Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Ransomware

Ransomware

Malware BlackByte yang ‘Kikuk’ Menggunakan Kembali Kunci Crypto, Worms Ke Jaringan

by

Ransomware baru yang dijuluki BlackByte memiliki semua keunggulan dari upaya pengembangan pertama oleh pengembang malware amatir, membuat kesalahan signifikan — seperti mengaburkan kode dengan cara yang mudah dilewati dan menggunakan kunci enkripsi yang sama untuk setiap korban.

Malware ini memiliki beberapa kesamaan dengan ransomware lain yang terkait dengan Rusia, seperti menghindari sistem berbahasa Rusia dengan cara yang sama seperti REvil dan menggunakan eksploitasi jaringan untuk menyebar di dalam jaringan dengan cara yang sama seperti Ryuk, menurut para peneliti di Trustwave, yang menerbitkan analisis mereka. varian minggu ini.

Para peneliti, yang menemukan program jahat ketika menanggapi insiden keamanan, juga menemukan bahwa program tersebut menggunakan kunci enkripsi simetris yang diunduh dari server publik. Itu memungkinkan mereka untuk membuat utilitas dekripsi untuk membantu korban memulihkan data mereka.

Pilihan desain yang buruk itu menunjukkan bahwa ransomware bukanlah varian dari keluarga ransomware sebelumnya dan bahwa para pengembang relatif tidak berpengalaman dalam merancang ransomware, kata Karl Sigler, manajer riset keamanan senior di Trustwave.

“Sepertinya mereka menulis ini dari awal,” katanya. “Tapi itu kikuk. Ini sangat kikuk.”

Pertumbuhan serangan ransomware mungkin telah meyakinkan para pengembang di balik BlackByte untuk membuat kerangka kerja malware mereka sendiri, kata Sigler dari Trustwave.

Selengkapnya: Dark Reading

Ransomware Yanluowang Baru Digunakan Dalam Serangan Perusahaan Yang Ditargetkan

by

Jenis ransomware baru dan masih dalam pengembangan sedang digunakan dalam serangan yang sangat bertarget terhadap entitas perusahaan seperti yang ditemukan oleh Tim Pemburu Ancaman Symantec dari Broadcom.

Malware, dijuluki Yanluowang ransomware (setelah dewa Cina Yanluo Wang, salah satu dari sepuluh raja neraka) berdasarkan ekstensi yang ditambahkan ke file terenkripsi pada sistem yang disusupi.

Baru-baru ini terlihat saat menyelidiki insiden yang melibatkan organisasi terkenal setelah mendeteksi aktivitas mencurigakan yang melibatkan alat kueri Active Directory baris perintah AdFind yang sah.

AdFind biasanya digunakan oleh operator ransomware untuk tugas pengintaian termasuk mendapatkan akses ke informasi yang diperlukan untuk pergerakan lateral melalui jaringan korban mereka.

Dalam beberapa hari setelah para peneliti menemukan penggunaan AdFind yang mencurigakan, para penyerang juga berusaha untuk menyebarkan muatan ransomware Yanluowang mereka di seluruh sistem organisasi yang dilanggar.

Setelah digunakan, Yanluowang akan menghentikan mesin virtual hypervisor, mengakhiri semua proses yang diambil oleh alat pendahulu (termasuk SQL dan Veeam), mengenkripsi file dan menambahkan ekstensi .yanluowang.

Pada sistem yang terenkripsi, Yanluowang juga menjatuhkan catatan tebusan bernama README.txt yang memperingatkan korbannya untuk tidak menghubungi penegak hukum atau meminta bantuan perusahaan negosiasi ransomware.

“Jika aturan penyerang dilanggar, operator ransomware mengatakan mereka akan melakukan serangan distributed denial of service (DDoS) terhadap korban, serta melakukan ‘panggilan ke karyawan dan mitra bisnis’,” tambah peneliti Broadcom.

Indikator kompromi termasuk hash malware dapat ditemukan di akhir laporan Symantec Threat Hunter Team.

