REvil

Seseorang yang diduga anggota REvil mengatakan mereka tidak takut dengan fokus ransomware utama pemerintah AS

June 7, 2021 by Winnie the Pooh

Geng ransomware terkenal mengatakan tidak lagi berusaha menghindari target yang berbasis di Amerika Serikat, dan terlepas dari fokus yang meningkat dari anggota parlemen, kelompok itu mengatakan menggandakan fokusnya pada target AS.

Dalam sebuah wawancara singkat yang diposting ke saluran Telegram OSINT Rusia yang sejak itu telah dihapus, perwakilan yang diduga dari geng ransomware REvil mengatakan bahwa kelompok itu berada di balik serangan terhadap perusahaan pengolahan makanan global JBS, tetapi mengharapkan kerusakan dapat diatasi di Brasil, sejak kantor pusat perusahaan berbasis di São Paulo. Juru bicara itu mengatakan telah mencoba untuk menghindari perusahaan-perusahaan AS secara luas sejak insiden ransomware Colonial Pipeline.

“Dengan kejadian baru-baru ini di bisnis bahan bakar, kami mencoba menjauh dari AS, sama seperti kami tidak menargetkan infrastruktur kritis,” bunyi wawancara itu. “Serangan itu untuk perusahaan di Brasil, tetapi AS yang marah.”

Sejak peretasan Colonial Pipeline, pemerintah AS telah sangat fokus memerangi ransomware. Menurut laporan Reuters, AS. Departemen Kehakiman akan mulai meningkatkan penyelidikan serangan ransomware ke prioritas yang sama dengan terorisme setelah peretasan Colonial Pipeline dan kerusakan yang meningkat yang disebabkan oleh penjahat dunia maya.

Menanggapi tindakan Departemen Kehakiman, juru bicara REvil mengatakan dia berencana untuk lebih fokus pada target AS.

Perwakilan itu juga mengatakan bahwa mereka tidak percaya tindakan departemen akan menghentikan mereka melakukan serangan.

Terlepas dari pengawasan, perwakilan yang diduga mengatakan perhatian itu membuat geng tidak terpengaruh.

“Waktu akan menunjukkan. Kami masih di sini,” kata perwakilan itu. “Kami tidak akan kemana-mana.”

Selengkapnya: Intel471

Geng ransomware kini memperingatkan mereka akan membocorkan logo baru Apple

April 27, 2021 by Winnie the Pooh

Kelompok ransomware REvil secara misterius menghapus skema Apple dari situs kebocoran data mereka setelah secara pribadi memperingatkan Quanta bahwa mereka akan membocorkan gambar untuk iPad baru dan logo baru Apple.

Awal bulan ini, geng ransomware melakukan serangan terhadap Quanta, produsen desain asli (ODM) yang berbasis di Taiwan yang membantu pembuatan Apple Watch, Apple Macbook Air, dan Apple Macbook Pro.

Sebagai bagian dari serangan ini, pelaku ancaman mencuri data milik perusahaan, termasuk gambar dan skema untuk produk Apple.

Setelah tidak menerima pembayaran tebusan dari Quanta, yang memiliki harga awal $50 juta, REvil mulai memposting skema untuk Apple Macbooks di situs kebocoran data mereka.

Sebagai bagian dari kebocoran ini, REvil memperingatkan Apple bahwa mereka harus membeli kembali data paling lambat 1 Mei atau lebih banyak data akan bocor.

REvil telah memperingatkan Quanta bahwa mereka akan mulai menerbitkan gambar untuk “iPad baru, logo Apple baru” jika mereka tidak menerima tanggapan dari Quanta.

Tidak diketahui apakah Quanta sedang berkomunikasi dengan REvil dalam obrolan lain atau jika negosiasi terhenti.

Selengkapnya: Bleeping Computer

Geng Ransomware Terkenal Mengklaim Telah Mencuri Desain Produk Apple

April 21, 2021 by Winnie the Pooh

Penjahat dunia maya mengklaim telah mencuri blueprints dari beberapa produk terbaru Apple dan sekarang mencoba memeras raksasa teknologi tersebut dengan mengancam akan menerbitkan dokumen tersebut secara online.

Pada hari Selasa, geng ransomware REvil secara terbuka mengklaim bahwa mereka telah meretas Quanta Computer, pemasok pihak ketiga di Taiwan yang memiliki kemitraan dengan lebih dari selusin perusahaan teknologi besar AS, termasuk Apple, Dell, Hewlett-Packard, Blackberry, dan beberapa lainnya.

Quanta, yang merupakan salah satu produsen laptop terbesar di dunia, bekerja untuk merakit produk Apple berdasarkan desain yang dipasok oleh perusahaan Cupertino, yang berarti ada dasar logis untuk klaim pencurian tersebut.

Di “situs kebocoran” REvil (di mana geng memposting sampel data yang dicuri untuk mengancam perusahaan yang ditargetkan agar memenuhi tuntutan pemerasan), peretas memposting sejumlah blueprints produk, waktu rilisnya bertepatan dengan peluncuran produk Spring Loaded yang sangat dinantikan pada hari Selasa.

