REvil

Para peneliti memberikan pukulan kepada geng Gootloader yang mendukung REvil

April 28, 2023 by Søren

Peneliti keamanan di spesialis deteksi dan respons terkelola (MDR) eSentire telah mengungkapkan bagaimana mereka membalikkan keadaan pada operasi kejahatan dunia maya yang luas yang telah memikat ribuan orang yang bekerja di firma hukum dan departemen hukum internal di Inggris, Australia, Kanada dan AS selama 15 bulan terakhir.

Dikenal sebagai Gootloader, operasi ini berspesialisasi dalam mendapatkan akses awal ke jaringan korban dan kemudian menawarkannya secara as-a-service kepada penjahat dunia maya hilir, termasuk operasi ransomware REvil yang meretas firma hukum yang mewakili presiden AS saat itu Donald Trump pada tahun 2020 .

Gootloader telah menjadi ancaman lama setidaknya sejak tahun 2020, dan dinobatkan sebagai salah satu ancaman teratas CISA pada tahun 2021.

Threat Response Unit (TRU) ESentire, yang dipimpin oleh Joe Stewart dan Keegan Keplinger, telah menghentikan serangan terhadap 12 organisasi berbeda di mana karyawan dibujuk untuk menyusupi blog WordPress yang telah dimainkan oleh operator Gootloader ke peringkat teratas pencarian Google menggunakan teknik yang dikenal sebagai pencarian keracunan optimasi mesin (SEO).

Dari blog ini, mereka diminta untuk mengunduh malware Gootloader yang disamarkan sebagai perjanjian dan kontrak hukum palsu, sehingga memberikan akses operasi ke sistem mereka.

“Gootloader adalah ancaman licik dan berbahaya yang memangsa mereka yang mencari informasi bisnis dan formulir hukum online,” kata Stewart. “Pengguna yang tidak bersalah dapat dengan mudah terpikat oleh postingan palsu Gootloader, tanpa sadar mengekspos diri mereka ke serangan ransomware.

“Ini seperti jebakan, menunggu dalam bayang-bayang korban berikutnya yang tidak menaruh curiga tersandung ke dalam genggamannya. Terserah peneliti keamanan untuk menyinari sudut gelap internet ini dan melindungi mereka yang hanya mencoba mencari informasi yang mereka butuhkan untuk menyelesaikan pekerjaan mereka.

Selengkapnya: Computer Weekly

Bug ransomware Conti, REvil, LockBit dieksploitasi untuk memblokir enkripsi

May 5, 2022 by Winnie the Pooh

Peretas biasanya mengeksploitasi kerentanan di jaringan perusahaan untuk mendapatkan akses, tetapi seorang peneliti telah membalikkan keadaan dengan menemukan eksploitasi di ransomware dan malware paling umum yang didistribusikan saat ini.

Malware dari operasi ransomware terkenal seperti Conti, REvil, Black Basta, LockBit, atau AvosLocker, semuanya datang dengan masalah keamanan yang dapat dieksploitasi untuk menghentikan langkah terakhir dan paling merusak dari serangan, enkripsi file.

Menganalisis jenis malware dari geng ransomware ini, seorang peneliti keamanan bernama hyp3rlinx menemukan bahwa sampel tersebut rentan terhadap DLL hijacking, sebuah metode yang biasanya dimanfaatkan oleh penyerang untuk menyuntikkan kode berbahaya ke dalam aplikasi yang sah.

Untuk setiap bagian malware yang dianalisis, peneliti memberikan laporan yang menjelaskan jenis kerentanan yang ditemukan, hash sampel, eksploitasi proof-of-concept (PoC), dan video demo.

Untuk sampel ransomware yang rentan dari Conti, REvil, LockBit, Black Basta, LockiLocker, dan AvosLocker, peneliti mengatakan bahwa exploit mereka memungkinkan mengeksekusi kode untuk “mengendalikan dan menghentikan pra-enkripsi malware.”

Di bawah ini adalah video dari peneliti yang mengeksploitasi kerentanan DLL hijacking di REvil ransomware untuk menghentikan malware sebelum proses enkripsi dimulai.

Untuk bertahan melawan keluarga ransomware ini, hyp3rlinx mengatakan bahwa DLL dapat ditempatkan di lokasi di mana penjahat siber cenderung menjalankan ransomware mereka, seperti lokasi jaringan dengan data penting.

Berikut adalah laporan kerentanan untuk sampel ransomware yang dianalisis: Conti, REvil, LockBit, Black Basta, LockiLocker, dan AvosLocker.

