Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Ransomware

Ransomware

Situs web geng ransomware REvil ditutup secara misterius

by

Infrastruktur dan situs web untuk operasi ransomware REvil secara misterius telah offline sejak 12 Juli, 2021.

Operasi ransomware REvil, alias Sodinokibi, beroperasi melalui banyak situs clear web dan situs dark web yang digunakan sebagai situs negosiasi tebusan, situs kebocoran data ransomware, dan infrastruktur backend.

Mulai 12 Juli 2021, situs web dan infrastruktur yang digunakan oleh operasi ransomware REvil telah ditutup secara misterius.

“Dalam istilah sederhana, kesalahan ini umumnya berarti bahwa situs onion sedang offline atau dinonaktifkan. Untuk mengetahui dengan pasti, Anda perlu menghubungi administrator situs onion,” kata Al Smith dari Tor Project kepada BleepingComputer.

Meskipun tidak pernah terdengar bahwa situs REvil kehilangan konektivitas untuk beberapa waktu, semua situs yang ditutup secara bersamaan adalah hal yang tidak biasa.

Selain itu, situs decoder[.]re clear website tidak lagi dapat diselesaikan oleh kueri DNS, mungkin menunjukkan bahwa catatan DNS untuk domain telah ditarik atau infrastruktur DNS backend telah dimatikan.

Kemarin, perwakilan ransomware LockBit memposting ke forum peretasan berbahasa Rusia XSS bahwa dikabarkan geng REvil menghapus server mereka setelah mengetahui panggilan pengadilan pemerintah.

Segera setelah itu, admin XSS melarang ‘Unknown’ REvil, perwakilan geng ransomware yang menghadap publik, dari forum.

Selengkapnya: Bleeping Computer

Kaseya memperbaiki kerentanan VSA yang digunakan dalam serangan ransomware REvil

by

Kaseya telah merilis pembaruan keamanan untuk kerentanan zero-day VSA yang digunakan oleh geng ransomware REvil untuk menyerang MSP dan pelanggan mereka.

Kaseya VSA adalah solusi manajemen dan pemantauan jarak jauh yang biasa digunakan oleh penyedia layanan terkelola untuk mendukung pelanggan mereka. MSP dapat menerapkan VSA di lokasi menggunakan server mereka atau memanfaatkan solusi SaaS berbasis cloud Kaseya.

Pada bulan April, Dutch Institute for Vulnerability Disclosure (DIVD) mengungkapkan tujuh kerentanan pada Kaseya VSA.

Kaseya telah mengimplementasikan patch untuk sebagian besar kerentanan pada layanan VSA SaaS mereka tetapi belum menyelesaikan patch untuk versi lokal VSA.

Sayangnya, geng ransomware REvil mendahului Kaseya dan memanfaatkan kerentanan ini untuk meluncurkan serangan besar-besaran pada 2 Juli terhadap sekitar 60 MSP menggunakan server VSA lokal dan 1.500 pelanggan bisnis.

Sejak serangan itu, Kaseya telah mendesak pelanggan VSA lokal untuk mematikan server mereka sampai patch rilis.

Hampir sepuluh hari setelah serangan, Kaseya akhirnya merilis pembaruan VSA 9.5.7a (9.5.7.2994) untuk memperbaiki kerentanan yang digunakan dalam serangan ransomware REvil.

Namun, Kaseya mendesak pelanggan untuk mengikuti langkah-langkah ‘Panduan Kesiapan Startup VSA Lokal‘ sebelum menginstal pembaruan untuk mencegah pelanggaran lebih lanjut dan memastikan perangkat belum dikompromikan.

Setelah menginstal tambalan, semua pengguna akan diminta untuk mengubah kata sandi mereka menjadi kata sandi yang menggunakan persyaratan kata sandi baru.

