Ransomware

REvil Mengkonfirmasi Adanya Kecurangan Pembayaran Tebusan Ransomware

September 27, 2021 by Winnie the Pooh

Sehari setelah tersiar kabar tentang REvil yang telah mengacaukan afiliasi mereka sendiri dari pembayaran ransomware – dengan menggunakan obrolan ganda dan pintu belakang yang memungkinkan operator REvil membajak pembayaran tebusan – afiliasi-afiliasi tersebut turun ke forum peretasan berbahasa Rusia teratas untuk memperbarui tuntutan mereka agar REvil membayar bagian mereka yang dicuri dari pembayaran tebusan.

Advanced Intelligence, firma intelijen ancaman yang mengungkapkan pintu belakang dan obrolan ganda, mengatakan kepada Threatpost pada hari Kamis bahwa aktor terkenal dengan reputasi mapan di forum peretasan bahasa Rusia – Exploit – menggunakan temuan laporan AdvIntel untuk merevitalisasi klaim yang diajukan pada bulan Mei terhadap REvil di bawah tanah Rusia.

Cara operasi ransomware-as-a-service (RaaS) seperti REvil atau DarkSide bekerja adalah bahwa afiliasi melakukan semua pekerjaan kotor kompromi jaringan, dengan imbalan (dalam kasus REvil RaaS asli) 70 persen dari tebusan apa pun yang ditebus oleh para korban.

REvil seharusnya mengantongi sisa 30 persen saja – dan hanya sebanyak itu – dari pembayaran tebusan, sebagai imbalan untuk menyediakan muatan ransomware yang digunakan afiliasi untuk menguasai data dan sistem korban.

Tetapi ketika negosiasi tiba-tiba, secara misterius runtuh dan afiliasi dibiarkan dalam kesulitan, mereka mulai curiga, dan mereka beralih ke arbitrase versi bawah tanah.

Menurut Yelisey Boguslavskiy dari AdvIntel – kepala penelitian di perusahaan pencegahan risiko dunia maya – afiliasi yang ditipu telah mengambil rute itu pada Mei 2021, berusaha untuk mendapatkan kembali $ 21,5 juta USD dari REvil karena diduga menipu mereka.

Pengulangan aktor ancaman itu mengkonfirmasi asumsi AdvIntel: Kepemimpinan REvil memang menciptakan pintu belakang yang memungkinkan mereka untuk memotong negosiasi tebusan antara korban dan afiliasi geng itu sendiri, untuk menjalankan obrolan ganda yang memungkinkan kepemimpinan berpura-pura sebagai korban yang menyerah di tengah-tengah negosiasi, dan kemudian masuk untuk melanjutkan negosiasi, memotong afiliasi dari kesepakatan, dan mengantongi seluruh pembayaran tebusan.

Selengkapnya: The Threat Post

Geng Ransomware Cring Mengeksploitasi Bug ColdFusion Berusia 11 Tahun

September 23, 2021 by Winnie the Pooh

Pelaku ancaman tak dikenal melanggar server yang menjalankan perangkat lunak ColdFusion 9 versi 11 tahun yang belum ditambal dalam hitungan menit untuk mengambil alih kendali dari jarak jauh dan menyebarkan ransomware Cring di jaringan target 79 jam setelah peretasan.

Server, yang dimiliki oleh perusahaan layanan yang tidak disebutkan namanya, digunakan untuk mengumpulkan data absen dan akuntansi untuk penggajian serta untuk menampung sejumlah mesin virtual, menurut laporan yang diterbitkan oleh Sophos dan dibagikan dengan The Hacker News. Serangan tersebut berasal dari alamat internet yang ditetapkan untuk ISP Green Floid Ukraina.

Perusahaan perangkat lunak keamanan Inggris mengatakan “pembobolan cepat” dimungkinkan dengan mengeksploitasi instalasi Adobe ColdFusion 9 berusia 11 tahun yang berjalan pada Windows Server 2008, yang keduanya telah mencapai akhir masa pakainya (end-of-life).

Setelah mendapatkan pijakan awal, penyerang menggunakan berbagai metode canggih untuk menyembunyikan file mereka, menyuntikkan kode ke dalam memori, dan menutupi jejak mereka dengan menimpa file dengan data yang kacau, belum lagi melucuti produk keamanan dengan memanfaatkan fakta bahwa fungsi proteksi gangguan dimatikan.

