Ransomware

Microsoft memperingatkan ransomware Android yang aktif saat Anda menekan tombol Home

October 9, 2020 by Winnie the Pooh

Jenis baru ransomware seluler menyalahgunakan mekanisme di balik pemberitahuan “panggilan masuk” dan tombol “Home” untuk mengunci layar pada perangkat pengguna.

Dinamakan AndroidOS/MalLocker.B, ransomware tersembunyi di dalam aplikasi Android yang ditawarkan untuk diunduh di forum online dan situs web pihak ketiga.

Sama seperti kebanyakan jenis ransomware Android, MalLocker.B tidak benar-benar mengenkripsi file korban tetapi hanya mencegah akses ke bagian telepon lainnya.

Setelah terpasang, ransomware mengambil alih layar ponsel dan mencegah pengguna menutup catatan tebusan – yang dirancang agar terlihat seperti pesan dari penegak hukum setempat yang memberi tahu pengguna bahwa mereka melakukan kejahatan dan perlu membayar denda.

Ransomware ini menggunakan mekanisme dua bagian untuk menampilkan catatan tebusannya.

Bagian pertama menyalahgunakan notifikasi “panggilan”. Ini adalah fungsi yang mengaktifkan panggilan masuk untuk menunjukkan detail tentang pemanggil, dan MalLocker.B menggunakannya untuk menampilkan jendela yang mencakup seluruh area layar dengan detail tentang panggilan masuk.

Bagian kedua menyalahgunakan function “onUserLeaveHint()”. Function ini dipanggil saat pengguna ingin mendorong aplikasi ke latar belakang dan beralih ke aplikasi baru, dan terpicu saat menekan tombol seperti Home atau Recent Apps. MalLocker.B menyalahgunakan function ini untuk menampilkan catatan tebusan kembali ke latar depan dan mencegah pengguna meninggalkan catatan tebusan untuk layar utama atau aplikasi lain.

Karena MalLocker.B berisi kode yang terlalu sederhana dan keras untuk melewati ulasan Play Store, pengguna disarankan untuk menghindari menginstal aplikasi Android dari lokasi pihak ketiga seperti forum, iklan situs web, atau toko aplikasi pihak ketiga yang tidak sah.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Ransomware: Lonjakan serangan saat peretas memanfaatkan organisasi yang berada di bawah tekanan

October 9, 2020 by Winnie the Pooh

Jumlah serangan ransomware telah meningkat secara signifikan selama beberapa bulan terakhir karena penjahat siber berupaya memanfaatkan kerentanan keamanan yang terbuka dengan meningkatnya pekerja jarak jauh.

Para peneliti di perusahaan keamanan siber Check Point mengatakan jumlah serangan ransomware harian di seluruh dunia telah meningkat setengahnya selama tiga bulan terakhir – dan jumlahnya hampir dua kali lipat di AS.

Bekerja dari rumah juga membuat perangkat pemantauan untuk aktivitas berbahaya lebih sulit bagi tim keamanan informasi daripada jika setiap pengguna berada di bawah satu atap, memberi peretas peluang yang lebih baik untuk menjalankan bisnis mereka tanpa diketahui.

Menyelidiki dan memulihkan jaringan setelah serangan ransomware membutuhkan waktu berminggu-minggu atau berbulan-bulan dan ketika ini digabungkan dengan karyawan yang bekerja dari jarak jauh, beberapa organisasi lebih suka menyerah pada tuntutan tebusan dan membayar ratusan ribu atau bahkan jutaan dolar dalam bitcoin untuk memulihkan jaringan secepat mungkin.

Penjahat siber juga menambahkan taktik baru untuk mendorong korban membayar – mengancam akan membocorkan informasi rahasia atau data pribadi jika pembayaran tidak diterima.

Namun, membayar penjahat siber hanya mendorong mereka untuk melanjutkan serangan ransomware pada korban lainnya.

Ransomware memangsa organisasi yang tidak mampu jika jaringan mereka dihancurkan oleh suatu serangan – yang mungkin menjadi alasan mengapa para peneliti menunjuk pada peningkatan dua kali lipat dalam jumlah serangan ransomware terhadap organisasi perawatan kesehatan selama beberapa bulan terakhir.