Geng tersebut menuntut Apple “membeli kembali” dokumen yang dicuri “sebelum 1 Mei”, atau “semakin banyak file akan ditambahkan [ke situs kebocoran] setiap hari”. BleepingComputer melaporkan bahwa geng tersebut memeras Quanta sebesar $ 50 juta — memberi perusahaan batas waktu 27 April untuk membayar dugaan data yang dicuri.

Selengkapnya: Gizmodo

Raksasa komputer Acer terkena serangan ransomware senilai $ 50 juta

March 20, 2021 by Winnie the Pooh

Raksasa komputer Acer telah terkena serangan ransomware REvil di mana pelaku ancaman menuntut tebusan terbesar yang diketahui hingga saat ini, $50.000.000.

Acer adalah produsen elektronik dan komputer Taiwan yang terkenal dengan laptop, desktop, dan monitor. Acer mempekerjakan sekitar 7.000 karyawan dan menghasilkan $ 7,8 miliar pada 2019.

Kemarin, geng ransomware mengumumkan di situs kebocoran data mereka bahwa mereka telah membobol Acer dan membagikan beberapa gambar dari file yang diduga dicuri sebagai bukti.

Gambar yang bocor ini untuk dokumen yang mencakup spreadsheet keuangan, saldo bank, dan komunikasi bank.

Menanggapi pertanyaan dari BleepingComputer, Acer tidak memberikan jawaban yang jelas mengenai apakah mereka mengalami serangan ransomware REvil, sebaliknya mengatakan bahwa mereka “melaporkan situasi abnormal baru-baru ini” ke LEA dan DPA yang relevan.

Setelah menerbitkan berita mengenai ini, Valery Marchive dari LegMagIT menemukan sampel REvil ransomware yang digunakan dalam serangan Acer yang menuntut tebusan $ 50 juta.

Segera setelah itu, BleepingComputer menemukan sampel tersebut dan dapat mengonfirmasi bahwa berdasarkan catatan tebusan dan percakapan korban dengan penyerang, sampel tersebut berasal dari serangan siber di Acer.

Selengkapnya: Bleeping Computer

REvil ransomware memiliki mode enkripsi ‘Windows Safe Mode’ baru

March 20, 2021 by Winnie the Pooh

Operasi ransomware REvil telah menambahkan kemampuan baru untuk mengenkripsi file dalam Windows Safe Mode, kemungkinan besar menghindari deteksi oleh perangkat lunak keamanan dan untuk kesuksesan yang lebih besar saat mengenkripsi file.

Dalam sampel baru REvil ransomware yang ditemukan oleh MalwareHunterTeam, argumen baris perintah -smode baru ditambahkan yang memaksa komputer untuk melakukan boot ulang ke Safe Mode sebelum mengenkripsi perangkat.

Untuk melakukan ini, REvil akan menjalankan perintah berikut untuk memaksa komputer boot ke Safe Mode with Networking ketika Windows restart berikutnya.

bootcfg /raw /a /safeboot:network /id 1
bcdedit /set {current} safeboot network

Kemudian membuat autorun ‘RunOnce’ bernama ‘*franceisshit’ yang menjalankan ‘bcdedit /deletevalue {current} safeboot’ setelah pengguna masuk ke Safe Mode.

Akhirnya, ransomware melakukan restart paksa Windows yang tidak dapat diganggu oleh pengguna.

Tepat sebelum proses keluar, itu akan membuat autorun RunOnce tambahan bernama ‘AstraZeneca’, mungkin tentang pertimbangan Prancis baru-baru ini tentang penggunaan vaksin. Penting untuk diingat bahwa kedua entri ‘RunOnce’ ini akan dijalankan setelah masuk ke Safe Mode dan secara otomatis akan dihapus oleh Windows.

Saat reboot, perangkat akan memulai dalam Safe Mode With Networking, dan pengguna akan diminta untuk masuk ke Windows. Setelah mereka masuk, REvil ransomware akan dijalankan tanpa argumen -smode sehingga mulai mengenkripsi file pada perangkat.

Saat berjalan, ransomware akan mencegah pengguna meluncurkan program apa pun melalui Task Manager hingga selesai mengenkripsi perangkat.

Setelah perangkat dienkripsi, ini akan memungkinkan sisa urutan boot untuk dilanjutkan, dan desktop akan ditampilkan dengan catatan tebusan dan file terenkripsi.

Selengkapnya: Bleeping Computer

Lonjakan ancaman ransomware, Ryuk menyerang sekitar 20 org per minggu

October 7, 2020 by Winnie the Pooh

Peneliti malware yang memantau ancaman ransomware melihat peningkatan tajam dalam beberapa serangan ransomware selama beberapa bulan terakhir dibandingkan dengan enam bulan pertama tahun 2020.

Di bagian atas daftar adalah keluarga ransomware Maze, Ryuk, dan REvil (Sodinokibi), menurut data yang baru-baru ini diterbitkan dari Check Point dan tim IBM Security X-Force Incident Response.

