Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Ransomware

Ransomware

Ransomware Black Basta versi Linux menargetkan server VMware ESXi

by

Black Basta adalah geng ransomware terbaru yang menambahkan dukungan untuk mengenkripsi mesin virtual (VM) VMware ESXi yang berjalan di server Linux perusahaan.

Sebagian besar grup ransomware sekarang memfokuskan serangan mereka pada VM ESXi karena taktik ini selaras dengan penargetan perusahaan mereka. Ini juga memungkinkan untuk memanfaatkan enkripsi yang lebih cepat dari beberapa server dengan satu perintah.

Mengenkripsi VM masuk akal karena banyak perusahaan baru-baru ini bermigrasi ke mesin virtual karena memungkinkan pengelolaan perangkat yang lebih mudah dan penggunaan sumber daya yang jauh lebih efisien.

Dalam sebuah laporan baru, analis Uptycs Threat Research mengungkapkan bahwa mereka melihat binari ransomware Black Basta baru yang secara khusus menargetkan server VMWare ESXi.

Encryptor ransomware Linux bukanlah hal baru, dan BleepingComputer telah melaporkan encryptor serupa yang dirilis oleh beberapa geng lain, termasuk LockBit, HelloKitty, BlackMatter, REvil, AvosLocker, RansomEXX, dan Hive.

Seperti encryptor Linux lainnya, biner ransomware Black Basta akan mencari /vmfs/volumes tempat mesin virtual disimpan di server ESXi yang disusupi (jika tidak ada folder seperti itu yang ditemukan, ransomware akan keluar).

Ransomware menggunakan algoritma ChaCha20 untuk mengenkripsi file. Ini juga memanfaatkan multithreading untuk menggunakan banyak prosesor dan mempercepat proses enkripsi.

Saat mengenkripsi, ransomware akan menambahkan ekstensi .basta ke nama file terenkripsi dan membuat catatan tebusan bernama readme.txt di setiap folder.

Catatan tersebut menyertakan tautan ke panel dukungan obrolan dan ID unik yang dapat digunakan korban untuk berkomunikasi dengan penyerang.

Catatan tebusan Black Basta Linux (BleepingComputer)

“Berdasarkan tautan dukungan obrolan dan ekstensi file terenkripsi, kami percaya bahwa aktor di balik kampanye ini adalah sama yang menargetkan sistem Windows sebelumnya dengan ransomware Black Basta.”

Ransomware Black Basta pertama kali terlihat di alam liar pada minggu kedua bulan April, saat operasi tersebut dengan cepat meningkatkan serangannya yang menargetkan perusahaan di seluruh dunia.

Meskipun tuntutan tebusan geng cenderung bervariasi antara korban, BleepingComputer tahu setidaknya satu yang menerima permintaan lebih dari $ 2 juta untuk decryptor dan untuk menghindari kebocoran data online.

Meskipun tidak banyak lagi yang diketahui tentang geng ransomware baru, ini mungkin bukan operasi baru melainkan perubahan citra karena kemampuan mereka yang ditunjukkan untuk dengan cepat menembus korban baru dan gaya negosiasi (mungkin perubahan citra operasi ransomware Conti).

CTO Emsisoft Fabian Wosar sebelumnya telah memberi tahu bahwa geng ransomware lain (selain yang kami laporkan), termasuk Babuk, RansomExx/Defray, Mespinoza, GoGoogle, Snatch, PureLocker, dan DarkSide, juga telah mengembangkan dan menggunakan enkripsi Linux mereka sendiri.

Sumber: Bleeping Computer

QBot Sekarang Menggunakan Ransomware Black Basta Dalam Serangan Bertenaga Bot

by

Geng ransomware Black Basta telah bermitra dengan operasi malware QBot untuk mendapatkan akses awal ke lingkungan perusahaan.

QBot (QuakBot) adalah malware Windows yang mencuri kredensial bank, kredensial domain Windows, dan mengirimkan muatan malware lebih lanjut pada perangkat yang terinfeksi.

Korban biasanya terinfeksi Qbot melalui serangan phishing dengan lampiran berbahaya. Meskipun dimulai sebagai trojan perbankan, ia telah memiliki banyak kolaborasi dengan geng ransomware lain, termasuk MegaCortex, ProLock, DoppelPaymer, dan Egregor.

