Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Ransomware

Ransomware

Peretas Menjual Akses ke 576 Jaringan Perusahaan Seharga $4 Juta

by

Sebuah laporan baru menunjukkan bahwa peretas menjual akses ke 576 jaringan perusahaan di seluruh dunia dengan total harga penjualan kumulatif $4.000.000, memicu serangan terhadap perusahaan.

Meskipun jumlah penjualan untuk akses jaringan tetap sama seperti pada dua kuartal sebelumnya, harga permintaan kumulatif kini telah mencapai $4.000.000.

Jalan manuju ransomware

Pialang akses awal (IAB) adalah peretas yang menjual akses ke jaringan perusahaan, biasanya dicapai melalui pencurian kredensial, webshell, atau mengeksploitasi kerentanan dalam perangkat keras yang terbuka untuk umum.

Alasan IAB memilih untuk tidak memanfaatkan akses jaringan bervariasi, mulai dari kurangnya keterampilan intrusi yang beragam hingga memilih untuk tidak mengambil risiko peningkatan masalah hukum.

statistik babak 3 2022

Pada babak ketiga tahun 2022, analis KELA mengamati 110 pelaku ancaman memposting 576 penawaran akses awal dengan total nilai kumulatif $4.000.000.


Volume bulanan penjualan akses awal (KELA)

Harga jual rata-rata listing ini adalah $2.800, sedangkan harga jual rata-rata mencapai rekor $1.350.


Harga jual akses awal (KELA)

KELA juga melihat kasus akses tunggal yang ditawarkan untuk pembelian dengan harga astronomi $3.000.000. Namun, daftar ini tidak termasuk dalam statistik dan total Q3 ’22 karena keraguan tentang keasliannya.


Negara yang paling banyak ditargetkan oleh IAB di Q3 (KELA)

Ketika melihat sektor yang ditargetkan, layanan profesional, manufaktur, dan teknologi menempati urutan teratas dengan masing-masing 13,4%, 10,8%, dan 9,4%. Sekali lagi, serangan ransomware memiliki peringkat yang sama, menekankan hubungan antara keduanya.


IAB sektor yang paling banyak ditargetkan di Q3 (KELA)

Karena broker akses awal telah menjadi bagian integral dari rantai serangan ransomware, mengamankan jaringan Anda dengan benar dari gangguan sangat penting.

eksploitasi bug windows untuk menginfeksi PC rumahan dengan ransomeware dikarenakan patch tidak resmi dikeluarkan untuk bug windows

by

Perusahaan siber security mengeluarkan patch untuk perbaikan program bug di windows yang microsoft belum perbaiki, dengan lubang ini terus di ekploitasi untuk menyebarkan ransomware.

Acros Security mengeluarkan binary patch kecil untuk menunjukan kekurangan fitur Mark-of-the-Web (MotW) milik Microsoft’s. fitur ini seharusnya digunakan untuk menandai bendara di meta data untuk files yang didapatkan dari internet, stik USB, dan sumber tidak terpercaya lainnya. Bendera ini memastikan bahwa bila file tersebut dibuka, perlindungan ekstra datang.

Terbukti bahwa untuk melewati fitur ini adalah hal yang memungkinkan, dan dengan files yang terunduh dari web tidak membawa bendera MotW, dan menghindar semua proteksi saat dibuka. Khususnya, penyerang yang bisa mencegah windows dari menaruh bendera MotW di file yang diekstrak dari arsip ZIP yang diperoleh dari sumber yang tidak tepercaya. Ini dapat dimanfaatkan oleh penjahat untuk memikat tanda agar membuka arsip ZIP, dan menjalankan perangkat lunak berbahaya di dalamnya tanpa merusak perlindungan keamanan yang diharapkan. Bug tersebut disorot beberapa bulan lalu oleh Will Dormann, analis kerentanan senior di Analygence.

