Ransomware

Peretas merancang taktik baru untuk memastikan pembayaran ransomware

May 11, 2023 by Coffee Bean

Ransomware tetap menjadi salah satu ancaman keamanan dunia maya terbesar yang terus dihadapi organisasi dan pemerintah. Namun, para peretas sedang merekayasa cara-cara baru untuk mengekstraksi uang tebusan dari korban mereka karena organisasi mengambil keputusan untuk menolak permintaan pembayaran uang tebusan.

Dengan jatuhnya geng ransomware paling terkenal, Conti, pada Mei 2022, diasumsikan bahwa serangan ransomware akan mengalami penurunan besar. Namun, Tenable menemukan bahwa 35,5% pelanggaran pada tahun 2022 adalah hasil dari serangan ransomware, penurunan kecil sebesar 2,5% dari tahun 2021.

Pembayaran dari korban ransomware, sementara itu, menurun sebesar 38% pada tahun 2022 — dan ini telah mendorong peretas untuk mengadopsi taktik yang lebih profesional dan korporat untuk memastikan pengembalian yang lebih tinggi, menurut Laporan Keamanan Cyber Tahunan Trend Micro.

“Penjahat dunia maya semakin memiliki KPI dan target yang ingin dicapai. Ada target khusus yang perlu mereka tembus dalam jangka waktu tertentu. Ini telah menjadi kejahatan yang sangat terorganisir karena model bisnis yang diikuti oleh kelompok ransomware yang menyebabkan mereka mulai meningkatkan tekanan,” kata Maheswaran S, manajer negara di Varonis Systems.

Salah satu taktik yang semakin banyak digunakan oleh kelompok ransomware adalah pemerasan ganda. Dalam metode pemerasan ganda, grup ransomware, selain mengenkripsi file di sistem korban, juga mengunduh informasi sensitif dari mesin korban.

“Ini memberi mereka lebih banyak pengaruh, karena sekarang pertanyaannya bukan hanya tentang mendekripsi data yang dikunci tetapi juga tentang membocorkannya,” kata Mehardeep Singh Sawhney, peneliti ancaman di CloudSEK.

Contohnya adalah geng ransomware BlackCat. Geng ransomware ini dapat mengenkripsi dan mencuri data dari mesin korban dan aset lain yang berjalan di dalamnya, misalnya server ESXi, kata CloudSEK.

selengkapnya : csoonline.com

San Bernardino County Membayar Tebusan $1,1 juta Kepada Hacker setelah Serangan Siber

May 9, 2023 by Flamango

Pada April, seorang hacker menyebabkan gangguan jaringan pada pada sistem komputer Departemen Sheriff San Bernardino County dibayar uang tebusan $1,1 juta untuk membiarkan pejabat daerah kembali ke jaringan.

Hacker mengunggah ransomware untuk menyusup ke sistem teknologi informasi departemen sheriff. Pejabat sheriff juga tidak dapat mengakses sistem yang memberikan informasi tentang apakah seseorang dicari karena kejahatan di tempat lain di wilayah itu.

Mengetahui hal tersebut, pejabat daerah segera mengamankan jaringan dan bekerja dengan staf teknologi informasi dan spesialis forensik pihak ketiga untuk menyelidiki.

Namun belum ada konfirmasi lebih lanjut mengenai pembayaran $ 1,1 juta kepada para hacker, berapa lama sistem tidak dapat diakses oleh departemen, atau mengapa pejabat menunggu sampai sekarang untuk memberitahu publik tentang pembayaran uang tebusan.

Pembayaran uang tebusan tersebut bertujuan untuk memulihkan fungsionalitas penuh sistem dan mengamankan data apa pun yang terlibat dalam pelanggaran. Polis asuransi memastikan pembayaran sebesar $511.852, kata pejabat daerah.

Departemen sheriff sedang melakukan pemeriksaan forensik untuk memahami sepenuhnya sejauh mana insiden tersebut, dengan temuan penting bagi badan publik yang berusaha menghindari serangan serupa, kata pejabat daerah.

Selengkapnya: Daily Press

Pemasok Air Italia yang Melayani 500.000 Orang terkena Serangan Ransomware

May 5, 2023 by Flamango

Perusahaan Italia tersebut mengalami beberapa gangguan teknis menyusul serangan ransomware.

Alto Calore Servizi SpA menjalankan pengumpulan, pasokan, dan distribusi air minum untuk 125 kota Avellino dan Benevento, dua provinsi di Italia selatan. Perusahaan yang dikelola pemerintah juga mengelola layanan pembuangan limbah dan pemurnian untuk kedua provinsi tersebut.

