Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Ransomware

Ransomware

MSI mengonfirmasi serangan cyber setelah permintaan masalah grup ransomware baru

by

Taiwanese hardware maker Micro-Star International (MSI) confirmed Friday that it was the victim of a cyberattack following reports that said a new ransomware group targeted the company.

In its statement, MSI did not specify when the attack occurred but said the incident was reported to law enforcement agencies “promptly” and recovery measures have been initiated.

This week, the Money Message ransomware group added the company to its list of victims, claiming to have stolen source code, firmware, frameworks and more. Cybersecurity researchers said the group only emerged this week.

MSI, based in New Taipei City, brought in more than $6.6 billion in revenue in 2021 through its work designing and developing computer hardware, including laptops, desktops, motherboards and graphics cards.

“Currently, the affected systems have gradually resumed normal operations, with no significant impact on financial business. MSI urges users to obtain firmware/BIOS updates only from its official website, and not to use files from sources other than the official website,” the company explained.

Perusahaan juga mengajukan pengajuan peraturan ke The Taiwan Stock Exchange pada hari Jumat, menulis bahwa mereka tidak memperkirakan adanya kerugian atau dampak dari serangan siber.

Grup Pesan Uang membagikan beberapa pesannya dengan BleepingComputer, mengklaim telah mengambil 1,5TB data dan mengeluarkan permintaan uang tebusan sebesar $4 juta. Geng ransomware tampaknya baru muncul dalam seminggu terakhir, dengan setidaknya satu korban muncul di forum situs berita teknologi pada 28 Maret.

ThreatLabz dari Zscaler juga menulis pada 29 Maret di Twitter bahwa mereka menyaksikan grup tersebut “melakukan serangan pemerasan ganda” — di mana grup tersebut meminta uang tebusan tidak hanya untuk membuka kunci data terenkripsi tetapi juga untuk tidak membocorkan apa yang telah dicuri.

Para peneliti di Cyble mengatakan pada hari Kamis bahwa grup tersebut “dapat mengenkripsi pembagian jaringan dan menargetkan sistem operasi Windows dan Linux.”

Beberapa vendor perangkat keras Taiwan menghadapi serangan ransomware selama tiga tahun terakhir, termasuk QNAP, Delta Electronics, GIGABYTE, Acer, Quanta, dan lainnya.

Bahan Terapan perusahaan bernilai miliaran dolar, yang menyediakan teknologi untuk industri semikonduktor, juga dipengaruhi oleh serangan ransomware pada pemasok yang mereka perkirakan akan menelan biaya $250 juta pada kuartal berikutnya.

selengkapnya:therecord.com

Cara lama: BabLock, ransomware baru yang diam-diam menjelajahi Eropa, Timur Tengah, dan Asia

by

Pada pertengahan Januari 2023, tim Digital Forensics and Incident Response Group-IB yang berbasis di Amsterdam dipanggil untuk menyelidiki salah satu serangan pasca-liburan Tahun Baru terhadap perusahaan sektor industri di Eropa.

Selama penyelidikan, para ahli Group-IB menetapkan bahwa korban telah dienkripsi dengan jenis ransomware yang sebelumnya tidak dikenal. Ketegangan, pertama kali ditemukan oleh peneliti Group-IB pada Januari 2023, diberi nama kode BabLock, karena versinya untuk Linux dan ESXi memiliki kesamaan dengan ransomware Babuk yang bocor.

Terlepas dari kesamaan kecil ini, grup ini memiliki modus operandi yang sangat berbeda dan ransomware canggih khusus untuk Windows. Selain itu, geng BabLock (juga dilacak dengan nama “Rorschach” oleh CheckPoint), tidak seperti kebanyakan “rekan industri”, tidak menggunakan Situs Kebocoran Data (DLS) dan berkomunikasi dengan korbannya melalui email.

Tidak adanya DLS, bersama dengan permintaan tebusan yang relatif sederhana mulai dari 50.000 hingga 1.000.000 USD, memungkinkan grup untuk beroperasi secara diam-diam dan tetap berada di bawah radar peneliti keamanan siber. Strain tersebut telah aktif setidaknya sejak Juni 2022, ketika versi ESXi yang paling awal diketahui dirilis. Menariknya, semua modul ransomware BabLock untuk Windows yang ditemukan oleh peneliti Group-IB dikompilasi pada tahun 2021, menurut stempel waktu.

Selain Eropa, kelompok tersebut diduga melakukan serangan di Asia dan Timur Tengah, berdasarkan sampel BabLock yang diserahkan ke VirusTotal. Khususnya, grup tersebut tidak mengenkripsi perangkat yang menggunakan bahasa Rusia dan bahasa lain yang digunakan di ruang pasca-Soviet.