Microsoft belum memperbaiki kesalahan ini. Pengamat IT Kevin Beaumont pada 10 Oktober mengatakan bug itu sekarang sedang dieksploitasi di alam liar. Acros mengeluarkan micropatch sekitar seminggu kemudian yang dapat diterapkan untuk menutup lubang ini sementara Anda menunggu Redmond untuk mengejar.

Sekarang Acros telah mengeluarkan patch baru yang mengatasi lubang keamanan MotW terkait di Windows yang lagi-lagi belum diperbaiki oleh Microsoft.

apa yang baru?
Korban diminta untuk mengambil arsip ZIP yang berisi file JavaScript yang menyamar sebagai antivirus atau pembaruan perangkat lunak Windows.

Skrip tersebut, ketika dijalankan, sebenarnya menyebarkan Magniber, jenis ransomware yang ditujukan untuk pengguna rumahan Windows. Ini mengacak dokumen dan dapat memeras sebanyak $ 2.500 dari korban untuk memulihkan data mereka, menurut Wolf Security.

Magniber tidak termasuk dalam kategori Big Game Hunting, itu masih dapat menyebabkan kerusakan yang signifikan,” tulis tim Wolf dalam laporannya,

analis malware HP Patrick Schlapfer mencatat bahwa JavaScript berbahaya di arsip Magniber ZIP memang membawa bendera MotW tetapi masih dijalankan tanpa peringatan SmartScreen yang muncul untuk menghentikan tindakan yang diminta atau memperingatkan pengguna agar tidak melanjutkan, seperti yang Anda harapkan untuk arsip yang diambil dari internet. Mitja Kolsek, CEO Acros, mengonfirmasi bahwa SmartScreen sedang dilewati oleh skrip Magniber.

SmartScreen Microsoft seharusnya, memblokir file berbahaya yang jelas atau memperingatkan pengguna jika file terlihat mencurigakan, tetapi konten arsip Magniber ZIP dapat mengesampingkan proses itu sepenuhnya.

“Ingat bahwa pada Windows 10 dan Windows 11, membuka file yang berpotensi berbahaya memicu pemeriksaan SmartScreen dari file tersebut, di mana SmartScreen menentukan apakah file tersebut jelas untuk diluncurkan atau pengguna harus diperingatkan tentang hal itu,” kata Kolsek.

Authenticode Microsoft adalah teknologi penandatanganan kode digital yang mengidentifikasi penerbit dan memverifikasi perangkat lunak tidak dirusak setelah ditandatangani dan dirilis. Dormann menemukan bahwa tanda tangan file skrip salah format hingga Windows

Pemeriksaan lebih lanjut oleh Acros Security menemukan bahwa kesalahan terjadi karena SmartScreen, ketika mencoba mengurai tanda tangan yang salah format, menghasilkan kesalahan, yang menyebabkan sistem operasi menjalankan program dan menginfeksi mesin tanpa memicu peringatan.

sumber : the register

Microsoft memperingatkan tentang serangan ransomware yang tidak biasa

by

Microsoft telah menandai bagian baru dari ransomware yang menyerang organisasi transportasi dan logistik di Ukraina dan Polandia.

Microsoft belum melihat penyerang menggunakan eksploitasi perangkat lunak tertentu tetapi semua serangan menggunakan kredensial akun admin Active Directory yang dicuri.

Catatan tebusan mengidentifikasi dirinya sebagai “ranusomeware Prestise”, menurut Microsoft Threat Intelligence Center (MSTIC).

Ransomware diluncurkan pada 11 Oktober dan menonjol bagi para peneliti karena itu adalah contoh langka di Ukraina dari penyebaran ransomware di seluruh perusahaan dan berbeda dari 94 geng ransomware lain yang dilacak Microsoft.

Selain itu, profil korban selaras dengan aktivitas negara Rusia baru-baru ini dan tumpang tindih dengan korban malware perusak HermeticWiper yang disebarkan pada awal invasi Rusia ke Ukraina. Pemerintah AS pada bulan Februari khawatir malware yang sama dapat digunakan terhadap organisasi AS.

