Ransomware

DMARC: Garis Pertahanan Pertama Terhadap Ransomware

June 30, 2021 by Winnie the Pooh

Ada banyak buzz di industri tentang ransomware akhir-akhir ini. Hampir setiap hari, itu menjadi berita utama. Dengan bisnis di seluruh dunia menahan napas, takut mereka mungkin menjadi korban serangan ransomware besar berikutnya, sekarang saatnya untuk mengambil tindakan.

Laporan FBI IC3 tahun 2020 mengklasifikasikan Ransomware sebagai kejahatan dunia maya yang paling merusak secara finansial tahun ini, tanpa peningkatan besar pada tahun 2021.

Bukankah lebih baik jika Anda bisa mencegah serangan ransomware dari awal? DMARC dapat membuat klaim yang tampaknya mustahil ini menjadi peluang bagi pemilik domain!

Ransomware adalah perangkat lunak berbahaya yang menginstal sendiri di komputer Anda tanpa izin Anda. Itu kemudian mengenkripsi data Anda, dan Anda hanya bisa mendapatkannya kembali dengan membayar tebusan.

Sebagai akibat dari meningkatnya serangan Ransomware pada bisnis global, CISA menganggap email phishing sebagai salah satu vektor ancaman yang paling kuat.

Badan Keamanan Infrastruktur Keamanan Siber pemerintah AS telah merekomendasikan, dalam Panduan Perlindungan Ransomware mereka, bahwa semua bisnis, termasuk lembaga pemerintah, untuk menerapkan DMARC sedini mungkin untuk mengurangi kemungkinan email palsu atau diubah dari domain yang valid.

Alasannya adalah DMARC dibuat berdasarkan standar autentikasi email seperti SPF dan DKIM, yang mengautentikasi sumber pengiriman, dan memastikan bahwa penerima email Anda tidak pernah tertipu.

Menerapkan DMARC analyzer di organisasi Anda memastikan Anda terlindungi dari peniruan identitas semaksimal mungkin. Alat ini memudahkan untuk mengonfigurasi DMARC untuk domain Anda dan beralih ke kebijakan yang diberlakukan dalam beberapa hari.

Selengkapnya: The Hacker News

Encryptor Linux baru dari REvil ransomware menargetkan mesin virtual ESXi

June 29, 2021 by Winnie the Pooh

Operasi ransomware REvil sekarang menggunakan encryptor Linux yang menargetkan dan mengenkripsi mesin virtual Vmware ESXi.

Dengan berpindahnya perusahaan ke mesin virtual untuk pencadangan yang lebih mudah, manajemen perangkat, dan penggunaan sumber daya yang efisien, geng ransomware semakin menciptakan alat mereka sendiri untuk mengenkripsi penyimpanan massal yang digunakan oleh VM.

Pada bulan Mei, Yelisey Boguslavskiy dari Advanced Intel membagikan posting forum dari operasi REvil di mana mereka mengkonfirmasi bahwa mereka telah merilis versi Linux dari encryptor mereka yang juga dapat bekerja pada perangkat NAS.

Kemarin, peneliti keamanan MalwareHunterTeam menemukan versi Linux dari ransomware REvil (alias Sodinokibi) yang juga tampaknya menargetkan server ESXi.

Vitali Kremez dari Advanced Intel, yang menganalisis varian baru REvil Linux, mengatakan kepada BleepingComputer bahwa ini adalah ELF64 yang dapat dieksekusi dan mencakup opsi konfigurasi yang sama yang digunakan oleh Windows executable yang lebih umum.

Kremez menyatakan bahwa ini adalah pertama kalinya varian Linux tersedia untuk umum sejak dirilis.

File hash yang terkait dengan encryptor REvil Linux telah dikumpulkan oleh peneliti keamanan Jaime Blasco dan dibagikan di Open Threat Exchange Alienvault.

Selengkapnya: Bleeping Computer

Wormable DarkRadiation Ransomware Menargetkan Instance Linux dan Docker

June 24, 2021 by Winnie the Pooh

Peneliti cybersecurity membunyikan bel alarm atas jenis ransomware baru yang disebut “DarkRadiation” yang diimplementasikan sepenuhnya di Bash dan menargetkan container cloud Linux dan Docker, sambil mengandalkan layanan perpesanan Telegram untuk komunikasi perintah dan kontrol (C2).

