REvil

FBI mengirimkan peringatan pertamanya tentang ‘afiliasi ransomware’

August 24, 2021 by Mally

Biro Investigasi Federal AS hari ini telah menerbitkan nasihat publik pertamanya yang merinci modus operandi “afiliasi ransomware.”

Istilah yang relatif baru, afiliasi ransomware mengacu pada orang atau kelompok yang menyewa akses ke platform Ransomware-as-a-Service (RaaS), mengatur intrusi ke dalam jaringan perusahaan, mengenkripsi file dengan “ransomware sewaan”, dan kemudian mendapatkan komisi dari pemerasan yang berhasil.

Dengan nama OnePercent Group, FBI mengatakan hari ini aktor ancaman ini telah aktif setidaknya sejak November 2020.

Menurut laporan FBI, secara historis, kelompok tersebut terutama mengandalkan taktik berikut untuk serangannya:

Menggunakan kampanye email phishing untuk menginfeksi korban dengan trojan IcedID.
Menggunakan trojan IcedID untuk menyebarkan muatan tambahan pada jaringan yang terinfeksi.
Menggunakan penetration testing framework Cobalt Strike untuk bergerak secara lateral melintasi jaringan korban.
Menggunakan RClone untuk mengekstrak data sensitif dari server korban.
Data terenkripsi dan meminta tebusan.
Menelepon atau mengirim email kepada korban untuk mengancam akan menjual data curian mereka di web gelap jika mereka tidak membayar tepat waktu.

Meskipun FBI tidak secara spesifik menyebut grup tersebut sebagai afiliasi ransomware, sumber di industri keamanan siber mengatakan kepada The Record bahwa OnePercent telah lama berkolaborasi dengan pencipta dan operator ransomware REvil (Sodinokibi) dan juga bekerja dengan operasi Maze dan Egregor.

Selengkapnya: The Record

Serangan ransomware Kaseya memicu perlombaan untuk meretas penyedia layanan -peneliti

August 5, 2021 by Mally

Serangan ransomware pada bulan Juli yang melumpuhkan sebanyak 1.500 organisasi dengan mengkompromikan perangkat lunak manajemen teknologi dari sebuah perusahaan bernama Kaseya telah memicu perlombaan di antara para penjahat yang mencari kerentanan serupa, kata pakar keamanan siber.

Afiliasi dari geng ransomware top berbahasa Rusia yang dikenal sebagai REvil menggunakan dua kelemahan dalam perangkat lunak dari Kaseya yang berbasis di Florida untuk membobol sekitar 50 penyedia layanan terkelola (MSP) yang menggunakan produknya, kata penyelidik.

Sekarang para penjahat melihat betapa kuatnya serangan MSP, “mereka sudah sibuk, mereka sudah pindah dan kita tidak tahu di mana,” kata Victor Gevers, kepala Institut Pengungkapan Kerentanan Belanda nirlaba, yang memperingatkan Kaseya atas kelemahan sebelum serangan.

Gevers mengatakan para penelitinya telah menemukan kerentanan serupa di lebih banyak MSP. Dia menolak menyebutkan nama perusahaan karena mereka belum memperbaiki semua masalah.

Bisnis MSP telah berkembang pesat selama pandemi coronavirus di samping peningkatan pesat dalam pekerjaan jarak jauh.

“Di situlah Anda menemukan akses tepercaya ke sistem pelanggan,” kata Chris Krebs, pemimpin pertama Badan Keamanan Siber dan Keamanan Infrastruktur (CISA) Departemen Keamanan Dalam Negeri AS, yang telah menjadikan ransomware sebagai prioritas utama. “Ini adalah pendekatan yang jauh lebih ekonomis untuk meluncurkan serangan breakout. Dan sulit bagi pelanggan untuk mempertahankannya.”

