windows.

Jumat lalu, library UA-Parser-JS NPM yang sangat populer dibajak untuk menginfeksi pengguna dengan penambang dan trojan pencuri kata sandi.

sumber: Bleeping Computer

Gratis! Telah Rilis Babuk Ransomware Decryptor untuk Memulihkan File

by

Perusahaan perangkat lunak keamanan siber Ceko, Avast, telah membuat dan merilis alat dekripsi untuk membantu korban ransomware Babuk memulihkan file mereka secara gratis.

Menurut Avast Threat Labs, dekripsi Babuk dibuat menggunakan kode sumber dan kunci dekripsi yang bocor.

Decryptor gratis dapat digunakan oleh korban Babuk yang filenya dienkripsi menggunakan ekstensi berikut: .babuk, .babyk, .doydo.

Korban ransomware Babuk dapat mengunduh alat dekripsi dari server Avast dan mendekripsi seluruh partisi sekaligus menggunakan instruksi yang ditampilkan dalam antarmuka pengguna dekripsi.

Dari pengujian BleepingComputer, decryptor ini kemungkinan hanya akan bekerja untuk korban yang kuncinya bocor sebagai bagian dari dump kode sumber Babuk.

Ransomware dan Kunci Dekripsi Bocor
Kode sumber ransomware lengkap geng Babuk bocor di forum peretasan berbahasa Rusia bulan lalu oleh aktor ancaman yang mengaku sebagai anggota kelompok ransomware.

Keputusan untuk membocorkan kode tersebut dilatarbelakangi oleh dugaan anggota Babu yang mengidap penyakit kanker stadium akhir. Dia mengatakan dalam posting kebocorannya bahwa dia memutuskan untuk merilis kode sumber sementara mereka harus “hidup seperti manusia.”

Arsip bersama berisi berbagai proyek ransomware Visual Studio Babuk untuk VMware ESXi, NAS, dan Windows encryptors, dengan folder Windows berisi kode sumber lengkap untuk Windows encryptor, decryptor, dan apa yang tampak seperti generator kunci pribadi dan publik.

Termasuk dalam kebocoran itu juga encryptors dan decryptors yang dikompilasi untuk korban tertentu dari geng ransomware.

Setelah kebocoran tersebut, CTO Emsisoft dan pakar ransomware Fabian Wosar mengatakan kepada BleepingComputer bahwa kode sumbernya sah dan arsip tersebut mungkin juga berisi kunci dekripsi untuk korban sebelumnya.

Sejarah Babuk yang Bermasalah
Babuk Locker, juga dikenal sebagai Babyk dan Babuk, adalah operasi ransomware yang diluncurkan pada awal 2021 ketika mulai menargetkan bisnis untuk mencuri dan mengenkripsi data mereka sebagai bagian dari serangan pemerasan ganda.

Setelah serangan mereka di Departemen Kepolisian Metropolitan (MPD) Washington DC, mereka mendarat di rambut salib penegak hukum AS dan mengaku telah menutup operasi mereka setelah mulai merasakan panas.

Setelah serangan ini, ‘Admin’ geng tersebut diduga ingin membocorkan data MPD yang dicuri secara online untuk publisitas, sementara anggota lainnya menentangnya.

Setelah ini, anggota Babuk terpecah, dengan admin asli meluncurkan forum kejahatan dunia maya Ramp dan yang lainnya meluncurkan kembali ransomware dengan nama Babuk V2, terus menargetkan dan mengenkripsi korban sejak saat itu.

Tepat setelah peluncuran forum cybercrime Ramp, itu menjadi sasaran serangkaian serangan DDoS yang akhirnya menyebabkan situs menjadi tidak dapat digunakan.

Sementara Admin Babuk menyalahkan mantan rekannya atas insiden ketiga, tim Babuk V2 mengatakan kepada BleepingComputer bahwa mereka tidak berada di balik serangan tersebut.

sumber: BLEEPING COMPUTER

Baru Dirilis, Decryptor Gratis untuk Atom Silo dan LockFile Ransomware

by

Avast baru saja merilis alat dekripsi yang akan membantu korban ransomware AtomSilo dan LockFile memulihkan beberapa file mereka secara gratis tanpa harus membayar uang tebusan.

Avast merilis alat dekripsi lain sebelumnya hari ini untuk membantu korban ransomware Babuk memulihkan file mereka secara gratis.