Perusahaan yang mengelola 58 juta meter kubik air per tahun itu mengatakan pada Jumat bahwa peretasan baru-baru ini membuat semua sistem TI mereka tidak dapat digunakan. Mereka juga memohon maaf atas pemadaman tersebut.

Kemudian pada hari Selasa, grup ransomware Medusa mengaku bertanggung jawab atas serangan tersebut dan mengatakan bahwa mereka memberi perusahaan air waktu tujuh hari untuk membayar uang tebusan.

Medusa memberikan sampel data yang dicurinya dan menawarkan pilihan membayar $10.000 untuk memperpanjang batas waktu tebusan satu hari atau $100.000 untuk menghapus semua data yang diambil.

Mereka membutuhkan data pelanggan, kontrak, risalah dari rapat dewan, laporan, informasi distribusi pipa, dokumen ekspansi dan banyak lagi.

Namun, perusahaan tidak menanggapi permintaan komentar tentang kapan sistem dapat dipulihkan atau jika uang tebusan akan dibayarkan.

Beberapa pejabat di Badan Perlindungan Lingkungan AS (EPA) mengatakan pada bulan Maret bahwa ransomware telah menjadi perhatian yang signifikan karena peningkatan serangan.

EPA pun mengeluarkan aturan baru tahun ini yang mengamanatkan penilaian keamanan siber dimasukkan sebagai bagian dari audit negara atas sistem air publik.

Namun aturan tersebut sekarang menghadapi tuntutan hukum dari jaksa agung di Iowa, Arkansas, dan Missouri yang mengklaim peningkatan keamanan siber yang diperlukan untuk lulus penilaian akan terlalu mahal bagi pemasok, yang berencana membebankan biaya tersebut kepada pelanggan.

Selengkapnya: The Record

Lookout Menemukan ‘BouldSpy’, Android Spyware Terkait dengan Polisi Iran yang Menargetkan Minoritas

May 3, 2023 by Flamango

Para peneliti di Lookout Threat Lab telah menemukan alat pengawasan Android baru yang penulis kaitkan dengan keyakinan sedang kepada Komando Penegakan Hukum Republik Islam Iran (FARAJA).

Spyware BouldSpy untuk kelas “BoulderApplication” yang mengonfigurasi perintah dan kontrol alat (C2), telah dilacak sejak Maret 2020. Mulai tahun 2023, malware tersebut telah menarik perhatian peneliti keamanan di Twitter dan oleh orang lain dalam ancaman tersebut.

Komunitas intelijen mencirikannya sebagai botnet Android dan ransomware. Sementara BouldSpy menyertakan kode ransomware, peneliti Lookout menilai bahwa itu tidak digunakan dan tidak berfungsi, tetapi dapat menunjukkan pengembangan yang sedang berlangsung atau upaya penyesatan dari pihak aktor.

Berdasarkan analisis kami terhadap data yang dieksfiltrasi dari server C2 untuk spyware, BouldSpy telah mengorbankan lebih dari 300 orang, termasuk kelompok minoritas seperti Kurdi Iran, Baluchis, Azeri, dan kemungkinan kelompok Kristen Armenia.

Bukti yang dikumpulkan menyiratkan bahwa spyware mungkin juga telah digunakan dalam upaya melawan dan memantau aktivitas perdagangan ilegal yang berkaitan dengan senjata, narkoba, dan alkohol.

Penulis meyakini bahwa FARAJA menggunakan akses fisik ke perangkat untuk menginstal BouldSpy guna memantau target lebih jauh saat dirilis.

Spyware ‘BouldSpy’ mewakili alat pengawasan lain yang memanfaatkan sifat pribadi perangkat seluler.

Beberapa aplikasi yang ditiru oleh BouldSpy termasuk CPU-Z, alat perbandingan CPU seluler, Konverter Mata Uang Pro, kalkulator bunga berbahasa Persia, dan aplikasi Fake Call.

Ikon aplikasi yang terkait dengan varian BouldSpy, dari kiri ke kanan: CPU-Z, Interest Calculator, Currency Converter Pro, Fake Call, Call Service, Psiphon

Kemampuan penting dari BouldSpy adalah dapat merekam panggilan suara melalui beberapa aplikasi Voice over IP (VoIP) serta aplikasi ponsel Android standar, termasuk WhatsApp, Kakao, LINE, Telegram VoIP, Microsoft Office 365 VoIP functionality, Skype, Slack VoIP, WeChat, dan lainnya.