Selengkapnya: Reuters

Kaseya memperbaiki kerentanan VSA yang digunakan dalam serangan ransomware REvil

July 12, 2021 by Mally

Kaseya telah merilis pembaruan keamanan untuk kerentanan zero-day VSA yang digunakan oleh geng ransomware REvil untuk menyerang MSP dan pelanggan mereka.

Kaseya VSA adalah solusi manajemen dan pemantauan jarak jauh yang biasa digunakan oleh penyedia layanan terkelola untuk mendukung pelanggan mereka. MSP dapat menerapkan VSA di lokasi menggunakan server mereka atau memanfaatkan solusi SaaS berbasis cloud Kaseya.

Pada bulan April, Dutch Institute for Vulnerability Disclosure (DIVD) mengungkapkan tujuh kerentanan pada Kaseya VSA.

Kaseya telah mengimplementasikan patch untuk sebagian besar kerentanan pada layanan VSA SaaS mereka tetapi belum menyelesaikan patch untuk versi lokal VSA.

Sayangnya, geng ransomware REvil mendahului Kaseya dan memanfaatkan kerentanan ini untuk meluncurkan serangan besar-besaran pada 2 Juli terhadap sekitar 60 MSP menggunakan server VSA lokal dan 1.500 pelanggan bisnis.

Sejak serangan itu, Kaseya telah mendesak pelanggan VSA lokal untuk mematikan server mereka sampai patch rilis.

Hampir sepuluh hari setelah serangan, Kaseya akhirnya merilis pembaruan VSA 9.5.7a (9.5.7.2994) untuk memperbaiki kerentanan yang digunakan dalam serangan ransomware REvil.

Namun, Kaseya mendesak pelanggan untuk mengikuti langkah-langkah ‘Panduan Kesiapan Startup VSA Lokal‘ sebelum menginstal pembaruan untuk mencegah pelanggaran lebih lanjut dan memastikan perangkat belum dikompromikan.

Setelah menginstal tambalan, semua pengguna akan diminta untuk mengubah kata sandi mereka menjadi kata sandi yang menggunakan persyaratan kata sandi baru.

Selengkapnya: Bleeping Computer

Peretas Rusia REvil menuntut $70 JUTA untuk kunci dekripsi

July 6, 2021 by Mally

Serangan ransomware terbesar dalam sejarah telah menghantam sistem TI hingga 1 juta perusahaan di hampir setiap benua ketika peretas yang terkait dengan Rusia menuntut $70 juta dalam cryptocurrency untuk memperbaikinya.

Toko kelontong Swedia, sekolah di Selandia Baru, dan dua perusahaan IT besar Belanda termasuk di antara korban kelompok peretasan REvil yang meluncurkan serangannya pada hari Jumat setelah melanggar sistem perusahaan perangkat lunak yang berbasis di AS Kaseya.

REvi yang telah menuntut uang tebusan hingga $5 juta dari masing-masing perusahaan – namun sekarang mengatakan meminta $70 juta dan akan membuka kunci semua jaringan yang terpengaruh.

Analis mengatakan bukan kebetulan bahwa serangan terakhir bertepatan dengan akhir pekan 4 Juli, ketika perusahaan akan kekurangan staf dan kurang mampu merespons.

Di antara korban yang dilaporkan adalah dua perusahaan besar layanan TI Belanda – VelzArt dan Hoppenbrouwer Techniek.

Tetapi sebagian besar korban diyakini adalah usaha kecil hingga menengah dan layanan publik yang tidak mungkin mengumumkan bahwa mereka telah terinfeksi – seperti praktik gigi, firma arsitektur, pusat operasi plastik, dan perpustakaan.

Peretas berhasil menjatuhkan perusahaan dengan menyusup ke VSA, perangkat lunak Kaseya yang digunakan untuk mengelola jaringan TI yang jauh lebih besar. Peretasan semacam itu dikenal sebagai serangan ‘rantai pasokan’.