Meskipun dalam pengembangan, Yanluowang masih merupakan malware berbahaya mengingat ransomware adalah salah satu ancaman terbesar yang dihadapi organisasi di seluruh dunia.

Selengkapnya: Bleeping Computer

VirusTotal Google melaporkan bahwa 95% ransomware terlihat menargetkan Windows

by

Layanan VirusTotal Google menunjukkan bahwa 95 persen malware ransomware yang diidentifikasi oleh sistemnya menargetkan Windows.

VirusTotal, diakuisisi oleh Google pada tahun 2012, mengoperasikan layanan pemindaian malware yang dapat digunakan secara manual atau melalui API, untuk menganalisis file yang mencurigakan. Tim mengumpulkan data antara Januari 2020 dan Agustus tahun ini untuk menyelidiki bagaimana ransomware berkembang.

VirusTotal menerima lebih dari dua juta file mencurigakan per hari dari 232 negara, katanya, menempatkannya pada posisi yang kuat untuk menganalisis masalah.

Selama periode tersebut setidaknya ada 130 keluarga ransomware yang berbeda, kata laporan itu, dan perubahannya konstan. “Tampaknya dalam banyak kasus penyerang menyiapkan sampel baru untuk kampanye mereka,” kata laporan itu.

Ada perbedaan geografis yang mencolok, dengan Israel mengirimkan sampel ransomware paling banyak, diikuti oleh Korea Selatan, Vietnam, dan China. Inggris berada di urutan ke-10.

Keluarga ransomware teratas adalah salah satu yang dijuluki Grandcrab, terhitung 78,5 persen dari sampel positif, sebagian besar berkat lonjakan aktivitas antara Januari dan Juli 2020. Pada Juli 2021 ada lonjakan lain, kali ini untuk Babuk.

93,28 persen ransomware yang terdeteksi adalah executable Windows, dan 2 persen Windows DLL, kata laporan itu.

Android menyumbang lebih dari 2 persen file, dan sekitar pertengahan 2020 sejumlah sampel positif, yang disebut EvilQuest, diidentifikasi, menargetkan Mac.

Mengapa Windows begitu menonjol? Ada beberapa faktor, termasuk pangsa pasar yang besar dan ada di mana-mana, nilai target, dan fakta bahwa kode lama dalam sistem operasi Microsoft sulit untuk diamankan.

Selengkapnya: The Register

Rusia dikeluarkan dari pertemuan 30 negara untuk memerangi ransomware dan kejahatan dunia maya

by

Rusia tidak diundang untuk menghadiri pertemuan virtual 30 negara yang dipimpin oleh Amerika Serikat yang bertujuan memerangi meningkatnya ancaman ransomware dan kejahatan dunia maya lainnya, kata seorang pejabat senior pemerintah.

Banyak geng ransomware beroperasi dari Ukraina dan Rusia, kata pakar keamanan siber sektor swasta. Beberapa pejabat dan analis AS mengatakan geng ransomware Rusia beroperasi dengan persetujuan diam-diam Kremlin, tetapi tidak dikendalikan secara langsung oleh pemerintah.

Pertemuan tersebut akan diadakan selama dua hari, melibatkan enam sesi dan mencakup topik-topik seperti mengatasi penyalahgunaan mata uang virtual untuk mencuci pembayaran tebusan, menuntut penjahat ransomware, menggunakan diplomasi untuk melawan ransomware, dan membantu negara-negara menjadi lebih tahan terhadap serangan semacam itu, kata pejabat administrasi.

Bersama dengan Amerika Serikat, India, Australia, Jerman, dan Inggris akan memimpin diskusi tentang topik-topik seperti gangguan, mata uang virtual, dan diplomasi. Orang lain yang bergabung dalam pertemuan itu termasuk Kanada, Prancis, Inggris, Brasil, Meksiko, Jepang, Ukraina, Irlandia, Israel, Afrika Selatan, Uni Eropa.

Pejabat itu mengatakan Amerika Serikat terlibat langsung dengan Rusia dalam masalah ransomware di bawah US-Kremlin Experts Group, yang dipimpin oleh Gedung Putih dan telah didirikan oleh Presiden Joe Biden dan Presiden Rusia Vladimir Putin.

