Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Ransomware

Ransomware

Peretas mengeksploitasi situs web untuk memberi mereka SEO yang sangat baik sebelum menyebarkan malware

by

Penjahat siber telah beralih ke teknik pengoptimalan mesin telusur (SEO) untuk menyebarkan muatan malware ke sebanyak mungkin korban.

Menurut Sophos, apa yang disebut metode “deoptimization” mesin pencari mencakup trik SEO dan penyalahgunaan psikologi manusia untuk mendorong situs web yang telah dikompromikan ke atas peringkat Google.

Sophos mengatakan bahwa pelaku ancaman sekarang merusak sistem manajemen konten (CMS) situs web untuk menyajikan malware finansial, alat eksploitasi, dan ransomware.

Dalam sebuah posting blog pada hari Senin, tim keamanan siber mengatakan teknik, yang dijuluki “Gootloader,” melibatkan penyebaran kerangka kerja infeksi untuk Gootkit Remote Access Trojan (RAT) yang juga mengirimkan berbagai muatan malware lainnya.

Situs web yang disusupi oleh Gootloader dimanipulasi untuk menjawab permintaan pencarian tertentu. Papan pesan palsu adalah tema konstan di situs web yang diretas yang diamati oleh Sophos, di mana modifikasi “halus” dibuat untuk “menulis ulang bagaimana konten situs web ditampilkan ke situs tertentu.

Sebuah posting forum palsu kemudian akan ditampilkan yang berisi jawaban yang jelas atas pertanyaan tersebut, serta tautan unduhan langsung. Korban yang mengklik tautan unduhan langsung akan menerima file arsip .zip, dinamai sesuai dengan istilah pencarian, yang berisi file .js.

Menurut Sophos, teknik tersebut digunakan untuk menyebarkan Trojan perbankan Gootkit, Kronos, Cobalt Strike, dan REvil ransomware, di antara varian malware lainnya, di Korea Selatan, Jerman, Prancis, dan Amerika Serikat.

Selengkapnya: ZDNet

Ryuk ransomware sekarang menyebar sendiri ke perangkat Windows LAN lainnya

by

Varian ransomware Ryuk baru dengan kemampuan seperti worm yang memungkinkannya menyebar ke perangkat lain di jaringan lokal korban telah ditemukan oleh badan keamanan siber nasional Prancis saat menyelidiki serangan pada awal 2021.

“Melalui penggunaan tugas terjadwal, malware menyebarkan dirinya – dari mesin ke mesin – dalam domain Windows,” kata ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) dalam sebuah laporan yang diterbitkannya.

“Setelah diluncurkan, ini akan menyebar dengan sendirinya di setiap mesin yang dapat dijangkau yang memungkinkan akses Windows RPC”.

Untuk menyebarkan dirinya melalui jaringan lokal, varian Ryuk yang baru mencantumkan semua alamat IP di cache ARP lokal dan mengirimkan apa yang tampak seperti paket Wake-on-LAN (WOL) ke setiap perangkat yang ditemukan. Kemudian mounts semua sharing resources yang ditemukan untuk setiap perangkat sehingga dapat mengenkripsi konten.

Apa yang membuat sampel Ryuk baru ini berbeda adalah kemampuannya untuk menyalin dirinya sendiri ke perangkat Windows lain di jaringan lokal korban.

Selain itu, ia dapat menjalankan dirinya sendiri dari jarak jauh menggunakan tugas terjadwal yang dibuat pada setiap host jaringan yang kemudian dikompromikan dengan bantuan alat Windows schtasks.exe yang sah.

Selengkapnya: Bleeping Computer

Ancaman ransomware yang harus diperhatikan pada tahun 2021 termasuk crimeware-as-a-service

by

Ransomware telah menjadi ancaman yang semakin ganas yang menargetkan bisnis, lembaga pemerintah, sekolah, dan bahkan individu. Karena serangan ransomware mendapatkan daya tarik dan variasi yang lebih besar pada tahun 2020, demikian juga akan membawa lebih banyak perkembangan pada tahun 2021. Sebuah laporan yang dirilis hari Rabu oleh BlackBerry menyoroti beberapa tren yang harus diperhatikan di tahun mendatang.

