Ransomware

Eksklusif: FBI melaporkan banjir serangan ransomware, perusahaan perawatan kesehatan dikepung

February 15, 2021 by Winnie the Pooh

Peningkatan keluhan ransomware membanjiri FBI pada bulan-bulan terakhir tahun 2020, termasuk serentetan serangan terhadap rumah sakit, The Washington Times telah mempelajari.

Dalam empat bulan terakhir tahun 2020, FBI menerima lebih dari 200 keluhan tentang ransomware, menurut data yang dikumpulkan oleh Internet Crime Complaint Center FBI yang dibagikan dengan The Times.

Kerugian tunai para korban meningkat lebih dari tiga kali lipat pada tahun 2020 dari tahun ke tahun menjadi $29,1 juta, menurut data yang dikumpulkan oleh FBI.

Keluhan memuncak pada bulan Oktober dengan 302 laporan ransomware, yang merupakan perangkat lunak berbahaya yang menginfeksi sistem komputer dan mengancam untuk mempublikasikan data korban atau memblokir akses ke sana kecuali uang tebusan dibayarkan.

FBI tidak melacak serangan ransomware dari segi industri, tetapi laporan pada saat yang sama menunjukkan bahwa industri perawatan kesehatan sedang dikepung.

Serangan ransomware terbukti lebih berhasil dan berkembang lebih canggih, kata Brett Callow, analis ancaman di perusahaan perangkat lunak Emsisoft.

Dia mengatakan orang-orang yang berada di balik serangan ransomware dulu hanya mengenkripsi data tetapi sekarang juga mencoba mencurinya sebagai pengaruh ekstra untuk mendapatkan keuntungan dari kejahatan mereka.

Selengkapnya: Washington Times

Avaddon ransomware memperbaiki cacat yang memungkinkan dekripsi gratis

February 13, 2021 by Winnie the Pooh

Geng ransomware Avaddon telah memperbaiki bug yang memungkinkan korban memulihkan file mereka tanpa membayar uang tebusan. Cacat ini terungkap setelah peneliti keamanan mengeksploitasinya untuk membuat decryptor.

Pada hari Selasa, Javier Yuste, Ph.D. mahasiswa di Universitas Rey Juan Carlos, menerbitkan decryptor untuk Avaddon Ransomware di halaman GitHub-nya dan merilis laporan yang menjelaskan cacat melalui ArXiv.

Menurut penelitian Yuste, ketika ransomware Avaddon mengenkripsi perangkat, ia membuat kunci sesi enkripsi AES256 unik yang digunakan untuk mengenkripsi dan mendekripsi file.

Namun, kekurangan dalam cara ransomware membersihkan kunci ini memungkinkan Yuste membuat dekripsi yang mengambil kunci dari memori selama komputer belum dimatikan sejak dienkripsi.

Penting untuk diingat bahwa ransomware dan pelaku ancaman mengikuti Twitter dan umpan berita yang sama dengan yang Anda lakukan.

BleepingComputer juga telah dihubungi berkali-kali oleh pelaku ancaman yang ingin mengklarifikasi suatu poin dalam artikel atau memberi tahu kami informasi lebih lanjut.

Oleh karena itu, selalu penting untuk mengasumsikan bahwa setiap kekurangan ransomware yang diungkapkan secara terbuka juga akan dilihat oleh pelaku ancaman.

Kami telah melihat ini secara historis dengan CryptoDefense, DarkSide, dan sekarang Avaddon.

Untuk alasan ini, sebagian besar ahli ransomware tidak berpikir perusahaan keamanan dan peneliti harus mempublikasikan kelemahan atau dekripsi enkripsi karena memungkinkan pelaku ancaman untuk memperbaiki bug di malware mereka.

Sebaliknya, disarankan agar mereka yang membuat decryptor menjangkau perusahaan antivirus, firma penanganan insiden, penegak hukum, dan komunitas seperti BleepingComputer yang biasanya membantu korban ransomware.

Decryptors ini kemudian dapat digunakan oleh organisasi-organisasi ini untuk membantu korban secara pribadi, sementara pada saat yang sama tidak mengungkapkan secara publik kepada pengembang ransomware bagaimana memperbaiki kekurangan mereka.

selengkapnya : BleepingComputer

Peretas Cyberpunk dan Witcher melelang kode sumber curian seharga jutaan dolar

February 13, 2021 by Winnie the Pooh

Para peretas yang menargetkan pengembang video game CD Projekt Red (CDPR) dengan serangan ransomware telah melelang kode sumber curian yang mereka peroleh dengan bayaran jutaan dolar.