Black Basta adalah operasi ransomware yang relatif baru yang dimulai dengan mengesankan, melanggar banyak perusahaan dalam waktu yang relatif singkat sambil menuntut pembayaran uang tebusan yang besar.

Analis di NCC Group menemukan kemitraan baru antara Qakbot dan Black Basta selama incident response baru-baru ini di mana mereka dapat mengidentifikasi teknik yang digunakan oleh aktor ancaman.

Sementara geng ransomware biasanya menggunakan QBot untuk akses awal, NCC mengatakan bahwa geng Black Basta menggunakannya untuk menyebar secara lateral ke seluruh jaringan.

Malware dari jarak jauh akan membuat layanan sementara pada host target dan mengonfigurasinya untuk menjalankan DLL-nya menggunakan regsvr32.exe.

Setelah Qakbot aktif dan berjalan, ia dapat menginfeksi berbagi jaringan dan drive, memaksa akun AD, atau menggunakan protokol berbagi file SMB (Server Message Block) untuk membuat salinannya sendiri atau menyebar melalui default admin shares menggunakan kredensial pengguna saat ini.

NCC menyatakan bahwa pelaku ancaman juga menonaktifkan Windows Defender untuk menghindari deteksi dan meminimalkan kemungkinan membahayakan keberhasilan langkah enkripsi.

Selengkapnya: Bleeping Computer

Evil Corp beralih ke ransomware LockBit untuk menghindari sanksi

by

Kelompok kejahatan dunia maya Evil Corp kini telah beralih untuk menyebarkan ransomware LockBit pada jaringan target untuk menghindari sanksi yang dijatuhkan oleh Kantor Pengawasan Aset Asing (OFAC) Departemen Keuangan AS.

Aktif sejak 2007, Evil Corp (alias INDRIK SPIDER atau geng Dridex) dikenal karena mendorong malware Dridex dan kemudian beralih ke “bisnis” ransomware.

Geng mulai dengan ransomware Locky dan kemudian menyebarkan jenis ransomware mereka sendiri yang dikenal sebagai BitPaymer hingga 2019.

Sejak AS memberikan sanksi kepada mereka pada Desember 2019 karena menggunakan Dridex untuk menyebabkan kerugian finansial lebih dari $100 juta, grup tersebut beralih untuk memasang ransomware WastedLocker baru pada Juni 2020.

Dari Maret 2021, Evil Corp pindah ke jenis lain yang dikenal sebagai Hades ransomware, varian 64-bit dari WastedLocker yang ditingkatkan dengan kebingungan kode tambahan dan perubahan fitur kecil.

Sejak itu, para pelaku ancaman juga meniru kelompok peretas PayloadBin dan menggunakan jenis ransomware lain yang dikenal sebagai Macaw Locker dan Phoenix CryptoLocker.

Seperti yang baru-baru ini diamati oleh analis ancaman Mandiant, geng kejahatan dunia maya kini telah melakukan upaya lain untuk menjauhkan diri dari alat yang diketahui untuk memungkinkan korban membayar uang tebusan tanpa menghadapi risiko yang terkait dengan pelanggaran peraturan OFAC,

Sebuah cluster aktivitas yang dilacak oleh Mandiant sebagai UNC2165 (sebelumnya menyebarkan Hades ransomware dan ditautkan ke Evil Corp) sekarang menyebarkan ransomware sebagai afiliasi LockBit.

“Selain itu, pembaruan kode yang sering dan rebranding HADES membutuhkan sumber daya pengembangan dan masuk akal bahwa UNC2165 melihat penggunaan LOCKBIT sebagai pilihan yang lebih hemat biaya.”

Aktivitas ransomware LockBit (ID-Ransomware)

Taktik baru bertindak sebagai afiliasi operasi Ransomware sebagai Layanan (RaaS) kemungkinan akan memungkinkan mereka menginvestasikan waktu yang dibutuhkan untuk pengembangan ransomware ke dalam memperluas operasi penyebaran ransomware geng.

Teori lain adalah bahwa peralihan ke alat jahat orang lain dapat memberi Evil Corp sumber daya gratis yang cukup untuk mengembangkan jenis ransomware baru dari awal, sehingga mempersulit peneliti keamanan untuk menautkan ke operasi geng sebelumnya.

