Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Ransomware

Ransomware

Geng ransomware sekarang menjadi korban panggilan dingin jika mereka memulihkan dari cadangan tanpa membayar

by

Dalam upaya untuk menekan korban, beberapa geng ransomware sekarang menelepon korban di ponsel mereka jika mereka curiga bahwa perusahaan yang diretas mungkin mencoba memulihkan dari cadangan dan menghindari membayar tuntutan tebusan.

Kelompok ransomware yang telah terlihat memanggil korban di masa lalu termasuk Sekhmet (sekarang sudah tidak berfungsi), Maze (sekarang tidak berfungsi), Conti, dan Ryuk, juru bicara perusahaan keamanan cyber Emsisoft mengatakan kepada ZDNet pada hari Kamis. Arete IR dan Emsisoft mengatakan bahwa mereka juga telah melihat template dengan skrip dalam panggilan telepon yang diterima oleh pelanggan mereka. Menurut rekaman panggilan yang dilakukan atas nama geng ransomware Maze, dan dibagikan dengan ZDNet, penelepon tersebut memiliki aksen yang berat, menunjukkan bahwa mereka bukan penutur asli bahasa Inggris.

Di bawah ini adalah transkrip panggilan yang telah disunting, yang disediakan oleh salah satu firma keamanan sebagai contoh, dengan nama korban dihapus:

“Kami mengetahui adanya perusahaan IT pihak ketiga yang bekerja di jaringan Anda. Kami terus memantau dan mengetahui bahwa Anda menginstal antivirus SentinelOne di semua komputer Anda. Tetapi Anda harus tahu bahwa itu tidak akan membantu. Jika Anda ingin berhenti membuang-buang waktu dan memulihkan data Anda minggu ini, kami menganjurkan agar Anda mendiskusikan situasi ini dengan kami dalam obrolan atau masalah dengan jaringan Anda tidak akan pernah berakhir.”

sumber : ZDNET

Ransomware Menjadi Bisnis Serius dan Menguntungkan – Semua yang Perlu Kamu Ketahui

by

Apa itu Ransomware?

Penjahat siber menggunakan encrypted ransomware yang menjadi jenis paling umum karena sulit untuk memecahkan enkripsi dan menghapus malware.

Ransomware mengenkripsi file seolah-olah mereka secara aktif dienkripsi, tetapi sebenarnya, mereka disembunyikan dalam file terpisah, yang menunggu serangkaian kondisi yang ditentukan untuk dibuka sebelum mereka didekripsi.

Dalam kasus ransomware, virus dapat mengenkripsi file tanpa sepengetahuan atau persetujuan pengguna.

Kunci enkripsi dibuat secara offline dan disematkan di malware sebelum dikirim untuk menyerang Anda, atau tertanam di malware yang dikirim selama serangan.

Setelah file Anda dienkripsi, virus akan membuat tutorial tentang cara mendapatkan kunci dekripsi yang tersedia untuk Anda jika Anda membayar uang tebusan. Anda akan diperlihatkan tautan untuk mengunduh decoder yang diperlukan.

Jenis-jenis Ransomware

  • Encryption Ransomware
  • Screen-locking Ransomware
  • Master Boot Record (MBR) Ransomware
  • Web Servers Encrypting Ransomware
  • Mobile Ransomware

Timeline Ransomware

Vektor Serangan Ransomware

Ketika perusahaan yang telah diserang oleh ransomware selama bertahun-tahun diperiksa, serangan phishing email, remote desktop protocol (RDP), dan kerentanan keamanan adalah 3 alasan utama.

Aktor ancaman seperti REvil (Sodinokibi), Ragnarok, DoppelPaymer, Maze, CLOP, dan Nefilim telah menggunakan sistem Citrix yang rentan terhadap CVE-2019–19781 sebagai titik masuk untuk serangan ransomware.

Vektor Serangan Lainnya;

  • Penggunaan perangkat media berbahaya
  • Situs web yang disusupi
  • Download file yang terinfeksi
  • Aplikasi seluler berbahaya
  • Aplikasi pesan berbahaya
  • Penggunaan kata sandi yang lemah
  • Kebijakan keamanan yang buruk

Bagaimana Melindungi Diri Anda?

