Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Ransomware

Ransomware

Geng Ransomware Lorenz Menanam Backdoor untuk Digunakan Beberapa Bulan Kemudian

by

Peneliti keamanan memperingatkan bahwa menambal kerentanan kritis yang memungkinkan akses ke jaringan tidak cukup untuk bertahan dari serangan ransomware.

Beberapa geng mengeksploitasi kelemahan untuk merencanakan backdoor. Salah satu kasus adalah serangan ransomware Lorenz yang selesai berbulan-bulan setelah peretas memperoleh akses ke jaringan korban menggunakan eksploit untuk bug kritis dalam sistem telepon.

Backdoor Dipasang Sebelum Pembaruan Keamanan
Menurut S-RM, peretas memperoleh akses awal dengan mengeksploitasi kerentanan kritis dalam infrastruktur telepon Mitel, CVE-2022-29499, memungkinkan eksekusi remote kode.

Sementara klien S-RM telah menerapkan tambalan untuk CVE-2022-29499 pada bulan Juli, peretas ransomware Lorenz bergerak lebih cepat dan mengeksploitasi kerentanan dan menanam backdoor sebelum pembaruan yang memperbaiki masalah tersebut.

Periksa Intrusi Sebelum Menerapkan Perbaikan Bug Kritis
Lorenz secara aktif kembali ke backdoor lama, memeriksa bahwa mereka masih memiliki akses dan menggunakannya untuk meluncurkan serangan ransomware.

Para peneliti mencatat bahwa memperbarui perangkat lunak ke versi terbaru pada waktu yang tepat merupakan langkah penting dalam mempertahankan jaringan. Namun dalam kasus kerentanan kritis, perusahaan juga harus memeriksa lingkungan mereka untuk upaya eksploitasi dan kemungkinan intrusi.

Selengkapnya: BleepingComputer

Ransomware Royal Mengklaim Menyerang Universitas Teknologi Queensland

by

Geng ransomware Royal telah mengaku bertanggung jawab atas serangan dunia maya baru-baru ini di Universitas Teknologi Queensland dan mulai membocorkan data yang diduga dicuri selama pelanggaran keamanan.

Queensland University of Technology (QUT) adalah salah satu universitas terbesar di Australia dengan jumlah mahasiswa (52.672). Berfokus pada studi ilmiah, teknologi, teknik, dan matematika ini telah menerima dana pemerintah yang signifikan untuk mendukung penelitiannya beberapa tahun terakhir.

Serangan ransomware diumumkan QUT pada 1 Januari 2023, memperingatkan mahasiswa dan staf akademik akan gangguan layanan yang tak terhindarkan akibat insiden keamanan.

QUT mengambil tindakan utama dengan mematikan semua sistem TI untuk mencegah penyebaran serangan, dan universitas bekerja sama dengan pakar eksternal terkait insiden keamanan tersebut.

Semua siswa dan personel telah diberitahu tentang situasi ini dan halaman status layanan telah dibuat untuk melaporkan kemajuan pemulihan dan ketersediaan layanan.

Geng Royal Merilis Data Yang Diduga Dicuri
Sementara universitas mengatakan tidak ada bukti data yang dicuri, operasi ransomware Royal mulai menerbitkan data yang mereka klaim telah dicuri dari QUT.

Dalam entri baru di situs kebocoran data mereka, grup ransomware membocorkan file SDM, email dan surat, kartu dan ID, dokumen keuangan dan administrasi yang mereka nyatakan mewakili 10% dari data yang dicuri selama serangan.

Operasi ransomware Royal dimulai pada September 2022 sebagai spin-off dari grup ransomware Conti yang terkenal, yang ditutup pada Mei 2022.

Geng tersebut dengan cepat mendapat perhatian para peneliti dan pemerintah setelah meluncurkan beberapa serangan terhadap organisasi kesehatan.

Selengkapnya: BleepingComputer

Ransomware Mempengaruhi Lebih Dari 200 Organisasi Pemerintah, Pendidikan, Kesehatan Pada Tahun 2022

by

Serangan ransomware pada tahun 2022 berdampak pada lebih dari 200 organisasi yang lebih besar di sektor publik AS di vertikal pemerintahan, pendidikan, dan perawatan kesehatan.

Berdasarkan data yang dikumpulkan dari laporan yang tersedia untuk umum, pernyataan pengungkapan, kebocoran di web gelap, dan intelijen pihak ketiga, menunjukkan bahwa peretas mencuri data di sekitar setengah dari serangan ransomware ini.

