Ransomware

Colonial Pipeline Menghabiskan $ 5 Juta dalam Pembayaran Pemerasan, Laporan

May 15, 2021 by Winnie the Pooh

Colonial Pipeline Co., operator pipa bahan bakar AS terbesar, dilaporkan membayar $ 5 juta kepada penjahat di balik serangan ransomware yang telah membuat harga bahan bakar melonjak naik turun di Pantai Timur.

Sumber yang mengetahui pembayaran tersebut mengatakan kepada Bloomberg bahwa perwakilan dari Colonial Pipeline membayar cybergang yang dikenal sebagai DarkSide tebusan yang diminta sebagai imbalan alat dekripsi yang memungkinkan perusahaan untuk memulihkan jaringan komputernya yang dinonaktifkan dalam serangan minggu lalu.

Pada hari Rabu, perusahaan energi memulai kembali operasi pipanya setelah lima hari ditutup: penutupan dilakukan secara proaktif setelah serangan ransomware.

Berita tentang pembayaran itu bertolak belakang: menurut laporan pada hari Rabu, perusahaan itu tidak berniat membayar tebusan.

“Perusahaan membayar uang tebusan yang lumayan besar dalam cryptocurrency yang sulit dilacak dalam beberapa jam setelah serangan, menggarisbawahi tekanan besar yang dihadapi oleh operator yang berbasis di Georgia untuk mendapatkan bensin dan bahan bakar jet mengalir lagi ke kota-kota besar di sepanjang Pesisir Timur,” wartawan Bloomberg William Turton, Michael Riley dan Jennifer Jacobs menulis.

Colonial Pipeline tidak menjawab pertanyaan Threatpost yang meminta konfirmasi dari laporan Bloomberg.

selengkapnya : threatpost.com

Mengenal Lebih Dalam Geng DarkSide Ransomware

May 12, 2021 by Winnie the Pooh

FBI mengkonfirmasi minggu ini bahwa kelompok ransomware yang relatif baru yang dikenal sebagai DarkSide bertanggung jawab atas serangan yang menyebabkan Colonial Pipeline menutup pipa sepanjang 5.550 mil, menelantarkan barel bensin, solar dan bahan bakar jet yang tak terhitung jumlahnya di Gulf Coast.

Berikut ini pengamatan lebih dekat pada geng kejahatan siber DarkSide, seperti yang terlihat melalui negosiasi mereka dengan korban baru-baru ini di AS yang menghasilkan $ 15 miliar pendapatan tahunan.

Pertama kali muncul di forum peretasan bahasa Rusia pada Agustus 2020, DarkSide adalah platform ransomware-as-a-service yang dapat digunakan oleh penjahat dunia maya untuk menginfeksi perusahaan dengan ransomware dan melakukan negosiasi serta pembayaran dengan korban.

DarkSide mengatakan mereka hanya menargetkan perusahaan besar, dan melarang afiliasi menjatuhkan ransomware pada organisasi di beberapa industri, termasuk perawatan kesehatan, layanan pemakaman, pendidikan, sektor publik dan nirlaba.

Seperti platform ransomware lainnya, DarkSide menganut praktik pemerasan ganda badguy terbaik saat ini, yang melibatkan tuntutan jumlah terpisah untuk kunci digital yang diperlukan untuk membuka kunci file dan server, dan tebusan terpisah sebagai imbalan untuk janji untuk menghancurkan data yang dicuri dari korban.

Pada peluncurannya, DarkSide berusaha merayu afiliasi dari program ransomware yang bersaing dengan mengiklankan situs kebocoran data korban yang mendapat “kunjungan stabil dan liputan media,” serta kemampuan untuk mempublikasikan data korban secara bertahap.

Selengkapnya mengenai Ransomware DarkSide: Krebs On Security

Serangan Colonial Pipeline meningkatkan permainan ransomware

May 11, 2021 by Winnie the Pooh

Pada hari Jumat, Perusahaan Colonial Pipeline menemukan bahwa mereka telah terkena serangan ransomware.

Bertanggung jawab untuk mengirimkan gas, minyak pemanas, dan bentuk minyak bumi lainnya ke rumah dan organisasi, perusahaan tersebut menyumbang 45% dari bahan bakar Pantai Timur. Serangan tersebut memaksa Colonial Pipeline untuk mematikan sistem tertentu, menghentikan sementara semua operasi pipeline.

Dalam sebuah pernyataan yang dirilis pada hari Minggu, perusahaan mengatakan bahwa mereka menyewa perusahaan keamanan siber pihak ketiga untuk menyelidiki serangan itu dan menghubungi penegak hukum serta lembaga federal, termasuk Departemen Energi. Selain menangani insiden itu sendiri, Colonial Pipeline juga siap untuk menjalankan operasinya kembali online dengan aman dan terjamin.

James Shank, ketua komite Ransomware Task Force (RTF) untuk skenario terburuk, mengatakan bahwa jenis serangan terhadap infrastruktur atau layanan kritis ini menunjukkan munculnya ransomware sebagai ancaman terhadap keamanan nasional, terutama saat kita terus bergulat dengan COVID-19.