“Ransomware ditulis dalam skrip Bash dan menargetkan distribusi Red Hat/CentOS dan Debian Linux,” kata peneliti dari Trend Micro dalam sebuah laporan yang diterbitkan minggu lalu. Malware ini menggunakan algoritma AES OpenSSL dengan mode CBC untuk mengenkripsi file di berbagai direktori. Malware ini juga menggunakan API Telegram untuk mengirim status infeksi ke pelaku ancaman”.

Pada saat penulisan artikel ini, tidak ada informasi yang tersedia tentang metode pengiriman atau bukti bahwa ransomware telah digunakan dalam serangan dunia nyata.

Rantai infeksi DarkRadiation melibatkan proses serangan multi-tahap dan patut diperhatikan karena ketergantungannya yang luas pada skrip Bash untuk mengambil malware dan mengenkripsi file serta Telegram API untuk berkomunikasi dengan server C2 melalui kunci API yang di-hardcode.

Dikatakan sedang dalam tahap pengembangan, ransomware memanfaatkan taktik kebingungan untuk mengacak skrip Bash menggunakan alat sumber terbuka yang disebut “node-bash-obfuscate” untuk membagi kode menjadi beberapa bagian, diikuti dengan menetapkan nama variabel untuk setiap segmen dan mengganti skrip asli dengan referensi variabel.

Selengkapnya: The Hacker News

Microsoft Memperingatkan Bahwa Peretas Menggunakan Call Center untuk Menipu Pengguna agar Mengunduh Ransomware

June 24, 2021 by Winnie the Pooh

Microsoft memperingatkan bahwa kelompok kejahatan siber bernama BazarCall menggunakan pusat panggilan untuk mengelabui pengguna agar menginstal malware yang kuat, ZDNet melaporkan pada hari Rabu.

Malware yang dimaksud, yang dikenal sebagai BazarLoader, telah digunakan untuk mendistribusikan ransomware, yang mengenkripsi komputer atau sistem file jaringan yang ditargetkan dan biasanya mengirimkan permintaan tebusan yang harus dibayar dalam mata uang kripto untuk menyelamatkannya.

Menurut analis intelijen ancaman Palo Alto Networks Brad Duncan, BazarLoader “menyediakan akses pintu belakang ke host Windows yang terinfeksi” dan infeksi biasanya “mengikuti pola aktivitas yang berbeda.” Sejak Februari 2021, tulis Duncan, peneliti keamanan telah memperhatikan pola aktivitas call center yang tidak biasa dalam infeksi BazarLoader.

Duncan menulis bahwa langkah pertama dalam rantai itu adalah email phishing yang menginformasikan target bahwa langganan percobaan untuk beberapa layanan telah berakhir dan akan segera ditagih, mencantumkan nomor telepon untuk dukungan pelanggan.

Saat dihubungi, operator pusat panggilan mengarahkan target untuk mengunduh spreadsheet Excel yang terinfeksi, mengaktifkan makro di dalamnya, dan kemudian memberi tahu mereka bahwa mereka telah berhasil berhenti berlangganan dari layanan. Tanpa sepengetahuan target, BazarLoader sekarang mengendalikan mesin mereka dan dapat mengunduh malware apa pun yang diinginkan orang yang berada di balik peretasan tersebut.

Selengkapnya: Gizmodo

Polisi Ukraina Menangkap Enam Orang Yang Terlibat dengan CLOP Ransomware

June 21, 2021 by Winnie the Pooh

Pihak berwenang di Ukraina minggu ini mendakwa enam orang yang diduga menjadi bagian dari kelompok ransomware CLOP, sebuah geng penjahat dunia maya dikatakan telah memeras lebih dari setengah miliar dolar dari para korban. Beberapa korban CLOP tahun ini saja termasuk Stanford University Medical School, University of California, dan University of Maryland.

Menurut pernyataan dan video yang dirilis, Polisi Cyber Ukraina mendakwa enam terdakwa dengan berbagai kejahatan komputer yang terkait dengan geng CLOP, dan melakukan 21 pencarian di seluruh wilayah Kyiv.

