Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Ransomware

Ransomware

Ransomware Cring baru menyerang perangkat Fortinet VPN yang belum ditambal

by

Kerentanan yang memengaruhi Fortinet VPN sedang dieksploitasi oleh jenis ransomware baru yang dioperasikan oleh manusia yang dikenal sebagai Cring untuk menerobos dan mengenkripsi jaringan perusahaan sektor industri.

Cring ransomware (juga dikenal sebagai Crypt3r, Vjiszy1lo, Ghost, Phantom) ditemukan oleh Amigo_A pada bulan Januari dan dilihat oleh tim CSIRT dari penyedia telekomunikasi Swiss, Swisscom.

Operator Cring menjatuhkan sampel Mimikatz yang disesuaikan, diikuti oleh CobaltStrike setelah mendapatkan akses awal dan menerapkan muatan ransomware dengan mengunduh menggunakan pengelola sertifikat Windows CertUtil yang sah untuk melewati perangkat lunak keamanan.

Seperti yang diungkapkan para peneliti Kaspersky dalam sebuah laporan yang diterbitkan kemarin, para penyerang mengeksploitasi server Fortigate SSL VPN yang terpapar Internet tanpa patch terhadap kerentanan CVE-2018-13379, yang memungkinkan mereka untuk menembus jaringan target mereka.

“Korban serangan ini termasuk perusahaan industri di negara-negara Eropa,” kata peneliti Kaspersky.

“Setidaknya dalam satu kasus, serangan ransomware mengakibatkan penghentian sementara proses industri karena server yang digunakan untuk mengontrol proses industri menjadi terenkripsi.”

Sumber: Kaspersky

Selengkapnya: Bleeping Computer

Distrik sekolah terbesar ke-6 di AS diretas, dan para peretas mengancam akan memposting data siswa dan guru secara online jika uang tebusan $ 40 juta tidak dibayarkan

by

FORT LAUDERDALE, Fla. (AP) – Sistem komputer salah satu distrik sekolah terbesar di negara itu diretas oleh geng kriminal yang mengenkripsi data distrik dan menuntut $ 40 juta sebagai tebusan atau akan menghapus file dan memposting data pribadi siswa dan karyawan. informasi online.

Broward County Public Schools mengatakan dalam sebuah pernyataan hari Kamis bahwa tidak ada indikasi bahwa informasi pribadi apa pun telah dicuri dan bahwa tidak ada pembayaran pemerasan kepada
ransomware geng, yang tampaknya merupakan taktik tekanan minggu lalu memposting tangkapan layar dari negosiasi online dengan distrik tersebut ke situs web gelapnya.

Distrik yang berbasis di Fort Lauderdale mengatakan pihaknya bekerja dengan pakar keamanan siber “untuk menyelidiki insiden tersebut dan memulihkan sistem yang terkena dampak. Upaya untuk memulihkan semua sistem sedang berlangsung dan berjalan dengan baik. Kami tidak berniat membayar uang tebusan.” Distrik itu, setelah dua minggu bolak-balik, menawarkan untuk membayar $ 500.000, di mana penjahat ransomware tampaknya mengakhiri negosiasi, menurut tangkapan layar peretas.

selengkapnya : www.businessinsider.com

Serangan Microsoft Exchange meningkat sementara WannaCry memulai kembali infeksinya

by

Kerentanan yang baru-baru ini ditambal di Microsoft Exchange telah memicu minat baru di antara penjahat siber, yang meningkatkan volume serangan yang berfokus pada vektor khusus ini.

Meskipun frekuensi serangan ransomware meningkat dalam enam bulan terakhir, perusahaan keamanan siber Check Point minggu lalu melihat lonjakan insiden yang menargetkan server Microsoft Exchange yang rentan terhadap apa yang disebut dengan bug kritis ProxyLogon.

Bahkan dengan patch yang bergerak dengan kecepatan tinggi, perusahaan melihat percobaan serangan tiga kali lipat di seluruh dunia, terhitung puluhan ribu.