Untuk “Laporan Ancaman 2021” BlackBerry, peneliti dan profesional keamanan di perusahaan diminta untuk menawarkan prediksi keamanan siber mereka untuk tahun mendatang. Sebagai tanggapan, mereka menyarankan organisasi dan pengguna untuk tetap waspada terhadap ancaman berikut seiring berjalannya 2021.

Taktik yang berkembang di antara penjahat dunia maya adalah serangan ransomware pemerasan ganda. Dalam kasus ini, para penyerang menuntut uang tebusan tidak hanya untuk mendekripsi data yang dicuri, tetapi juga menahan diri untuk tidak merilisnya ke publik. Jika tebusan tidak dibayarkan dalam waktu tertentu, para penjahat berjanji untuk menerbitkannya agar semua orang dapat melihat atau mengungkapkannya kepada pesaing yang mungkin.

Bahkan jika organisasi yang menjadi korban dapat memulihkan data dari cadangan, mereka mungkin masih dipaksa untuk membayar uang tebusan untuk mencegah data terungkap.

selengkapnya : TechRepublic

Semua yang Perlu Anda Ketahui Tentang Perkembangan Ancaman Ransomware

by

Apa itu ransomware?

Ransomware adalah program jahat yang memperoleh kendali atas perangkat yang terinfeksi, mengenkripsi file, dan memblokir akses pengguna ke data atau sistem hingga sejumlah uang, atau tebusan, dibayarkan.

Skema penjahat termasuk catatan tebusan — dengan jumlah dan instruksi tentang bagaimana membayar tebusan sebagai imbalan untuk kunci dekripsi — atau komunikasi langsung dengan korban.

Serangan ransomware mulai meningkat pada tahun 2012, dan sejak saat itu, serangan tersebut menjadi serangan siber yang paling luas di seluruh dunia.

Detail Serangan

  • Deployment: Pada langkah pertama, penyerang mendistribusikan komponen penting yang digunakan untuk menginfeksi, mengenkripsi, atau mengunci sistem, diunduh tanpa sepengetahuan pengguna, menggunakan phishing, atau setelah mengeksploitasi kelemahan sistem yang ditargetkan.
  • Instalasi: Saat payload diunduh, langkah selanjutnya adalah infeksi. Malware menjatuhkan file kecil yang seringkali mampu menghindari pertahanan. Ransomware dijalankan dan mencoba untuk mendapatkan persistence pada sistem yang terinfeksi dengan menempatkan dirinya untuk menjalankan kunci registri secara otomatis, memungkinkan penyerang jarak jauh untuk mengontrol sistem.
  • Command-and-Control: Malware kemudian terhubung ke server command and control (C2) penyerang untuk menerima instruksi dan, terutama, untuk menyimpan kunci enkripsi pribadi asimetris dari jangkauan korban.
  • Destruction: Setelah file dienkripsi, malware menghapus salinan asli di sistem, dan satu-satunya cara untuk memulihkannya adalah dengan mendekripsi file yang disandikan.
  • Extortion: Penyerang menampilkan catatan tebusan dan memeras korban. Untuk membingungkan dan menakut-nakuti korban, penyerang dapat menghapus beberapa file dari komputer. Namun, jika pengguna membayar uang tebusan, ini bukan jaminan bahwa informasi tersebut akan dipulihkan atau ransomware itu sendiri akan dihapus.
Target serangan ransomware

Ada beberapa alasan penyerang pertama kali memilih jenis organisasi apa yang ingin mereka targetkan dengan ransomware:

