Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Ransomware

Ransomware

Decryptor ransomware DarkSide memulihkan file korban secara gratis

by

Perusahaan keamanan siber Rumania, Bitdefender, telah merilis decryptor gratis untuk ransomware DarkSide untuk memungkinkan korban memulihkan file mereka tanpa membayar uang tebusan.

DarkSide adalah ransomware yang dioperasikan oleh manusia yang telah menghasilkan jutaan pembayaran sejak mulai menargetkan perusahaan pada Agustus 2020.

Operasi tersebut telah mengalami lonjakan aktivitas antara Oktober dan Desember 2020 ketika jumlah pengiriman sampel DarkSide pada platform ID-Ransomware meningkat lebih dari empat kali lipat.

Sumber: ID-Ransomware

Alat dekripsi ransomware DarkSide dapat diunduh melalui BitDefender dan ini akan memungkinkan Anda untuk memindai seluruh sistem Anda atau hanya satu folder untuk file terenkripsi.

Decryptor akan secara otomatis mendekripsi semua dokumen terenkripsi yang ditemukannya di komputer Anda dan, setelah selesai, itu akan mengingatkan Anda untuk membuat cadangan data Anda di masa mendatang.

Sumber: BleepingComputer

Sumber: Bleeping Computer

FBI memperingatkan Egregor ransomware yang memeras bisnis di seluruh dunia

by

Biro Investigasi Federal AS (FBI) telah mengirimkan peringatan peringatan keamanan kepada perusahaan sektor swasta bahwa operasi ransomware Egregor secara aktif menargetkan dan memeras bisnis di seluruh dunia.

FBI mengatakan dalam TLP: WHITE Private Industry Notification (PIN) yang dibagikan pada hari Rabu bahwa Egregor mengklaim telah menyerang dan membahayakan lebih dari 150 korban sejak agensi tersebut pertama kali mengamati aktivitas jahat ini pada September 2020.

Email phishing dengan lampiran berbahaya dan Remote Desktop Protocol (RDP) yang tidak aman atau Virtual Private Networks adalah beberapa vektor serangan yang digunakan oleh aktor Egregor untuk mendapatkan akses dan bergerak secara lateral dalam jaringan korban mereka.

Egregor menggunakan Cobalt Strike, Qakbot / Qbot, Advanced IP Scanner, dan AdFind untuk eskalasi hak istimewa dan pergerakan jaringan lateral.

FBI juga membagikan daftar langkah-langkah mitigasi yang direkomendasikan yang akan membantu mempertahankan diri dari serangan Egregor:

  • Cadangkan data penting secara offline.
  • Pastikan salinan data penting ada di cloud atau di hard drive eksternal atau perangkat penyimpanan.
  • Amankan cadangan Anda dan pastikan data tidak dapat diakses untuk modifikasi atau penghapusan dari sistem tempat data berada.
  • Instal dan perbarui perangkat lunak anti-virus atau anti-malware secara teratur di semua host.
  • Hanya gunakan jaringan yang aman dan hindari menggunakan jaringan Wi-Fi publik.
  • Gunakan otentikasi dua faktor dan jangan klik pada lampiran atau tautan yang tidak diminta dalam email.
  • Prioritaskan penambalan produk dan aplikasi akses jarak jauh yang dapat diakses publik, termasuk kerentanan RDP terbaru (CVE-2020-0609, CVE-2020-0610, CVE-2020-16896, CVE-2019-1489, CVE-2019-1225, CVE-2019 -1224, CVE-2019-1108).
  • Tinjau file .bat dan .dll yang mencurigakan, file dengan data pengintaian (seperti file .log), dan alat eksfiltrasi.
  • Konfigurasikan RDP secara aman dengan membatasi akses, menggunakan otentikasi multi-faktor atau kata sandi yang kuat.

Sumber: Bleeping Computer

Geng Ryuk Ransomware diperkirakan telah menghasilkan lebih dari $150 juta dari serangan ransomware

by

Operator ransomware Ryuk diyakini telah mendapatkan Bitcoin senilai lebih dari $150 juta dari pembayaran tebusan setelah adanya gangguan di perusahaan di seluruh dunia.

Dalam laporan bersama yang diterbitkan hari ini, perusahaan ancaman intel, Advanced Intelligence dan perusahaan keamanan siber HYAS mengatakan mereka melacak pembayaran ke 61 alamat Bitcoin yang sebelumnya dikaitkan dan terkait dengan serangan ransomware Ryuk.