Seperti yang dijelaskan oleh perusahaan perangkat lunak keamanan siber Ceko, decryptor ini mungkin tidak dapat mendekripsi file dengan tidak dikenal, berpemilik, atau tanpa format sama sekali.

“Selama proses dekripsi, dekripsi Avast AtomSilo bergantung pada format file yang diketahui untuk memverifikasi bahwa file berhasil didekripsi. Oleh karena itu, beberapa file mungkin tidak didekripsi,” kata Tim Intelijen Ancaman Avast.

Decryptor bekerja untuk kedua jenis ransomware karena mereka sangat mirip, meskipun kelompok yang menyebarkannya di jaringan korban menggunakan taktik serangan yang berbeda.

Avast Threat Labs mengatakan dekripsi ransomware ini dibuat bekerja sama dengan analis malware RE – CERT Jiří Vinopal, yang menemukan kelemahan di ransomware AtomSilo awal bulan ini.

Korban AtomSilo dan LockFile dapat mengunduh alat dekripsi dari server Avast dan mendekripsi seluruh partisi disk menggunakan petunjuk yang ditampilkan dalam UI dekripsi.

BleepingComputer menguji alat ini dan memulihkan file yang dienkripsi dengan sampel Atom Silo menggunakan dekripsi gratis Avast.

Avast Atom Silo Decryptor (sumber:BleepingComputer)

Operasi ransomware LockFile pertama kali terlihat pada Juli 2021 setelah geng tersebut terlihat mengambil alih domain Windows dan mengenkripsi perangkat setelah mengeksploitasi server yang belum ditambal terhadap kerentanan ProxyShell dan PetitPotam.

Saat mengenkripsi file, LockFile ransomware akan menambahkan ekstensi .lockfile ke nama file terenkripsi dan menjatuhkan catatan tebusan yang diberi nama menggunakan format ‘[victim_name]-LOCKFILE-README.hta’.

Yang menarik adalah bahwa skema warna LockFile dan tata letak catatan tebusan sangat mirip dengan ransomware LockBit. Namun, tampaknya tidak ada hubungan antara kedua kelompok.

Atom Silo adalah geng ransomware baru yang operatornya baru-baru ini menargetkan Server Confluence dan server Pusat Data yang rentan terhadap bug yang sekarang ditambal dan dieksploitasi secara aktif.

Ransomware yang digunakan oleh Atom Silo hampir identik dengan LockFile, menurut peneliti SophosLabs.

Namun, operator Atom Silo menggunakan teknik baru yang membuatnya sangat sulit untuk menyelidiki serangan mereka, termasuk pemuatan samping pustaka tautan dinamis berbahaya yang mengganggu solusi perlindungan titik akhir.

sumber: BLEEPING COMPUTER

Peretas Menggunakan Perangkat Lunak Penagihan Zero-day untuk Menyebarkan Ransomware

by

Grup ransomware yang tidak dikenal mengeksploitasi bug injeksi SQL kritis yang ditemukan dalam solusi penagihan dan waktu BillQuick Web Suite untuk menyebarkan ransomware di jaringan target mereka.

BQE Software, perusahaan di belakang BillQuick, mengklaim memiliki 400.000 basis pengguna yang kuat di seluruh dunia.

Kerentanan, dilacak sebagai CVE-2021-42258, dapat dipicu dengan sangat mudah melalui permintaan login dengan karakter yang tidak valid (kutipan tunggal) di bidang nama pengguna, menurut peneliti keamanan dengan tim Huntress ThreatOps.

Kerentanan yang dieksploitasi secara aktif ini ditambal pada 7 Oktober setelah Huntress Labs memberi tahu BQE Software tentang bug tersebut.

Namun, para peneliti juga menemukan delapan kerentanan zero-day BillQuick lainnya (yaitu, CVE-2021-42344, CVE-2021-42345, CVE-2021-42346, CVE-2021-42571, CVE-2021-42572, CVE-2021- 42573, CVE-2021-42741, CVE-2021-42742) juga dapat digunakan untuk akses awal/eksekusi kode dan siap untuk disalahgunakan karena masih menunggu patch.

Menurut para peneliti, sejak serangan dimulai, sebuah perusahaan teknik AS telah memiliki sistem yang dienkripsi setelah server BillQuick yang rentan diretas dan digunakan sebagai titik awal akses ke jaringannya.