Para ahli mengatakan fakta bahwa REvil meminta uang tebusan sebesar $70 juta untuk mengembalikan semua jaringan yang terpengaruh menunjukkan bahwa peretasannya jauh lebih luas daripada yang diantisipasi oleh peretas itu sendiri.

Selengkapnya: Daily Mail UK

Serangan ransomware besar ini digagalkan pada menit terakhir. Begini cara mereka melihatnya

July 2, 2021 by Mally

Geng ransomware menginstal perangkat lunak desktop jarak jauh di lebih dari 100 mesin di seluruh jaringan, dan rencana mereka untuk mengenkripsi jaringan hanya digagalkan pada menit terakhir ketika pakar keamanan siber dipanggil ke perusahaan setelah perangkat lunak mencurigakan ditemukan di jaringannya.

Upaya yang dilakukan oleh penjahat untuk meletakkan dasar untuk serangan ransomware, yang mengakibatkan perangkat lunak akses jarak jauh yang sah diinstal pada 130 titik akhir, ditemukan ketika perusahaan keamanan Sophos dibawa untuk menyelidiki perusahaan yang tidak disebutkan namanya setelah Cobalt Strike terdeteksi di jaringannya.

Cobalt Strike adalah alat pengujian penetrasi yang sah, tetapi biasanya digunakan oleh penjahat cyber pada tahap awal serangan ransomware. Salah satu alasan yang digunakan oleh penjahat cyber adalah sebagian berjalan di memori, sehingga sulit untuk dideteksi.

Tujuan dari geng tersebut adalah untuk mengenkripsi sebanyak mungkin jaringan dengan REvil ransomware, tetapi karena penjahat cyber terdeteksi sebelum mereka dapat menyelesaikan persiapan mereka, serangan itu tidak berhasil – meskipun mereka berhasil mengenkripsi data pada beberapa perangkat yang tidak terlindungi. dan menghapus cadangan online setelah mereka menyadari bahwa mereka telah ditemukan oleh penyelidik.

selengkapnya : www.zdnet.com

REvil Memukul Kontraktor Senjata Nuklir AS: Laporan

June 13, 2021 by Mally

“Dengan ini kami memiliki hak untuk meneruskan semua dokumentasi dan data yang relevan ke badan militer pilihan kami” tulis REvil.

Sol Oriens, subkontraktor untuk Departemen Energi AS (DOE) yang bekerja pada senjata nuklir dengan Administrasi Keamanan Nuklir Nasional (NNSA), bulan lalu dilanda serangan siber yang menurut para ahli berasal dari ransomware-as-a- REvil tanpa henti. geng layanan (RaaS).

Situs web perusahaan Albuquerque, N.M. telah tidak dapat dijangkau setidaknya sejak 3 Juni, tetapi pejabat Sol Oriens mengkonfirmasi kepada Fox News dan kepada CNBC bahwa perusahaan tersebut mengetahui pelanggaran tersebut sekitar bulan lalu.

Seperti yang dicatat Javers, “kami tidak tahu semua yang dilakukan perusahaan kecil ini,” tetapi dia memposting contoh posting pekerjaan yang menunjukkan bahwa ia menangani masalah senjata nuklir: “Materi Subjek Sistem Senjata Nuklir Senior. Pakar dengan pengalaman lebih dari 20 tahun dengan senjata nuklir seperti W80-4.” W80 adalah jenis hulu ledak nuklir yang dibawa pada rudal jelajah yang diluncurkan dari udara.