“Kami berharap para pelaku ini serta pihak lain yang terkena sanksi di masa depan mengambil langkah-langkah seperti ini untuk mengaburkan identitas mereka agar tidak menjadi faktor pembatas untuk menerima pembayaran dari para korban,” tutup Mandiant.

Sumber: Bleeping Computer

Geng Ransomware sekarang meretas situs web perusahaan untuk menampilkan catatan tebusan

by

Geng ransomware membawa pemerasan ke tingkat yang baru dengan meretas situs web perusahaan secara publik untuk menampilkan catatan tebusan secara publik.

Strategi pemerasan baru ini dilakukan oleh Industrial Spy, geng pemerasan data yang baru-baru ini mulai menggunakan ransomware sebagai bagian dari serangan mereka.

Sebagai bagian dari serangan mereka, Industrial Spy akan menembus jaringan, mencuri data, dan menyebarkan ransomware di perangkat. Pelaku ancaman kemudian mengancam akan menjual data yang dicuri di pasar Tor mereka jika uang tebusan tidak dibayarkan.

Contoh catatan tebusan mata-mata industri
Sumber: BleepingComputer

Hari ini, Industrial Spy mulai menjual data yang mereka klaim dicuri dari perusahaan Prancis bernama SATT Sud-Est seharga $500.000.

Seperti yang pertama kali diketahui oleh peneliti keamanan MalwareHunterTeam, serangan ini menonjol karena pelaku juga meretas situs web perusahaan untuk menampilkan pesan peringatan bahwa 200GB telah dicuri dan akan segera dijual jika korban tidak membayar uang tebusan.

SATT Sud-Est dirusak untuk menunjukkan catatan tebusan
Sumber: BleepingComputer

Ketika geng ransomware memeras korban, mereka biasanya memberi mereka waktu singkat, biasanya beberapa minggu, untuk bernegosiasi dan membayar uang tebusan sebelum mereka mulai membocorkan data.

Selama proses negosiasi ini, pelaku ancaman berjanji untuk merahasiakan serangan, memberikan kunci dekripsi, dan menghapus semua data jika uang tebusan dibayarkan.

Setelah periode ini, pelaku ancaman akan menggunakan berbagai metode untuk meningkatkan tekanan, termasuk serangan DDoS di situs web perusahaan, mengirim email kepada pelanggan dan mitra bisnis, dan menelepon eksekutif dengan ancaman.

Taktik ini semua dilakukan secara pribadi atau dengan eksposur minimal di situs kebocoran data mereka, yang biasanya hanya dikunjungi oleh peneliti keamanan siber dan media.

Sementara taktik ini di luar norma, memungkinkan geng ransomware untuk memberikan tekanan lebih lanjut pada korban, karena mendorong serangan menjadi sorotan di mana pelanggan dan mitra bisnis dapat lebih mudah melihatnya.

Namun, tidak diyakini bahwa taktik baru ini akan digunakan secara luas karena server web biasanya tidak di-host di jaringan perusahaan melainkan dengan penyedia hosting.

Oleh karena itu, pelaku ancaman perlu menemukan kerentanan di situs web atau mendapatkan akses ke kredensial saat mereka mencuri data dari jaringan internal.

Sumber: Bleeping Computer

Laporan Verizon: Ransomware, Kesalahan Manusia Di Antara Risiko Keamanan Teratas

by

Ransomware, ancaman rantai pasokan, dan bagaimana organisasi dan karyawan mereka adalah musuh terburuk mereka sendiri dalam hal keamanan adalah beberapa kesimpulan utama dari laporan tahunan Verizon tentang serangan cyber selama 12 bulan terakhir.

Laporan Investigasi Pelanggaran Data 2022 (DBIR) yang diterbitkan Selasa memberikan beberapa berita mengejutkan bagi organisasi yang bertujuan untuk mengamankan diri mereka sendiri dari ancaman yang dapat mengakibatkan kompromi sistem dan hilangnya data, sumber daya, uang, waktu, dan/atau semua hal di atas.

