Ransomware

Evil Corp Menuntut $40 Juta pada Serangan Ransomware Baru “Macaw”

October 23, 2021 by Søren

Evil Corp telah meluncurkan ransomware baru bernama Macaw Locker untuk menghindari sanksi AS yang mencegah korban melakukan pembayaran uang tebusan.

Kelompok peretasan Evil Corp, juga dikenal sebagai Indrik Spider dan geng Dridex, telah terlibat dalam kegiatan kejahatan dunia maya sejak 2007, tetapi sebagian besar sebagai afiliasi dengan organisasi lain.

Bulan ini, beberapa operasi Olympus dan Sinclair Broadcast Group sangat terganggu oleh serangan ransomware di akhir pekan.

Bagi Sinclair, itu menyebabkan siaran TV dibatalkan, berbagai acara ditayangkan, dan penyiar berita melaporkan cerita mereka dengan papan tulis dan kertas.

Minggu ini, ditemukan bahwa kedua serangan itu dilakukan oleh ransomware baru yang dikenal sebagai Macaw Locker.

Dalam percakapan dengan Emsisoft CTO Fabian Wosar, BleepingComputer diberitahu bahwa, berdasarkan analisis kode, MacawLocker adalah rebrand terbaru dari keluarga ransomware Evil Corp.

BleepingComputer juga mengetahui dari sumber di industri keamanan siber bahwa hanya dua korban Macaw Locker yang diketahui adalah Sinclair dan Olympus.

Sumber juga membagikan halaman pribadi korban Macaw Locker untuk dua serangan, di mana pelaku ancaman meminta tebusan 450 bitcoin, atau $28 juta, untuk satu serangan dan $40 juta untuk korban lainnya.

Tidak diketahui perusahaan apa yang terkait dengan setiap permintaan tebusan.

Ransomware Macaw Locker akan mengenkripsi file korban dan menambahkan ekstensi .macaw ke nama file saat melakukan serangan.

Selengkapnya: Bleeping Computer

FBI Peringatkan Geng Ransomware BlackMatter Siap Menyerang

October 22, 2021 by Winnie the Pooh

Otoritas federal memperingatkan bisnis untuk menopang pertahanan keamanan siber karena dengan hati-hati memantau kemunculan kembali geng ransomware DarkSide, yang diyakini bertanggung jawab atas serangan Colonial Pipeline yang melumpuhkan pada Mei 2021.

Geng ransomware-as-a-service telah berkumpul kembali di bawah moniker BlackMatter, menurut penasehat bersama yang diposting Senin oleh Cybersecurity and Infrastructure Security Agency (CISA), FBI dan National Security Agency (NSA).

Penasihat mendesak bisnis untuk meningkatkan pertahanan yang terkait dengan kredensial pengguna dan menerapkan kata sandi yang kuat dan otentikasi multi-faktor (MFA) untuk lebih menggagalkan peningkatan yang diantisipasi dalam aktivitas kriminal BlackMatter.

Penasihat tersebut menawarkan tip pertahanan siber dan potensi mitigasi serangan.

“Menggunakan kredensial tertanam yang sebelumnya dikompromikan, BlackMatter memanfaatkan protokol Lightweight Directory Access Protocol (LDAP) dan Server Message Block (SMB) untuk mengakses Active Directory (AD) untuk menemukan semua host di jaringan,” menurut penasihat tersebut. “BlackMatter kemudian mengenkripsi host dan drive bersama dari jarak jauh saat ditemukan.”

Karena taktiknya untuk menggunakan kredensial curian untuk menembus jaringan, beberapa mitigasi utama untuk mempertahankan diri dari serangan BlackMatter terkait dengan cara organisasi menangani otentikasi pengguna dan dengan demikian merupakan perbaikan praktis.

Badan-badan tersebut merekomendasikan untuk menegakkan kata sandi yang kuat dan menerapkan MFA di seluruh jaringan untuk menghindari kompromi dengan kredensial yang dicuri.

Menggunakan signature deteksi yang disediakan untuk mengidentifikasi aktivitas BlackMatter di jaringan juga dapat memblokir penempatan catatan tebusan grup pada bagian pertama yang dienkripsi, “selanjutnya memblokir lalu lintas SMB tambahan dari sistem encryptor selama 24 jam,” rekomendasi agensi.

Badan-badan tersebut merekomendasikan untuk menghapus akses yang tidak perlu ke pembagian administratif, terutama ADMIN$ dan C$, dan menggunakan firewall berbasis host untuk hanya mengizinkan koneksi ke pembagian administratif melalui SMB dari seperangkat mesin administrator yang terbatas.