Apa yang menurut kedua perusahaan aneh adalah bahwa sementara kelompok ransomware lain biasanya menggunakan pertukaran yang kurang dikenal untuk menguangkan dana, Ryuk mengubah Bitcoin menjadi mata uang fiat nyata menggunakan akun di dua portal kripto yang sangat terkenal, seperti Binance dan Huobi, sebagian besar kemungkinan menggunakan identitas yang dicuri.

Sumber: AdvIntel

Angka terakhir datang dari Februari 2020, ketika pejabat FBI berbicara di konferensi keamanan RSA. Pada saat itu, FBI mengatakan bahwa Ryuk sejauh ini merupakan geng ransomware paling menguntungkan yang aktif, telah menghasilkan lebih dari $61,26 juta dari pembayaran tebusan antara Februari 2018 dan Oktober 2019, berdasarkan keluhan yang diterima oleh FBI Internet Crime Complaint. Pusat.

Sumber: FBI

Dengan laporan hari ini dan angka $150 juta, jelas bahwa Ryuk telah mempertahankan posisinya di puncak, setidaknya, untuk saat ini.

Sumber: ZDNet

Setelah menolak membayar tebusan, data sensitif dari distributor suku cadang mobil yang berbasis di AS dibocorkan oleh peretas

by

Arsip 3GB yang konon milik NameSouth, sebuah toko suku cadang mobil yang berbasis di AS, telah dibocorkan secara terbuka oleh grup ransomware NetWalker.

NameSouth tampaknya menjadi korban terbaru dari geng ransomware yang muncul sekitar tahun 2019. Target NetWalker tersebar di berbagai industri, dengan arsip data yang dicuri dari sekitar seratus bisnis yang menjadi korban yang diposting secara publik di situs web geng tersebut hingga saat ini.

Arsip NameSouth yang dibocorkan oleh NetWalker mencakup data rahasia perusahaan dan dokumen sensitif, termasuk data keuangan dan akuntansi, pernyataan kartu kredit, informasi pribadi karyawan, dan berbagai dokumen hukum.

Dilihat dari tanggal pembuatan file cadangan, arsip tersebut diambil dari jaringan NameSouth pada tanggal 26 November. Tampaknya data tersebut bocor beberapa hari kemudian, setelah perusahaan melewatkan tenggat waktu yang diberikan geng ransomware untuk membayar tebusan.

Geng ransomware NetWalker cenderung menawarkan data yang dibocorkan pasca-pelanggaran secara gratis, dan hanya memberi label harga setelah data diunduh beberapa kali. Ada kemungkinan besar bahwa cepat atau lambat, data rahasia perusahaan tersebut dapat digunakan oleh pihak yang jahat untuk tujuan jahat.

Sumber: Cyber News

Geng Ransomware Mengumpulkan Data dari Lab Pengujian Darah

by

Apex Laboratory, yang menyediakan pemeriksaan darah di rumah untuk pasien di New York City, Long Island dan South Florida, telah terkena serangan ransomware yang juga mengakibatkan data pasien dicuri.

Meskipun perusahaan baru saja mengungkapkan serangan itu, itu terjadi pada 25 Juli, ketika “sistem tertentu di lingkungannya dienkripsi dan tidak dapat diakses”, menurut pemberitahuan situs web pada minggu lalu.

Bekerja sama dengan perusahaan keamanan siber, Apex dapat mengamankan jaringannya dan melanjutkan operasinya dua hari kemudian. Namun penyelidikan forensik berlanjut, akhirnya menentukan pada 15 Desember bahwa penyerang telah memposting informasi di blog mereka tentang serangan itu dan mengklaim telah mengambil informasi pribadi dan kesehatan, kata perusahaan itu dalam pemberitahuan Malam Tahun Baru.

Data tersebut termasuk nama pasien, tanggal lahir, hasil tes, dan untuk beberapa individu, nomor Jaminan Sosial dan nomor telepon, kata Apex.

Sumber: Threat Post

Babuk Locker adalah ransomware perusahaan baru pertama di tahun 2021

by

Awal tahun 2021 ini datang dengan ransomware baru bernama Babuk Locker yang menargetkan korban perusahaan dalam serangan yang dioperasikan oleh manusia.

Babuk Locker adalah operasi ransomware baru yang diluncurkan pada awal 2021 dan sejak itu mengumpulkan sejumlah kecil korban dari seluruh dunia.

Dari negosiasi tebusan dengan korban yang dilihat oleh BleepingComputer, permintaan berkisar dari $60.000 hingga $85.000 dalam Bitcoin.

Setiap executable Babuk Locker yang dianalisis oleh BleepingComputer telah disesuaikan per korban untuk memuat ekstensi hardcode, catatan tebusan, dan URL Tor.