Para peneliti di balik laporan tersebut–Gabriel Bassett, C. David Hylender, Philippe Langlois, Alex Pinto, dan Suzanne Widup–mengamati bahwa beberapa tahun terakhir telah “luar biasa” bagi semua orang, tanpa menyebutkan faktor yang jelas, yaitu pandemi dan awal mulanya. perang di Ukraina tepat di belakangnya.

Namun, yang paling dipedulikan oleh penjaga laporan adalah data yang terkait dengan insiden dan pelanggaran keamanan yang terjadi—dengan yang pertama adalah kompromi apa pun terhadap aset informasi, dan yang terakhir adalah pengungkapan data kepada pihak yang tidak berwenang. Dan pada tahun 2021, para peneliti menemukan bahwa keduanya mengalami lonjakan kejadian yang belum pernah terjadi sebelumnya.

Ada sedikit kejutan di antara temuan-temuan kunci DBIR bagi mereka yang mengamati lanskap keamanan pada tahun 2021. Faktanya, beberapa temuan tampaknya konsisten dengan apa yang disoroti oleh laporan tersebut sejak dimulainya pada tahun 2008, seorang profesional keamanan mengamati.

Namun, satu temuan yang mencerminkan ancaman yang menjadi terkenal hanya dalam beberapa tahun terakhir adalah bahwa ransomware melanjutkan tren kenaikannya. Jenis kejahatan dunia maya ini yang mengunci data perusahaan melalui penyusupan dan tidak akan merilisnya sampai organisasi membayar sejumlah pemerasan yang besar mengalami peningkatan hampir 13 persen dari tahun ke tahun pada tahun 2021.

Memang, meskipun kelompok ransomware telah datang dan pergi dan otoritas federal telah mengambil langkah besar untuk menindak jenis kejahatan dunia maya ini, keuntungannya sangat menguntungkan bagi penjahat sehingga kemungkinan akan bertahan untuk sementara waktu, catat pakar keamanan.

Serangan signifikan pada rantai pasokan—di mana pelanggaran terjadi pada satu sistem atau perangkat lunak yang dapat dengan mudah menyebar ke seluruh organisasi—yang menunjukkan dampak jangka panjang juga meningkat dan terjadi pada tahun 2021, para peneliti menemukan.

Tanpa menyebutkan namanya, tim Verizon mengutip sebagai contoh serangan rantai pasokan SolarWinds yang sekarang terkenal yang terjadi pada akhir tahun 2020 dan masih membuat perusahaan berebut untuk bereaksi terhadap dampak hingga tahun 2021.

Memang, “rantai pasokan bertanggung jawab atas 62 persen insiden penyusupan sistem tahun ini,” para peneliti melaporkan. Selain itu, tidak seperti aktor ancaman yang bermotivasi finansial, pelaku kejahatan ini sering kali adalah aktor yang disponsori negara yang lebih memilih untuk “melewati pelanggaran dan mempertahankan aksesnya,” mempertahankan kegigihan pada jaringan organisasi untuk beberapa waktu, kata peneliti.

Serangan ini sangat berbahaya karena, karena serangan dapat dimulai dengan satu perusahaan tetapi dengan cepat menyebar ke pelanggan dan mitranya, dapat ada begitu banyak korban yang terlibat, para peneliti.

Lebih lanjut, sering kali pelanggaran yang melewati rantai pasokan tidak ditemukan sampai lama setelah penyerang mendapatkan akses ke sistem organisasi, membuat potensi pelanggaran dan pencurian data dalam jangka panjang lebih mungkin terjadi.

Dua temuan kunci lagi dari laporan tersebut terkait dalam hal di mana letak tanggung jawab utama—seseorang baik di dalam maupun di luar organisasi yang melakukan kesalahan. Memang, kesalahan manusia terus menjadi tren dominan tentang bagaimana dan mengapa pelanggaran terjadi, para peneliti menemukan.

Faktanya, 82 persen dari pelanggaran yang dianalisis dalam DBIR pada tahun 2021 melibatkan apa yang oleh para peneliti disebut “elemen manusia, yang dapat berupa banyak hal, kata mereka.

“Apakah itu penggunaan kredensial yang dicuri, phishing, penyalahgunaan, atau hanya kesalahan, orang terus memainkan peran yang sangat besar dalam insiden dan pelanggaran,” tulis para peneliti.