Selengkapnya: Threat Post

Total $590 juta pembayaran ransomware dilaporkan ke A.S. pada tahun 2021 saat serangan melonjak

October 20, 2021 by Winnie the Pooh

Data baru yang keluar pada hari Jumat menunjukkan $590 juta dalam pembayaran terkait ransomware dilaporkan ke otoritas AS pada paruh pertama tahun 2021, menetapkan kecepatan untuk mengalahkan total untuk dekade sebelumnya ketika pemerasan dunia maya sedang booming.

Menurut laporan Departemen Keuangan AS, angka tersebut 42 persen lebih tinggi dari jumlah yang dilaporkan oleh lembaga keuangan sepanjang tahun 2020.

“Jika tren saat ini berlanjut, (laporan) yang diajukan pada tahun 2021 diproyeksikan memiliki nilai transaksi terkait ransomware yang lebih tinggi daripada (laporan) yang diajukan dalam gabungan 10 tahun sebelumnya,” kata Departemen Keuangan.

Kejahatan itu melibatkan pembobolan jaringan entitas untuk mengenkripsi datanya, kemudian menuntut tebusan, biasanya dibayar melalui cryptocurrency dengan imbalan kunci digital untuk membukanya.

Washington telah berusaha untuk menindak peningkatan tajam dalam serangan, termasuk mengeluarkan sanksi pertamanya terhadap pertukaran online di mana operator gelap diduga menukar cryptocurrency dengan uang tunai.

Data baru tentang skala pembayaran yang terkait dengan peretasan muncul setelah lebih dari dua lusin negara memutuskan untuk bersama-sama memerangi ransomware selama pertemuan puncak yang dipimpin Washington.

Amerika Serikat mengumpulkan negara-negara – dengan pengecualian Rusia – untuk menyatukan dan meningkatkan upaya memerangi kejahatan dunia maya yang transnasional, meningkat dan berpotensi menghancurkan.

Keamanan digital yang lebih kuat dan pencadangan offline serta secara kolektif menargetkan pencucian hasil serangan diidentifikasi sebagai langkah penting dalam pertarungan.

Selengkapnya: Japan Today

Ransomware REvil tutup lagi setelah situs Tor dibajak

October 18, 2021 by Winnie the Pooh

Operasi ransomware REvil kemungkinan telah ditutup sekali lagi setelah orang tak dikenal membajak portal pembayaran Tor dan blog kebocoran data mereka.

Situs Tor offline, dengan aktor ancaman yang berafiliasi dengan operasi REvil memposting ke forum peretasan XSS bahwa seseorang membajak domain geng.

Hal ini pertama kali ditemukan oleh Dmitry Smilyanets dari Recorded Future, dan menyatakan bahwa orang yang tidak dikenal membajak layanan tersembunyi Tor (domain onion) dengan kunci pribadi yang sama dengan situs Tor REvil dan kemungkinan memiliki cadangan situs tersebut.

Aktor ancaman mengatakan bahwa mereka tidak menemukan tanda-tanda kompromi ke server mereka tetapi akan mematikan operasi untuk sementara.

Pelaku ancaman kemudian mengatakan kepada afiliasi untuk menghubunginya untuk mendapatkan kunci dekripsi melalui Tox, kemungkinan agar afiliasi dapat terus memeras korban mereka dan memberikan dekripsi jika uang tebusan dibayarkan.

Untuk meluncurkan layanan tersembunyi Tor (domain .onion), Anda perlu membuat pasangan kunci privat dan publik, yang digunakan untuk menginisialisasi layanan.

Kunci pribadi harus diamankan dan hanya dapat diakses oleh admin tepercaya, karena siapa pun yang memiliki akses ke kunci ini dapat menggunakannya untuk meluncurkan layanan .onion yang sama di server mereka sendiri.

Karena pihak ketiga dapat membajak domain, itu berarti mereka juga memiliki akses ke kunci pribadi layanan tersembunyi.

Malam ini, 0_neday sekali lagi memposting ke topik forum peretasan, tetapi kali ini mengatakan bahwa server mereka telah disusupi dan bahwa siapa pun yang melakukannya menargetkan pelaku ancaman.

Saat ini, tidak diketahui siapa yang mengkompromikan server mereka.

Ketika Bitdefender dan penegak hukum memperoleh akses ke kunci master dekripsi REvil dan merilis dekripsi gratis, beberapa pelaku ancaman percaya bahwa FBI atau penegak hukum lainnya telah memiliki akses ke server sejak itu diluncurkan kembali.