Colonial Pipeline telah mengontrak firma keamanan FireEye Mandiant untuk menyelidiki serangan itu. Seorang juru bicara FireEye mengatakan kepada TechRepublic bahwa perusahaan tidak mengomentari insiden tersebut pada saat ini. Sementara itu, FBI telah menunjuk geng ransomware DarkSide sebagai penyebab di balik serangan ini.

Selengkapnya: Tech Republic

Fasilitas Riset Terkena Ransomware Setelah Siswa Menginstal Software Bajakan

May 7, 2021 by Winnie the Pooh

Berhati-hatilah saat menggunakan software bajakan. Seorang siswa di sebuah lembaga penelitian bio-molekuler yang tidak disebutkan namanya di Eropa secara tidak sengaja membuka pintu untuk serangan ransomware pada organisasi tersebut setelah menginstal sebuah perangkat lunak yang sudah di “crack”, menurut firma keamanan Sophos.

Lembaga penelitian telah melakukan penelitian COVID-19 dan memiliki kemitraan erat dengan universitas lokal, memungkinkan mahasiswa untuk terhubung ke jaringan internal fasilitas melalui klien akses jarak jauh dari Citrix. Sayangnya, seorang siswa dengan akses ke jaringan mengunduh perangkat lunak bajakan, yang membantu mengekspos fasilitas penelitian ke serangan itu.

Menurut Sophos, siswa yang tidak disebutkan namanya itu “menginginkan salinan pribadi dari perangkat lunak visualisasi data yang telah mereka gunakan untuk bekerja”. Namun, satu lisensi untuk perangkat lunak dapat menghabiskan biaya ratusan dolar per tahun. Hasilnya, siswa tersebut mencari versi “crack” dari produk perangkat lunak untuk digunakan pada laptop Windows.

“Namun, file tersebut sebenarnya adalah malware murni dan upaya penginstalan segera memicu peringatan keamanan dari Windows Defender”, kata Sophos.

Tiga belas hari setelah perangkat lunak bajakan dipasang, sambungan protokol desktop jarak jauh yang misterius dibuat ke lembaga penelitian menggunakan kredensial masuk siswa. “Sepuluh hari setelah koneksi ini dibuat, ransomware Ryuk diluncurkan,” tambah Sophos.

Selengkapnya: PCmag

Ransomware N3TW0RM muncul dalam gelombang serangan dunia maya di Israel

May 4, 2021 by Winnie the Pooh

Geng ransomware baru yang dikenal sebagai ‘N3TW0RM’ menargetkan perusahaan Israel dalam gelombang serangan siber yang dimulai minggu lalu.

Media Israel Haaretz melaporkan bahwa setidaknya empat perusahaan Israel dan satu organisasi nirlaba telah berhasil dibobol dalam gelombang serangan ini.

Seperti geng ransomware lainnya, N3TW0RM telah membuat situs kebocoran data di mana mereka mengancam akan membocorkan file curian sebagai cara untuk menakut-nakuti korbannya agar membayar tebusan.

Dua dari bisnis Israel, H&M Israel dan jaringan Veritas Logistic, telah terdaftar dalam kebocoran data geng ransomware, dengan pelaku ancaman telah membocorkan data yang diduga dicuri selama serangan terhadap Veritas.

Serangan N3TW0RM belum dikaitkan dengan grup peretasan mana pun saat ini.

Saat mengenkripsi jaringan, pelaku ancaman biasanya akan mendistribusikan ransomware mandiri yang dapat dieksekusi ke setiap perangkat yang ingin mereka enkripsi.

N3TW0RM melakukannya sedikit berbeda dengan menggunakan model klien-server sebagai gantinya.

Dari sampel [VirusTotal] ransomware yang dilihat oleh BleepingComputer dan diskusi dengan Arik Nachmias, CEO dari firma tanggapan insiden Honey Badger Security, pelaku ancaman N3TW0RM menginstal program di server korban yang akan mendengarkan koneksi dari workstation.

Nachmias menyatakan bahwa pelaku ancaman kemudian menggunakan PAExec untuk menyebarkan dan mengeksekusi klien ‘slave.exe’ yang dapat dieksekusi di setiap perangkat yang akan dienkripsi oleh ransomware. Saat mengenkripsi file, file akan memiliki ekstensi ‘.n3tw0rm’ yang ditambahkan ke namanya.

Selengkapnya: Bleeping Computer

Teknologi AS mendorong ransomware untuk dianggap sebagai ancaman keamanan nasional

May 1, 2021 by Winnie the Pooh

Perusahaan dan pejabat teknologi besar AS mendesak pemerintah untuk menetapkan ransomware sebagai ancaman keamanan nasional dalam upaya memerangi epidemi peretasan yang merugikan bisnis puluhan juta dolar.

Kelompok teknologi termasuk Microsoft, Cisco dan Amazon, perusahaan keamanan dunia maya seperti FireEye dan pejabat dari FBI dan Departemen Kehakiman AS telah menerbitkan laporan yang menyerukan sejumlah langkah untuk menangani perusahaan kriminal yang menguntungkan tersebut.