Pelanggaran, yang pertama kali diungkapkan CDPR kemarin setelah mempelajarinya pada hari Senin minggu ini, melibatkan kode permainan penting yang terkait dengan rilis profil tinggi seperti The Witcher 3 dan Cyberpunk 2077. CDPR mengatakan pada saat itu bahwa mereka tidak berniat untuk bertemu dengan para peretas ‘tuntutan, bahkan jika itu berarti materi curian dari peretasan mulai beredar secara online.

Itu mulai terjadi tidak lama kemudian. Pada hari Rabu, kebocoran informasi kode sumber yang berpotensi sah mulai muncul di forum online, seperti yang dicatat di Twitter oleh akun keamanan siber vx-underground.

selengkapnya : TheVerge

Eletrobras, perusahaan energi Copel yang terkena serangan ransomware

February 10, 2021 by Winnie the Pooh

Centrais Eletricas Brasileiras (Eletrobras) dan Companhia Paranaense de Energia (Copel), dua perusahaan utilitas listrik besar di Brasil telah mengumumkan bahwa mereka mengalami serangan ransomware selama seminggu terakhir.

Dikuasai negara, keduanya adalah pemain kunci di negara tersebut. Copel menjadi yang terbesar di negara bagian Paraná sementara Eletrobras adalah perusahaan utilitas listrik terbesar di Amerika Latin dan juga memiliki Eletronuclear, anak perusahaan yang terlibat dalam pembangunan dan pengoperasian pembangkit listrik tenaga nuklir.

Kedua serangan ransomware mengganggu operasi dan memaksa perusahaan untuk menangguhkan beberapa sistem mereka, setidaknya untuk sementara.

Dalam kasus Eletrobras, insiden tersebut terjadi di anak perusahaan Eletronuclear dan diklasifikasikan sebagai serangan ransomware. Ini mempengaruhi beberapa server jaringan administratif dan tidak berdampak pada operasi di pembangkit listrik tenaga nuklir Angra 1 dan Angra 2.

Dalam kasus Copel, serangan tersebut adalah perbuatan geng ransomware Darkside, yang mengklaim telah mencuri lebih dari 1.000GB data dan cache tersebut mencakup informasi akses infrastruktur yang sensitif dan detail pribadi dari manajemen puncak dan pelanggan.

Menurut para peretas, mereka memperoleh akses ke solusi CyberArk perusahaan untuk pengelolaan akses istimewa dan plaintext passwords yang disaring di seluruh infrastruktur lokal dan internet Copel.

Selengkapnya: Bleeping Computer

Ransomware HelloKitty di balik serangan siber CD Projekt Red, pencurian data

February 10, 2021 by Winnie the Pooh

Serangan ransomware terhadap CD Projekt Red dilakukan oleh grup ransomware yang bernama ‘HelloKitty,’ dan ya, itulah nama yang digunakan oleh pelaku ancaman.

Proyek CD mengungkapkan bahwa mereka adalah target serangan ransomware yang mengenkripsi perangkat di jaringan mereka dan menyebabkan pencurian file yang tidak terenkripsi.

Sebagai bagian dari pengumuman tersebut, CD Projekt juga merilis tangkapan layar dari catatan tebusan yang ditinggalkan oleh para penyerang.

Menurut Fabian Wosar dari Emisoft, ransomware yang bertanggung jawab atas serangan siber ini disebut ‘HelloKitty’. Operasi ransomware ini telah aktif sejak November 2020 dan telah menargetkan perusahaan besar lainnya, seperti perusahaan listrik Brazil CEMIG tahun lalu.

Ransomware HelloKitty diberi nama setelah mutex bernama ‘HelloKittyMutex’ yang digunakan saat program jahat yang dapat dieksekusi diluncurkan.

Setelah diluncurkan, HelloKitty akan berulang kali menjalankan taskkill.exe untuk menghentikan proses yang terkait dengan perangkat lunak keamanan, server email, server basis data, perangkat lunak cadangan, dan perangkat lunak akuntansi, seperti QuickBooks.

Setelah mematikan berbagai proses dan layanan yang ditargetkan, HelloKitty akan mulai mengenkripsi file di komputer. Saat mengenkripsi file, HelloKitty akan menambahkan ekstensi .crypted ke nama file terenkripsi, seperti yang ditunjukkan di bawah ini.

Tidak diketahui seberapa besar permintaan tebusan untuk geng ransomware ini dan apakah para korban telah membayar di masa lalu. Saat ini, tidak ada kelemahan yang memungkinkan korban untuk mendekripsi file mereka secara gratis.