Artefak yang dikumpulkan selama keterlibatan respons insiden di Eropa menyarankan BabLock menggunakan taktik canggih seperti eksploitasi CVE, pemuatan samping DLL serta anti-analisis kompleks dan teknik penghindaran deteksi.

Selengkapnya: Group IB

Korban Baru Muncul setelah Serangan Ransomware Massal

by

Clop mengklaim meretas 130 organisasi secara massal. Jumlah korban terserang ransomware massal, yang disebabkan oleh bug pada alat transfer data populer yang digunakan oleh bisnis di seluruh dunia, terus bertambah berdasarkan keterangan organisasi lain yang juga teretas pada TechCrunch.

Raksasa pembiayaan Kanada Investissement Québec, mengonfirmasi bahwa beberapa informasi pribadi karyawan baru-baru ini dicuri oleh grup ransomware yang mengklaim telah melanggar lusinan perusahaan lain. Juru bicara Isabelle Fontaine mengatakan insiden itu terjadi di Fortra, sebelumnya dikenal sebagai HelpSystems, yang mengembangkan alat transfer file GoAnywhere yang rentan.

Hitachi Energy juga mengkonfirmasi bahwa beberapa data karyawannya telah dicuri dalam insiden serupa yang melibatkan sistem GoAnywhere-nya, tetapi mengatakan bahwa insiden tersebut terjadi di Fortra.

Beberapa hari terakhir, geng Clop yang terkait dengan Rusia telah menambahkan beberapa organisasi lain ke situs kebocoran web gelapnya untuk memeras perusahaan lebih lanjut dengan mengancam akan menerbitkan file yang dicuri kecuali jika permintaan uang tebusan dibayarkan.

Sementara jumlah korban peretasan massal meningkat, dampak yang diketahui paling tidak jelas.

Sejak serangan pada akhir Januari atau awal Februari, Clop mengungkapkan kurang dari setengah dari 130 organisasi yang diklaim telah disusupi melalui GoAnywhere, sebuah sistem yang dapat dihosting di cloud atau di jaringan organisasi yang memungkinkan perusahaan untuk mentransfer set besar data dan file besar lainnya dengan aman.

Detail baru terungkap pada 2 Februari setelah reporter keamanan independen Brian Krebs pertama kali melaporkan detail bug tersebut, yang disembunyikan Fortra di balik layar login di situs webnya. Fortra merilis perbaikan keamanan untuk GoAnywhere lima hari kemudian.

Pengguna GoAnywhere lain yang teridentifikasi tidak menanggapi beberapa permintaan komentar, termasuk penyedia rehabilitasi dan kesehatan mental Kanada Homewood Health, penyedia perumahan terjangkau yang berbasis di Inggris Guinness Partnership, perusahaan perbankan ritel Avidia Bank, Medex Healthcare, Cornerstone Home Lending dan raksasa energi Kolombia Grupo Vanti.

Selengkapnya: TechCrunch+

Ferrari Menolak Permintaan Tebusan setelah Serangan Siber

by

Pembuat mobil Italia Ferrari menolak membayar uang tebusan setelah pelaku ancaman yang tidak ditentukan masuk ke sistem TI dan mencuri data pelanggan.

Produsen supercar Ferrari telah memperingatkan pelanggan bahwa data pribadi mereka mungkin berisiko setelah sejumlah sistem TI mereka disusupi dan informasi diekstraksi oleh aktor ancaman yang belum ditentukan.

Perusahaan yang berbasis di Maranello, Italia menghubungi mereka yang terlibat pada Senin 20 Maret. Dalam sebuah surat kepada pelanggan, kepala eksekutif Benedetto Vigna mengatakan data yang terungkap termasuk nama, alamat, alamat email, dan nomor telepon.

Vigna meyakinkan pelanggan bahwa berdasarkan keadaan penyelidikan saat ini, organisasi meyakini tidak ada data keuangan pelanggan, atau data kendaraan merek yang telah disusupi.

Dalam pernyataan publik, juru bicara Ferrari mengatakan organisasi tersebut telah dihubungi oleh aktor ancaman dengan permintaan uang tebusan terkait dengan rincian kontak klien tertentu. Organisasi tidak mengidentifikasi aktor ancaman yang terlibat.

Juru bicara Ferrari percaya bahwa tindakan terbaik adalah memberitahu kliennya tentang potensi paparan data dan sifat insiden tersebut.

Organisasi itu mengatakan menjaga kerahasiaan kliennya dengan sangat serius dan akan bekerja sama dengan pakar keamanan untuk memperkuat sistemnya.

Insiden itu tidak berdampak pada operasi sehari-hari dan tampaknya juga tidak mempengaruhi jalannya tim juara Formula Satu, yang memiliki awal buruk di musim 2023, saat ini mendekam di klasemen konstruktor.