MSTIC mengatakan kampanye Prestige terpisah dari HermeticWiper dan malware destruktif lainnya yang telah disebarkan di beberapa operator infrastruktur penting Ukraina dalam dua minggu terakhir. Microsoft telah melacak malware destruktif yang dikerahkan terhadap organisasi Ukraina sejak Januari.

MSTIC melacak aktivitas ini sebagai DEV-0960. DEV adalah istilah untuk aktor ancaman yang sebelumnya tidak dikenal. Ini akan menggabungkan aktivitas grup dengan aktor ancaman yang dikenal, seperti Nobelium, yang merupakan grup di balik serangan rantai pasokan SolarWinds, jika membuat koneksi ke grup tertentu.

Grup ini menggunakan beberapa alat yang tersedia untuk umum untuk eksekusi kode jarak jauh dan meraih kredensial administrator dengan hak istimewa tinggi. Tapi MSTIC tidak tahu bagaimana penyerang mendapatkan akses awal ke jaringan. Diduga penyerang sudah memiliki kredensial istimewa dari kompromi sebelumnya. Dalam semua kasus, bagaimanapun aktor memperoleh akses, mereka sudah memiliki hak tingkat admin domain sebelum menyebarkan ransomware.

Microsoft menguraikan tiga metode utama yang digunakan kelompok tersebut dalam satu jam setiap serangan. Fakta bahwa mereka menggunakan beberapa metode, bukan satu, tidak biasa.

Mengingat kurangnya kerentanan perangkat lunak yang diketahui para penyerang digunakan, Microsoft telah menyediakan beberapa tindakan yang dapat digunakan organisasi untuk melindungi diri mereka sendiri, termasuk dengan mengaktifkan perlindungan tamper untuk menghentikan perubahan pada antivirus dan untuk mengaktifkan otentikasi multi-faktor. Mitigasi tersebut antara lain:

  • Blokir kreasi proses yang berasal dari perintah PSExec dan WMI untuk menghentikan gerakan lateral menggunakan komponen WMIexec dari Impacket
  • Aktifkan perlindungan Tamper untuk mencegah serangan berhenti atau mengganggu Microsoft Defender
  • Aktifkan perlindungan yang diberikan cloud di Microsoft Defender Antivirus atau yang setara
  • Aktifkan MFA dan pastikan MFA diterapkan untuk semua konektivitas jarak jauh – termasuk VPN

Sumber: ZD Net

Afiliasi ransomware Netwalker dijatuhi hukuman 20 tahun penjara

by

Mantan afiliasi Netwalker ransomware Sebastien Vachon-Desjardins telah dijatuhi hukuman 20 tahun penjara dan dituntut untuk kehilangan $ 21,5 juta untuk serangannya terhadap perusahaan Tampa dan entitas lainnya.

Vachon-Desjardins, seorang pria Kanada 34 yang diekstradisi dari Quebec dijatuhi hukuman di pengadilan Florida setelah mengaku bersalah atas ‘Konspirasi untuk melakukan Penipuan Komputer’, ‘Konspirasi untuk Melakukan Penipuan Kawat’, ‘Kerusakan yang Disengaja pada Komputer yang Dilindungi,’ dan ‘Mentransmisikan Permintaan Terkait dengan Merusak Komputer yang Dilindungi.’

Selain hukuman tersebut, Vachon-Desjardins juga diharuskan menjalani tiga tahun pembebasan yang diawasi setelah dia keluar dari penjara. Selama jangka waktu ini, Vachon-Desjardins tidak akan diizinkan untuk memiliki pekerjaan di bidang teknologi informasi atau menggunakan komputer yang dapat terhubung ke Internet, termasuk smartphone, perangkat game, atau perangkat elektronik lainnya.

Hakim memerintahkan penyitaan terhadap terdakwa sebesar $ 21,5 juta, di mana 27,65 Bitcoin, yang sudah dipegang oleh penegak hukum, akan dikreditkan ke jumlah tersebut.

Pada 27 Januari 2021, ketika DOJ AS mendakwa Desjardins, operasi penegakan hukum internasional menyita situs web Netwalker, termasuk situs pembayaran Tor dan kebocoran data mereka.