Namun, jauh dari mustahil untuk melindungi jaringan dari serangan ransomware. Peneliti Check Point merekomendasikan patch keamanan sebagai komponen “penting” untuk melindungi dari serangan ransomware, karena banyak yang mengeksploitasi kerentanan yang diketahui untuk mendapatkan pijakan di jaringan.

Penting juga bagi organisasi untuk terus mencadangkan data mereka, karena jika terjadi serangan ransomware atau situasi lain yang merusak file dan data, jaringan dapat dipulihkan.

Bisnis juga harus melatih pengguna tentang cara mengidentifikasi dan menghindari potensi serangan ransomware, terutama jika karyawan akan bekerja dari jarak jauh ke depannya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Lonjakan ancaman ransomware, Ryuk menyerang sekitar 20 org per minggu

October 7, 2020 by Winnie the Pooh

Peneliti malware yang memantau ancaman ransomware melihat peningkatan tajam dalam beberapa serangan ransomware selama beberapa bulan terakhir dibandingkan dengan enam bulan pertama tahun 2020.

Di bagian atas daftar adalah keluarga ransomware Maze, Ryuk, dan REvil (Sodinokibi), menurut data yang baru-baru ini diterbitkan dari Check Point dan tim IBM Security X-Force Incident Response.

Data dari Check Point mengacu pada kuartal ketiga tahun ini menunjukkan bahwa Maze dan Ryuk adalah keluarga ransomware yang paling umum, dengan ransomware menyerang rata-rata 20 perusahaan per minggu.

Perusahaan mengatakan bahwa serangan ransomware meningkat sebesar 50% pada tingkat global pada kuartal ketiga tahun 2020, Ryuk dan Maze adalah ancaman yang paling umum.

Di Amerika, serangan ini hampir dua kali lipat pada kuartal ketiga, menempatkannya di lima besar negara yang paling terpengaruh di Q3:

Amerika Serikat (98,1% meningkat)
India (39,2% meningkat)
Sri Lanka (436% meningkat)
Rusia (57,9% meningkat)
Turki (32,5% meningkat)

Serangan ransomware sangat menguntungkan bagi penjahat siber sehingga hampir tidak ada peluang ancaman ini menghilang dalam waktu dekat, terutama dengan taktik yang berkembang (mencuri data dan membocorkan atau menjualnya di web gelap) yang dirancang untuk memaksa membayar tebusan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Egregor Ransomware Mengancam Akan Merilis Data Perusahaan ke Media Massa

October 5, 2020 by Winnie the Pooh

Sebuah keluarga ransomware yang baru ditemukan bernama Egregor telah ditemukan, menggunakan taktik mencuri informasi perusahaan dan mengancam akan merilisnya ke “media massa” sebelum mengenkripsi semua file.

Menurut analisis dari Appgate, kode tersebut tampaknya merupakan spin-off dari Sekhmet ransomware – sebuah tautan yang juga dicatat oleh peneliti lain.

“Sampel yang kami analisis memiliki banyak teknik anti-analisis, seperti obfuscation code dan muatan yang dikemas,” menurut penelitian perusahaan, yang diumumkan hari Jumat.

“Selain itu, dalam salah satu tahapan eksekusi, muatan Egregor hanya dapat didekripsi jika kunci yang benar diberikan dalam baris perintah proses, yang berarti bahwa file tidak dapat dianalisis, baik secara manual atau menggunakan sandbox, jika sama persis baris perintah yang digunakan penyerang untuk menjalankan ransomware tidak tersedia.”

“Kami telah menemukan bahwa Egregor dapat menerima parameter tambahan melalui baris perintah, seperti ‘nomimikatz,’ ‘killrdp,’ ‘norename,’ antara lain,” kata Gustavo Palazolo, peneliti keamanan di Appgate.

“Saat ini, tim kami masih merekayasa balik malware untuk mendapatkan gambaran keseluruhan.”

Peneliti Appgate juga menemukan bahwa catatan tebusan menuntut pembayaran dalam waktu tiga hari – jika tidak, data sensitif akan bocor.

“Pada saat perilisan advisory, setidaknya ada 13 perusahaan berbeda yang terdaftar di ‘hall of shame’ mereka, termasuk perusahaan logistik global GEFCO, yang mengalami serangan cyber minggu lalu,” menurut perusahaan tersebut.