Selengkapnya: Bleeping Computer

Sampel malware baru mengonfirmasi bahwa REvil telah kembali

May 2, 2022 by Winnie the Pooh

Operasi ransomware REvil yang terkenal telah kembali di tengah meningkatnya ketegangan antara Rusia dan AS, dengan infrastruktur baru dan encryptor yang dimodifikasi memungkinkan serangan yang lebih bertarget.

Pada bulan Oktober, geng ransomware REvil ditutup setelah operasi penegakan hukum membajak server Tor mereka, diikuti oleh penangkapan salah satu anggota oleh penegak hukum Rusia.

Namun, setelah invasi ke Ukraina, Rusia menyatakan bahwa AS telah menarik diri dari proses negosiasi mengenai geng REvil dan menutup saluran komunikasi.

Segera setelah itu, infrastruktur REvil Tor yang lama mulai beroperasi kembali, tetapi alih-alih menampilkan situs web lama, mereka mengarahkan pengunjung ke URL untuk operasi ransomware baru yang tidak disebutkan namanya.

Sementara situs-situs ini tidak terlihat seperti situs web REvil sebelumnya, fakta bahwa infrastruktur lama dialihkan ke situs baru menunjukkan bahwa REvil kemungkinan akan beroperasi kembali.

Satu-satunya cara untuk mengetahui dengan pasti apakah REvil telah kembali adalah dengan menemukan contoh enkripsi ransomware dan menganalisisnya.

Sebuah sampel dari enkripsi operasi ransomware baru akhirnya ditemukan minggu ini oleh penelitian AVAST Jakub Kroustek dan telah mengkonfirmasi hubungan operasi baru dengan grup REvil.

BleepingComputer telah diberitahu oleh beberapa peneliti keamanan dan analis malware bahwa sampel REvil yang ditemukan yang digunakan oleh operasi baru dikompilasi dari kode sumber dan mencakup perubahan baru.

BleepingComputer juga menguji sampel ransomware, dan meskipun tidak mengenkripsi, sampel tersebut membuat catatan tebusan, yang identik dengan catatan tebusan lama REvil.

Tidak mengherankan bahwa REvil telah berganti nama di bawah operasi baru, terutama dengan menurunnya hubungan antara AS dan Rusia.

Selengkapnya: Bleeping Computer

Situs TOR REvil menjadi hidup untuk dialihkan ke operasi ransomware baru

April 21, 2022 by Eevee

Server REvil ransomware di jaringan TOR dicadangkan setelah berbulan-bulan tidak aktif dan dialihkan ke operasi baru yang tampaknya telah dimulai setidaknya sejak pertengahan Desember tahun lalu.

Tidak jelas siapa yang berada di balik operasi baru yang terhubung dengan REvil tetapi situs kebocoran baru mencantumkan katalog besar korban dari serangan REvil sebelumnya ditambah dua yang baru.

Namun, beberapa hari yang lalu, peneliti keamanan pancak3 dan Soufiane Tahiri melihat situs kebocoran REvil baru sedang dipromosikan di RuTOR, sebuah forum pasar yang berfokus pada wilayah berbahasa Rusia.

Situs kebocoran memberikan rincian tentang kondisi untuk afiliasi, yang diduga mendapatkan versi perbaikan dari ransomware REvil dan pembagian 80/20 untuk afiliasi yang mengumpulkan uang tebusan.

Situs tersebut mencantumkan 26 halaman korban, kebanyakan dari serangan REvil lama, dan hanya dua yang terakhir tampaknya terkait dengan operasi baru. Salah satunya adalah Minyak India.

Peneliti keamanan MalwareHunterTeam pada bulan Januari, beberapa minggu setelah 14 tersangka anggota geng ditangkap di Rusia, mengatakan bahwa mulai pertengahan Desember tahun lalu mereka melihat aktivitas dari geng ransomware baru yang terkait dengan REvil, meskipun tidak ada hubungan yang jelas.

Peneliti kemudian mengamati situs kebocoran terkait REvil saat ini naik antara 5 April dan 10 April tetapi tanpa konten dan mulai diisi sekitar seminggu setelahnya.

Pengamatan lain dari MalwareHunterTeam adalah bahwa sumber umpan RSS menunjukkan string Corp Leaks, yang telah digunakan oleh geng ransomware Nefilim yang sekarang sudah tidak berfungsi [1, 2].

Blog dan situs pembayaran aktif dan berjalan di server yang berbeda. Melihat yang pertama, blog operasi ransomware baru menjatuhkan cookie bernama DEADBEEF, istilah komputer yang digunakan sebagai penanda file oleh geng ransomware TeslaCrypt.