Selengkapnya: ComputerWeekly.com

Grup Ransomware Mengklaim Peretasan Cincin Amazon

by

Geng ransomware mengklaim telah melanggar cincin perusahaan kamera keamanan yang sangat populer, yang dimiliki oleh Amazon. Geng ransomware mengancam akan merilis data Ring. Ring memberi tahu Motherboard bahwa ia tidak memiliki bukti pelanggaran sistemnya sendiri, tetapi mengatakan vendor pihak ketiga telah terkena ransomware.
ALPHV lebih dari sekadar mengunci file korban, dan memiliki situs web yang menamai dan mempermalukan korbannya dalam upaya untuk memeras mereka. Jika target tersebut tidak membayar, ALPHV mengancam akan merilis data yang dicuri dari mereka secara publik. Situs ALPHV menonjol karena bagian situsnya yang menerbitkan data yang diretas, yang disebut “Koleksi”, lebih mudah dicari daripada beberapa situs grup peretasan lainnya.

Motherboard memverifikasi bahwa daftar penamaan Cincin saat ini ada di situs pembuangan data ALPHV. Kolektif keamanan siber VX Underground men-tweet tangkapan layar dari daftar tersebut sebelumnya pada hari Senin.

Setelah publikasi, satu orang membagikan tautan ke artikel ini di saluran internal Amazon Slack, dan menulis “Jangan membahas apa pun tentang ini. Tim keamanan yang tepat dilibatkan.”

Tidak jelas data spesifik apa yang dapat diakses oleh ALPHV. Dalam sebuah pernyataan, Ring memberi tahu Motherboard, “Saat ini kami tidak memiliki indikasi bahwa Ring telah mengalami peristiwa ransomware.” Tetapi perusahaan menambahkan bahwa mereka mengetahui vendor pihak ketiga yang telah mengalami peristiwa ransomware, dan Ring bekerja sama dengan perusahaan tersebut untuk mempelajari lebih lanjut. Ring mengatakan vendor ini tidak memiliki akses ke catatan pelanggan.

Amazon telah bermitra dengan setidaknya dua ribu departemen kepolisian di seluruh negeri untuk memudahkan pengguna berbagi rekaman dengan penegak hukum. Kamera — dan rekaman yang mereka ambil, yang sering diposting online — telah menjadi sangat populer sehingga Amazon meluncurkan acara televisi yang disebut “Ring Nation”, yang merupakan acara ragam yang sebagian besar terdiri dari blooper yang diambil oleh kamera Ring.

Meskipun Ring sendiri tidak dikompromikan selama insiden tersebut, para peretas memang memanfaatkan kelemahan dalam pengaturan keamanan default Ring. Sejak peretasan tersebut, Ring telah mengubah beberapa praktik keamanannya untuk mempermudah dan memperjelas bagi pengguna untuk memeriksa pengaturan keamanan mereka.

selengkapnya : vice

Apa yang terjadi jika Anda ‘menutupi’ infeksi ransomware? Untuk Blackbaud, biaya $3 juta

by

Blackbaud telah setuju untuk membayar $3 juta untuk menyelesaikan tuduhan bahwa ia membuat pengungkapan yang menyesatkan tentang infeksi ransomware tahun 2020 di mana penjahat mencuri lebih dari satu juta file di sekitar 13.000 pelanggan pembuat perangkat lunak cloud.

Menurut pengawas keuangan Amerika, SEC, Blackbaud akan mengeluarkan uang tunai – tanpa mengakui atau menyangkal temuan regulator – dan akan berhenti melakukan pelanggaran lebih lanjut.

“Blackbaud dengan senang hati menyelesaikan masalah ini dengan SEC dan menghargai kolaborasi dan umpan balik konstruktif dari Komisi karena perusahaan terus meningkatkan kebijakan pelaporan dan pengungkapannya,” kata Tony Boor, kepala keuangan perusahaan tersebut, kepada The Register.

“Blackbaud terus memperkuat program keamanan sibernya untuk melindungi pelanggan dan konsumen, serta meminimalkan risiko serangan siber dalam lanskap ancaman yang selalu berubah,” tambah Boor.

Sebagai perspektif: perusahaan yang berbasis di South Carolina – yang menyediakan, antara lain, alat manajemen donor untuk organisasi nirlaba – menghasilkan pendapatan $1,1 miliar pada tahun 2022, yang mengakibatkan kerugian $45,4 juta. Penyelesaian ini adalah yang paling tidak menjadi perhatian bisnis, kami bayangkan.

Inilah yang terjadi: pada bulan Mei 2020, Blackbaud mengalami infeksi ransomware, diam-diam melunasi para penjahat, dan tidak memberi tahu pelanggan tentang pelanggaran keamanan hingga Juli 2020. Dan ketika perusahaan perangkat lunak memberi tahu pelanggan, mereka meyakinkan mereka bahwa ” penjahat dunia maya tidak mengakses…informasi rekening bank, atau nomor jaminan sosial,” menurut perintah SEC.