“Apa artinya? Artinya, segera setelah bocor di media massa, mitra dan klien Anda AKAN TAHU MASALAH Anda.”

“Sayangnya, tidak ada rincian tentang [jumlah pembayaran tebusan] dalam catatan tebusan atau di situs web Egregor,” kata peneliti tersebut kepada Threatpost.

“Untuk mendapatkan detail pembayaran, korban perlu membuka tautan yang menuju ke deep web yang disediakan Egregor dan mendapatkan instruksi dari penyerang melalui obrolan langsung.”

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post

Ada Serangan Ditujukan untuk Mengganggu Botnet Trickbot

October 4, 2020 by Winnie the Pooh

Pada 22 September, seseorang mengupload file konfigurasi baru ke komputer Windows yang saat ini terinfeksi Trickbot. Penjahat yang menjalankan botnet Trickbot biasanya menggunakan file konfigurasi ini untuk menyampaikan instruksi baru ke PC mereka lainnya yang terinfeksi, seperti alamat Internet di mana sistem yang diretas harus mengunduh pembaruan baru untuk malware.

Tetapi file konfigurasi baru yang diupload pada 22 September memberi tahu semua sistem yang terinfeksi Trickbot bahwa server kontrol malware baru mereka memiliki alamat 127.0.0.1, yang merupakan alamat “localhost” yang tidak dapat dijangkau melalui Internet publik, menurut analisis oleh perusahaan intelijen dunia maya Intel 471.

“Tak lama setelah konfigurasi palsu dikeluarkan, semua pengontrol Trickbot berhenti merespons dengan benar permintaan bot,” tulis Intel 471 dalam sebuah catatan kepada pelanggannya. “Ini mungkin berarti controller pusat Trickbot terganggu. Waktu penutupan kedua peristiwa tersebut menunjukkan gangguan yang disengaja pada operasi botnet Trickbot. ”

Cuplikan teks dari salah satu pembaruan konfigurasi Trickbot palsu. Sumber: Intel 471

CEO Intel 471, Mark Arena, mengatakan pada saat ini siapa pun yang bertanggung jawab.

“Jelas, seseorang mencoba menyerang Trickbot,” kata Arena. “Bisa saja seseorang di komunitas riset keamanan, pemerintah, orang dalam yang tidak puas, atau grup kejahatan dunia maya saingan. Kami hanya tidak tahu saat ini. ”

Alex Holden adalah chief technology officer dan pendiri Hold Security, sebuah firma intelijen dunia maya yang berbasis di Milwaukee yang membantu memulihkan data yang dicuri. Holden mengatakan pada akhir September Trickbot menyimpan kata sandi dan data keuangan yang dicuri dari lebih dari 2,7 juta PC Windows.

“Pemantauan kami menemukan setidaknya satu pernyataan dari salah satu kelompok ransomware yang mengandalkan Trickbot yang mengatakan ini membuat mereka kesal, dan mereka akan menggandakan tebusan yang mereka minta dari korban,” kata Holden. “Kami belum dapat mengonfirmasi apakah mereka benar-benar menindaklanjuti hal itu, tetapi serangan ini jelas mengganggu bisnis mereka.”

Intel 471’s Arena mengatakan ini bisa menjadi bagian dari kampanye yang sedang berlangsung untuk membongkar atau merebut kendali atas botnet Trickbot. Upaya seperti itu tidak akan pernah terjadi sebelumnya. Pada tahun 2014, misalnya, lembaga penegak hukum AS dan internasional bekerja sama dengan beberapa firma keamanan dan peneliti swasta untuk mengambil alih Gameover Zeus Botnet, jenis malware yang sangat agresif dan canggih yang telah menyerang hingga 1 juta PC Windows secara global.

Peretas membocorkan file yang dicuri dalam serangan ransomware K-Electric Pakistan

October 3, 2020 by Winnie the Pooh

Minggu ini, Netwalker telah merilis arsip file berukuran 8,5 GB yang diduga dicuri dari K-Electric selama serangan ransomware pada September lalu.

Perusahaan keamanan siber Pakistan, Rewterz, yang memeriksa isi arsip, mengatakan kepada BleepingComputer bahwa arsip itu berisi informasi sensitif seperti data keuangan, informasi pelanggan, laporan teknik, catatan pemeliharaan, dan banyak lagi.
Data yang dibocorkan
Data ini mencakup laporan laba rugi yang tidak diaudit, diagram teknik untuk turbin, dan gambar pernyataan pelanggan yang ditandai dari K-Electric.

