Ransomware

Kampanye Emotet Dimulai Kembali Setelah Hiatus Tujuh Minggu

December 23, 2020 by Winnie the Pooh

Pada bulan Oktober, tiga gelombang spam yang sarat dengan Emotet downloader bekerja untuk menyebarkan malware ke sistem pengguna yang rentan, memulai rangkaian yang sering mengakibatkan infeksi ransomware Ryuk atau upaya untuk mencuri kredensial rekening bank melalui Trojan perbankan Trickbot.

Tujuh minggu setelah kampanye besar Emotet terakhir, para penjahat siber di belakang kampanye tersebut telah memulai upaya mereka untuk menyusupi lebih banyak sistem, menurut beberapa organisasi keamanan siber.

Tim anti-spam Abuse.ch mencatat pada 22 Desember bahwa aktivitas kelompok kejahatan siber telah meningkatkan tepat sebelum Natal. Sehari sebelumnya, penyedia keamanan perpesanan Proofpoint mencatat bahwa sistemnya melihat lebih dari 100.000 pesan dalam berbagai bahasa dan dengan berbagai lampiran atau tautan.

Kampanye terbaru dapat menyebabkan sistem yang dikompromikan dan ancaman terhadap jaringan bisnis, karena sebagian besar karyawan terus bekerja dari rumah.

“Apa yang membuat Emotet sangat berbahaya bagi organisasi adalah bahwa itu telah menjadi pijakan utama untuk penyebaran Trojan perbankan lainnya di masa depan,” kata Sherrod DeGrippo, direktur senior penelitian dan deteksi ancaman di Proofpoint. “Pada titik ini, Trojan perbankan arus utama dapat menyebabkan serangan ransomware yang menghancurkan”.

Sementara kampanye Emotet terbaru dimulai sekitar pertengahan Desember, aktivitas tersebut menjadi paling jelas dalam beberapa hari terakhir. Proofpoint mengeluarkan pernyataan singkat di Twitter pada 21 Desember yang juga menampilkan tangkapan layar dari manipulasi psikologis yang digunakan untuk mencoba membuat korban mematikan fitur Microsoft 365 yang memblokir dokumen berbahaya.

Sumber: Dark Reading

Microsoft dan McAfee menjadi berita utama ‘Ransomware Task Force’ yang baru dibentuk

December 23, 2020 by Winnie the Pooh

Sebuah kelompok yang terdiri dari 19 perusahaan keamanan, perusahaan teknologi, dan nirlaba, yang dipimpin oleh nama-nama besar seperti Microsoft dan McAfee, telah mengumumkan pada hari Senin rencana untuk membentuk koalisi baru untuk menghadapi meningkatnya ancaman ransomware.

Dinamakan Ransomware Task Force (RTF), grup baru ini akan fokus pada penilaian solusi teknis yang ada yang memberikan perlindungan selama serangan ransomware.

RTF akan menugaskan pelaksana ahli tentang topik tersebut, melibatkan pemangku kepentingan di seluruh industri, mengidentifikasi celah dalam solusi saat ini, dan kemudian mengerjakan peta jalan umum untuk menangani masalah di antara semua anggota.

Hasil akhirnya harus berupa kerangka kerja standar untuk menangani serangan ransomware di seluruh vertikal, yang didasarkan pada konsensus industri daripada saran individu yang diterima dari kontraktor tunggal.

Saat ini, ransomware bukanlah bentuk malware yang paling tersebar luas maupun jenis serangan siber yang menyebabkan kerugian finansial terbesar bagi perusahaan setiap tahun. Gelar tersebut jatuh ke penipuan BEC, menurut FBI.

Namun demikian, ransomware masih menjadi ancaman utama dan tren yang terus meningkat, dengan permintaan tebusan yang terus meningkat dari kuartal ke kuartal.

Sumber: ZDNet

Ransomware menyamar sebagai versi seluler Cyberpunk 2077

December 18, 2020 by Winnie the Pooh

Aktor ancaman mendistribusikan installer Windows dan Android palsu game Cyberpunk 2077 yang berisi ransomware CoderWare.

Untuk mengelabui pengguna agar memasang malware, pelaku ancaman biasanya mendistribusikannya sebagai gamer installer, cheats, dan crack untuk software copyright.

Minggu ini, analis malware Kaspersky Tatyana Shishkova menemukan ransomware Android yang menyamar sebagai versi seluler dari game Cyberpunk 2077. Game tersebut didistribusikan dari situs web palsu yang meniru Google Play Store yang sah.

Shishkova menulis di akun Twitter nya bahwa ransomware CoderWare menggunakan kunci hardcode, yang berarti decryptor dapat dibuat jika perlu untuk memulihkan file secara gratis.

Ransomware ini sama dengan yang ditemukan oleh MalwareHunterTeam pada bulan November yang menyamar sebagai installer Windows Cyberpunk 2077. Seperti versi Android, ransomware ini menyebut dirinya CoderWare tetapi merupakan varian dari ransomware BlackKingdom.