Debut pertama pada awal 2019, CLOP adalah salah satu dari beberapa kelompok ransomware yang meretas ke dalam organisasi, meluncurkan ransomware yang mengenkripsi file dan server, dan kemudian meminta pembayaran pemerasan sebagai imbalan atas kunci digital yang diperlukan untuk membuka kunci akses.

CLOP telah sangat sibuk selama enam bulan terakhir mengeksploitasi empat kerentanan zero-day yang berbeda di File Transfer Appliance (FTA), produk berbagi file yang dibuat oleh Accellion yang berbasis di California.

Geng CLOP memanfaatkan kelemahan tersebut untuk menyebarkan ransomware ke sejumlah besar pelanggan FTA Accellion, termasuk jaringan grosir AS Krogers, firma hukum Jones Day, firma keamanan Qualys, dan raksasa telekomunikasi Singapura Singtel.

Tidak jelas seberapa besar operasi penegakan hukum oleh otoritas Ukraina ini akan mempengaruhi keseluruhan operasi kelompok CLOP. Perusahaan intelijen cybersecurity Intel 471 mengatakan penggerebekan penegakan hukum di Ukraina terbatas pada sisi cash-out dan pencucian uang dari bisnis CLOP saja.

Selengkpanya: Krebs On Security

Di dalam serangan ransomware: bagaimana jaringan gelap penjahat dunia maya berkolaborasi untuk melakukannya

June 21, 2021 by Winnie the Pooh

Dalam komunike Carbis Bay mereka, G7 mengumumkan niat mereka untuk bekerja sama mengatasi kelompok ransomware. Beberapa hari kemudian, Presiden AS Joe Biden bertemu dengan Presiden Rusia Vladimir Putin, di mana proses ekstradisi untuk membawa penjahat siber Rusia ke pengadilan di AS dibahas. Putin dilaporkan setuju pada prinsipnya, tetapi bersikeras bahwa ekstradisi harus dilakukan secara timbal balik.

Masalah penegakan hukum adalah bahwa ransomware – suatu bentuk malware yang digunakan untuk mencuri data organisasi dan menyimpannya untuk tebusan – adalah suatu hal yang susah ditangkap. Tidak hanya itu kejahatan campuran, termasuk pelanggaran yang berbeda di berbagai badan hukum, tetapi juga kejahatan yang mengangkangi kewenangan lembaga kepolisian yang berbeda dan, dalam banyak kasus, negara. Dan tidak ada satu pelaku utama. Serangan Ransomware melibatkan jaringan terdistribusi dari penjahat dunia maya yang berbeda, seringkali tidak diketahui satu sama lain untuk mengurangi risiko penangkapan.

Serangan Ransomware juga berubah. Model bisnis industri kriminal telah bergeser ke arah ransomware-as-a-service. Ini berarti operator menyediakan perangkat lunak berbahaya, mengelola sistem pemerasan dan pembayaran, serta mengelola reputasi “merek”. Tetapi untuk mengurangi risiko penangkapan, mereka merekrut afiliasi dengan komisi yang besar untuk menggunakan perangkat lunak mereka untuk meluncurkan serangan.

Untuk mengurangi risiko tertangkap, kelompok pelaku cenderung mengembangkan dan menguasai keterampilan khusus untuk berbagai tahap serangan. Kelompok-kelompok ini mendapat manfaat dari saling ketergantungan ini, karena mengimbangi tanggung jawab pidana di setiap tahap.

Mereka mungkin dibeli oleh “broker akses awal”, yang berspesialisasi dalam mendapatkan akses awal ke sistem komputer sebelum menjual detail akses tersebut kepada calon penyerang ransomware.

Ekosistem ini terus berkembang. Misalnya, perkembangan baru-baru ini adalah munculnya “konsultan ransomware”, yang memungut biaya untuk menasihati pelanggar pada tahap-tahap utama serangan.

Selengkapnya: The Conversation

Langkah Pertama: Akses Awal Menyebabkan Ransomware

June 17, 2021 by Winnie the Pooh

Serangan Ransomware masih menggunakan email — tetapi tidak seperti yang Anda kira. Operator Ransomware sering membeli akses dari kelompok penjahat cyber independen yang menyusup ke target utama dan kemudian menjual akses ke pelaku ransomware untuk mendapatkan keuntungan yang tidak semestinya. Kelompok ancaman kejahatan dunia maya yang telah mendistribusikan malware perbankan atau trojan lain juga dapat menjadi bagian dari jaringan afiliasi ransomware. Hasilnya adalah ekosistem kriminal yang kuat dan menguntungkan di mana individu dan organisasi yang berbeda semakin mengkhususkan diri pada keuntungan yang lebih besar untuk semua—kecuali, tentu saja, para korban.