Netwalker adalah operasi Ransomware-as-a-Service (RaaS) yang diluncurkan pada 2019, merekrut afiliasi untuk menyebarkan ransomware dengan imbalan 60-75% bagian dari semua pembayaran tebusan.

Vachon-Desjardins beroperasi sebagai afiliasi untuk operasi ransomware, di mana diyakini dia melakukan serangan terhadap perusahaan di seluruh dunia, termasuk perusahaan AS dan setidaknya 17 entitas Kanada.

Selama serangan ini, operasi ransomware akan mencuri data dari sistem perusahaan dan pada akhirnya mengenkripsi perangkat. Untuk memulihkan file dan mencegah rilis data, pelaku ancaman memeras para korban untuk membayar permintaan tebusan mulai dari ratusan ribu hingga jutaan dolar.

Mantan situs kebocoran data ransomware Netwalker
Sumber: BleepingComputer

Vachon-Desjardins sebelumnya ditangkap di Gatineau, Quebec, pada 27 Januari 2021, ketika penegak hukum menyita 719 Bitcoin dan $790.000 dalam mata uang Kanada saat menggeledah rumahnya. Dia kemudian dijatuhi hukuman 6 tahun delapan bulan penjara setelah mengaku bersalah di depan hakim Ontario. Vachon-Desjardins diekstradisi ke Amerika Serikat pada Maret 2022.

Alat pencurian data Ransomware mungkin menunjukkan pergeseran dalam taktik pemerasan

by

Malware pemusnahan data yang dikenal sebagai Exmatter dan sebelumnya ditautkan dengan grup ransomware BlackMatter kini ditingkatkan dengan fungsionalitas korupsi data yang mungkin mengindikasikan taktik baru yang mungkin digunakan oleh afiliasi ransomware di masa mendatang.

Sampel baru ditemukan oleh analis malware dengan tim Operasi Khusus Cyderes selama respons insiden baru-baru ini setelah serangan ransomware BlackCat dan kemudian dibagikan dengan tim Stairwell Threat Research untuk analisis lebih lanjut (Symantec melihat sampel serupa digunakan dalam serangan ransomware Noberus).

Sementara Exmatter telah digunakan oleh afiliasi BlackMatter setidaknya sejak Oktober 2021, ini adalah pertama kalinya alat berbahaya itu terlihat menggunakan modul yang merusak.

Taktik menggunakan data dari satu file yang dieksfiltrasi untuk merusak file lain mungkin merupakan bagian dari upaya untuk menghindari ransomware atau deteksi berbasis heuristik penghapus yang dapat memicu saat menggunakan data yang dibuat secara acak.

Seperti yang ditemukan oleh peneliti ancaman Stairwell, kemampuan penghancuran data yang diimplementasikan sebagian dari Exmatter kemungkinan masih dalam pengembangan mengingat bahwa:

Tidak ada mekanisme untuk menghapus file dari antrian korupsi, yang berarti bahwa beberapa file dapat ditimpa berkali-kali sebelum program dihentikan, sementara yang lain mungkin tidak pernah dipilih.

Fungsi yang membuat instance kelas Eraser, bernama Erase, tampaknya tidak sepenuhnya diimplementasikan dan tidak didekompilasi dengan benar.

Panjang potongan file kedua, yang digunakan untuk menimpa file pertama, ditentukan secara acak dan bisa sesingkat satu byte.

Fitur korupsi data ini merupakan perkembangan yang menarik, dan meskipun juga dapat digunakan untuk menghindari perangkat lunak keamanan, peneliti di Stairwell dan Cyderes berpikir ini mungkin bagian dari perubahan strategi yang digunakan oleh afiliasi ransomware.

Banyak operasi ransomware berjalan sebagai Ransomware-as-a-Service, di mana operator/pengembang bertanggung jawab mengembangkan ransomware, situs pembayaran, dan menangani negosiasi, sementara afiliasi bergabung untuk menembus jaringan perusahaan, mencuri data, menghapus cadangan, dan mengenkripsi perangkat .