Seperti yang Anda lihat, saat mencoba menginstal perangkat lunak berhak cipta secara gratis, Anda menghadapi risiko besar adanya infeksi malware. Risiko ini bahkan lebih signifikan ketika Anda mencoba memasang aplikasi Android dari toko aplikasi pihak ketiga.

Sumber: Bleeping Computer

FBI mengatakan geng ransomware DoppelPaymer melecehkan korban yang menolak membayar

December 17, 2020 by Winnie the Pooh

Biro Investigasi Federal AS mengatakan mereka mengetahui insiden di mana geng ransomware DoppelPaymer telah menggunakan cold-calling untuk mengintimidasi dan memaksa korban untuk membayar permintaan tebusan.

Peringatan PIN FBI, dikirim pada 10 Desember, mengonfirmasi laporan ZDNet dari 5 Desember yang merinci taktik cold-calling serupa yang digunakan oleh empat grup ransomware lainnya: Sekhmet (sekarang tidak berfungsi), Maze (sekarang tidak berfungsi), Conti, dan Ryuk. FBI mengatakan taktik ini sebenarnya pertama kali terlihat pada geng DoppelPaymer beberapa bulan sebelumnya.

“Doppelpaymer adalah salah satu varian ransomware pertama di mana para pelaku memanggil para korban untuk meminta pembayaran,” kata FBI.

“Pada Februari 2020, dalam banyak kasus, para pelaku DoppelPaymer telah mengikuti infeksi ransomware dengan menelepon para korban untuk memeras pembayaran melalui intimidasi atau mengancam akan merilis data yang dieksfiltrasi,” tambahnya.

Geng DoppelPaymer adalah satu dari 20 geng ransomware lebih yang mengoperasikan situs kebocoran tempat mereka mempublikasikan data dari perusahaan yang menolak membayar tebusan – sebagai bentuk balas dendam.

Dalam peringatan PIN DoppelPaymer, FBI merekomendasikan agar korban mengamankan jaringan mereka untuk mencegah gangguan sejak awal, dan dalam kasus serangan, merekomendasikan agar korban memberi tahu pihak berwenang dan mencoba untuk menghindari pembayaran tebusan karena ini memberikan penyerang semangat baru untuk melakukan serangan intrusi baru, tertarik dengan keuntungan mudah yang mereka hasilkan.

Sumber: ZDNet

Raksasa Pemrosesan Pembayaran TSYS: Insiden Ransomware “Tidak Penting” bagi Perusahaan

December 15, 2020 by Winnie the Pooh

Raksasa pemrosesan kartu pembayaran TSYS mengalami serangan ransomware awal bulan ini. Sejak itu, banyak data yang dicuri dari perusahaan telah diposting secara online, dengan para penyerang berjanji untuk mempublikasikan lebih banyak lagi dalam beberapa hari mendatang.

Tetapi perusahaan mengatakan malware itu tidak membahayakan data kartu, dan insiden itu terbatas pada area administratif bisnisnya.

TSYS menyediakan layanan pemrosesan pembayaran, layanan pedagang, dan solusi pembayaran lainnya, termasuk kartu debit prabayar dan kartu penggajian. Pada 2019, TSYS diakuisisi oleh perusahaan jasa keuangan Global Payments Inc.

Pada tanggal 8 Desember, geng penjahat siber yang bertanggung jawab menyebarkan jenis ransomware Conti (juga dikenal sebagai “Ryuk”) menerbitkan lebih dari 10 gigabyte data yang diklaim telah dihapus dari jaringan TSYS.

Geng tersebut mengklaim data yang dipublikasikan sejauh ini hanya mewakili 15 persen dari informasi yang diambil dari TSYS sebelum meledakkan ransomware di dalam perusahaan. Dalam tanggapan tertulis, TSYS mengatakan serangan itu tidak memengaruhi sistem yang menangani pemrosesan kartu pembayaran.

TSYS menolak untuk mengatakan apakah mereka membayar uang tebusan atau tidak. Namun menurut Fabian Wosar, chief technology officer di perusahaan keamanan komputer Emsisoft, Conti biasanya hanya menerbitkan data dari para korban yang menolak untuk menegosiasikan pembayaran uang tebusan.

Sumber: Krebs On Security

Raksasa elektronik Foxconn terkena ransomware, tebusan $34 juta

December 15, 2020 by Winnie the Pooh

Raksasa elektronik Foxconn mengalami serangan ransomware di fasilitas Meksiko selama akhir pekan Thanksgiving, di mana penyerang mencuri file yang tidak dienkripsi sebelum mengenkripsi perangkat.

Foxconn adalah perusahaan manufaktur elektronik terbesar di dunia, dengan pendapatan tercatat $172 miliar pada 2019 dan lebih dari 800.000 karyawan di seluruh dunia. Anak perusahaan Foxconn termasuk Sharp Corporation, Innolux, FIH Mobile, dan Belkin.