Menurut Microsoft, ada sekitar 82.000 server Exchange yang rentan pada 14 Maret. Sekitar seminggu kemudian, jumlah tersebut turun drastis menjadi sekitar 30.000 mesin yang terpapar, sesuai data dari RiskIQ.

Data telemetri dari Check Point pekan lalu menunjukkan lebih dari 50.000 upaya serangan secara global, kebanyakan ditujukan pada organisasi di pemerintahan/militer, manufaktur, dan sektor perbankan/keuangan.

Perusahaan melihat peningkatan 57% dalam serangan ransomware selama enam bulan terakhir di tingkat global. Yang lebih mengkhawatirkan adalah kenaikan bulanan yang konstan sebesar 9% sejak awal tahun.

Selain strain ransomware normal yang diamati (Maze, Ryuk, REvil), perusahaan mencatat peningkatan 53% dalam jumlah organisasi yang terpengaruh oleh ransomware wormable WannaCry.

Alasan di balik tingginya angka tersebut adalah WannaCry yang menjadi wormable (serangan yang dapat menyebar dari satu mesin ke mesin lainnya tanpa interaksi manusia) dan ribuan sistem masih rentan terhadap EternalBlue yang dapat dijangkau melalui internet publik.

Sumber: Bleeping Computer

Serangan Ransomware di CompuCom Menghabiskan Biaya Pemulihan Lebih dari $ 20 Juta

by

CompuCom, penyedia layanan terkelola TI yang terkena serangan ransomware bulan lalu, mengungkapkan biaya yang menutupi insiden tersebut lebih dari $ 20 juta.

Sebagian dari jumlah tersebut diharapkan akan ditanggung oleh asuransi sibernya, dan semuanya akan digunakan untuk memulihkan layanan yang terpengaruh. Aktor ancaman di balik insiden ini adalah grup ransomware DarkSide, yang berhasil menyebarkan suar Cobalt Strike.

Suar yang ditanam di seluruh jaringan CompuCom memungkinkan grup ransomware mencuri data yang tidak dienkripsi dan mengenkripsi semua sistem yang terhubung. Sementara CompuCom dikatakan telah bertindak segera dan memutus beberapa sistem yang terpengaruh dari jaringan, kerusakan yang signifikan telah terjadi.

Mereka harus berhenti melayani beberapa kliennya untuk menangani insiden tersebut dan akhirnya menyelidiki masalah tersebut. Hal ini, seperti yang diungkapkan oleh perusahaan induk CompuCom, merugikan perusahaan lebih dari $ 20 juta, termasuk penghentian bisnis untuk sementara waktu.

Induk CompuCom, ODP Corporation, mengungkapkan bahwa mereka memiliki asuransi siber untuk infrastrukturnya, yang sekarang dapat membantu setengah dari biaya yang terjadi. CompuCom telah memberi tahu pengguna yang terpengaruh tentang insiden malware ketika serangan itu terjadi, tetapi tidak menyebutkan potensi serangan ransomware.

Sumber: Techdator

Microsoft berbagi intelijen tentang aktivitas pasca-kompromi Serangan Exchange Server

by Leave a Comment

Awal pekan ini, Microsoft mengatakan bahwa 92% dari server Exchange yang rentan telah ditambal atau telah diterapkan mitigasi. Namun, firma keamanan siber F-Secure mengatakan “puluhan ribu” server Exchange telah dibobol. Dalam posting blog baru, Microsoft menegaskan kembali peringatannya bahwa “menambal sistem tidak serta merta menghapus akses penyerang”.

“Banyak dari sistem yang disusupi belum menerima tindakan sekunder, seperti serangan ransomware yang dioperasikan oleh manusia atau eksfiltrasi data, yang menunjukkan bahwa penyerang dapat menetapkan dan mempertahankan akses mereka untuk kemungkinan tindakan selanjutnya,” catat Microsoft 365 Defender Threat Intelligence Team.

Jika sistem telah disusupi, Microsoft mendesak admin untuk mempraktikkan prinsip hak istimewa paling rendah dan mengurangi pergerakan lateral pada jaringan.