Tidak Ada Gambaran Jelas Tentang Serangan Ransomware
Berdasarkan data yang tersedia, ancaman ransomware di AS menyerang 105 kabupaten, 44 universitas dan perguruan tinggi, 45 distrik sekolah, dan 24 penyedia layanan kesehatan.

Tidak semua korban mengungkapkan insiden ini dan beberapa di antaranya mungkin luput dari perhatian para peneliti. Namun, insiden yang mempengaruhi sektor publik lebih mungkin diungkapkan.

Ransomware Mempengaruhi 105 Negara
Pada tahun 2022, serangan ransomware terhadap pemerintah daerah meningkat dari 77 menjadi 105. Angka tersebut dipengaruhi secara dramatis oleh satu insiden di Miller County, AK yang menyebar ke komputer di 55 kabupaten terpisah.

Emsisoft menyoroti bahwa Quincy, MA, adalah satu-satunya pemerintah daerah yang diketahui membayar para peretas, kehilangan $500.000 kepada mereka.

Peretas Mencuri Data Dalam 58 Serangan Terhadap Organisasi Pendidikan
Ransomware menyerang 89 organisasi sektor pendidikan di AS, 44 universitas dan perguruan tinggi, dan 45 distrik sekolah. Peretas mencuri data dalam setidaknya 58 serangan.

Emisoft mengatakan bahwa tiga organisasi pendidikan membayar uang tebusan kepada para peretas untuk memulihkan data terenkripsi.

290 Rumah Sakit Berpotensi Terkena Ransomware
Menurut Emisoft, sangat sulit melacak insiden ransomware di sektor kesehatan, alasan utamanya adalah pengungkapan yang tidak jelas.

Karena itu, mereka hanya menghitung serangan terhadap rumah sakit dan sistem kesehatan multi-rumah sakit, yang bertambah menjadi 24 pada tahun 2022.

Statistik ini tidak memberikan gambaran lengkap tentang serangan ransomware di sektor publik karena akan ada beberapa insiden yang tidak menjadi perhatian perusahaan.

Selengkapnya: BleepingComputer

Geng Ransomware Mengkloning Situs Web Korban Untuk Membocorkan Data Yang Dicuri

by

Operator ransomware ALPHV menjadi kreatif dengan taktik pemerasan mereka, setidaknya dalam satu kasus, membuat replika situs korban untuk mempublikasikan data yang dicuri di dalamnya.

ALPHV sebagai Ransomware BlackCat, dikenal karena menguji taktik pemerasan baru sebagai cara untuk menekan dan mempermalukan korbannya agar membayar.

Peretas Membuat Data Yang Dicuri Lebih Mudah Didapat
Pada 26 Desember, aktor ancaman menerbitkan di situs kebocoran data mereka yang disembunyikan di jaringan Tor bahwa mereka telah menyusupi sebuah perusahaan di bidang jasa keuangan.

BlackCat melakukan langkah standar untuk operator ransomware dengan menerbitkan semua file yang dicuri sebagai hukuman akibat korban tidak memenuhi tuntutan pelaku ancaman.

Para peretas juga memutuskan untuk membocorkan data di situs yang meniru korban dalam hal penampilan dan nama domain.

Situs yang dikloning ada di web yang jelas untuk memastikan ketersediaan file yang dicuri secara luas.

ALPHV ransomware menerbitkan data curian di situs yang menyamar sebagai korban (BleepingComputer)

Pembentukan Tren Baru
Menurut Brett Callow, analis ancaman di perusahaan cybersecurity Emsisoft, berbagi data pada domain yang salah ketik akan menjadi perhatian lebih besar bagi perusahaan korban daripada mendistribusikan data melalui situs web di jaringan Tor, yang diketahui oleh komunitas infosec.

Operasi ransomware selalu mencari opsi baru untuk memeras korbannya. Antara mempublikasikan nama perusahaan yang dilanggar, mencuri data dan mengancam untuk meminta tebusan, dan ancaman DDoS. Taktik ini bisa menjadi awal dari tren baru yang mungkin diadopsi oleh geng ransomware lain, karena biayanya jauh dari signifikan.

Meski tidak jelas seberapa suksesnya, strategi ini mengekspos pelanggaran ke audiens yang lebih besar, menempatkan korban pada posisi yang lebih rentan karena datanya tersedia tanpa batasan apa pun.

Selengkapnya: BleepingComputer

Rumah Sakit Anak Terbesar di Kanada Berjuang Untuk Pulih Dari Serangan Ransomware Pra-Natal

by

Rumah Sakit Anak “SickKids” Toronto, pusat kesehatan anak terbesar di Kanada, masih belum pulih dari serangan ransomware yang dimulai pada 18 Desember. Organisasi layanan kesehatan menganggap insiden ini sebagai “Code Grey” atau mewakili kegagalan sistem.