Data dari Check Point mengacu pada kuartal ketiga tahun ini menunjukkan bahwa Maze dan Ryuk adalah keluarga ransomware yang paling umum, dengan ransomware menyerang rata-rata 20 perusahaan per minggu.

Perusahaan mengatakan bahwa serangan ransomware meningkat sebesar 50% pada tingkat global pada kuartal ketiga tahun 2020, Ryuk dan Maze adalah ancaman yang paling umum.

Di Amerika, serangan ini hampir dua kali lipat pada kuartal ketiga, menempatkannya di lima besar negara yang paling terpengaruh di Q3:

Amerika Serikat (98,1% meningkat)
India (39,2% meningkat)
Sri Lanka (436% meningkat)
Rusia (57,9% meningkat)
Turki (32,5% meningkat)

Serangan ransomware sangat menguntungkan bagi penjahat siber sehingga hampir tidak ada peluang ancaman ini menghilang dalam waktu dekat, terutama dengan taktik yang berkembang (mencuri data dan membocorkan atau menjualnya di web gelap) yang dirancang untuk memaksa membayar tebusan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Hacker ‘REvil’ Menggandakan Permintaan Tebusan Allen Grubman Menjadi $42juta, Mengancam Akan Membocorkan Rahasia Donald Trump

May 18, 2020 by Winnie the Pooh

Peretas yang membobol jaringan firma hukum selebriti telah menggandakan permintaan tebusan mereka menjadi $42 juta dan mengancam akan mengungkapkan “rahasia” Donald Trump dalam seminggu jika mereka tidak dibayar penuh.

Pada hari Kamis, para peretas Grubman, Shire, Meiselas & Sacks memposting pesan baru, mengatakan, “Tebusannya sekarang menjadi $42.000.000… Orang berikutnya yang akan kami terbitkan adalah Donald Trump. Ada pemilihan yang sedang berlangsung, dan kami menemukan satu ton informasi rahasia.”

Page Six melaporkan bahwa pendiri perusahaan, Allen Grubman, menolak untuk bernegosiasi, dengan sumber yang mengatakan: “Pandangannya adalah, jika ia membayar, para peretas tetap akan merilis dokumen. Selain itu, FBI telah menyatakan peretasan ini dianggap sebagai tindakan terorisme internasional, dan kami tidak bernegosiasi dengan teroris.”

Data yang dicuri oleh peretas diduga meliputi kontrak, perjanjian kerahasiaan, nomor telepon, alamat email, dan korespondensi pribadi.

Grup REvil memposting kutipan dari kontrak untuk tur “Madame X” Madonna 2019-20 dengan Live Nation sebagai bukti bahwa itu ada di dalam sistem firma hukum.

REvil dianggap kelompok peretas yang sama yang berhasil memeras Travelex, perusahaan penukaran mata uang berbasis di Inggris, dari tebusan bitcoin senilai $ 2,3 juta, seperti yang dilaporkan The Wall Street Journal.

Berita selengkapnya:
Source: The Daily Beast

Ransomware mencuri data sebelum dienkripsi, membuat cadangan saja tidak akan cukup.

February 10, 2020 by Winnie the Pooh

Asosiasi Nasional Serikat Kredit (CUNA) telah mengalami “masalah gangguan bisnis” yang disebabkan oleh ransomware, menurut sumber yang berbicara dengan Zack Whittaker dari TechCrunch. Dan pada 4 Februari, situs tersebut telah dipulihkan sepenuhnya.

CUNA mengatakan bahwa mereka tidak menyimpan nomor Jaminan Sosial atau nomor kartu kredit anggota nya dan mereka yakin bahwa tidak ada data pribadi di sistem mereka yang dicuri pada serangan ransomware tersebut, sesuatu yang wajar terjadi pada korban ransomware. Dan itu sebagian disebabkan karena operator ransomware sebelumnya menghindari klaim bahwa mereka memiliki akses ke data korban untuk menjaga “kepercayaan” yang diperlukan untuk mendapatkan bayarannya.

Sayangnya, teknik seperti itu sudah dipatahkan oleh ransomware Maze dan Sodinokibi (REvil). Mereka telah mengadopsi model teknik yang menggunakan data curian sebagai alat untuk memastikan pelanggan akan melakukan pembayaran. Bahkan jika korban mampu memulihkan sistem mereka dari serangan ransomware, mereka harus tetap membayar untuk menghindari publikasi atau penjualan data yang telah dicuri oleh pelaku sebelum ransomware dijalankan. Ars telah melacak aktivitas di portal “pelanggan” Maze, di mana kelompok itu memposting bukti pelanggaran data dari para korban yang tidak membayar uang tebusan tepat waktu.

Hal-hal tersebut menunjukkan bahwa memiliki cadangan yang baik tidak lagi cukup untuk mencegah kerusakan yang ditimbulkan oleh ransomware.

Klik link dibawah untuk membaca berita selengkapnya

Source: Ars Technica

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

REvil

Cookies Settings