  • Mudah menghindari pertahanan. Universitas, perusahaan kecil yang memiliki tim keamanan kecil adalah sasaran empuk. Berbagi file dan database yang luas membuat penetrasi mudah bagi penyerang.
  • Kemungkinan pembayaran cepat. Beberapa organisasi terpaksa membayar tebusan dengan cepat. Instansi pemerintah atau fasilitas medis seringkali membutuhkan akses langsung ke datanya. Firma hukum dan organisasi lain dengan data sensitif biasanya ingin merahasiakan serangan.
Tindakan pencegahan

Untuk melindungi dari ransomware, perusahaan harus memiliki rencana yang rumit terhadap malware, termasuk data cadangan. Karena ransomware sangat sulit untuk dideteksi dan diperangi, mekanisme perlindungan yang berbeda harus digunakan.

Selengkapnya dapat dibaca di The Hacker News

Ransomware: Peningkatan tajam serangan terhadap universitas seiring pembelajaran online

by

Jumlah serangan ransomware yang menargetkan universitas telah berlipat ganda selama setahun terakhir dan biaya permintaan ransomware meningkat karena tim keamanan informasi berjuang untuk melawan serangan siber.

Analisis kampanye ransomware terhadap pendidikan tinggi menemukan bahwa serangan terhadap universitas selama tahun 2020 naik 100 persen dibandingkan dengan 2019, dan permintaan tebusan rata-rata sekarang mencapai $ 447.000.

Kenaikan tajam dalam jumlah serangan ransomware, dikombinasikan dengan permintaan geng ransomware berjumlah enam digit sebagai ganti kunci dekripsi berarti ransomware mewakili ancaman keamanan siber nomor satu bagi universitas, menurut penelitian oleh perusahaan teknologi BlueVoyant.

Ransomware adalah masalah di semua sektor, tetapi untuk pendidikan tinggi saat ini merupakan masalah khusus karena pandemi COVID-19 yang sedang berlangsung membuat siswa menerima pengajaran secara online sementara banyak akademisi juga bekerja dari rumah.

Departemen TI yang kewalahan mungkin tidak memiliki kemampuan untuk sepenuhnya menangani keamanan, memberikan celah kepada penjahat siber untuk dieksploitasi.

Selengkapnya: ZDNet

Data Bombardier pembuat pesawat diposting di situs kebocoran ransomware setelah peretasan FTA

by Leave a Comment

Produsen pesawat Kanada Bombardier hari ini telah mengungkapkan pelanggaran keamanan setelah beberapa datanya dipublikasikan di portal dark web yang dioperasikan oleh geng ransomware Clop.

Meskipun perusahaan tidak secara spesifik menyebutkan nama alat tersebut, kemungkinan besar mereka mengacu pada Accellion FTA, server web yang dapat digunakan oleh perusahaan untuk menghosting dan berbagi file besar yang tidak dapat dikirim melalui email ke pelanggan dan karyawan.

Pada Desember 2020, sebuah grup peretas menemukan zero-day di perangkat lunak FTA dan mulai menyerang perusahaan di seluruh dunia. Penyerang mengambil alih sistem, memasang shell web, dan kemudian mencuri data sensitif.

Para penyerang kemudian mencoba memeras perusahaan yang diretas, meminta pembayaran tebusan, atau mereka akan membuat data yang dicuri itu publik, menurut firma keamanan FireEye.

Data dari perusahaan data geo-spasial Fugro, firma teknologi Danaher, perusahaan telekomunikasi terbesar Singapura Singtel, dan firma hukum AS Jones Day sejauh ini telah dipublikasikan di situs yang sama.

Hari ini, nama Bombardier menambah daftar panjang dari korban peretasan tersebut, yang mendorong pembuat pesawat itu untuk mengumumkan pelanggaran keamanannya.

Data yang dibagikan di situs termasuk dokumen desain untuk berbagai pesawat Bombardier dan bagian pesawat. Tidak ada data pribadi yang dibagikan, tetapi pembuat pesawat kemungkinan besar marah karena beberapa kekayaan intelektual pribadinya sekarang ditawarkan sebagai unduhan gratis di dark web.