Pakar keamanan mengungkapkan sedikit kejutan atas temuan “elemen manusia”, yang merupakan salah satu yang menjangkiti industri teknologi bahkan sebelum keamanan dan seluruh industri di sekitarnya menjadi kenyataan, kata seorang profesional keamanan.

Banyak kesalahan yang terjadi saat ini adalah hasil dari rekayasa sosial yang cerdik dari pihak penyerang, terutama dalam serangan phishing yang mengelabui orang agar mengklik file atau tautan berbahaya yang memungkinkan akses komputer atau memberikan kredensial pribadi yang dapat digunakan untuk menyusup ke sistem perusahaan , dia berkata.

Satu-satunya cara untuk mengatasi masalah keamanan yang disebabkan oleh kesalahan manusia adalah melalui pendidikan, apakah itu tentang kesalahan konfigurasi yang salah, pentingnya menambal, kredensial yang dicuri, dan atau hanya “kesalahan biasa, seperti ketika pengguna secara tidak sengaja mengirim email ke data orang yang salah,” kata Grimes.

Sumber: Threat Post

Bank nasional terkena ransomware troll hacker dengan foto penis

by

Setelah menderita serangan ransomware oleh operasi Hive, Bank Zambia menjelaskan bahwa mereka tidak akan membayar dengan memposting gambar alat kelamin laki-laki dan memberi tahu para peretas untuk s… (yah, Anda dapat menggunakan imajinasi Anda).

Pekan lalu, Bank of Zambia, bank sentral negara itu, mengungkapkan bahwa pemadaman teknis baru-baru ini diakibatkan oleh serangan siber.

“Bank Zambia ingin menginformasikan kepada masyarakat bahwa pihaknya mengalami gangguan sebagian pada beberapa aplikasi Teknologi Informasi (TI) pada Senin 9 Mei 2022,” ungkap bank dalam siaran pers.

“Gangguan, yang mempengaruhi beberapa sistem di Bank seperti Sistem Pemantauan Bureau De Change dan Situs Web, berasal dari insiden keamanan siber yang dicurigai. Kami ingin memberitahukan bahwa sistem ini telah dipulihkan sepenuhnya.”

Sementara Bank of Zambia tidak mengungkapkan rincian serangan siber, BleepingComputer mengetahui bahwa serangan itu dilakukan oleh operasi ransomware Hive, yang mengklaim telah mengenkripsi perangkat Network Attached Storage (NAS) bank.

Namun, alih-alih membayar uang tebusan, perwakilan bank menanggapi negosiasi tebusan dengan mengolok-olok ’14m3-sk1llz’ milik peretas.

Mereka kemudian melanjutkan untuk memposting tautan ke gambar kontol sambil menyatakan, “hisap penis ini dan berhenti mengunci jaringan bank dengan berpikir bahwa Anda akan memonetisasi sesuatu, belajarlah untuk menghasilkan uang.”

Obrolan ini membuat peneliti keamanan MalwareHunterTeam memposting jajak pendapat yang menanyakan apakah orang merasa foto seperti ini dalam negosiasi tebusan berarti dibajak atau pesannya berasal dari korban.

Hari ini, Bloomberg melaporkan bahwa Direktur Teknis Bank, Greg Nsofu, mengatakan mereka telah melindungi sistem inti bank, sehingga tidak perlu terlibat dengan pelaku ancaman.

Namun, Nsofu berkata, “Jadi kami cukup memberi tahu mereka di mana harus turun,” membenarkan bahwa seseorang yang berafiliasi dengan bank yang menanggapi Hive.

Tanggapan bank terhadap pelaku ancaman mungkin bukan metode yang tepat untuk semua organisasi, tetapi mereka harus dipuji karena menjelaskan bahwa mereka tidak akan menyerah pada tuntutan penyerang.

Sementara ransomware tetap menjadi masalah besar bagi pengguna perusahaan dan rumahan, cara terbaik untuk mengakhiri momok ini adalah dengan tidak membayar uang tebusan dan memulihkan dari cadangan.

Menggabungkan non-pembayaran dengan peningkatan tindakan penegakan hukum dan sanksi pemerintah, semoga kita akan melihat operasi ransomware perlahan memudar.