Koneksi ke pelaku ancaman ransomware tidak dimungkinkan saat ini karena sampel muatan berbasis REvil baru harus dianalisis dan siapa pun yang berada di balik situs kebocoran baru belum mengklaim nama atau afiliasi apa pun.

Saat berada di bawah kendali FBI pada November 2021, kebocoran data dan situs pembayaran REvil menunjukkan halaman berjudul “REvil buruk” dan formulir login, awalnya melalui gateway TOR dan di lokasi .Onion.

Misteri pengalihan, baik baru-baru ini dan dari tahun lalu, semakin dalam, karena ini menunjukkan bahwa seseorang selain penegak hukum, memiliki akses ke kunci pribadi TOR yang memungkinkan mereka membuat perubahan untuk situs .Onion.

Di forum peretas berbahasa Rusia yang populer, pengguna berspekulasi antara operasi baru sebagai scam, honeypot, atau kelanjutan resmi dari bisnis REvil lama yang kehilangan reputasinya dan memiliki banyak hal yang harus dilakukan untuk mendapatkannya kembali.

Ransomware REvil memiliki jangka panjang yang dimulai pada April 2019 sebagai kelanjutan dari operasi GandCrab, yang pertama kali membentuk model ransomware-as-a-service (RaaS).

Pada Agustus 2019 geng itu menyerang beberapa administrasi lokal di Texas dan menuntut tebusan kolektif sebesar $2,5 juta – tertinggi pada waktu itu.

Kelompok ini bertanggung jawab atas serangan rantai pasokan Kaseya yang mempengaruhi sekitar 1.500 bisnis dan juga menyebabkan kehancuran mereka tahun lalu ketika penegak hukum di seluruh dunia mengintensifkan kolaborasi mereka untuk menjatuhkan geng tersebut.

Pada pertengahan Januari, Rusia mengumumkan bahwa mereka menutup REvil setelah mengidentifikasi semua anggota geng dan menangkap 14 orang.

Dalam sebuah wawancara dengan Rossiyskaya Gazeta, Wakil Sekretaris Dewan Keamanan Federasi Rusia, Oleg Khramov, mengatakan bahwa lembaga penegak hukum Rusia memulai penyelidikannya terhadap REvil dari nama Puzyrevsky dan alamat IP yang dikirimkan oleh Amerika Serikat sebagai milik peretas utama grup.

Sumber : Bleeping Computer

Rusia Tuntut 8 Tersangka Anggota Geng Ransomware REvil

January 18, 2022 by Eevee

Delapan anggota operasi ransomware REvil yang telah ditahan oleh petugas Rusia saat ini menghadapi tuntutan pidana atas aktivitas ilegal mereka.

Pada hari Jumat, Dinas Keamanan Federal (FSB) Federasi Rusia – dinas intelijen domestik negara itu, mengumumkan penggerebekan di rumah 14 orang yang diduga menjadi bagian dari geng ransomware REvil.

Operasi itu dilakukan bekerja sama dengan Kementerian Dalam Negeri Rusia setelah pihak berwenang AS melaporkan pemimpin kelompok itu dan menuntut tindakan terhadap penjahat dunia maya yang tinggal di Rusia.

Nama-nama para tersangka tidak diketahui sampai hari ini ketika Pengadilan Tverskoi Moskow mengidentifikasi delapan orang dari dokumen penangkapan mereka:

Muromsky Romawi
Bessonov Andrey
Golovachuk Mikhail A.
Zayets Artem N.
Khansvyarov Ruslan A.
Korotayev Dmitry V.
Puzyrevsky D.D.
Malozemov Alexei V.

Para tersangka telah dipenjara selama dua bulan sebagai tindakan pencegahan dan semuanya diselidiki karena peredaran ilegal alat pembayaran (kartu kredit palsu dan dokumen pembayaran lainnya, cryptocurrency).

Yelisey Boguslavskiy, kepala penelitian di advIntel threat prevention, mengatakan bahwa individu yang ditangkap kemungkinan adalah afiliasi tingkat rendah dan bukan inti dari operasi REvil, yang mengembangkan malware dan mempertahankan operasi ransomware-as-a-service (RaaS).

Semua orang yang ditangkap dituduh melakukan kejahatan berdasarkan Bagian 2 dari Pasal 187 KUHP Federasi Rusia, kata Kantor Berita Rusia TASS, yang membawa hukuman antara lima dan delapan tahun penjara.

Menurut Martin Matishak dari The Record, seorang pejabat senior pemerintahan Biden mengatakan bahwa salah satu dari 14 tersangka yang digerebek juga bertanggung jawab atas serangan ransomware yang mengganggu operasi Colonial Pipeline. Malware ini digunakan oleh geng ransomware DarkSide, kemudian berganti nama menjadi BlackMatter.