Selengkapnya: Lookout

Geng Ransomware Mengeksploitasi Produk Unpatched Backup Veeam

April 28, 2023 by Coffee Bean

pengguna yang tidak diautentikasi yang telah mengakses perimeter jaringan infrastruktur cadangan untuk mendapatkan kredensial terenkripsi yang disimpan dalam database konfigurasi, yang pada akhirnya dapat menyebabkan mereka mendapatkan akses ke host infrastruktur cadangan.

Itu diklasifikasikan sebagai bug dengan tingkat keparahan tinggi dan membawa skor CVSS v3 7,5. Itu ada dalam proses Veeam.Backup.Service.exe dari Veaam Backup & Replication, Veeam Cloud Connect, Veeam Cloud Connect untuk Edisi Komunitas Enterprise dan Veeam Backup & Replication.

BlackCat/ALPHV, BlackMatter, DarkSide dan, pada suatu waktu, REvil – setelah beralih ke pemerasan dari pencurian data kartu pembayaran sekitar tiga tahun lalu.

Grup tersebut mungkin memiliki kaitan dengan beberapa serangan dunia maya profil tinggi baru-baru ini, termasuk perampokan yang berkembang di agen outsourcing sektor publik Inggris Capita, raksasa sistem pembayaran NCR, dan Munster Technological University di Irlandia. Tidak ada indikasi pada saat penulisan bahwa salah satu dari intrusi ini melibatkan eksploitasi kompromi Veeam.

Pada 28 Maret 2023, Singh dan Nejad mengatakan bahwa mereka melihat aktivitas di beberapa server yang terhubung ke internet yang menjalankan Veeam Backup & Replication, di mana proses server SQL yang terkait dengan instance pencadangan menjalankan perintah shell, yang melakukan pengunduhan dalam memori dan eksekusi file Skrip PowerShell.

Pada akhirnya, ada kemungkinan pijakan ini akan berkembang menjadi serangan ransomware, dan dengan tidak adanya penambalan atau kesadaran luas, beberapa mungkin masih melakukannya.

Namun, menurut Singh dan Nejad, kemungkinan kelangkaan server cadangan Veeam dengan port TCP 9401 terbuka berarti ruang lingkup insiden kemungkinan terbatas.

selengkapnya : computerweekly.com

Peneliti keamanan menemukan ransomware LockBit dapat menargetkan perangkat macOS

April 17, 2023 by Søren

Salah satu geng ransomware paling terkenal tampaknya baru-baru ini mulai menargetkan komputer Mac untuk pertama kalinya. Dalam serangkaian tweet yang ditemukan oleh 9to5Mac, sekelompok peneliti keamanan yang dikenal sebagai MalwareHunterTeam mengatakan pada hari Sabtu bahwa mereka baru-baru ini menemukan bukti build ransomware Lockbit yang dirancang untuk mengkompromikan perangkat macOS.

Sejauh yang diketahui grup, pengumuman hari Sabtu menandai pemberitahuan publik pertama bahwa ransomware Lockbit dapat digunakan untuk melawan komputer Apple, meskipun tampaknya geng tersebut telah menawarkan kemampuan itu sejak musim gugur yang lalu.

“Saya pikir ini adalah pertama kalinya salah satu pemain ransomware utama membidik OS Apple,” kata analis keamanan Brett Callow, menunjuk pada pentingnya pengungkapan tersebut. Sebagai catatan 9to5Mac, geng LockBit secara historis berfokus pada Windows, Linux, dan mesin host virtual. Alasannya karena sistem operasi tersebut banyak digunakan oleh bisnis yang menjadi target mitra grup.

Bagi mereka yang tidak tahu, geng Lockbit menjalankan apa yang dikenal sebagai operasi “ransomware-as-a-service”. Grup tersebut tidak secara langsung melibatkan diri dalam bisnis pengambilan uang tebusan dari bisnis. Apa yang dilakukannya adalah membangun dan mempertahankan afiliasi malware yang dapat membayar untuk digunakan melawan organisasi.

Menurut dakwaan Departemen Kehakiman AS yang dibuka pada musim gugur lalu, LockBit adalah “salah satu varian ransomware paling aktif dan merusak di dunia.” Hingga akhir 2022, perangkat lunak tersebut telah menginfeksi sistem komputer dari setidaknya 1.000 korban, termasuk Hotel Holiday Inn di Turki.Diyakini mitra geng tersebut telah mengklaim puluhan juta dolar dari para korban.