Operator ransomware DoppelPaymer menerbitkan file milik Foxconn NA di situs kebocoran data ransomware mereka. Data yang bocor termasuk dokumen dan laporan bisnis umum tetapi tidak berisi informasi keuangan atau detail pribadi karyawan.

Sejak serangan itu, situs web fasilitas tersebut tidak dapat diakses dan saat ini menunjukkan kesalahan kepada pengunjung.

Beberapa sumber juga telah membagikan catatan tebusan yang dibuat di server Foxconn selama serangan ransomware, seperti yang dapat dilihat di bawah.

Dalam sebuah wawancara dengan DoppelPaymer, geng ransomware mengkonfirmasi bahwa mereka menyerang fasilitas Foxconn di Amerika Utara pada tanggal 29 November tetapi tidak menyerang seluruh perusahaan.

Sebagai bagian dari serangan ini, pelaku ancaman mengklaim telah mengenkripsi sekitar 1.200 server, mencuri 100 GB file tidak terenkripsi, dan menghapus cadangan 20-30 TB.

Dalam sebuah pernyataan kepada BleepingComputer, Foxconn mengkonfirmasi serangan itu dan mengatakan mereka perlahan-lahan mengembalikan sistem mereka.

Sumber: Bleeping Computer

Lab Habana Intel diretas oleh ransomware Pay2Key, dan data dicuri

December 14, 2020 by Winnie the Pooh

Pengembang prosesor AI milik Intel, Habana Labs, telah mengalami serangan siber di mana datanya dicuri dan dibocorkan oleh pelaku ancaman.

Habana Labs adalah pengembang prosesor AI Israel yang mempercepat beban kerja kecerdasan buatan di pusat data. Intel membeli perusahaan tersebut pada Desember 2019 dengan harga sekitar $2 miliar.

Kemarin, operasi ransomware Pay2Key membocorkan data yang diduga dicuri dari Habana Labs selama serangan siber. Data ini mencakup informasi akun domain Windows, informasi zona DNS untuk domain, dan file listing dari sistem tinjauan kode pengembangan Gerrit nya.

Selain konten yang diposting di situs kebocoran data mereka, operator Pay2Key telah membocorkan dokumen bisnis dan gambar-gambar kode sumber.

Dalam sebuah postingan di situs kebocoran data Pay2Key, pelaku ancaman telah menyatakan bahwa Habana Labs memiliki waktu “72 jam untuk menghentikan proses kebocoran …” Tidak diketahui tuntutan tebusan apa yang dibuat untuk menghentikan kebocoran data.

Pay2Key adalah operasi ransomware yang relatif baru di balik serangkaian serangan terhadap bisnis Israel pada November 2020, seperti yang dilaporkan oleh perusahaan keamanan siber Israel, Check Point dan Profero.

Sumber: Bleeping Computer

Ransomware baru ini semakin kuat dan bisa menjadi ancaman utama bagi para peneliti

December 14, 2020 by Winnie the Pooh

Ransomware yang menuntut jutaan dolar dari para korban dan sedang diperbarui dengan fitur-fitur baru dapat menjadi ancaman serius lainnya bagi bisnis.

Ransomware MountLocker pertama kali muncul pada bulan Juli dan mengenkripsi jaringan korban dengan para penyerang yang meminta bitcoin sebagai ganti kunci dekripsi. Seperti bentuk ransomware lainnya, peretas kriminal di baliknya mengancam akan membocorkan informasi yang dicuri dari organisasi korban jika tebusan bitcoin tidak dibayarkan.

Peneliti keamanan siber di BlackBerry telah menganalisis MountLocker dan mengatakan bahwa mereka yang berada di belakangnya “jelas baru saja melakukan pemanasan” – dan kelompok ransomware ini bisa menjadi ancaman besar di masa mendatang.

Ransomware MountLocker menyebar di seluruh jaringan dengan alat yang tersedia untuk umum hanya dalam 24 jam. Setelah perintah untuk mengeksekusi ransomware dimulai, korban mendapati diri mereka terkunci dari jaringan mereka dan menghadapi permintaan tebusan tujuh digit.

Analisis kampanye menemukan bahwa versi terbaru MountLocker yang dirancang untuk membuatnya lebih efisien dalam mengenkripsi file muncul bulan lalu, serta memperbarui kemampuan untuk menghindari deteksi oleh perangkat lunak keamanan.

Meskipun MountLocker tampaknya masih dalam tahap pengembangan yang relatif awal, itu sudah terbukti efektif dengan mengklaim korban di seluruh dunia dan kemungkinan akan menjadi lebih produktif seiring perkembangannya.

Seperti semua bentuk ransomware, MountLocker memanfaatkan kerentanan keamanan umum untuk menyebar, jadi beberapa cara terbaik untuk melindungi agar tidak menjadi korbannya adalah dengan memastikan bahwa kata sandi default tidak digunakan, otentikasi dua faktor diterapkan dan jaringan diperbarui dengan patch keamanan terbaru untuk mengatasi kerentanan yang diketahui.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Ransomware

Cookies Settings