Selengkapnya: Bleepingcomputer

Rusia Mengatakan Membongkar Kelompok Peretas REvil atas Permintaan AS

January 15, 2022 by Søren

Rusia pada hari Jumat mengatakan telah membongkar kelompok peretas terkemuka REvil, yang melakukan serangan tingkat tinggi tahun lalu terhadap perusahaan perangkat lunak TI Kaseya, menyusul permintaan dari Washington.

Keamanan siber adalah salah satu isu utama dalam agenda pertemuan puncak antara Presiden Rusia Vladimir Putin dan Presiden AS Joe Biden Juni lalu.

Layanan Keamanan Federal Rusia (FSB) mengatakan dalam sebuah pernyataan bahwa mereka telah “menekan kegiatan ilegal” anggota kelompok selama penggerebekan di 25 alamat yang menyapu 14 orang.

Pencarian dilakukan setelah “banding dari otoritas AS yang relevan.”

Anggota kelompok itu “mengembangkan malware, mengorganisir penggelapan dana dari rekening bank warga negara asing,” kata FSB.

Setara dengan 426 juta rubel ($5,5 juta atau 4,8 juta euro) dan 20 mobil mewah disita dalam operasi tersebut, tambah pernyataan itu.

Selama panggilan telepon pada bulan Juli, Biden mengatakan kepada Putin untuk “mengambil tindakan” terhadap kelompok ransomware yang beroperasi di Rusia, memperingatkan bahwa jika tidak, Washington akan mengambil “tindakan apa pun yang diperlukan” untuk membela orang Amerika.

Serangan yang belum pernah terjadi sebelumnya yang menargetkan perusahaan perangkat lunak AS Kaseya mempengaruhi sekitar 1.500 bisnis.

Serangan Kaseya, yang dilaporkan pada 2 Juli, menutup jaringan supermarket besar Swedia dan memantul di seluruh dunia, berdampak pada bisnis di setidaknya 17 negara, dari apotek hingga pompa bensin, serta puluhan taman kanak-kanak Selandia Baru.

Tak lama setelah serangan itu, halaman “web gelap” REvil menjadi offline, memicu spekulasi tentang apakah langkah tersebut merupakan hasil dari tindakan yang dipimpin oleh pemerintah.

Selengkapnya: The Moscow Time

Penangkapan Ransomware REvil, Penyitaan $6 juta dan Hadiah $10 juta

November 10, 2021 by Eevee

Departemen Kehakiman AS hari ini mengumumkan penangkapan pria Ukraina yang dituduh menyebarkan ransomware atas nama geng ransomware REvil, sebuah kolektif penjahat dunia maya berbahasa Rusia yang telah memeras ratusan juta dari organisasi korban. DOJ mengatakan telah menyita $6,1 juta dalam cryptocurrency yang dikirim ke afiliasi REvil lainnya, Departemen Luar Negeri AS sekarang menawarkan hingga $10 juta untuk nama atau lokasi setiap pemimpin REvil utama, dan hingga $5 juta untuk informasi tentang REvil afiliasi.

Yaroslav Vasinskyi, warga negara Ukraina berusia 22 tahun yang dituduh sebagai Afiliasi REvil #22. Vasinskyi ditangkap 8 Oktober di Polandia, Jaksa mengatakan Vasinskyi terlibat dalam sejumlah serangan ransomware REvil, termasuk serangan Juli 2021 terhadap Kaseya, sebuah perusahaan yang berbasis di Miami yang produknya membantu administrator sistem mengelola jaringan besar dari jarak jauh.

Vasinskyi menggunakan berbagai nama peretas, termasuk “Profcomserv” nama panggilan di balik layanan online yang membanjiri nomor telepon dengan panggilan sampah dengan biaya tertentu. Jaksa mengatakan Vasinskyi juga menggunakan moniker “Yarik45,” dan “Yaroslav2468.”

Dua nama panggilan terakhir ini sesuai dengan akun di beberapa forum kejahatan dunia maya teratas pada tahun 2013, di mana pengguna bernama “Yaroslav2468” mendaftar menggunakan alamat email yarik45@gmail.com.

Alamat email itu digunakan untuk mendaftarkan akun di Vkontakte (Facebook/Meta versi Rusia) dengan nama profil “Yaroslav ‘jual darah css’ Vasinskyi.” Profil Vkontakte Vasinskyi mengatakan kotanya saat ini pada 3 Oktober adalah Lublin, Polandia. Mungkin mengejek, halaman profil Vasinskyi juga mencantumkan nomor telepon 1-800 FBI sebagai nomor telepon kontaknya. Dia sekarang ditahan di Polandia, menunggu ekstradisi ke Amerika Serikat.