Khususnya, musuh mengambil keuntungan dari CVE-2010-2861, satu set kerentanan traversal direktori di konsol administrator di Adobe ColdFusion 9.0.1 dan sebelumnya yang dapat disalahgunakan oleh penyerang jarak jauh untuk membaca file apapun, seperti yang berisi hash kata sandi administrator (“password.properties”).

Pada tahap berikutnya, aktor jahat diyakini telah mengeksploitasi kerentanan lain di ColdFusion, CVE-2009-3960, untuk mengunggah file Cascading Stylesheet (CSS) berbahaya ke server, akibatnya menggunakan itu untuk memuat Cobalt Strike Beacon yang dapat dieksekusi.

Selengkapnya: The Hacker News

REvil ransomware kembali dalam mode serangan penuh dan membocorkan data

September 13, 2021 by Winnie the Pooh

Geng ransomware REvil telah sepenuhnya kembali dan sekali lagi menyerang korban baru dan menerbitkan file curian di situs kebocoran data.

Sejak 2019, operasi ransomware REvil, alias Sodinokibi, telah melakukan serangan terhadap organisasi di seluruh dunia di mana mereka menuntut tebusan jutaan dolar untuk menerima kunci dekripsi dan mencegah kebocoran file yang dicuri.

Selama beroperasi, geng tersebut telah terlibat dalam berbagai serangan terhadap perusahaan terkenal, termasuk JBS, Coop, Travelex, GSMLaw, Kenneth Cole, Grupo Fleury, dan lain-lain.

REvil menutup infrastruktur mereka dan benar-benar menghilang setelah caper terbesar mereka – serangan besar-besaran pada 2 Juli yang mengenkripsi 60 penyedia layanan terkelola dan lebih dari 1.500 bisnis menggunakan kerentanan zero-day di platform manajemen jarak jauh Kaseya VSA.

Setelah penutupan mereka, para peneliti dan penegak hukum percaya bahwa REvil akan mengubah citra sebagai operasi ransomware baru di beberapa titik.

Namun, sangat mengejutkan, geng ransomware REvil hidup kembali minggu ini dengan nama yang sama.

Pada tanggal 7 September, hampir dua bulan setelah mereka menghilang, situs pembayaran/negosiasi Tor dan kebocoran data tiba-tiba dihidupkan kembali dan dapat diakses. Sehari kemudian, sekali lagi dimungkinkan untuk masuk ke situs pembayaran Tor dan bernegosiasi dengan geng ransomware.

Semua korban sebelumnya telah mengatur ulang penghitung waktu mereka, dan tampaknya tuntutan tebusan mereka dibiarkan begitu saja ketika geng ransomware ditutup pada bulan Juli.

Namun, tidak ada bukti serangan baru hingga 9 September, ketika seseorang mengunggah sampel ransomware REvil baru yang dikompilasi pada 4 September ke VirusTotal.

Selengkapnya: Bleeping Computer

Mengapa peretas ransomware menyukai liburan akhir pekan

September 8, 2021 by Winnie the Pooh

Pada hari Jumat menjelang akhir pekan Memorial Day tahun ini, ada raksasa pengolahan daging JBS. Pada hari Jumat sebelum Empat Juli, itu adalah perusahaan perangkat lunak manajemen TI Kaseya dan, dengan perluasan, lebih dari seribu bisnis dengan berbagai ukuran. Masih harus dilihat apakah Hari Buruh akan melihat kehancuran ransomware tingkat tinggi juga, tetapi satu hal yang jelas: peretas menyukai liburan.

Dan meskipun ini bukan hal baru, peringatan bersama yang dikeluarkan minggu ini oleh FBI dan Badan Keamanan Cybersecurity dan Infrastruktur menggarisbawahi betapa seriusnya ancaman itu.

Daya tarik bagi penyerang cukup mudah. Ransomware dapat membutuhkan waktu untuk menyebar ke seluruh jaringan, karena peretas bekerja untuk meningkatkan hak istimewa untuk kontrol maksimum atas sebagian besar sistem. Semakin lama bagi siapa pun untuk memperhatikan gerak gerik mereka, semakin banyak kerusakan yang dapat mereka lakukan.

“Secara intuitif, masuk akal bahwa para defender mungkin kurang perhatian selama liburan, sebagian besar karena pengurangan staf,” kata Katie Nickels, direktur intelijen di perusahaan keamanan Red Canary. “Jika insiden besar terjadi selama liburan, mungkin lebih sulit bagi para defender untuk membawa personel yang diperlukan untuk merespons dengan cepat.”