Sebagai bagian dari pengaturan ini, operator ransomware menerima antara 15-30% dari setiap pembayaran tebusan, dan afiliasi menerima sisanya.

Namun, operasi ransomware telah dikenal di masa lalu untuk memperkenalkan bug yang memungkinkan peneliti keamanan membuat dekripsi yang membantu korban memulihkan file secara gratis.

Ketika ini terjadi, afiliasi kehilangan potensi pendapatan yang akan mereka terima sebagai bagian dari pembayaran tebusan.

Karena itu, para peneliti percaya bahwa fitur korupsi data baru ini bisa menjadi perubahan baru dari serangan ransomware tradisional, di mana data dicuri dan kemudian dienkripsi, ke serangan di mana data dicuri dan kemudian dihapus atau rusak.

Di bawah metode ini, afiliasi dapat menyimpan semua pendapatan yang dihasilkan dari serangan, karena mereka tidak perlu berbagi persentase dengan pengembang encryptor.

“Afiliasi juga kehilangan keuntungan dari penyusupan yang berhasil karena kelemahan yang dapat dieksploitasi dalam ransomware yang disebarkan, seperti halnya dengan BlackMatter, ransomware yang terkait dengan penampilan sebelumnya dari alat eksfiltrasi berbasis .NET ini,” tambah Cyderes.

Menghancurkan data sensitif setelah mengekstraknya ke server mereka akan mencegah hal ini terjadi dan kemungkinan besar juga akan bertindak sebagai insentif tambahan bagi korban untuk membayar permintaan tebusan.

Ini mungkin mengapa kami melihat alat eksfiltrasi dalam proses ditingkatkan dengan kemampuan korupsi data dalam pengembangan yang kemungkinan akan memungkinkan afiliasi RaaS untuk menghapus bagian penyebaran ransomware dalam serangan mereka untuk menyimpan semua uang untuk diri mereka sendiri.

Sumber: Bleeping Computer

QNAP menambal zero-day yang digunakan dalam serangan ransomware Deadbolt baru

by

QNAP memperingatkan pelanggan tentang serangan ransomware DeadBolt yang sedang berlangsung yang dimulai pada hari Sabtu dengan mengeksploitasi kerentanan zero-day di Photo Station.

Serangan tersebar luas, dengan layanan ID Ransomware melihat lonjakan pengiriman pada hari Sabtu dan Minggu.

QNAP merilis pembaruan keamanan Photo Station 12 jam setelah DeadBolt mulai menggunakan kerentanan zero-day dalam serangan, mendesak pelanggan NAS untuk segera memperbarui Photo Station ke versi terbaru.

Pembaruan keamanan berikut memperbaiki kerentanan:

QTS 5.0.1: Stasiun Foto 6.1.2 dan yang lebih baru
QTS 5.0.0/4.5.x: Photo Station 6.0.22 dan yang lebih baru
QTS 4.3.6: Stasiun Foto 5.7.18 dan yang lebih baru
QTS 4.3.3: Stasiun Foto 5.4.15 dan yang lebih baru
QTS 4.2.6: Stasiun Foto 5.2.14 dan yang lebih baru

Atau, QNAP menyarankan pengguna mengganti Photo Station dengan QuMagie, alat manajemen penyimpanan foto yang lebih aman untuk perangkat QNAP NAS.

Menerapkan pembaruan keamanan akan mencegah ransomware DeadBolt dan pelaku ancaman lainnya mengeksploitasi kerentanan dan mengenkripsi perangkat. Namun, perangkat NAS tidak boleh diekspos secara publik ke Internet dan sebagai gantinya ditempatkan di belakang firewall.

Pelanggan QNAP dapat menemukan petunjuk terperinci tentang penerapan pembaruan yang tersedia dan pengaturan myQNAPcloud di penasihat keamanan.

Terakhir, disarankan untuk menggunakan kata sandi yang kuat pada semua akun pengguna NAS dan mengambil snapshot secara teratur untuk mencegah kehilangan data jika terjadi serangan.