Hak istimewa terkecil akan membantu mengatasi praktik umum di mana layanan Exchange atau tugas terjadwal telah dikonfigurasi dengan akun dengan hak istimewa tinggi untuk melakukan tugas-tugas seperti pencadangan.

Menggunakan ransomware DoejoCrypt, alias DearCry, sebagai contoh, Microsoft mencatat bahwa web shell yang digunakan oleh strain tersebut menulis file batch ke C: \ Windows \ Temp \ xx.bat. Ini ditemukan di semua sistem yang terkena DoejoCrypt dan mungkin menawarkan penyerang rute untuk mendapatkan kembali akses di mana infeksi telah terdeteksi dan dihapus.

“File batch ini melakukan backup database Security Account Manager (SAM) dan kumpulan registri Sistem dan Keamanan, yang memungkinkan penyerang nanti mengakses sandi pengguna lokal di sistem dan, yang lebih penting, di LSA [Otoritas Keamanan Lokal] Bagian rahasia dari registri, di mana kata sandi untuk layanan dan tugas terjadwal disimpan, “catatan Microsoft.

Meskipun korban belum mendapatkan tebusan, penggunaan file xx.bat oleh penyerang memungkinkan mereka menjelajahi jaringan melalui kerangka web yang meletakkan file tersebut pada awalnya. Shell web juga mengunduh kit pengujian penetrasi Cobalt Strike sebelum mengunduh muatan ransomware dan mengenkripsi file. Dengan kata lain, korban mungkin belum ditebus hari ini, tetapi penyerang telah meninggalkan alat di jaringan untuk melakukannya besok.

Ancaman kejahatan dunia maya lainnya ke server Exchange berasal dari penambang mata uang kripto yang berbahaya. Botnet cryptocurrency Lemon Duck diamati mengeksploitasi server Exchange yang rentan. Menariknya, operator Lemon Duck membersihkan server Exchange dengan file xx.bat dan web shell, memberinya akses eksklusif ke server Exchange. Microsoft juga menemukan bahwa itu digunakan untuk menginstal malware lain, bukan hanya menambang cryptocurrency.

Source : ZDnet

FBI mengungkap kelemahan dalam ransomware Mamba, DiskCryptor

by

Peringatan dari Biro Investigasi Federal A.S. tentang ransomware Mamba mengungkapkan titik lemah dalam proses enkripsi yang dapat membantu organisasi yang ditargetkan pulih dari serangan tanpa membayar uang tebusan.

FBI memperingatkan bahwa serangan ransomware Mamba telah diarahkan pada entitas di sektor publik dan swasta, termasuk pemerintah daerah, agen transportasi, layanan hukum, layanan teknologi, industri, komersial, manufaktur, dan bisnis konstruksi.

Mamba ransomware (alias HDDCryptor) mengandalkan solusi perangkat lunak sumber terbuka bernama DiskCryptor untuk mengenkripsi komputer korban di latar belakang dengan kunci yang ditentukan oleh penyerang.

FBI menjelaskan bahwa menginstal DiskCryptor memerlukan restart sistem untuk menambahkan driver yang diperlukan, yang terjadi dengan Mamba sekitar dua menit setelah menerapkan program.

Agensi tersebut selanjutnya mencatat bahwa kunci enkripsi dan variabel waktu penonaktifan disimpan dalam konfigurasi DiskCryptor, sebuah file plaintext bernama myConf.txt.

Sistem restart kedua terjadi setelah proses enkripsi selesai, sekitar dua jam kemudian, dan catatan tebusan muncul.

Karena tidak ada perlindungan di sekitar kunci enkripsi, karena disimpan dalam bentuk plaintext, FBI mengatakan bahwa jeda dua jam ini adalah peluang bagi organisasi yang terkena ransomware Mamba untuk memulihkannya.

Selengkapnya: Bleeping Computer

Raksasa asuransi CNA terkena ransomware Phoenix CryptoLocker baru

by

Raksasa asuransi CNA telah mengalami serangan ransomware menggunakan varian baru bernama Phoenix CryptoLocker yang mungkin terkait dengan grup peretasan Evil Corp.