  • Tentukan inventaris aset digital kamu.
  • Sesuaikan pengaturan anti-spam kamu dengan benar dan gunakan filter spam yang kuat.
  • Jangan membuka email yang mencurigakan dan lampirannya.
  • Hindari memberikan informasi pribadi.
  • Gunakan fitur Show File Extensions.
  • Tambal perangkat lunak kamu dan perbarui terus

Dan ingat, jangan pernah membayar tebusan yang diminta oleh pelaku. Perusahaan penegak hukum dan Keamanan TI telah bergabung untuk mengganggu bisnis penjahat siber dengan koneksi ransomware. Dengan tidak membayar tebusan, kamu telah membantu mereka untuk menghentikan adanya serangan ransomware lainnya. Karena sebagian besar pelaku termotivasi secara finansial untuk menyebarkan ransomware dan mendapatkan uang secara mudah dari sana.

Sumber: Medium The Startup

Pengecer nasional Kmart mengalami serangan ransomware

by

Diberitakan oleh BleepingComputer, department store AS Kmart telah mengalami serangan ransomware yang berdampak pada layanan back-end di perusahaan tersebut.

Kmart mengalami serangan siber oleh operasi ransomware Egregor minggu ini yang mengakibatkan perangkat dan server di jaringan mereka terinkripsi.

Catatan tebusan yang dibagikan dengan BleepingComputer menunjukkan bahwa domain Windows ‘KMART’ disusupi dalam serangan itu.

Sementara toko online terus beroperasi, ‘Situs Sumber Daya Manusia Transformco,’ 88sears.com, saat ini sedang offline. Karyawan mengatakan bahwa pemadaman ini disebabkan oleh serangan ransomware baru-baru ini.

Egregor dikenal karena mencuri file yang tidak dienkripsi sebelum menyebarkan ransomware mereka. Operasi ransomware kemudian mengancam untuk memposting data di situs kebocoran data ransomware jika uang tebusan tidak dibayarkan.

Tidak diketahui apakah penyerang mencuri data, berapa banyak perangkat yang dienkripsi, atau jumlah tebusan yang diminta oleh kelompok kejahatan siber Egregor.

Sumber: Bleeping Computer

Ransomware: Varian baru ini bisa menjadi ancaman malware besar berikutnya bagi bisnis Anda

by

Bentuk baru ransomware menjadi semakin produktif karena penjahat dunia maya menggunakannya sebagai cara yang disukai untuk mengenkripsi jaringan yang rentan dalam upaya mengeksploitasi bitcoin dari para korban. Egregor ransomware pertama kali muncul pada bulan September tetapi telah menjadi terkenal setelah beberapa insiden terkenal, termasuk serangan terhadap penjual buku Barnes & Noble, serta perusahaan video game Ubisoft dan Crytek.

Seperti semua geng ransomware, motif utama di balik Egregor adalah uang dan untuk mendapatkan kesempatan terbaik untuk memeras pembayaran, geng tersebut menggunakan taktik umum yang umum terjadi setelah serangan ransomware – mengancam untuk merilis informasi pribadi yang dicuri dari sekian korban jika mereka tidak membayar. Dalam beberapa kasus, penyerang akan merilis potongan informasi dengan catatan tebusan, sebagai bukti kesungguhan mereka.

Salah satu alasan Egregor tiba-tiba melonjak jumlahnya tampaknya karena itu mengisi celah yang dibiarkan terbuka oleh pengunduran diri geng ransomware Maze. Egregor ransomware masih baru, jadi belum sepenuhnya jelas bagaimana operatornya menyusupi jaringan korban. Para peneliti mencatat bahwa kode tersebut sangat dikaburkan dengan cara yang tampaknya dirancang secara khusus untuk menghindari tim keamanan informasi dapat menganalisis malware.