Selengkapnya: Bleeping Computer

Pelacak Pembayaran Ransomware Crowdsourced Ini Menunjukkan Berapa Banyak Penjahat Cyber yang Telah Dicuri

by

Serangan Ransomware sedang meningkat, tetapi mengukur cakupan masalah bisa menjadi rumit ketika hanya kasus paling terkenal yang menjadi berita utama. Masuk ke Ransomwhere, pelacak pembayaran ransomware crowdsourced dengan nama kecil yang berarti menyoroti serangan siber yang semakin mengguncang pemerintah dan bisnis di seluruh dunia. Jack Cable, seorang arsitek keamanan di perusahaan konsultan keamanan siber Krebs Stamos Group, meluncurkan situs tersebut pada hari Kamis.

“Hari ini, tidak ada data publik yang komprehensif tentang jumlah total pembayaran ransomware,” tulis Cable di Twitter. “Tanpa data tersebut, kami tidak dapat mengetahui dampak penuh dari ransomware, dan apakah mengambil tindakan tertentu akan mengubah gambaran. Ransomwhere bertujuan untuk mengisi celah itu…”

Cara kerjanya adalah Ransomwhere terus menghitung uang tebusan yang dibayarkan kepada penjahat dunia maya dalam cryptocurrency bitcoin. Ini sebagian besar dimungkinkan karena sifat bitcoin yang transparan: Semua transaksi yang melibatkan cryptocurrency dicatat di blockchain, basis data terdesentralisasi yang bertindak sebagai buku besar publik, sehingga memungkinkan siapa pun untuk melacak transaksi apa pun yang secara khusus terkait dengan grup ransomware.

selengkapnya : gizmodo.com

Singapura melihat lonjakan serangan ransomware dan botnet

by

Singapore Computer Emergency Response Team (SingCERT) tahun lalu menangani 9.080 kasus, naik dari 8.491 pada tahun sebelumnya dan 4.977 pada 2018, menurut laporan terbaru Singapore Cyber Landscape yang dirilis Kamis oleh Cyber Security Agency of Singapore (CSA). Badan pemerintah mencatat bahwa tahun lalu terjadi peningkatan yang nyata dalam ransomware, penipuan online, dan aktivitas phishing COVID-19.

Secara khusus, jumlah serangan ransomware yang dilaporkan mengalami lonjakan signifikan sebesar 154% pada tahun 2020, dengan 89 insiden, dibandingkan dengan 35 pada tahun 2019. Ini sebagian besar mempengaruhi usaha kecil dan menengah (UKM) di berbagai sektor termasuk manufaktur, ritel, dan perawatan kesehatan.

CSA mengaitkan peningkatan kasus ransomware di Singapura dengan wabah ransomware global, di mana serangan semacam itu berubah dari tidak pandang bulu dan bersifat oportunistik menjadi “Perburuan Besar” yang lebih bertarget. Penjahat dunia maya juga beralih ke taktik ransomware-as-a-service dan “kebocoran dan rasa malu”, kata agensi tersebut.

Disebutkan bahwa jumlah serangan server command-and-control (C&C) berbahaya juga tumbuh 94% menjadi 1.026 insiden yang dilaporkan tahun lalu. Ini sebagian didorong oleh peningkatan server semacam itu yang mendistribusikan malware Emotet dan Cobalt Strike, yang merupakan sepertiga dari malware di server C&C.

Sekitar 6.600 botnet drone dengan alamat IP Singapura diidentifikasi setiap hari tahun lalu, naik dari 2.300 pada 2019. CSA mengungkapkan bahwa varian malware Mirai dan Gamarue lazim di antara botnet yang terinfeksi pada 2020, dengan malware sebelumnya menargetkan terutama perangkat Internet of Things (IoT).

Selengkapnya: ZDNet

Pandemi Berikutnya Akan Menjadi Digital, dan Sudah Dimulai. Yang Perlu Anda Ketahui Tentang Meningkatnya Ancaman Ransomware

by

Selama liburan akhir pekan, REvil, grup peretas yang terkait dengan Rusia, tampaknya menargetkan setidaknya 20 penyedia layanan terkelola, yang menyediakan layanan keamanan jaringan TI dan backend untuk bisnis kecil dan menengah.

Itu adalah kelompok yang sama yang dikreditkan dengan serangan terhadap salah satu perusahaan pengepakan daging terbesar di A.S. Berita itu muncul setelah kelompok lain menutup pipa Kolonial awal tahun ini, menyebabkan gangguan di seluruh Pantai Timur.