Sumber: Bleeping Computer

AS Klaim Seorang ahli jantung Sibuk Membuat Ransomware

by

AS telah mendakwa seorang ahli jantung Venezuela dengan “gangguan komputer” karena diduga bekerja sambilan sebagai pengembang ransomware.

Pada hari Senin, Departemen Kehakiman membuka (Membuka di jendela baru) pengaduan pidana terhadap Moises Luis Zagala Gonzalez yang berusia 55 tahun yang mengklaim bahwa dia adalah penulis dari dua jenis ransomware yang disebut Jigsaw v.2 dan Thanos.

Menurut penyelidik federal, Zagala menjual dan menyewakan alat ransomware kepada penjahat dunia maya mulai tahun 2019 dan mengajari para penipu cara menggunakan program tersebut.

FBI mengklaim Zagala menciptakan versi 2.0 dari Jigsaw ransomware yang dirancang untuk memperbarui program ransomware lama, yang dibuat oleh orang lain. Dia juga mengembangkan alat pembuat ransomware yang dijuluki Thanos (Buka di jendela baru) setelah penjahat super Marvel.

Fitur Thanos termasuk menyesuaikan catatan tebusan, memilih file mana yang harus dienkripsi ransomware, dan berbagai opsi untuk membantu menutupi kode berbahaya dari deteksi antivirus.

Sumber: FBI

Zagala menjual Thanos dengan menyewakan alat tersebut melalui model lisensi. Dia juga membuat program afiliasi di sekitar Thanos, yang melibatkan membiarkan penjahat dunia maya menggunakan alat tersebut dengan imbalan bagian keuntungan dari setiap serangan ransomware yang berhasil.

Zagala mengiklankan Thanos di berbagai forum online yang digunakan oleh penjahat dunia maya. “Dalam iklan publik untuk program tersebut, Zagala membual bahwa ransomware yang dibuat menggunakan Thanos hampir tidak terdeteksi oleh program antivirus, dan bahwa ‘setelah enkripsi selesai,’ ransomware akan ‘menghapus dirinya sendiri,’ membuat deteksi dan pemulihan ‘hampir mustahil’ bagi korban. ,” tambah DOJ.

Sumber: PCMAG

Peretas Menggunakan Layanan PrivateLoader PPI untuk Mendistribusikan Malware NetDooka Baru

by

Layanan malware bayar-per-instal (PPI) yang dikenal sebagai PrivateLoader telah terlihat mendistribusikan kerangka kerja yang “cukup canggih” yang disebut NetDooka, memberikan penyerang kendali penuh atas perangkat yang terinfeksi.

“Kerangka ini didistribusikan melalui layanan bayar-per-instal (PPI) dan berisi beberapa bagian, termasuk loader, dropper, driver perlindungan, dan trojan akses jarak jauh (RAT) berfitur lengkap yang mengimplementasikan protokol komunikasi jaringannya sendiri. , ”kata Trend Micro dalam sebuah laporan yang diterbitkan Kamis.

PrivateLoader, seperti yang didokumentasikan oleh Intel 471 pada Februari 2022, berfungsi sebagai pengunduh yang bertanggung jawab untuk mengunduh dan memasang malware tambahan ke sistem yang terinfeksi, termasuk SmokeLoader, RedLine Stealer, Vidar, Raccoon, GCleaner, dan Anubis.

Menampilkan teknik anti-analisis, PrivateLoader ditulis dalam bahasa pemrograman C++ dan dikatakan dalam pengembangan aktif, dengan keluarga malware pengunduh mendapatkan daya tarik di antara beberapa pelaku ancaman.

Infeksi PrivateLoader biasanya disebarkan melalui perangkat lunak bajakan yang diunduh dari situs web jahat yang didorong ke bagian atas hasil pencarian melalui teknik keracunan optimasi mesin pencari (SEO).

“PrivateLoader saat ini digunakan untuk mendistribusikan ransomware, pencuri, bankir, dan malware komoditas lainnya,” Zscaler mencatat minggu lalu. “Pemuat kemungkinan akan terus diperbarui dengan fitur dan fungsionalitas baru untuk menghindari deteksi dan secara efektif mengirimkan muatan malware tahap kedua.”

Selengkapnya: Olivers Post