Pejabat mengkonfirmasi bahwa ini adalah serangan ransomware. Hal ini mengakibatkan halaman web rumah sakit mati, gangguan telepon, dokter kesulitan mengakses hasil lab dan pencitraan yang menyebabkan waktu tunggu yang lama bagi pasien, dan proses seputar pengiriman resep juga terpengaruh.

Uniknya, tidak ada kelompok ransomware yang mengaku bertanggung jawab atas serangan tersebut.

Pada tanggal 23 Desember, rumah sakit mengatakan perlu waktu berminggu-minggu sebelum semua sistem mereka berfungsi normal. Tim klinis dan operasional menerapkan prosedur cadangan untuk sistem yang belum dapat diakses.

Kemudian pada hari Jumat pula, rumah sakit dapat memulihkan saluran telepon dan sistem ketepatan waktu internal untuk penggajian staf. asien masih berurusan dengan penundaan diagnostik dan perawatan karena pemadaman sistem.

Rumah Sakit Anak Sakit adalah rumah sakit anak terbaru yang diserang dalam beberapa tahun terakhir. Serangan ransomware terhadap organisasi layanan kesehatan terus berlanjut sepanjang tahun 2021 dan 2022.

Selengkapnya: The Record

Peretas Mencuri Data Dari Beberapa Utilitas Listrik Dalam Serangan Ransomware Baru

by

Peretas mencuri data milik beberapa utilitas listrik dalam serangan ransomware Oktober terhadap kontraktor pemerintah AS yang menangani proyek infrastruktur penting di seluruh negeri, menurut memo yang menjelaskan peretasan yang diperoleh CNN.

Menurut memo yang dikirim kepada eksekutif perusahaan listrik oleh pusat berbagi ancaman siber regulator jaringan Amerika Utara, pejabat federal memantau insiden tersebut untuk mengetahui potensi dampak yang lebih luas pada sektor listrik AS, sementara penyelidik swasta menyisir web gelap untuk data yang dicuri.

Serangan ransomware yang menghantam Sargent & Lundy berbasis di Chicago, sebuah perusahaan teknik yang telah merancang lebih dari 900 pembangkit listrik dan ribuan mil sistem tenaga, menyimpan data sensitif proyek, dan menangani masalah keamanan nuklir.

Menurut anonim, insiden itu telah diatasi. Tampaknya tidak berdampak lebih luas pada perusahaan sektor listrik lainnya.

Pakar keamanan sudah lama khawatir bahwa skema yang dipegang oleh kontraktor listrik dan tenaga nuklir dapat dibuang secara online dan digunakan untuk serangan fisik atau siber lanjutan pada fasilitas tersebut.

Kekhawatiran itu menyusul rentetan serangan fisik dan vandalisme pada utilitas listrik di berbagai negara bagian. Pada hari Natal, ribuan orang kehilangan aliran listrik di wilayah Washington setelah seseorang merusak beberapa gardu induk di sana.

Romero menolak untuk menjawab pertanyaan lebih lanjut tentang serangan ransomware, termasuk apakah peretas telah mencoba memeras Sargent & Lundy, mengutip penyelidikan yang sedang berlangsung.

Pemerintahan Biden telah mendesak perusahaan untuk berbagi data tentang peretasan seperti itu karena pejabat AS telah mencoba untuk mengatasi epidemi ransomware, yang telah merugikan perusahaan infrastruktur penting jutaan dolar.

Peretas yang menyerang Sargent & Lundy menggunakan jenis ransomware yang dikenal sebagai Black Basta. Peretas mencuri data dari korbannya untuk memberi mereka pengaruh tambahan dalam negosiasi tebusan.

Peraturan federal mewajibkan utilitas listrik untuk mempertahankan standar keamanan siber melindungi sistem mereka dari peretasan. Perusahaan yang membuat kontrak dengan utilitas tersebut, seperti Sargent & Lundy, belum tentu memiliki standar yang sama dan malah terikat oleh persyaratan keamanan dalam kontrak.

Selengkapnya: CNN politics

Ransomware Play Mengklaim Serangan Terhadap Jaringan Hotel Jerman H-Hotels

by

Geng Ransomware Play telah mengaku bertanggung jawab atas serangan dunia maya di H-Hotels (h-hotels.com)yang mengakibatkan gangguan komunikasi bagi perusahaan.

H-Hotels adalah bisnis perhotelan dengan 60 hotel di 50 lokasi di Jerman, Austria, dan Swiss, menawarkan total kapasitas 9.600 kamar, dan mempekerjakan 2.500 orang.