Dengan beragam informasi yang diungkapkan sebagai bagian dari serangan ini, pelanggan harus berhati-hati bahwa informasi pribadi mereka mungkin telah tersebar.
Penting juga bagi K-Electric untuk bersikap transparan tentang info yang dibuka sehingga karyawan dan pelanggan dapat melindungi diri mereka sendiri dengan memadai.
BleepingComputer telah menghubungi K-Electric untuk pernyataan lebih lanjut namun belum menerima balasan.

Source : Bleeping Computer

Blackbaud: Geng ransomware yang memiliki akses ke info perbankan dan kata sandi

October 1, 2020 by Winnie the Pooh

Blackbaud, penyedia software cloud terkemuka, mengonfirmasikan bahwa pelaku ancaman di balik serangan ransomware Mei 2020 memiliki akses ke informasi login dan perbankan yang tidak terenkripsi, serta nomor jaminan sosial.

Insiden keamanan yang dirujuk Blackbaud diungkapkan dalam siaran pers yang dikeluarkan pada 16 Juli 2020, ketika perusahaan mengatakan bahwa para penyerang diblokir sebelum sistem dienkripsi sepenuhnya tetapi tidak sebelum mereka dapat mencuri “salinan subset data” dari lingkungan self-hosted (cloud pribadi).

Sementara Blackbaud awalnya mengatakan bahwa geng ransomware di balik serangan itu tidak dapat “mengakses informasi kartu kredit, informasi rekening bank, atau nomor jaminan sosial,” kemudian ditemukan setelah penyelidikan forensik bahwa pelaku ancaman memiliki akses ke info perbankan yang tidak terenkripsi, kredensial dan SSN.

“Setelah 16 Juli, penyelidikan forensik lebih lanjut menemukan bahwa untuk beberapa pelanggan yang diberitahu, penjahat siber mungkin telah mengakses beberapa bidang tidak terenkripsi yang dimaksudkan untuk informasi rekening bank, nomor jaminan sosial, nama pengguna dan / atau kata sandi,” kata Blackbaud.

“Pelanggan yang kami yakini menggunakan bidang ini untuk informasi semacam itu akan dihubungi minggu tanggal 27 September 2020, dan sedang diberikan dukungan tambahan.”

Tergantung pada geng ransomware yang mencuri data Blackbaud, kesediaannya untuk benar-benar menghancurkannya, dan apa yang akan dilakukannya dengan data tersebut jika tidak benar-benar dihancurkan seperti yang dijanjikan, pelanggan perusahaan mungkin menghadapi berbagai macam risiko keamanan mengingat sifat informasi yang bocor sangat sensitif.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Situs crack software palsu digunakan untuk menyebarkan Exorcist 2.0 Ransomware

September 30, 2020 by Winnie the Pooh

Menurut peneliti keamanan Nao_Sec, Malvertising PopCash mengarahkan pengguna dari situs resmi ke situs crack software palsu.

Misalnya, pada gambar di bawah, situs tersebut berpura-pura menawarkan ‘Windows 10 Activator 2020’ yang memungkinkan Anda mengaktifkan Windows 10 secara gratis.

File yang diunduh berisi file zip lain yang dilindungi kata sandi dan file teks yang berisi kata sandi arsip.

Arsip yang dilindungi sandi memungkinkan pengunduhan dilakukan tanpa terdeteksi oleh Google Safe Browsing, Microsoft SmartScreen, atau perangkat lunak keamanan yang diinstal.

Jika setup program dijalankan, pengguna akan menemukan bahwa file mereka menjadi terenkripsi dan bukannya menginstal aktivator Windows 10 gratis, seperti yang ditunjukkan di bawah ini.

Di dalam folder terenkripsi akan ada catatan tebusan yang berisi tautan unik ke situs pembayaran Tor di mana korban dapat memperoleh informasi tentang cara membayar tebusan.

Dengan ini sangat dianjurkan bagi pengguna untuk tidak mengunduh sembarang file dari situs yang menyajikan file gratis ilegal.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Ransomware

Cookies Settings