Minggu ini, BleepingComputer melaporkan bahwa CNA telah mengalami serangan siber yang memengaruhi layanan online dan operasi bisnis mereka.

Segera setelah mereka melaporkan serangan itu, CNA mengeluarkan pernyataan yang mengonfirmasi bahwa mereka telah mengalami serangan siber akhir pekan lalu.

“Pada 21 Maret 2021, CNA menetapkan bahwa kami mengalami serangan keamanan siber yang canggih. Serangan tersebut menyebabkan gangguan jaringan dan memengaruhi sistem CNA tertentu, termasuk email perusahaan,” ungkap CNA dalam sebuah pernyataan.

Sejak pelaporan pertama BleepingComputer, mereka telah mengonfirmasi bahwa CNA mengalami serangan oleh ransomware baru yang dikenal sebagai ‘Phoenix CryptoLocker.’

Sumber yang akrab dengan serangan itu mengatakan kepada BleepingComputer bahwa pelaku ancaman menyebarkan ransomware di jaringan CNA pada 21 Maret, di mana ia melanjutkan untuk mengenkripsi lebih dari 15.000 perangkat di jaringan mereka.

Dilaporkan oleh BleepingComputer bahwa itu juga mengenkripsi komputer karyawan yang bekerja dari jarak jauh yang masuk ke VPN perusahaan pada saat serangan terjadi.

Saat mengenkripsi perangkat, ransomware menambahkan ekstensi .phoenix ke file yang dienkripsi dan membuat catatan tebusan bernama PHOENIX-HELP.txt, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Sebuah sumber mengatakan kepada BleepingComputer bahwa Phoenix Locker diyakini sebagai keluarga ransomware baru yang dirilis oleh Evil Corp berdasarkan kesamaan dalam kodenya.

Selengkapnya: Bleeping Computer

Evil Corp beralih ke ransomware Hades untuk menghindari sanksi

by

Ransomware Hades telah dikaitkan dengan geng kejahatan siber Evil Corp yang menggunakannya untuk menghindari sanksi yang dijatuhkan oleh Kantor Pengawasan Aset Luar Negeri (OFAC) Departemen Keuangan.

Evil Corp (alias geng Dridex atau INDRIK SPIDER) telah aktif setidaknya sejak 2007 dan dikenal karena mendistribusikan malware Dridex.

Mereka kemudian beralih ke “bisnis” ransomware, pertama menggunakan ransomware Locky dan kemudian jenis ransomware mereka sendiri yang dikenal sebagai BitPaymer, diterapkan dalam serangan hingga 2019.

Departemen Keuangan AS memberi sanksi kepada anggota geng Evil Corp pada Desember 2019 setelah didakwa karena menggunakan Dridex untuk menyebabkan kerugian finansial lebih dari $ 100 juta.

Karena itu, korban mereka menghadapi situasi sulit jika mereka ingin membayar uang tebusan Evil Corp karena mereka juga akan melanggar sanksi.

Mulai Juni 2020, Evil Corp memperbarui taktiknya untuk menghindari sanksi, menyebarkan ransomware WastedLocker baru dalam serangan yang menargetkan organisasi perusahaan.

CrowdStrike sekarang menghubungkan geng kejahatan siber tersebut ke ransomware Hades berdasarkan “significant code overlap”. Alat malware baru yang sebelumnya tidak memiliki atribut ini membantu Evil Corp melewati sanksi untuk menghasilkan uang dari serangan mereka.

Hades ransomware adalah varian WastedLocker yang dikompilasi 64-bit yang ditingkatkan dengan obfuscation kode tambahan dan beberapa perubahan fitur kecil.

Meskipun tidak banyak serangan ransomware Hades yang dilaporkan oleh organisasi yang terpengaruh, korban Evil Corp telah menggunakan layanan ID-Ransomware untuk memeriksa apakah sistem mereka terkena ransomware Hades sejak grup tersebut mulai menggunakan jenis baru.

Selengkapnya: Bleeping Computer