Mencegah ransomware melalui email sangatlah mudah: blokir loader, dan Anda memblokir ransomware.

Biasanya, broker akses awal dipahami sebagai pelaku ancaman oportunistik yang memasok afiliasi dan pelaku ancaman kejahatan dunia maya lainnya, misalnya dengan mengiklankan akses untuk dijual di forum. Namun untuk tujuan laporan ini, kami menganggap pialang akses awal sebagai kelompok yang memperoleh akses awal melalui muatan malware tahap pertama dan mungkin atau mungkin tidak bekerja secara langsung dengan pelaku ancaman ransomware.

– Mencegah ransomware hari ini sebagian besar telah bergeser dari ancaman email langsung ke ancaman tidak langsung di mana email hanya bagian dari rantai serangan.
– Pelaku ancaman ransomware memanfaatkan perusahaan penjahat dunia maya – sebagian besar distributor trojan perbankan – untuk penyebaran malware. Fasilitator akses ini mendistribusikan backdoor mereka melalui tautan dan lampiran berbahaya yang dikirim melalui email.
– Trojan perbankan adalah malware paling populer yang didistribusikan melalui email, mewakili hampir 20% malware yang terlihat dalam data Proofpoint pada paruh pertama tahun 2021.
– Proofpoint saat ini melacak setidaknya 10 pelaku ancaman yang bertindak sebagai fasilitator akses awal atau kemungkinan afiliasi ransomware.
– Ransomware jarang didistribusikan langsung melalui email. Hanya satu jenis ransomware yang menyumbang 95% dari ransomware sebagai muatan email tahap pertama antara tahun 2020 dan 2021.
– Tidak ada hubungan 1:1 antara pemuat malware dan serangan ransomware. – Beberapa pelaku ancaman menggunakan muatan malware yang sama untuk distribusi ransomware.

selengkapnya : www.proofpoint.com

Ransomware adalah ancaman keamanan siber teratas yang kita hadapi, kepala siber memperingatkan

June 15, 2021 by Winnie the Pooh

Ransomware adalah salah satu ancaman keamanan siber utama yang dihadapi Inggris dan kelompok kriminal siber di belakang mereka menjadi lebih berbahaya, kepala siber Inggris memperingatkan.

Lindy Cameron, kepala Pusat Keamanan Siber Nasional (NCSC) akan mengatakan bahwa organisasi – lengan keamanan dunia maya dari agen mata-mata GCHQ – berkomitmen untuk mengatasi ancaman ransomware dan “mendukung korban ransomware setiap hari” tetapi respon yang terkoordinasi diperlukan untuk memerangi ancaman yang berkembang.

Sementara kampanye peretasan yang disponsori negara menimbulkan “ancaman strategis yang berbahaya bagi kepentingan nasional Inggris”, itu adalah kejahatan dunia maya – dan khususnya ransomware – yang telah menjadi ancaman terbesar.

Insiden baru-baru ini seperti serangan ransomware terhadap Colonial Pipeline dan pengolah daging JBS, serta serangan ransomware terhadap layanan kesehatan Irlandia, telah menunjukkan betapa mengganggu nya kampanye kriminal dunia maya ini terhadap layanan penting.

Tidak hanya kelompok ransomware kriminal dunia maya yang mengenkripsi jaringan dan menuntut pembayaran yang signifikan sebagai ganti kunci dekripsi, sekarang juga umum bagi mereka untuk juga mencuri informasi sensitif dan mengancam untuk melepaskannya kecuali uang tebusan dibayarkan – seringkali membuat korban merasa seolah-olah mereka tidak punya pilihan selain menyerah pada tuntutan pemerasan.

Namun, ransomware bukan hanya masalah bagi Inggris saja dan Cameron mendesak pentingnya bekerja sama dengan negara lain untuk mengatasi apa yang benar-benar menjadi masalah internasional ini.

Selengkapnya: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Ransomware

Cookies Settings