Organisasi dapat melindungi diri mereka sendiri dari ransomware Egregor dan serangan malware lainnya dengan menggunakan protokol keamanan informasi seperti otentikasi multi-faktor, jadi jika nama pengguna dan kata sandi disusupi oleh penyerang, ada penghalang tambahan yang mencegah mereka untuk mengeksploitasinya. Dan untuk lapisan perlindungan ekstra terhadap serangan ransomware, organisasi harus secara teratur membuat cadangan jaringan mereka dan menyimpannya secara offline, jadi jika yang terburuk terjadi dan jaringan dienkripsi, itu dapat dipulihkan secara relatif tanpa menyerah pada tuntutan pemerasan dari peretas.

sumber : ZDNET

Peretas memposting eksploit untuk lebih dari 49.000 VPN Fortinet yang rentan

by

Seorang peretas telah memposting daftar eksploit satu baris untuk mencuri kredensial VPN dari hampir 50.000 perangkat Fortinet VPN.

Yang ada dalam daftar target rentan adalah domain milik bank dan organisasi pemerintah dari seluruh dunia.

Kerentanan yang dirujuk di sini adalah CVE-2018-13379, kelemahan jalur traversal yang memengaruhi sejumlah besar perangkat VPN Fortinet FortiOS SSL yang belum ditambal.

Dengan memanfaatkan kerentanan ini, penyerang jarak jauh yang tidak diautentikasi dapat mengakses file sistem melalui permintaan HTTP yang dibuat secara khusus.

Eksploit yang diposting oleh peretas memungkinkan penyerang mengakses file sslvpn_websession dari Fortinet VPN untuk mencuri kredensial login. Kredensial yang dicuri ini kemudian dapat digunakan untuk menyusupi jaringan dan menyebarkan ransomware.

Minggu ini, analis intelijen ancaman Bank_Security menemukan utas forum peretas di mana aktor ancaman berbagi 49.577 daftar perangkat dari target yang dapat dieksploitasi.

Setelah menganalisis daftar tersebut, ditemukan bahwa target yang rentan termasuk domain pemerintah dari seluruh dunia, dan yang dimiliki oleh bank dan perusahaan pembiayaan ternama.

Fortinet telah mengeluarkan pernyataan sehubungan dengan kerentanan ini:

“Keamanan pelanggan kami adalah prioritas pertama kami. Pada Mei 2019 Fortinet mengeluarkan peringatan PSIRT mengenai kerentanan SSL yang telah diatasi, dan juga telah berkomunikasi langsung dengan pelanggan dan lagi melalui posting blog perusahaan pada Agustus 2019 dan Juli 2020 sangat merekomendasikan upgrade,” kata juru bicara Fortinet kepada BleepingComputer.

“Dalam seminggu terakhir, kami telah berkomunikasi dengan semua pelanggan dan memberi tahu mereka lagi tentang kerentanan dan langkah-langkah untuk memitigasi. Meskipun kami tidak dapat memastikan bahwa vektor serangan untuk grup ini terjadi melalui kerentanan ini, kami terus mendorong pelanggan untuk menerapkan upgrade dan mitigasi. Untuk mendapatkan informasi lebih lanjut, silakan kunjungi blog kami yang telah diperbarui dan segera merujuk ke penasihat [PSIRT] Mei 2019,” tutup Fortinet.

Sumber: Bleeping Computer

Egregor ransomware membombardir printer korban dengan catatam tebusan

by

Ransomware Egregor menggunakan pendekatan baru untuk menarik perhatian korban setelah serangan – ambil catatan tebusan dari semua printer yang tersedia.

Geng ransomware tahu bahwa banyak bisnis lebih suka menyembunyikan serangan ransomware daripada mempublikasikannya, termasuk kepada karyawan, karena takut akan berita yang memengaruhi harga saham dan reputasi mereka.

Untuk meningkatkan kesadaran publik atas serangan tersebut dan menekan korban agar membayar, operasi Egregor diketahui berulang kali mencetak catatan tebusan dari semua jaringan dan printer lokal yang tersedia setelah serangan terjadi.

Menurut BleepingComputer, mereka dapat mengonfirmasi bahwa itu bukan ransomware yang dapat menjalankan pencetakan catatan tebusan.

Sebaliknya, diyakini bahwa penyerang ransomware menggunakan skrip di akhir serangan untuk mencetak catatan tebusan ke semua printer yang tersedia.

Skrip ini belum ditemukan pada saat penulisan.