Sumber: ZDNet

Para peretas ini menjual login jaringan ke penawar tertinggi. Dan geng ransomware membelinya

by Leave a Comment

Kelas penjahat siber yang sedang berkembang memainkan peran penting di pasar bawah tanah dengan melanggar jaringan perusahaan dan menjual akses ke penawar tertinggi untuk dieksploitasi sesuka mereka.

Pembelian dan penjualan kredensial login yang dicuri dan bentuk akses jarak jauh lainnya ke jaringan telah lama menjadi bagian dari ekosistem dark web, tetapi menurut analisis para peneliti keamanan siber di Digital Shadows, terdapat peningkatan penting dalam daftar oleh ‘Initial Access Brokers’ selama setahun terakhir.

Broker ini bekerja untuk meretas jaringan tetapi alih-alih menghasilkan keuntungan dengan melakukan kampanye siber mereka sendiri, mereka akan bertindak sebagai perantara, menjual jalan masuk ke jaringan ke penjahat lain, menghasilkan uang dari penjualan.

Akses melalui Remote Desktop Protocol (RDP) adalah daftar yang paling dicari oleh penjahat siber. Permintaan ini – dan potensi akses yang ditawarkannya – tercermin dalam harga daftar, dengan harga jual rata-rata untuk akses mulai dari $ 9.765.

Metode akses ini sangat populer di kalangan geng ransomware, yang berpotensi mendapatkan kembali apa yang mereka bayarkan untuk akses berkali-kali lipat dengan mengeluarkan tuntutan tebusan ratusan ribu atau bahkan jutaan dolar: $ 10.000 untuk akses awal hampir tidak berharga, jika target bisa diperas untuk membayar tebusan bitcoin.

Selengkapnya: ZDNet

‘Antivirus sudah mati’: Meningkatnya ancaman keamanan perusahaan pada tahun 2021 dan cara melindunginya

by

Tahun 2020 belum pernah terjadi sebelumnya dalam hampir segala hal, dan serangan siber tidak terkecuali. Laporan Ancaman Global CrowdStrike 2021 dari perusahaan keamanan siber cloud-native CrowdStrike menyatakan bahwa ini adalah “mungkin tahun paling aktif dalam ingatan”.

Khusus untuk perusahaan, laporan tersebut mengungkap ancaman yang harus diperhatikan di tahun mendatang. Aktor jahat melanjutkan peralihan mereka ke serangan terhadap target bernilai tinggi seperti perusahaan, yang dikenal sebagai “perburuan hewan besar”, yang menjadi semakin populer dalam beberapa tahun terakhir karena potensi bayaran yang lebih menguntungkan.

Aktor jahat juga mengembangkan alat dan prosedur baru serta membentuk aliansi untuk meningkatkan kekuatan dan jangkauan serangan mereka. Yang paling signifikan, mereka semakin mengintegrasikan teknik blackmail dan pemerasan ke dalam operasi ransomware.

Penjahat siber juga mengeksploitasi pandemi COVID-19, memangsa ketakutan, menargetkan sektor kesehatan, dan memanfaatkan peralihan mendadak ke pekerjaan jarak jauh. Menurut laporan tersebut, 71% ahli keamanan siber yang disurvei mengatakan bahwa mereka lebih khawatir tentang serangan ransomware akibat COVID-19. Selain itu, tahun 2020 melihat apa yang mungkin merupakan serangan rantai pasokan paling canggih dan menjangkau jauh dalam sejarah.

Pertahanan terbaik bagi perusahaan adalah diberi tahu tentang ancaman yang berkembang, bertindak cepat jika terjadi serangan, dan bersikap proaktif dengan solusi keamanan canggih. “Anda harus memiliki solusi generasi berikutnya. Antivirus sudah mati,” kata VP senior CrowdStrike Adam Meyers.

Selengkapnya: Venturebeat