Serangan Ransomware melibatkan peretas yang memasang perangkat lunak di jaringan yang mencegah pemiliknya mengakses perangkat atau data mereka. Pada dasarnya, mereka menculik bisnis Anda dan menuntut pembayaran uang tebusan sebagai imbalan untuk melepaskan jaringan Anda.

Meskipun hampir tidak mungkin untuk menghilangkan semua risiko ransomware, ada beberapa hal yang dapat Anda lakukan untuk membuat jaringan Anda menjadi target yang kurang diinginkan. Biasanya, penyerang mencari target bernilai tinggi dengan kerentanan yang mudah dieksploitasi.

Offline Backups

Salah satu alat paling sederhana dan paling efektif melawan ransomware adalah mencadangkan sistem Anda secara lokal secara teratur. Cadangan tersebut kemudian harus disimpan secara offline sehingga tidak dapat menjadi sasaran ransomware.

Batasi Izin

Umumnya, pakar keamanan merekomendasikan bahwa pengguna tertentu hanya memiliki tingkat hak minimum yang diperlukan untuk pekerjaan mereka. Dalam banyak kasus, perangkat lunak berbahaya tidak dapat mengambil alih komputer jika akun pengguna tidak memiliki kemampuan untuk membuat perubahan di tingkat root.

Selalu Perbarui Perangkat Lunak

Meskipun kita telah melihat contoh di mana kode berbahaya bersembunyi di perangkat lunak yang sah, secara umum, Anda lebih aman jika terus memperbarui sistem Anda secara teratur. Itu berarti baik dari segi patch keamanan untuk sistem operasi Anda, serta perangkat lunak antivirus yang dapat mengisolasi dan menghapus malware.

Jangan Klik Tautan Tidak Dikenal

Terakhir, jangan pernah mengklik tautan di email atau pesan teks yang bukan dari sumber tepercaya. Peretas menjadi jauh lebih canggih, artinya Anda harus semakin berhati-hati setiap kali membuka email, tetapi sebagai aturan umum, jika Anda tidak mengharapkan dikirimi sesuatu untuk diunduh dan dipasang, jangan klik tautannya.

Selengkapnya: INC

Penyerang Mempercepat Serangan Ransomware di Jaringan ICS

by

Serangan Ransomware berkembang pesat untuk menargetkan titik akhir Sistem Kontrol Industri (ICS) di seluruh dunia dengan peningkatan aktivitas yang signifikan selama setahun terakhir. Sebuah laporan oleh peneliti keamanan siber di Trend Micro menyoroti tren dominan ini.

Jaringan ICS yang mendukung utilitas penting, seperti air dan listrik, harus beroperasi penuh untuk menyediakan layanan. Semakin lama jaringan tersebut tidak aktif, semakin banyak gangguan yang ditimbulkannya.

Menurut laporan tersebut, serangan ransomware baru-baru ini hanya bermotivasi finansial karena menyerang jaringan ICS di pabrik operasional dan lingkungan manufaktur memiliki peluang tinggi untuk dibayar dengan cepat. Penjahat dunia maya menggunakan beberapa jenis ransomware yang berbeda yang menargetkan ICS. Namun, empat keluarga ransomware (Ryuk, Nefilm, Revil, dan LockBit) bertanggung jawab atas lebih dari setengah serangan ini.

Menurut laporan tersebut, AS adalah salah satu negara yang paling ditargetkan dengan kasus ransomware terbanyak yang memengaruhi ICS. Negara lain yang terkena dampak termasuk India, Taiwan, dan Spanyol.

Beberapa serangan ransomware telah diamati akhir-akhir ini yang menargetkan industri besar. Gangguan seperti itu pada sistem OT dan ICS di industri besar telah menyebabkan hasil yang parah dan kehilangan uang dalam jumlah besar.

Serangan ransomware DarkSide baru-baru ini di Colonial Pipeline menunjukkan bagaimana serangan ransomware terhadap target industri dapat memiliki konsekuensi yang sangat berbahaya bagi seluruh negara.