H-Hotels mengungkapkan serangan siber tersebut terjadi pada Minggu, 11 Desember 2022. Setelah penyerang berhasil menerobos sistem perlindungan teknis dan organisasi IT, tim IT segera mengambil tindakan dengan mematikan dan memutus Internet untuk menangkal penyebaran lebih lanjut.

Serangan hanya berdampak pada staf hotel yaitu tidak dapat menerima atau menjawab permintaan pelanggan yang dikirim melalui email, sehingga tamu disarankan untuk menghubungi H-Hotels melalui telepon jika diperlukan.

Data Diduga Dicuri Dalam Serangan
Geng ransomware mengklaim telah mencuri data pribadi dan personal, termasuk dokumen klien, paspor, ID, dan lainnya. Namun, pelaku ancaman belum merilis sampel apa pun untuk mendukung klaim tersebut.

Entri H-Hotels di situs Play ransomware Tor (BleepingComputer)

H-Hotel membantah melihat bukti eksfiltrasi data dalam pengumuman minggu lalu, dan tidak ada pembaruan tentang masalah tersebut sejak saat itu.

Kemungkinan tereksposnya detail dan data pemesanan tamu hotel dapat menjadi kasus pelanggaran privasi yang parah, memberikan informasi tentang lokasi mendatang, informasi keuangan, dan masih banyak lagi.

Selengkapnya: BLEEPINGCOMPUTER

Ratusan situs berita AS mendorong malware dalam serangan supply chain

by

Pelaku ancaman menggunakan infrastruktur perusahaan media yang dirahasiakan untuk menyebarkan kerangka kerja malware JavaScript SocGholish (juga dikenal sebagai FakeUpdates) di situs web ratusan surat kabar di seluruh AS.

“Perusahaan media yang dimaksud adalah perusahaan yang menyediakan konten video dan iklan ke outlet berita utama. [Ini] melayani banyak perusahaan berbeda di pasar yang berbeda di seluruh Amerika Serikat,”

Pelaku ancaman di balik serangan rantai pasokan (supply chain) ini (dilacak oleh Proofpoint sebagai TA569) telah menyuntikkan kode berbahaya ke dalam file JavaScript jinak yang dimuat oleh situs web outlet berita.

File JavaScript berbahaya ini digunakan untuk menginstal SocGholish, yang akan menginfeksi mereka yang mengunjungi situs web yang disusupi dengan muatan malware yang disamarkan sebagai pembaruan browser palsu yang dikirimkan sebagai arsip ZIP (mis., Chromе.Uрdate.zip, Chrome.Updater.zip, Firefoх.Uрdate. zip, Opera.Updаte.zip, Oper.Updte.zip) melalui peringatan pembaruan palsu.

File JavaScript berbahaya dikaburkan konten (BleepingComputer)

Secara total, malware telah diinstal di situs milik lebih dari 250 outlet berita AS, beberapa di antaranya adalah organisasi berita utama, menurut peneliti keamanan di perusahaan keamanan perusahaan Proofpoint.

Sementara jumlah total organisasi berita yang terkena dampak saat ini tidak diketahui, Proofpoint mengatakan mereka mengetahui organisasi media yang terpengaruh (termasuk outlet berita nasional) dari New York, Boston, Chicago, Miami, Washington, D.C., dan banyak lagi.

Proofpoint sebelumnya telah mengamati kampanye SocGholish menggunakan pembaruan palsu dan pengalihan situs web untuk menginfeksi pengguna, termasuk, dalam beberapa kasus, muatan ransomware.

Geng kejahatan dunia maya Evil Corp juga menggunakan SocGholish dalam kampanye yang sangat mirip untuk menginfeksi karyawan lebih dari 30 perusahaan swasta besar AS melalui peringatan pembaruan perangkat lunak palsu yang dikirimkan melalui lusinan situs web surat kabar AS yang disusupi.

Komputer yang terinfeksi kemudian digunakan sebagai titik loncatan ke jaringan perusahaan majikan dalam serangan yang mencoba menyebarkan ransomware WastedLocker geng.

Untungnya, Symantec mengungkapkan dalam sebuah laporan bahwa mereka memblokir upaya Evil Corp untuk mengenkripsi jaringan yang dilanggar dalam serangan yang menargetkan beberapa perusahaan swasta, termasuk 30 perusahaan AS, delapan di antaranya perusahaan Fortune 500.

SocGholish juga baru-baru ini digunakan untuk jaringan pintu belakang yang terinfeksi malware Raspberry Robin dalam apa yang digambarkan Microsoft sebagai perilaku pra-ransomware Evil Corp.

Sumber: Bleeping Computer