Sumber: Bleeping Computer

Capcom menkonfirmasi adanya data breach data breach dalam serangan siber

by

Jika anda tumbuh di masa-masa permainan arcade, maka anda pasti mengenal Capcom, pengembang waralaba game terkenal seperti Street Fighter, Resident Evil, Ghosts and Goblins, Devil May Cry, dan Mega Man. Raksasa game Jepang tersebut telah mengumumkan databreach setelah mengonfirmasi bahwa penyerang mencuri informasi sensitif pelanggan dan karyawan selama serangan ransomware baru-baru ini.

Diketahui bahwa malware yang menyebabkan insiden tersebut adalaj ransomware Ragnar Locker, yang menyebabkan serangan cyber Capcom setelah peneliti keamanan menemukan sampel malware yang digunakan dalam serangan mereka.

Capcom menyatakan tidak ada indikasi bahwa data apa pun telah dicuri.
“Lebih lanjut, disebutkan bahwa saat ini tidak ada indikasi bahwa informasi pelanggan telah dilanggar,” kata Capcom dalam siaran pers 4 November.
Namun, pernyataan mereka bertentangan dengan sampel data yang dicuri yang dilihat oleh BleepingComputer dan diterbitkan oleh Ragnar Locker di situs web dan catatan tebusan mereka.

Capcom mengakui bahwa tidak hanya dokumen rahasia perusahaan yang dicuri, tetapi pelaku ancaman juga mencuri data pelanggan dan karyawan.

Selama serangan itu, para peretas memperoleh akses ke nama pelanggan, alamat, jenis kelamin, nomor telepon, alamat email, tanggal lahir, nama investor, dan jumlah kepemilikan saham, dan foto.
Bagi karyawan, informasi yang terekspos dapat mencakup nama, alamat, informasi paspor, tanda tangan, tanggal lahir, nomor telepon, foto, alamat email, dan lainnya.

Jika anda pernah mendaftarkan akun anda ke Capcom, kami menyarankan untuk mengubah kata sandi Anda dan memastikannya tidak digunakan di situs lain

Mayoritas perusahaan APAC memilih untuk membayar tebusan ransomware

by

Mayoritas bisnis di kawasan Asia-Pasifik memilih untuk membayar setelah menjadi korban serangan ransomware, dengan 88% di Australia dan 78% di Singapura, masing-masing, membayar tebusan seluruhnya atau sebagian.

Sekitar 45% perusahaan di Singapura memerlukan waktu antara lima sampai 10 hari untuk pulih sepenuhnya dari serangan ransomware, dibandingkan dengan 11% di India dan 35% di China, menurut Laporan Ketahanan Ransomware 2020 Veritas. Dilakukan oleh Wakefield Research pada bulan September, studi global tersebut disurvey 2.690 eksekutif senior TI dari perusahaan dengan sedikitnya 1.000 karyawan, termasuk 150 responden masing-masing dari enam pasar Asia-Pasifik, termasuk Jepang dan Korea Selatan.

Hanya 1% di Singapura yang mengatakan mereka membutuhkan lebih dari sebulan untuk pulih sepenuhnya dari serangan Ransomware, seperti halnya 2% di Australia dan 8% di China.

Setelah mengalami serangan ransomware, 62% di China membayar tebusan secara penuh atau sebagian, sementara 77% di India dan 57% di Jepang melakukan hal yang sama. 69% lainnya di Korea Selatan membayar tebusan secara penuh atau sebagian.

Studi tersebut juga mengungkapkan bahwa, secara keseluruhan, perusahaan yang mengelola kompleksitas yang lebih besar dalam infrastruktur multi-cloud mereka lebih cenderung membayar uang tebusan untuk mendapatkan kembali data mereka yang dibajak, dengan jumlah yang melakukannya secara penuh menjalankan rata-rata 17,11 layanan cloud.

Andy Ng, wakil presiden dan direktur pelaksana Veritas Asia-Pasifik, menggarisbawahi pendekatan berlapis tiga langkah yang direkomendasikan vendor keamanan untuk mendeteksi, melindungi, dan memulihkan.

Dia mencatat bahwa pandemi global telah membuat perusahaan lebih rentan terhadap serangan dunia maya, karena mereka kurang siap untuk mendigitalkan operasi mereka dan melengkapi karyawan mereka untuk bekerja dari jarak jauh.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: ZDNet