ICS, yang digunakan dalam infrastruktur kritis nasional, manufaktur, dan fasilitas lainnya, telah menjadi sasaran empuk bagi penyerang karena banyak dari sistem ini masih menjalankan versi OS yang lebih lama dan aplikasi yang belum ditambal. Oleh karena itu, lebih banyak yang perlu dilakukan untuk melindungi jaringan di fasilitas industri dari ancaman yang berkembang seperti itu.

Selengkapnya: Cyware

Hingga 1.500 bisnis terkena serangan ransomware, kata CEO perusahaan AS

by

Antara 800 sampai 1.500 bisnis di seluruh dunia telah terpengaruh oleh serangan ransomware yang berpusat pada perusahaan teknologi informasi AS Kaseya, kata kepala eksekutifnya pada hari Senin.

Fred Voccola, CEO perusahaan yang berbasis di Florida, mengatakan dalam sebuah wawancara bahwa sulit untuk memperkirakan dampak yang tepat dari serangan hari Jumat karena yang terkena terutama adalah pelanggan dari pelanggan Kaseya.

Kaseya adalah perusahaan yang menyediakan alat perangkat lunak untuk toko outsourcing TI: perusahaan yang biasanya menangani pekerjaan back-office untuk perusahaan yang terlalu kecil atau sumber dayanya sederhana untuk memiliki departemen teknologi sendiri.

Salah satu alat itu ditumbangkan pada hari Jumat, memungkinkan para peretas melumpuhkan ratusan bisnis di lima benua.

Peretas yang mengaku bertanggung jawab atas pelanggaran tersebut telah menuntut $70 juta untuk memulihkan semua data bisnis yang terpengaruh, meskipun mereka telah menunjukkan kesediaan untuk mengurangi tuntutan mereka dalam percakapan pribadi dengan pakar keamanan siber dan dengan Reuters.

Topik pembayaran tebusan menjadi semakin penuh dengan serangan ransomware menjadi semakin mengganggu – dan menguntungkan.

Voccola mengatakan dia telah berbicara dengan para pejabat di Gedung Putih, Biro Investigasi Federal, dan Departemen Keamanan Dalam Negeri tentang pelanggaran itu tetapi menolak untuk mengatakan apa yang mereka katakan kepadanya tentang pembayaran atau negosiasi.

Selengkapnya: Reuters

TrickBot Botnet Ditemukan Menyebarkan Ransomware Baru yang Disebut Diavol

by

Pelaku ancaman di balik malware TrickBot yang terkenal telah dikaitkan dengan jenis ransomware baru bernama “Diavol,” menurut penelitian terbaru.

Muatan ransomware Diavol dan Conti dikerahkan pada sistem yang berbeda dalam kasus serangan yang gagal menargetkan salah satu pelanggannya awal bulan ini, kata peneliti dari FortiGuard Labs Fortinet minggu lalu.

TrickBot, Trojan perbankan yang pertama kali terdeteksi pada tahun 2016, secara tradisional merupakan solusi crimeware berbasis Windows, menggunakan modul yang berbeda untuk melakukan berbagai aktivitas berbahaya di jaringan target, termasuk pencurian kredensial dan melakukan serangan ransomware.

Terlepas dari upaya penegakan hukum untuk menetralisir jaringan bot, malware yang terus berkembang telah terbukti menjadi ancaman yang tangguh, dengan operator yang berbasis di Rusia – dijuluki “Wizard Spider” – dengan cepat mengadaptasi alat baru untuk melakukan serangan lebih lanjut.

Diavol dikatakan telah dikerahkan di alam liar dalam satu insiden hingga saat ini. Sumber intrusi masih belum diketahui. Yang jelas, bagaimanapun, adalah bahwa kode sumber payload memiliki kesamaan dengan Conti, meskipun catatan tebusan telah ditemukan untuk menggunakan kembali beberapa bahasa dari ransomware Egregor.

Aspek lain dari ransomware yang menonjol adalah ketergantungannya pada teknik anti-analisis untuk mengaburkan kodenya dalam bentuk gambar bitmap, dari mana rutinitas dimuat ke dalam buffer dengan izin eksekusi.

Selengkapnya: The Hacker News