Geng ransomware DeadBolt telah menargetkan perangkat NAS sejak Januari 2022, menggunakan dugaan kerentanan zero-day pada perangkat NAS yang terpapar Internet.

Operasi ransomware melakukan serangan lebih lanjut pada perangkat QNAP pada Mei dan Juni 2022.

Catatan tebusan DeadBolt
Sumber: BleepingComputer

Sebelumnya pada bulan Februari, DeadBolt mulai menargetkan perangkat ASUSTOR NAS menggunakan kerentanan zero-day yang mereka coba jual ke vendor seharga 7,5 Bitcoin.

Dalam sebagian besar serangan ini, DeadBolt menuntut pembayaran lebih dari seribu USD dari pengguna yang terkena dampak sebagai ganti decryptor yang berfungsi.

Namun, kelompok ransomware NAS lainnya menuntut jumlah yang lebih signifikan dari korban mereka.

Ransomware Checkmate menargetkan produk QNAP NAS pada bulan Juli, menuntut korban membayar $15.000.

Sumber: Bleeping Computer

Laporan Bitdefender mengidentifikasi Nama Domain dan Trojan Android teratas

by

Pada bulan Juli, Bitdefender mengidentifikasi 205 keluarga ransomware sebagai bagian dari Debrief Ancaman Bitdefender Agustus perusahaan.

Bitdefender’s August Bitdefender Threat Debrief (BDTD) adalah seri bulanan yang bertujuan untuk menganalisis berita ancaman, tren, dan penelitian dari bulan sebelumnya. Pada bulan Juli, peneliti Bitdefender melihat deteksi ransomware, bukan infeksi, dan menghitung total kasus, bukan seberapa signifikan dampak infeksi secara moneter.

Ransomware

Analis Bitdefender mengidentifikasi 205 kelompok ransomware pada bulan Juli, dengan jumlah kelompok ransomware yang terdeteksi bervariasi setiap bulan tergantung pada kampanye ransomware saat ini di berbagai negara. WannaCry adalah keluarga ransomware yang paling banyak terdeteksi, terhitung 37 persen. Robin berada di urutan kedua dengan 20 persen.

Para analis mendeteksi ransomware dari 151 negara dalam kumpulan datanya bulan ini karena ransomware terus menjadi ancaman yang menyentuh hampir seluruh dunia. Banyak serangan ransomware terus menjadi oportunistik, dan ukuran populasi berkorelasi dengan jumlah deteksi. Amerika Serikat adalah yang paling terkena dampak ransomware, terhitung 24 persen, diikuti oleh Brasil 17 persen dan India 14 persen.

Trojan Android

Perusahaan solusi keamanan siber global juga menganalisis 10 Trojan teratas yang menargetkan Android yang telah dilihat perusahaan dalam telemetrinya selama bulan Juli.

Downloader.DN, aplikasi yang dikemas ulang yang diambil dari Google app store dan dibundel dengan adware agresif, adalah Trojan terbesar yang menargetkan Android sebesar 43 persen. Berikutnya adalah malware SMSSend.AYE (33 persen) yang mencoba mendaftar sebagai aplikasi SMS default saat pertama kali dijalankan dengan meminta persetujuan pengguna.

Sumber: Cybersecurity Connect

Geng pemerasan ‘Donut Leaks’ terkait dengan serangan ransomware baru-baru ini

by

Grup pemerasan data baru bernama ‘Donut Leaks’ terkait dengan serangan siber baru-baru ini, termasuk yang terjadi pada perusahaan gas alam Yunani DESFA, firma arsitektur Inggris Sheppard Robson, dan perusahaan konstruksi multinasional Sando.

Selama akhir pekan, DESFA mengonfirmasi bahwa mereka mengalami serangan siber setelah Ragnar Locker membocorkan tangkapan layar dari data yang diduga dicuri.

Awal bulan ini, Sheppard Robson mengungkapkan serangan ransomware dan upaya pemerasan tetapi tidak memberikan rincian tentang siapa yang meretas jaringannya.