Saat diluncurkan, pelaku ancaman dapat menggunakan argumen baris perintah untuk mengontrol bagaimana ransomware harus mengenkripsi pembagian jaringan dan apakah mereka harus dienkripsi sebelum sistem file lokal.

Setelah diluncurkan, ransomware akan menghentikan berbagai layanan dan proses Windows yang diketahui menjaga file tetap terbuka dan mencegah enkripsi. Program yang dihentikan termasuk mail server, backup software, mail client dan web browser.

Saat mengenkripsi file, Babuk Locker akan menggunakan ekstensi hardcode dan menambahkannya ke setiap file terenkripsi, seperti yang ditunjukkan di bawah ini. Ekstensi hardcode saat ini yang digunakan untuk semua korban sejauh ini adalah .__ NIST_K571__.

Sumber: BleepingComputer

Operator ransomware juga akan meminta korban untuk mengirim file %AppData%\ecdh_pub_k.bin, yang berisi public key ECDH korban yang memungkinkan pelaku ancaman untuk melakukan uji dekripsi file korban atau menyediakan dekripsi.

Sayangnya, peneliti keamanan Chuong Dong mengatakan bahwa penggunaan ChaCha8 dan Elliptic-curve Diffie pada ransomware – Hellman (ECDH) membuat ransomware aman dan tidak dapat didekripsi secara gratis.

Sumber: Bleeping Computer

Ryuk ransomware adalah ancaman utama bagi sektor kesehatan

by

Organisasi perawatan kesehatan terus menjadi target utama untuk semua jenis serangan siber, dengan insiden ransomware, Ryuk khususnya, menjadi lebih umum.

Dalam laporan bersama pada akhir Oktober, Cybersecurity and Infrastructure Security Agency (CISA) AS, Biro Investigasi Federal (FBI), dan Departemen Kesehatan dan Layanan Kemanusiaan (HHS) memperingatkan ancaman kejahatan siber yang akan segera terjadi ke rumah sakit dan penyedia layanan kesehatan.

Ini bertujuan untuk mempersiapkan organisasi menghadapi serangan ransomware Ryuk dan Conti dengan menyediakan taktik, teknik, dan prosedur (TTP) khusus untuk insiden dengan jenis malware ini.

Menurut Check Point, ancaman ransomware utama yang digunakan dalam serangan terhadap entitas kesehatan adalah Ryuk diikuti oleh REvil (Sodinokibi).

Sesuai data yang dikumpulkan oleh Check Point, sebagian besar serangan siber selama dua bulan terakhir yang menghantam organisasi perawatan kesehatan di Eropa Tengah, melonjak hingga hampir 150% pada November.

Sumber: Check Point

Dengan jumlah infeksi COVID-19 yang terus meningkat, serangan siber cenderung terus menghantam organisasi perawatan kesehatan. Menjaga sistem tetap diperbarui dengan tambalan terbaru, kebersihan siber yang baik, memantau jaringan untuk akses yang tidak sah, dan mendidik karyawan untuk mengenali upaya phishing adalah cara yang baik untuk melindungi dari serangan dari sebagian besar pelaku ancaman.

Sumber: Bleeping Computer

Whirlpool raksasa peralatan rumah tangga terkena serangan ransomware Nefilim

by

Whirlpool raksasa peralatan rumah tangga mengalami serangan ransomware oleh geng ransomware Nefilim yang mencuri data sebelum mengenkripsi perangkat.

Whirlpool adalah salah satu pembuat aplikasi rumah terbesar di dunia dengan peralatan di bawah namanya dan KitchenAid, Maytag, Brastemp, Consul, Hotpoint, Indesit, dan Bauknecht. Whirlpool mempekerjakan 77.000 orang di 59 pusat penelitian manufaktur & teknologi di seluruh dunia dan menghasilkan pendapatan sekitar $20 miliar untuk tahun 2019.

Selama akhir pekan, geng ransomware Nefilim menerbitkan file yang dicuri dari Whirlpool selama serangan ransomware. Data yang bocor termasuk dokumen terkait tunjangan karyawan, permintaan akomodasi, permintaan informasi medis, pemeriksaan latar belakang, dan banyak lagi.

Sumber: BleepingComputer

Sebuah sumber di industri keamanan siber mengatakan kepada BleepingComputer bahwa geng ransomware Nefilim menyerang Whirlpool pada akhir pekan pertama bulan Desember.

Sumber: BleepingComputer

Nefilim bukanlah operasi ransomware yang sangat aktif tetapi dikenal karena serangan terhadap korban besar dan terkenal lainnya di masa lalu. Korban lain yang diserang oleh Nefilim termasuk Orange S.A., Dussman Group, Luxottica, dan Toll Group.

Sumber: Bleeping Computer