Selengkapnya: engadget

KFC, pemilik Pizza Hut mengungkapkan Pelanggaran Data setelah Serangan Ransomware

April 14, 2023 by Flamango

Nyam! Brands, pemilik merek dari rantai makanan cepat saji KFC, Pizza Hut, dan Taco Bell, mengirimkan surat pemberitahuan pelanggaran data ke sejumlah individu yang informasi pribadinya dicuri dalam serangan ransomware 13 Januari.

Yum! Brands mengungkapkan bahwa penyerang telah mencuri informasi pribadi beberapa individu, termasuk nama, nomor SIM, dan nomor kartu identitas lainnya. Sementara penyelidikan yang sedang berlangsung belum menemukan bukti bahwa data yang dicuri telah digunakan untuk pencurian atau penipuan identitas.

Ini terjadi setelah perusahaan mengatakan bahwa meskipun beberapa data dicuri dari jaringannya, tidak ada bukti bahwa penyerang mengeksfiltrasi informasi pelanggan apa pun.

Sebagai akibat langsung dari serangan ransomware bulan Januari, Yum! Brands terpaksa menutup sekitar 300 restoran di Inggris Raya karena berdampak pada sistem TI tertentu yang mengakibatkan penutupan kurang dari 300 restoran di satu pasar selama satu hari.

Nyam! Merek dan anak perusahaannya mengoperasikan atau mewaralabakan lebih dari 55.000 restoran di 155 negara dan wilayah dengan bantuan sekitar 36.000 karyawan di seluruh dunia.

Klarifikasi Yum! mengatakan bahwa perusahaan tidak menemukan bukti bahwa pelanggan terpengaruh oleh pelanggaran data ini.

Perusahaan juga belum mengungkapkan jumlah total karyawan yang datanya dicuri selama serangan ransomware.

Selengkapnya: BleepingComputer

Serangan ransomware yang memaksa wilayah New York kembali ke pena dan kertas dimulai pada tahun 2021, kata pejabat

April 14, 2023 by Søren

Suffolk County di New York telah menyelesaikan penyelidikan atas serangan ransomware yang membuat tidak stabil yang memaksa pegawai pemerintah untuk mengandalkan mesin faks dan catatan kertas, menemukan kekurangan mencolok dalam praktik keamanan dunia maya petugas county.

Eksekutif Suffolk County Steven Bellone mengadakan konferensi pers pada hari Rabu untuk mengungkap temuan penyelidikan forensik atas serangan ransomware September 2022, yang membocorkan informasi sensitif dari 1,5 juta penduduk di wilayah Long Island.

Grup ransomware BlackCat/AlphV mengambil pujian atas insiden tersebut dan akhirnya membocorkan 400GB data yang dicuri selama serangan — termasuk ribuan nomor Jaminan Sosial.

Bellone menjelaskan bahwa laporan forensik mengungkapkan bahwa peretas masuk ke kantor panitera daerah pada Desember 2021 melalui kerentanan Log4j.

“[Laporan] menjelaskan dengan sangat rinci delapan bulan yang dihabiskan pelaku kriminal di kantor panitera untuk menginstal perangkat lunak penambangan bitcoin, membangun kegigihan, memasang alat eksfiltrasi, membuat akun palsu, memanen kredensial, dan memasang alat pemantauan jarak jauh untuk membuat perintah dan kontrol, katanya kepada wartawan.

Pada bulan Agustus, para peretas berhasil mendapatkan akses ke folder dengan kata sandi ke “sistem yang sangat kritis yang disimpan di jaringan petugas tanpa perlindungan.” Dalam waktu tiga jam setelah mendapatkan folder itu, para peretas akhirnya dapat pindah ke lingkungan TI daerah yang lebih luas.

Laporan tersebut menunjukkan perolehan folder kata sandi ini sebagai salah satu penyebab utama serangan, karena memberi peretas akses ke “sistem basis data, server, sistem telepon, sistem cadangan, peralatan jaringan, berbagi file, akun layanan, sistem operasional kritis. , situs hosting web, perangkat lunak pemantauan jaringan perangkat lunak virus, dan lainnya, ”jelas Bellone.

Para peretas kemudian menghabiskan waktu berbulan-bulan meletakkan dasar untuk serangan itu sebelum mengekstraksi kumpulan data pada 1 September dan akhirnya menyebarkan ransomware pada 8 September. Bellone mengatakan para peretas awalnya meminta uang tebusan sebesar $2,5 juta sebelum menurunkan permintaan mereka menjadi sekitar $500.000. Tidak ada uang tebusan yang dibayarkan, tambahnya.

Selengkapnya: The Record

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Ransomware

Cookies Settings