Bukti #2: Yevgeniy Igorevich Polyanin, warga negara Rusia berusia 28 tahun yang diduga sebagai Afiliasi REvil #23. DOJ mengatakan telah menyita $6,1 juta dana yang dapat dilacak ke dugaan pembayaran uang tebusan yang diterima oleh Polyanin, dan bahwa terdakwa telah terlibat dalam serangan ransomware REvil pada beberapa organisasi korban di AS.

Surat dakwaan Polyanin (PDF) mengatakan dia juga menyukai banyak peretas, termasuk LK4D4, Damnating, Damn2life, Noolleds, dan Antunpitre. Beberapa nama panggilan ini sudah ada lebih dari satu dekade di forum kejahatan dunia maya Rusia, banyak di antaranya telah diretas dan dihapus dari basis data pengguna mereka selama bertahun-tahun.

Di antara mereka adalah carder[.]su, dan database forum itu mengatakan seorang pengguna dengan nama “Damnating” terdaftar di forum pada tahun 2008 menggunakan alamat email damnating@yandex.ru. Benar saja, ada profil Vkontakte yang terkait dengan alamat email itu dengan nama “Yevgeniy ‘sialan’ Polyanin” dari Barnaul, sebuah kota di wilayah Siberia selatan Rusia.

Departemen Luar Negeri AS mengatakan pihaknya menawarkan hadiah hingga $10 juta untuk informasi yang mengarah ke identifikasi atau lokasi setiap individu yang memegang posisi kepemimpinan kunci dalam grup ransomware REvil. Departemen tersebut mengatakan bahwa pihaknya juga menawarkan hadiah hingga $5 juta untuk informasi yang mengarah pada penangkapan dan/atau hukuman di negara mana pun dari individu mana pun yang berkonspirasi untuk berpartisipasi atau mencoba berpartisipasi dalam insiden ransomware REvil.

krebsonsecurity

Ransomware REvil tutup lagi setelah situs Tor dibajak

October 18, 2021 by Winnie the Pooh

Operasi ransomware REvil kemungkinan telah ditutup sekali lagi setelah orang tak dikenal membajak portal pembayaran Tor dan blog kebocoran data mereka.

Situs Tor offline, dengan aktor ancaman yang berafiliasi dengan operasi REvil memposting ke forum peretasan XSS bahwa seseorang membajak domain geng.

Hal ini pertama kali ditemukan oleh Dmitry Smilyanets dari Recorded Future, dan menyatakan bahwa orang yang tidak dikenal membajak layanan tersembunyi Tor (domain onion) dengan kunci pribadi yang sama dengan situs Tor REvil dan kemungkinan memiliki cadangan situs tersebut.

Aktor ancaman mengatakan bahwa mereka tidak menemukan tanda-tanda kompromi ke server mereka tetapi akan mematikan operasi untuk sementara.

Pelaku ancaman kemudian mengatakan kepada afiliasi untuk menghubunginya untuk mendapatkan kunci dekripsi melalui Tox, kemungkinan agar afiliasi dapat terus memeras korban mereka dan memberikan dekripsi jika uang tebusan dibayarkan.

Untuk meluncurkan layanan tersembunyi Tor (domain .onion), Anda perlu membuat pasangan kunci privat dan publik, yang digunakan untuk menginisialisasi layanan.

Kunci pribadi harus diamankan dan hanya dapat diakses oleh admin tepercaya, karena siapa pun yang memiliki akses ke kunci ini dapat menggunakannya untuk meluncurkan layanan .onion yang sama di server mereka sendiri.

Karena pihak ketiga dapat membajak domain, itu berarti mereka juga memiliki akses ke kunci pribadi layanan tersembunyi.

Malam ini, 0_neday sekali lagi memposting ke topik forum peretasan, tetapi kali ini mengatakan bahwa server mereka telah disusupi dan bahwa siapa pun yang melakukannya menargetkan pelaku ancaman.

Saat ini, tidak diketahui siapa yang mengkompromikan server mereka.

Ketika Bitdefender dan penegak hukum memperoleh akses ke kunci master dekripsi REvil dan merilis dekripsi gratis, beberapa pelaku ancaman percaya bahwa FBI atau penegak hukum lainnya telah memiliki akses ke server sejak itu diluncurkan kembali.

Karena tidak ada yang tahu apa yang terjadi pada Unknown, ada kemungkinan juga pelaku ancaman mencoba untuk mendapatkan kembali kendali atas operasi tersebut.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

REvil

Cookies Settings