Ransomware melibatkan peretas yang mengambil kendali atas sistem komputer atau data organisasi dengan memasang perangkat lunak terlarang, dan mengembalikan aset hanya setelah uang tebusan dibayarkan.

Gugus Tugas Ransomware publik-swasta berpendapat bahwa serangan semacam itu harus dianggap sebagai ancaman keamanan nasional, merujuk pada risiko warga dari serangan tanpa henti terhadap rumah sakit, otoritas lokal, dan infrastruktur penting.

Ini meminta pemerintah untuk menciptakan koalisi internasional untuk mengatasi masalah dan untuk “memberikan tekanan pada negara-negara yang terlibat atau menolak untuk mengambil tindakan”, misalnya melalui sanksi atau dengan menahan bantuan atau visa.

Seruan itu datang dua minggu setelah Departemen Keuangan AS menuduh salah satu badan intelijen Rusia, FSB, “mengembangkan dan mengkooptasi” EvilCorp, salah satu grup ransomware paling terkenal. Banyak penjahat dunia maya beroperasi di luar yurisdiksi otoritas AS.

“Ransomware, khususnya, adalah masalah tindakan kolektif yang luar biasa karena banyak alasan,” kata Michael Phillips, kepala bagian klaim di grup asuransi cyber Resilience dan salah satu ketua gugus tugas.

Dia mengutip “persaingan negara-bangsa yang meningkat di ruang digital, dan negara-negara yang tidak mampu atau tidak mau menegakkan hukum yang mencegah penjahat dunia maya canggih meluncurkan serangan ini atau menciptakan ekosistem yang mendukung mereka”.

selengkapnya : www.ft.com

Grup ransomware baru menggunakan zero-day SonicWall untuk menerobos jaringan

April 30, 2021 by Winnie the Pooh

Aktor ancaman bermotivasi finansial mengeksploitasi bug zero-day di peralatan VPN Sonicwall SMA 100 Series untuk menyebarkan ransomware baru yang dikenal sebagai FiveHands di jaringan target Amerika Utara dan Eropa.

Grup tersebut, dilacak oleh analis ancaman Mandiant sebagai UNC2447, mengeksploitasi kerentanan CVE-2021-20016 Sonicwall untuk menembus jaringan dan menyebarkan muatan ransomware FiveHands sebelum patch dirilis pada akhir Februari 2021.

Sebelum menerapkan muatan ransomware, UNC2447 juga diamati menggunakan implan Cobalt Strike untuk mendapatkan ketekunan dan memasang varian backdoor SombRAT, malware yang pertama kali terlihat dalam kampanye CostaRicto yang dikoordinasikan oleh sekelompok peretas bayaran.

Zero-day juga dimanfaatkan dalam serangan yang menargetkan sistem internal SonicWall pada bulan Januari dan kemudian disalahgunakan tanpa pandang bulu di alam liar.

Ransomware FiveHands yang digunakan dalam serangan UNC2447 pertama kali diamati di alam liar selama Oktober 2020.

Ini juga sangat mirip dengan ransomware HelloKitty, keduanya menulis ulang ransomware DeathRansom.

Selengkapnya: Bleeping Computer

QNAP memperingatkan serangan ransomware AgeLocker pada perangkat NAS

April 30, 2021 by Winnie the Pooh

Pelanggan QNAP sekali lagi didesak untuk mengamankan perangkat Network Attached Storage (NAS) mereka untuk bertahan dari serangan ransomware Agelocker yang menargetkan data mereka.

Dalam nasihat keamanan yang diterbitkan sebelumnya, perusahaan mengatakan bahwa tim keamanannya telah menemukan sampel ransomware AgeLocker di alam liar, dengan “potensi untuk memengaruhi perangkat QNAP NAS”.

“Untuk mengamankan perangkat Anda, kami sangat menyarankan memperbarui QTS atau QuTS hero dan semua aplikasi yang diinstal ke versi terbaru mereka secara teratur untuk mendapatkan keuntungan dari perbaikan kerentanan,” kata QNAP. “Anda dapat memeriksa status dukungan produk untuk melihat pembaruan terbaru yang tersedia untuk model NAS Anda”.

Pelanggan juga diperingatkan untuk tidak mengekspos perangkat NAS mereka di Internet karena akan memungkinkan penyerang potensial untuk menemukannya dan mendapatkan akses ke data pengguna.

Seorang juru bicara QNAP PSIRT mengatakan kepada BleepingComputer bahwa perangkat NAS yang baru-baru ini dikompromikan oleh ransomware AgeLocker menjalankan firmware yang sudah ketinggalan zaman.

Ransomware AgeLocker pertama kali terlihat di alam liar pada Juli 2020 dan, sejak itu, telah menargetkan perangkat QNAP NAS di seluruh dunia dalam kampanye September 2020.

Jenis ransomware ini menggunakan algoritma enkripsi yang dikenal sebagai Age (kependekan dari Actually Good Encryption), yang dirancang sebagai pengganti GPG untuk mengenkripsi file, backup, dan streaming.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Ransomware

Cookies Settings