Pejabat itu mengatakan diskusi dengan Rusia sedang berlangsung, AS telah berbagi informasi tentang aktor kriminal tertentu di Rusia dan bahwa negara tersebut telah mengambil langkah awal untuk mengatasi masalah yang ada.

Selengkapnya: Reuters

Mengapa ancaman keamanan siber saat ini lebih berbahaya

by

Selama dua tahun terakhir, munculnya serangan ransomware besar-besaran dan pengungkapan infeksi rantai pasokan perangkat lunak berbahaya telah meningkatkan keamanan siber menjadi agenda utama pemerintah.

Pada saat yang sama, perusahaan Amerika dan bahkan masyarakat umum telah sadar akan bahaya digital baru yang ditimbulkan oleh aktor negara-bangsa dan organisasi kriminal.

Maka tidak mengherankan bahwa dua utas yang berjalan melalui Aspen Cyber Summit tahun ini adalah sifat rumit dari ancaman keamanan siber yang sekarang kita hadapi dan bagaimana mereka mungkin berbeda dari tantangan yang kita hadapi di masa lalu.

Tidak seperti 20 tahun yang lalu, bahkan ketika sistem TI yang ekstensif secara komparatif berdiri sendiri dan langsung, sistem yang saling ketergantungan sekarang membuat penanganan dan pertahanan terhadap ancaman menjadi proposisi yang jauh lebih sulit.

Salah satu variabel baru yang dilemparkan ke dalam campuran digital adalah pertumbuhan meteroik ransomware, yang membuatnya tampak bahwa serangan siber semakin buruk.

Terlebih lagi, permukaan serangan saat ini tidak hanya jauh lebih luas daripada sebelumnya, tetapi juga mencakup perangkat internet-of-things (IoT), yang, tidak seperti komputer mainframe dan laptop dan bahkan perangkat seluler, sulit diperbarui dari perspektif keamanan.

Jay Healey, peneliti senior di Universitas Columbia, mengatakan bahwa interkoneksi sektor infrastruktur kritis yang hampir ada di mana-mana saat ini dengan jaringan digital memang menimbulkan ancaman yang lebih gelap daripada Trojan dan virus.

Perubahan signifikan lainnya dari 20 tahun lalu adalah pergeseran sifat kejahatan dunia maya, kata Kevin Mandia, CEO FireEye. “Ketika Anda melihat para penjahat, saya pikir mungkin 20 tahun yang lalu mereka harus sangat teknis.” Sekarang hambatan masuk kejahatan dunia maya rendah dan kejahatan dunia maya menjadi layanan.

Selengkapnya: CSO Online

Dua operator ransomware ditangkap di Ukraina

by

Dua anggota geng ransomware ditangkap di Ukraina setelah operasi penegakan hukum internasional bersama dilakukan.

Penangkapan tersebut terjadi pekan lalu, pada 28 September, di Kyiv, ibu kota Ukraina, dan dilakukan oleh petugas Kepolisian Nasional Ukraina, dengan bantuan dari Gendarmerie Prancis, FBI, Europol, dan Interpol.

Dua tersangka ditangkap, termasuk seorang pria berusia 25 tahun yang diyakini sebagai anggota penting dari operasi ransomware besar.

Pejabat menolak menyebutkan afiliasi tersangka ke geng ransomware tertentu, mengutip penyelidikan resmi yang sedang berlangsung, kata juru bicara Europol kepada The Record.

Pejabat Ukraina mengatakan dalam siaran pers tersangka bertanggung jawab atas serangan terhadap lebih dari 100 perusahaan di seluruh dunia dan telah menyebabkan kerusakan lebih dari $150 juta.

Dalam siaran pers, Europol mengatakan para tersangka telah aktif sejak April 2020 dan bahwa kelompok mereka “dikenal karena tuntutan tebusan mereka yang terlalu tinggi (antara €5 hingga €70 juta).”

Beberapa peneliti keamanan menduga bahwa dua tersangka yang ditangkap minggu lalu adalah anggota geng ransomware REvil.