Karena tidak ada yang tahu apa yang terjadi pada Unknown, ada kemungkinan juga pelaku ancaman mencoba untuk mendapatkan kembali kendali atas operasi tersebut.

Selengkapnya: Bleeping Computer

Malware BlackByte yang ‘Kikuk’ Menggunakan Kembali Kunci Crypto, Worms Ke Jaringan

October 17, 2021 by Søren

Ransomware baru yang dijuluki BlackByte memiliki semua keunggulan dari upaya pengembangan pertama oleh pengembang malware amatir, membuat kesalahan signifikan — seperti mengaburkan kode dengan cara yang mudah dilewati dan menggunakan kunci enkripsi yang sama untuk setiap korban.

Malware ini memiliki beberapa kesamaan dengan ransomware lain yang terkait dengan Rusia, seperti menghindari sistem berbahasa Rusia dengan cara yang sama seperti REvil dan menggunakan eksploitasi jaringan untuk menyebar di dalam jaringan dengan cara yang sama seperti Ryuk, menurut para peneliti di Trustwave, yang menerbitkan analisis mereka. varian minggu ini.

Para peneliti, yang menemukan program jahat ketika menanggapi insiden keamanan, juga menemukan bahwa program tersebut menggunakan kunci enkripsi simetris yang diunduh dari server publik. Itu memungkinkan mereka untuk membuat utilitas dekripsi untuk membantu korban memulihkan data mereka.

Pilihan desain yang buruk itu menunjukkan bahwa ransomware bukanlah varian dari keluarga ransomware sebelumnya dan bahwa para pengembang relatif tidak berpengalaman dalam merancang ransomware, kata Karl Sigler, manajer riset keamanan senior di Trustwave.

“Sepertinya mereka menulis ini dari awal,” katanya. “Tapi itu kikuk. Ini sangat kikuk.”

Pertumbuhan serangan ransomware mungkin telah meyakinkan para pengembang di balik BlackByte untuk membuat kerangka kerja malware mereka sendiri, kata Sigler dari Trustwave.

Selengkapnya: Dark Reading

Ransomware Yanluowang Baru Digunakan Dalam Serangan Perusahaan Yang Ditargetkan

October 15, 2021 by Winnie the Pooh

Jenis ransomware baru dan masih dalam pengembangan sedang digunakan dalam serangan yang sangat bertarget terhadap entitas perusahaan seperti yang ditemukan oleh Tim Pemburu Ancaman Symantec dari Broadcom.

Malware, dijuluki Yanluowang ransomware (setelah dewa Cina Yanluo Wang, salah satu dari sepuluh raja neraka) berdasarkan ekstensi yang ditambahkan ke file terenkripsi pada sistem yang disusupi.

Baru-baru ini terlihat saat menyelidiki insiden yang melibatkan organisasi terkenal setelah mendeteksi aktivitas mencurigakan yang melibatkan alat kueri Active Directory baris perintah AdFind yang sah.

AdFind biasanya digunakan oleh operator ransomware untuk tugas pengintaian termasuk mendapatkan akses ke informasi yang diperlukan untuk pergerakan lateral melalui jaringan korban mereka.

Dalam beberapa hari setelah para peneliti menemukan penggunaan AdFind yang mencurigakan, para penyerang juga berusaha untuk menyebarkan muatan ransomware Yanluowang mereka di seluruh sistem organisasi yang dilanggar.

Setelah digunakan, Yanluowang akan menghentikan mesin virtual hypervisor, mengakhiri semua proses yang diambil oleh alat pendahulu (termasuk SQL dan Veeam), mengenkripsi file dan menambahkan ekstensi .yanluowang.

Pada sistem yang terenkripsi, Yanluowang juga menjatuhkan catatan tebusan bernama README.txt yang memperingatkan korbannya untuk tidak menghubungi penegak hukum atau meminta bantuan perusahaan negosiasi ransomware.

“Jika aturan penyerang dilanggar, operator ransomware mengatakan mereka akan melakukan serangan distributed denial of service (DDoS) terhadap korban, serta melakukan ‘panggilan ke karyawan dan mitra bisnis’,” tambah peneliti Broadcom.

Indikator kompromi termasuk hash malware dapat ditemukan di akhir laporan Symantec Threat Hunter Team.

Meskipun dalam pengembangan, Yanluowang masih merupakan malware berbahaya mengingat ransomware adalah salah satu ancaman terbesar yang dihadapi organisasi di seluruh dunia.