“Aktor yang kami amati tidak selaras dengan aktor ancaman besar yang diketahui/yang kami ketahui. Menurut pendapat pribadi saya, ini adalah aktor dan/atau kelompok yang lebih kecil berdasarkan perilaku mereka selama eksploitasi dan pasca-eksploitasi,” peneliti keamanan Huntress Labs Caleb Stewart memberi tahu BleepingComputer.

“Namun, berdasarkan masalah yang telah kami identifikasi/ungkapkan, saya memperkirakan eksploitasi lebih lanjut oleh pihak lain mungkin terjadi. Kami mengamati aktivitas tersebut selama akhir pekan Hari Columbus (08-10 Oktober 2021).”

BleepingComputer menemukan bahwa ransomware yang disebarkan oleh grup ini telah digunakan setidaknya sejak Mei 2020 dan banyak meminjam kode dari keluarga ransomware berbasis AutoIT lainnya.

Setelah digunakan pada sistem target, itu akan menambahkan ekstensi pusheken91@bk.ru ke semua file terenkripsi tetapi, seperti yang disebutkan di atas, BleepingComputer belum melihatnya menjatuhkan catatan tebusan selama serangan yang diketahui.

Penyerang kemungkinan menggunakan pendekatan ini karena ekstensi yang ditambahkan itu sendiri mengisyaratkan email apa yang harus digunakan korban untuk menanyakan detail tentang cara memulihkan data mereka.

Pada bulan Agustus, FBI dan CISA memperingatkan organisasi untuk tidak menurunkan pertahanan mereka terhadap serangan ransomware selama akhir pekan atau hari libur dalam sebuah penasehat keamanan siber bersama.

Kedua lembaga pemerintah federal mengatakan mereka “mengamati peningkatan serangan ransomware yang sangat berdampak yang terjadi pada hari libur dan akhir pekan—ketika kantor biasanya tutup—di Amerika Serikat, baru-baru ini pada liburan Empat Juli tahun 2021.”

soucer: BLEEPING COMPUTER

Geng Peretas Menciptakan Perusahaan Palsu Untuk Menyewa Pentester Untuk Serangan Ransomware

by

Grup peretas FIN7 mencoba untuk bergabung dengan ruang ransomware yang sangat menguntungkan dengan menciptakan perusahaan keamanan siber palsu yang melakukan serangan jaringan dengan kedok pentesting.

FIN7 (alias ‘Carbanak’) telah terlibat dalam serangan siber dan kampanye pencurian uang sejak 2015 ketika mereka pertama kali muncul di ruang kejahatan siber, termasuk menginfeksi ATM dengan malware yang mendukung MITM.

Karena ransomware telah menjadi bidang yang menguntungkan bagi penjahat dunia maya, dan memiliki pengalaman sebelumnya dengan perusahaan palsu seperti “Combi Security”, grup tersebut mendirikan perusahaan baru untuk memikat spesialis TI yang sah.

Tabir tipis legitimasi di sekitar entitas perusahaan baru ini diangkat oleh para peneliti di Gemini Advisory, yang menemukan bahwa situs web untuk perusahaan keamanan siber palsu yang dikenal sebagai Bastion Security terdiri dari konten yang dicuri dan dikompilasi ulang dari situs web lain.

Yang lebih terlihat adalah bahwa perusahaan tersebut menyatakan bahwa mereka berbasis di Inggris, tetapi situs tersebut menyajikan halaman kesalahan 404 berbahasa Rusia.

Para peneliti Gemini menemukan bahwa FIN7 menawarkan antara $800 dan $1,200 per bulan untuk merekrut programmer C++, PHP, dan Python, administrator sistem Windows, dan spesialis rekayasa balik dengan mengikuti tip dari sumber yang tidak disebutkan namanya.

Dalam persyaratan pekerjaan, para peneliti percaya bahwa kelompok peretas sedang mencari untuk menyewa pentester, karena administrator sistem juga akan memiliki kemampuan untuk memetakan sistem perusahaan yang disusupi, melakukan pengintaian jaringan, dan menemukan server dan file cadangan.

Semua keterampilan ini diperlukan untuk tahap pra-enkripsi serangan ransomware, jadi tampaknya inilah yang FIN7 kejar melalui putaran perekrutan ini.

Selengkapnya: Bleeping Computer