Selengkapnya: The Record

Ransomware Atom Silo baru menargetkan server Confluence yang rentan

by

Atom Silo, grup ransomware yang baru ditemukan, menargetkan kerentanan Confluence Server dan Pusat Data yang baru-baru ini ditambal dan dieksploitasi secara aktif untuk menyebarkan muatan ransomware mereka.

Atlassian Confluence adalah ruang kerja tim perusahaan berbasis web yang sangat populer yang membantu karyawan berkolaborasi dalam berbagai proyek.

Pada 25 Agustus, Atlassian mengeluarkan pembaruan keamanan untuk menambal kerentanan eksekusi kode jarak jauh (RCE) Confluence yang dilacak sebagai CVE-2021-26084 dan sedang aktif dieksploitasi.

Eksploitasi yang berhasil memungkinkan penyerang yang tidak diautentikasi untuk menjalankan perintah pada server yang belum ditambal dari jarak jauh.

Penemuan ini dibuat oleh para peneliti SophosLabs saat menyelidiki insiden baru-baru ini. Mereka juga menemukan bahwa ransomware yang digunakan oleh grup baru ini hampir identik dengan LockFile, yang sangat mirip dengan yang digunakan oleh grup ransomware LockBit.

Namun, operator Atom Silo menggunakan “beberapa teknik baru yang membuatnya sangat sulit untuk diselidiki, termasuk side-loading library dynamic-link berbahaya yang dirancang untuk mengganggu perangkat lunak perlindungan titik akhir.”

Setelah mengkompromikan server Confluence dan memasang backdoor, pelaku ancaman menjatuhkan backdoor tersembunyi tahap kedua menggunakan side-loading DLL untuk meluncurkannya pada sistem yang dilanggar.

Payload Ransomware yang disebarkan oleh Atom Silo juga dilengkapi dengan driver kernel berbahaya yang digunakan untuk mengganggu solusi perlindungan titik akhir dan menghindari deteksi.

Rincian teknis lebih lanjut tentang Atom Silo dan taktik gerakan lateral dapat ditemukan dalam laporan SophosLabs.

Sumber: Bleeping Computer

Conti Ransomware Memperluas Kemampuan untuk Meledakkan Cadangan

by

Pandai mengidentifikasi dan menghapus cadangan? Berbicara bahasa Rusia? Grup ransomware Conti yang terkenal mungkin menemukan Anda prospek perekrutan yang bagus.

Itu menurut sebuah laporan yang diterbitkan pada hari Rabu oleh perusahaan pencegahan risiko cyber Advanced Intelligence, yang merinci bagaimana Conti telah mengasah penghancuran cadangannya menjadi seni yang bagus – semakin baik untuk menemukan, menghancurkan, dan membunuh data yang dicadangkan. Bagaimanapun, cadangan adalah hambatan utama untuk mendorong pembayaran ransomware.

Palo Alto Networks telah menggambarkan geng itu sebagai geng yang menonjol, dan tidak dalam cara yang baik: “Ini adalah salah satu dari lusinan geng ransomware yang paling kejam yang kami ikuti,” kata perusahaan itu. Pada Juni, Conti telah menghabiskan lebih dari satu tahun menyerang organisasi di mana pemadaman TI dapat mengancam kehidupan: Rumah Sakit, operator pengiriman nomor darurat, layanan medis darurat, dan lembaga penegak hukum.

AdvIntel telah menemukan bahwa Conti membangun keahlian penghapusan cadangannya dari bawah ke atas, mulai dari “tingkat pengembangan tim”. Yaitu, ketika geng ransomware-as-a-service (RaaS) merekrut pekerja untuk menyerang jaringan, mereka jelas bahwa kandidat penguji penetrasi mereka membutuhkan keterampilan terbaik dalam menemukan dan menghapus cadangan.

Conti terutama berfokus pada pengembangan cara baru untuk mengkompromikan perangkat lunak cadangan dari perusahaan pemulihan bencana Veeam.

Selengkapnya: The Threat Post