Sumber: Bleeping Computer

Serangan ransomware menargetkan perusahaan IT Ness di Israel, AS, India

February 9, 2021 by Winnie the Pooh

Serangan ransomware telah menargetkan perusahaan Ness Digital Engineering yang beroperasi di Israel, AS, dan India, menurut konsultan keamanan siber Einat Meyron.

Rincian serangan siber masih belum jelas, tetapi laporan awal menunjukkan bahwa serangan itu mungkin telah dimulai di Israel dan kemudian menyebar ke cabang Ness lainnya di seluruh dunia.

Shachar Efal, CEO Ness Technologies, mengatakan kepada Ynet bahwa semua sistem mereka telah diuji dan tidak ada gangguan ke dalam perusahaan atau pelanggannya, termasuk ratusan pelanggan di Israel.

Menurut Direktorat Siber Nasional, insiden itu tidak ada hubungannya dengan Israel.

Menurut Meyron, lebih dari 150 server di Israel dan sekitar 1.000 server di luar Israel sedang dipindai oleh McAfee sehubungan dengan serangan itu. Manajer perusahaan cabang India dilaporkan telah mulai mengelola insiden tersebut dan telah melibatkan perusahaan asuransi mereka, AIG.

Tangkapan layar dari pesan yang ditampilkan sebagai bagian dari serangan tersebut berbunyi “Halo ness-digital-engineering! Jika Anda membaca pesan ini, artinya jaringan Anda DITETRASI dan semua file serta data Anda telah DIENKRIPSI oleh RAGNAR LOCKER!” Pesan tersebut menginstruksikan perusahaan untuk menghubungi obrolan langsung yang disediakan dalam pesan untuk menyelesaikan kasus dan “membuat kesepakatan.”

Selengkapnya: Jpost

Bagaimana serangan phishing yang berhasil dapat merugikan organisasi Anda

February 9, 2021 by Winnie the Pooh

Serangan phishing tampak seperti taktik yang relatif sederhana di pihak penjahat siber. Namun, di sisi penerima, kampanye phishing yang berhasil dapat merusak organisasi dengan lebih dari satu cara.

Sebuah laporan yang dirilis pada hari Minggu oleh penyedia keamanan Proofpoint melihat dampak serangan phishing dan menawarkan tip tentang cara melawannya.

Tahun 2020 terlihat sedikit peningkatan serangan phishing di antara pelanggan Proofpoint. Sekitar 57% mengatakan organisasi mereka terkena serangan yang sukses tahun lalu, naik dari 55% pada 2019. Lebih dari 75% responden mengatakan mereka menghadapi serangan phishing berbasis luas – baik yang berhasil maupun yang tidak – pada tahun 2020.

Serangan phishing yang berhasil dapat memengaruhi organisasi dalam beberapa cara. Kehilangan data adalah efek samping terbesar, dikutip oleh rata-rata 60% di antara mereka yang disurvei.

Akun atau kredensial yang disusupi adalah pengaruh terbesar kedua, yang disebutkan oleh 52% responden. Hasil tambahan dari serangan phishing termasuk infeksi ransomware sebanyak 47%, infeksi malware lainnya sebesar 29%, dan kerugian finansial atau penipuan transfer bank sebesar 18%.

Untuk membantu organisasi dan karyawan Anda menggagalkan kampanye phishing, Proofpoint menawarkan berbagai saran yang dapat Anda lihat disini.

Sumber: Tech Republic

Ziggy ransomware menutup bisnis mereka dan melepaskan kunci dekripsi korban

February 8, 2021 by Winnie the Pooh

Operasi ransomware Ziggy telah ditutup dan merilis kunci dekripsi korban setelah kekhawatiran tentang aktivitas penegakan hukum baru-baru ini dan rasa bersalah karena mengenkripsi korban.

Selama akhir pekan, peneliti keamanan M. Shahpasandi mengatakan kepada BleepingComputer bahwa admin Ziggy Ransomware mengumumkan di Telegram bahwa mereka menutup operasi mereka dan akan melepaskan semua kunci dekripsi.

Kemarin, admin ransomware Ziggy memposting file SQL yang berisi 922 kunci dekripsi untuk korban yang dienkripsi. Untuk setiap korban, file SQL mencantumkan tiga kunci yang diperlukan untuk mendekripsi file terenkripsi mereka.

Admin ransomware juga memposting decryptor [VirusTotal] yang dapat digunakan korban dengan kunci yang tercantum dalam file SQL.

Admin ransomware juga membagikan file ini dengan pakar ransomware Michael Gillespie yang memberi tahu BleepingComputer bahwa Emsisoft akan segera merilis decryptor.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Ransomware

Cookies Settings