Namun, pada akhir bulan itu, SEC mengklaim bahwa personel Blackbaud menemukan bahwa penjahat telah mengakses informasi rekening bank donor dan nomor jaminan sosial yang tidak terenkripsi. Tetapi karyawan diduga tidak memberi tahu manajemen senior tentang pencurian data sensitif pelanggan karena Blackbaud “tidak memiliki kebijakan atau prosedur yang dirancang untuk memastikan mereka melakukannya,” kata dokumen pengadilan.

Selengkapnya: The Register

IceFire ransomware sekarang mengenkripsi sistem Linux dan Windows

by

Aktor ancaman yang terkait dengan operasi ransomware IceFire sekarang secara aktif menargetkan sistem Linux di seluruh dunia dengan enkripsi khusus yang baru.

Peneliti keamanan SentinelLabs menemukan bahwa geng tersebut telah menembus jaringan beberapa organisasi media dan hiburan di seluruh dunia dalam beberapa minggu terakhir, mulai pertengahan Februari, menurut sebuah laporan yang dibagikan sebelumnya dengan BleepingComputer.

Begitu berada di dalam jaringan mereka, penyerang menyebarkan varian malware baru mereka untuk mengenkripsi sistem Linux korban.

Ketika dijalankan, ransomware IceFire mengenkripsi file, menambahkan ekstensi ‘.ifire’ ke nama file, dan kemudian menutupi jejaknya dengan menghapus dirinya sendiri dan menghapus biner.

Penting juga untuk dicatat bahwa IceFire tidak mengenkripsi semua file di Linux. Ransomware secara strategis menghindari mengenkripsi jalur tertentu, memungkinkan bagian sistem penting tetap beroperasi.

Pendekatan yang diperhitungkan ini dimaksudkan untuk mencegah penghentian total sistem, yang dapat menyebabkan kerusakan yang tidak dapat diperbaiki dan bahkan gangguan yang lebih signifikan.

Meskipun aktif setidaknya sejak Maret 2022 dan sebagian besar tidak aktif sejak akhir November, ransomware IceFire kembali pada awal Januari dalam serangan baru, seperti yang ditunjukkan oleh pengiriman pada platform ID-Ransomware.

Operator IceFire mengeksploitasi kerentanan deserialisasi dalam perangkat lunak berbagi file IBM Aspera Faspex (dilacak sebagai CVE-2022-47986) untuk meretas sistem target yang rentan dan menyebarkan muatan ransomware mereka.

Kerentanan RCE pra-auth dengan tingkat keparahan tinggi ini ditambal oleh IBM pada bulan Januari dan telah dieksploitasi dalam serangan sejak awal Februari [1, 2] setelah perusahaan manajemen permukaan serangan Assetnote menerbitkan laporan teknis yang berisi kode eksploit.

CISA juga menambahkan kelemahan keamanan ke katalog kerentanannya yang dieksploitasi secara liar pada Februari 2021, memerintahkan agen federal untuk menambal sistem mereka hingga 14 Maret.

Selengkapnya: Bleeping Computer

Polisi Eropa, FBI Menangkap Geng Kejahatan Siber Internasional

by

Pada hari Senin, Polisi Jerman mengatakan telah mengganggu geng kejahatan siber ransomware terkait dengan Rusia yang telah memeras perusahaan dan institusi besar selama bertahun-tahun, meraup jutaan euro.

FBI dan pihak berwenang di Ukraina, bekerja dengan mitra penegak hukum termasuk Europol, polisi di Duesseldorf dapat mengidentifikasi 11 orang yang terkait dengan kelompok yang telah beroperasi dalam berbagai samaran setidaknya sejak 2010.

Geng yang tampaknya berada di belakang ransomware, dikenal sebagai DoppelPaymer, tampaknya terkait dengan Evil Corp, sindikat yang berbasis di Rusia dan terlibat dalam pencurian bank online jauh sebelum ransomware menjadi momok global.

Ransomware adalah kejahatan siber yang paling mengganggu. Geng yang sebagian besar berbasis di Rusia membobol jaringan dan mencuri informasi sensitif sebelum mengaktifkan malware yang mengacak data. Penjahat meminta pembayaran dengan imbalan kunci dekripsi dan janji untuk tidak membuang data yang dicuri secara online.

Polisi Jerman mengidentifikasi para buronan sebagai warga negara Rusia Igor Turashev, 41, dan Irina Zemlyanikina, 36, dan Igor Garshin, 31 tahun, yang lahir di Rusia tetapi kewarganegaraannya tidak segera diketahui.

Selengkapnya: AP News