Menurut versi yang diarsipkan dan profil LinkedIn-nya, Sol Oriens adalah “perusahaan konsultan kecil milik veteran yang berfokus pada pengelolaan teknologi dan konsep canggih dengan potensi kuat untuk aplikasi militer dan ruang angkasa” yang bekerja dengan “Departemen Pertahanan dan Departemen Energi”. Organisasi, Kontraktor Dirgantara, dan Perusahaan Teknologi (sic) menjalankan program yang kompleks. … Kami fokus untuk memastikan bahwa ada teknologi yang dikembangkan dengan baik yang tersedia untuk mempertahankan Pertahanan Nasional yang kuat.”

selengkapnya : threatpost.com

Seseorang yang diduga anggota REvil mengatakan mereka tidak takut dengan fokus ransomware utama pemerintah AS

June 7, 2021 by Mally

Geng ransomware terkenal mengatakan tidak lagi berusaha menghindari target yang berbasis di Amerika Serikat, dan terlepas dari fokus yang meningkat dari anggota parlemen, kelompok itu mengatakan menggandakan fokusnya pada target AS.

Dalam sebuah wawancara singkat yang diposting ke saluran Telegram OSINT Rusia yang sejak itu telah dihapus, perwakilan yang diduga dari geng ransomware REvil mengatakan bahwa kelompok itu berada di balik serangan terhadap perusahaan pengolahan makanan global JBS, tetapi mengharapkan kerusakan dapat diatasi di Brasil, sejak kantor pusat perusahaan berbasis di São Paulo. Juru bicara itu mengatakan telah mencoba untuk menghindari perusahaan-perusahaan AS secara luas sejak insiden ransomware Colonial Pipeline.

“Dengan kejadian baru-baru ini di bisnis bahan bakar, kami mencoba menjauh dari AS, sama seperti kami tidak menargetkan infrastruktur kritis,” bunyi wawancara itu. “Serangan itu untuk perusahaan di Brasil, tetapi AS yang marah.”

Sejak peretasan Colonial Pipeline, pemerintah AS telah sangat fokus memerangi ransomware. Menurut laporan Reuters, AS. Departemen Kehakiman akan mulai meningkatkan penyelidikan serangan ransomware ke prioritas yang sama dengan terorisme setelah peretasan Colonial Pipeline dan kerusakan yang meningkat yang disebabkan oleh penjahat dunia maya.

Menanggapi tindakan Departemen Kehakiman, juru bicara REvil mengatakan dia berencana untuk lebih fokus pada target AS.

Perwakilan itu juga mengatakan bahwa mereka tidak percaya tindakan departemen akan menghentikan mereka melakukan serangan.

Terlepas dari pengawasan, perwakilan yang diduga mengatakan perhatian itu membuat geng tidak terpengaruh.

“Waktu akan menunjukkan. Kami masih di sini,” kata perwakilan itu. “Kami tidak akan kemana-mana.”

Selengkapnya: Intel471

Geng ransomware kini memperingatkan mereka akan membocorkan logo baru Apple

April 27, 2021 by Mally

Kelompok ransomware REvil secara misterius menghapus skema Apple dari situs kebocoran data mereka setelah secara pribadi memperingatkan Quanta bahwa mereka akan membocorkan gambar untuk iPad baru dan logo baru Apple.

Awal bulan ini, geng ransomware melakukan serangan terhadap Quanta, produsen desain asli (ODM) yang berbasis di Taiwan yang membantu pembuatan Apple Watch, Apple Macbook Air, dan Apple Macbook Pro.

Sebagai bagian dari serangan ini, pelaku ancaman mencuri data milik perusahaan, termasuk gambar dan skema untuk produk Apple.

Setelah tidak menerima pembayaran tebusan dari Quanta, yang memiliki harga awal $50 juta, REvil mulai memposting skema untuk Apple Macbooks di situs kebocoran data mereka.

Sebagai bagian dari kebocoran ini, REvil memperingatkan Apple bahwa mereka harus membeli kembali data paling lambat 1 Mei atau lebih banyak data akan bocor.

REvil telah memperingatkan Quanta bahwa mereka akan mulai menerbitkan gambar untuk “iPad baru, logo Apple baru” jika mereka tidak menerima tanggapan dari Quanta.

Tidak diketahui apakah Quanta sedang berkomunikasi dengan REvil dalam obrolan lain atau jika negosiasi terhenti.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

REvil

Cookies Settings