Selengkapnya: Bleeping Computer

VirusTotal Google melaporkan bahwa 95% ransomware terlihat menargetkan Windows

October 15, 2021 by Winnie the Pooh

Layanan VirusTotal Google menunjukkan bahwa 95 persen malware ransomware yang diidentifikasi oleh sistemnya menargetkan Windows.

VirusTotal, diakuisisi oleh Google pada tahun 2012, mengoperasikan layanan pemindaian malware yang dapat digunakan secara manual atau melalui API, untuk menganalisis file yang mencurigakan. Tim mengumpulkan data antara Januari 2020 dan Agustus tahun ini untuk menyelidiki bagaimana ransomware berkembang.

VirusTotal menerima lebih dari dua juta file mencurigakan per hari dari 232 negara, katanya, menempatkannya pada posisi yang kuat untuk menganalisis masalah.

Selama periode tersebut setidaknya ada 130 keluarga ransomware yang berbeda, kata laporan itu, dan perubahannya konstan. “Tampaknya dalam banyak kasus penyerang menyiapkan sampel baru untuk kampanye mereka,” kata laporan itu.

Ada perbedaan geografis yang mencolok, dengan Israel mengirimkan sampel ransomware paling banyak, diikuti oleh Korea Selatan, Vietnam, dan China. Inggris berada di urutan ke-10.

Keluarga ransomware teratas adalah salah satu yang dijuluki Grandcrab, terhitung 78,5 persen dari sampel positif, sebagian besar berkat lonjakan aktivitas antara Januari dan Juli 2020. Pada Juli 2021 ada lonjakan lain, kali ini untuk Babuk.

93,28 persen ransomware yang terdeteksi adalah executable Windows, dan 2 persen Windows DLL, kata laporan itu.

Android menyumbang lebih dari 2 persen file, dan sekitar pertengahan 2020 sejumlah sampel positif, yang disebut EvilQuest, diidentifikasi, menargetkan Mac.

Mengapa Windows begitu menonjol? Ada beberapa faktor, termasuk pangsa pasar yang besar dan ada di mana-mana, nilai target, dan fakta bahwa kode lama dalam sistem operasi Microsoft sulit untuk diamankan.

Selengkapnya: The Register

Rusia dikeluarkan dari pertemuan 30 negara untuk memerangi ransomware dan kejahatan dunia maya

October 14, 2021 by Winnie the Pooh

Rusia tidak diundang untuk menghadiri pertemuan virtual 30 negara yang dipimpin oleh Amerika Serikat yang bertujuan memerangi meningkatnya ancaman ransomware dan kejahatan dunia maya lainnya, kata seorang pejabat senior pemerintah.

Banyak geng ransomware beroperasi dari Ukraina dan Rusia, kata pakar keamanan siber sektor swasta. Beberapa pejabat dan analis AS mengatakan geng ransomware Rusia beroperasi dengan persetujuan diam-diam Kremlin, tetapi tidak dikendalikan secara langsung oleh pemerintah.

Pertemuan tersebut akan diadakan selama dua hari, melibatkan enam sesi dan mencakup topik-topik seperti mengatasi penyalahgunaan mata uang virtual untuk mencuci pembayaran tebusan, menuntut penjahat ransomware, menggunakan diplomasi untuk melawan ransomware, dan membantu negara-negara menjadi lebih tahan terhadap serangan semacam itu, kata pejabat administrasi.

Bersama dengan Amerika Serikat, India, Australia, Jerman, dan Inggris akan memimpin diskusi tentang topik-topik seperti gangguan, mata uang virtual, dan diplomasi. Orang lain yang bergabung dalam pertemuan itu termasuk Kanada, Prancis, Inggris, Brasil, Meksiko, Jepang, Ukraina, Irlandia, Israel, Afrika Selatan, Uni Eropa.

Pejabat itu mengatakan Amerika Serikat terlibat langsung dengan Rusia dalam masalah ransomware di bawah US-Kremlin Experts Group, yang dipimpin oleh Gedung Putih dan telah didirikan oleh Presiden Joe Biden dan Presiden Rusia Vladimir Putin.

Pejabat itu mengatakan diskusi dengan Rusia sedang berlangsung, AS telah berbagi informasi tentang aktor kriminal tertentu di Rusia dan bahwa negara tersebut telah mengambil langkah awal untuk mengatasi masalah yang ada.

Selengkapnya: Reuters

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Ransomware

Cookies Settings