Insiden besar itulah yang kemungkinan menarik perhatian FBI dan CISA; selain insiden JBS dan Kaseya, serangan Colonial Pipeline juga terjadi selama akhir pekan Hari Ibu.

Ada beberapa langkah yang dapat diambil perusahaan dan individu untuk melindungi diri mereka dari peretasan dengan lebih baik, baik menjelang akhir pekan yang panjang dan seterusnya. Rekomendasi FBI dan CISA menggemakan praktik terbaik untuk sebagian besar situasi keamanan siber: jangan klik tautan yang mencurigakan.

Selengkapnya: Ars Technica

Geng Ransomware menargetkan perusahaan menggunakan kriteria ini

September 8, 2021 by Winnie the Pooh

Geng Ransomware semakin banyak membeli akses ke jaringan korban di pasar dark web dan dari pelaku ancaman lainnya. Menganalisis iklan keinginan mereka memungkinkan untuk melihat ke dalam pada jenis perusahaan yang ditargetkan operasi ransomware.

Setelah memeriksa “iklan keinginan” geng ransomware, perusahaan intelijen keamanan siber KELA telah menyusun daftar kriteria yang dicari oleh operasi penargetan perusahaan yang lebih besar di sebuah perusahaan untuk serangan mereka.

Dengan menganalisis iklan yang diinginkan dari hampir dua puluh pos yang dibuat oleh pelaku ancaman yang terkait dengan geng ransomware, peneliti KELA dapat menemukan karakteristik perusahaan berikut yang menjadi sasaran:

Geografi: Geng Ransomware lebih memilih korban yang berlokasi di AS, Kanada, Australia, dan Eropa.
Pendapatan: KELA menyatakan bahwa pendapatan minimum rata-rata yang diinginkan oleh geng ransomware adalah $100 juta. Namun, ini bisa berbeda tergantung pada lokasi geografis korban.
Daftar blokir sektor: Sementara beberapa geng mengatakan mereka menghindari industri kesehatan, mereka kurang pilih-pilih tentang industri lain dari perusahaan yang mereka serang. Namun, setelah serangan Colonial Pipeline, Metropolitan Police Department, dan JBS, banyak geng ransomware mulai menghindari sektor tertentu.
Daftar blokir negara: Sebagian besar operasi ransomware besar secara khusus menghindari menyerang perusahaan yang berlokasi di Commonwealth of Independent States (CIS) karena mereka yakin jika mereka tidak menargetkan negara-negara tersebut, otoritas lokal tidak akan menargetkan mereka.

Negara-negara yang diblokir ini termasuk Rusia, Ukraina, Moldova, Belarus, Kirgistan, Kazakhstan, Armenia, Tajikistan, Turkmenistan, dan Uzbekistan.

Sayangnya, meskipun sebuah perusahaan tidak memenuhi kriteria di atas, bukan berarti mereka aman.

Banyak geng ransomware, seperti Dharma, STOP, Globe, dan lainnya, kurang pilih-pilih, dan Anda bisa menjadi sasaran operasi ransomware.

Selengkapnya: Bleeping Computer

Bangkok Airways terkena serangan ransomware LockBit, kehilangan banyak data setelah menolak membayar

September 1, 2021 by Winnie the Pooh

Bangkok Airways telah mengungkapkan bahwa mereka adalah korban serangan siber dari kelompok ransomware LockBit pada 23 Agustus, yang mengakibatkan penerbitan data curian.

Pengumuman Bangkok Airways tentang masalah itu datang Kamis lalu, sehari setelah LockBit memposting pesan di portal web gelapnya yang mengancam maskapai untuk membayar uang tebusan atau data mereka akan dibocorkan.

Maskapai ini diberi waktu lima hari untuk menyortir pembayaran, tetapi alih-alih membayar, mereka malah mengungkapkan pelanggaran tersebut. LockBit merespons dengan menerbitkan lot. Mengklaim bahwa data yang di dump lebih dari 200GB.

Data tersebut sebagian besar berisi dokumen terkait bisnis, tetapi ada beberapa data pribadi penumpang yang tercampur. Data pribadi mungkin termasuk nama, kewarganegaraan, jenis kelamin, nomor telepon, email, alamat, informasi paspor, riwayat perjalanan, sebagian nomor kartu kredit, dan bahkan preferensi makanan.