Terakhir, Hive Ransomware mengklaim bulan lalu telah menyerang Sando tetapi hanya merilis arsip kecil file sebagai ‘bukti’ serangan tersebut.

Anehnya, data para korban tersebut kini telah muncul di situs kebocoran data geng pemerasan yang sebelumnya tidak dikenal bernama Donut Leaks. Selain itu, data yang dibagikan di situs Donut Leaks jauh lebih luas daripada yang dibagikan di situs ransomware, yang menunjukkan bahwa aktor ancaman baru ini terlibat dalam serangan tersebut.

Siapa Kebocoran Donat?
BleepingComputer pertama kali mengetahui kelompok pemerasan Donut Leaks dari seorang karyawan salah satu korban, yang memberi tahu kami bahwa pelaku ancaman melanggar jaringan perusahaan untuk mencuri data.

Setelah pelaku ancaman selesai mencuri data, mereka mengirim email berisi URL situs pemerasan Tor ke mitra bisnis dan karyawan korban.

Situs Tor ini terdiri dari blog yang mempermalukan dan situs penyimpanan data yang memungkinkan pengunjung menelusuri dan mengunduh semua data yang dicuri dan bocor.

Blog tersebut berisi entri untuk lima korban, dengan semua kecuali satu berisi deskripsi umum perusahaan dan tautan ke data curian mereka.

Namun, untuk salah satu entri, pelaku ancaman tampaknya mengambil pendekatan yang lebih agresif, berbagi foto pesta Natal yang dicuri dan kata-kata kasar yang panjang terhadap perusahaan.

Situs kebocoran data Kebocoran Donat
Sumber: BleepingComputer

Server penyimpanan data curian menjalankan aplikasi File Browser, yang memungkinkan pengunjung menelusuri semua data curian yang disimpan di server, yang dipecah oleh korban.

Meskipun hanya ada lima korban yang terdaftar di situs yang mempermalukan, server penyimpanan berisi apa yang tampaknya menjadi sepuluh korban.

Seperti yang Anda lihat di bawah, tiga korban terkait dengan serangan baru-baru ini yang diungkapkan oleh Sheppard Robson dan DESFA, dengan Sando sebelumnya diklaim oleh Hive. BleepingComputer telah menyunting nama-nama perusahaan lain karena mereka belum mengumumkan bahwa mereka mengalami serangan siber.

Menurut statistik File Browser, pelaku ancaman telah membocorkan sekitar 2,8 TB data curian dari sepuluh korban ini.

Tidak diketahui apakah pelaku ancaman menyebarkan ransomware ketika melanggar jaringan atau hanya kelompok pemerasan data.

Namun, Sheppard Robson mengungkapkan bahwa serangan terbaru mereka adalah serangan ransomware.

Selanjutnya, dua operasi ransomware yang berbeda mengklaim bertanggung jawab atas DESFA (Ragnar Locker) dan SANDO (Hive).

Ini kemungkinan berarti bahwa aktor ancaman yang menjalankan Donut Leaks adalah penguji pena atau afiliasi untuk Hive, Ragnar Locker, dan mungkin operasi ransomware lainnya.

Dalam percakapan sebelumnya dengan ‘pentesters’ untuk Ragnar Locker, pelaku ancaman memberi tahu kami bahwa mereka bekerja untuk beberapa operasi Ransomware-as-a-Service untuk menyediakan akses afiliasi ke jaringan internal. Dalam beberapa kasus, pentester ini akan mencuri data dan menyimpannya sendiri jika mereka merasa bahwa data tersebut memiliki nilai.

Kelompok pemerasan baru ini menggambarkan bagaimana data curian sampai ke tangan banyak kelompok, dengan masing-masing mencoba metodenya sendiri untuk memeras korban.

Ini juga menunjukkan bahwa membayar permintaan tebusan mungkin tidak selalu mencegah kebocoran data Anda dan masih dapat menyebabkan tuntutan pemerasan lebih lanjut.

Sumber: Bleeping Computer