Maskapai regional Thailand mengatakan tidak ada sistem keamanan operasional atau aeronautika yang terpengaruh.

Maskapai mengatakan sedang menyelidiki insiden tersebut dan telah memberi tahu lembaga penegak hukum dan pelanggan. Kelompok terakhir disarankan untuk berhati-hati terhadap scammer – terutama siapa pun yang menyamar sebagai Bangkok Airways yang meminta informasi seperti detail kartu kredit.

Selengkapnya: The Register

Ragnarok ransomware merilis master decryptor setelah penonaktifan grup

August 31, 2021 by Winnie the Pooh

Geng ransomware Ragnarok tampaknya telah berhenti dan merilis kunci master yang dapat mendekripsi file yang dikunci dengan malware mereka.

Pelaku ancaman tidak meninggalkan catatan yang menjelaskan tindakan tersebut; tiba-tiba, mereka mengganti semua korban di situs kebocoran mereka dengan instruksi singkat tentang cara mendekripsi file.

Situs kebocoran telah dilucuti dari elemen visual. Yang tersisa hanyalah teks singkat yang menghubungkan ke arsip yang berisi kunci master dan binari yang menyertainya untuk menggunakannya.

Hingga hari ini, situs kebocoran ransomware Ragnarok menunjukkan 12 korban, ditambahkan antara 7 Juli dan 16 Agustus, kata penyedia intelijen ancaman HackNotice kepada BleepingComputer.

Dengan mencantumkan korban di situs web mereka, Ragnarok berusaha memaksa mereka untuk membayar uang tebusan, di bawah ancaman membocorkan file tidak terenkripsi yang dicuri selama penyusupan.

Perusahaan yang terdaftar berasal dari Prancis, Estonia, Sri Lanka, Turki, Thailand, AS, Malaysia, Hong Kong, Spanyol, dan Italia dan aktif di berbagai sektor mulai dari manufaktur hingga layanan hukum.

Decryptor universal untuk ransomware Ragnarok saat ini sedang dalam pengerjaan. Ini akan segera tersedia dari Emsisoft, sebuah perusahaan yang terkenal karena membantu korban ransomware dengan dekripsi data.

Grup ransomware Ragnarok telah ada setidaknya sejak Januari 2020 dan merenggut puluhan korban setelah menjadi berita utama karena mengeksploitasi kerentanan Citrix ADC tahun lalu.

Selengkapnya: Bleeping Computer

FBI membagikan detail teknis untuk ransomware Hive

August 27, 2021 by Winnie the Pooh

Biro Investigasi Federal (FBI) telah merilis beberapa detail teknis dan indikator kompromi yang terkait dengan serangan ransomware Hive.

Dalam kejadian yang jarang terjadi, FBI telah menyertakan tautan ke situs kebocoran tempat geng ransomware menerbitkan data yang dicuri dari perusahaan yang tidak membayar.

Hive ransomware bergantung pada beragam taktik, teknik, dan prosedur, yang mempersulit organisasi untuk mempertahankan diri dari serangannya, kata FBI.

Di antara metode yang digunakan geng untuk mendapatkan akses awal dan bergerak secara lateral di jaringan, ada email phishing dengan lampiran berbahaya dan Remote Desktop Protocol (RDP).

Sebelum menerapkan rutinitas enkripsi, ransomware Hive mencuri file yang mereka anggap berharga, untuk menekan korban agar membayar uang tebusan di bawah ancaman kebocoran data.

FBI mengatakan bahwa aktor ancaman mencari proses untuk pencadangan, penyalinan file, dan solusi keamanan (seperti Windows Defender) yang akan menghalangi tugas enkripsi data dan menghentikannya.

Tahap ini diikuti dengan menjatuhkan skrip hive.bat yang melakukan pembersihan rutin dengan menghapus dirinya sendiri setelah menghapus malware Hive yang dapat dieksekusi.

Skrip lain yang disebut shadow.bat bertugas menghapus salinan bayangan, file cadangan, dan snapshot sistem dan kemudian menghapus dirinya sendiri dari host yang disusupi.

FBI mengatakan bahwa beberapa korban ransomware Hive melaporkan telah dihubungi oleh penyerang yang meminta mereka untuk membayar uang tebusan sebagai ganti file yang dicuri.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Ransomware

Cookies Settings