Ryuk Ransomware

Ransomware berbahaya ini menggunakan trik baru untuk mengenkripsi jaringan Anda

March 5, 2021 by Winnie the Pooh

Versi baru ransomware Ryuk dilengkapi dengan kemampuan seperti worm untuk menyebarkan dirinya di sekitar jaringan yang terinfeksi, berpotensi membuatnya lebih berbahaya daripada sebelumnya.

Ryuk adalah salah satu bentuk ransomware paling produktif, dengan operator kriminal sibernya diperkirakan telah menghasilkan lebih dari $ 150 juta pembayaran tebusan Bitcoin dari organisasi korban di seluruh dunia.

Seperti bentuk ransomware lainnya, Ryuk mengenkripsi jaringan, membuat sistem tidak berguna, dan penjahat dunia maya di balik serangan tersebut menuntut pembayaran sebagai ganti kunci dekripsi. Permintaan ini bisa mencapai jutaan dolar.

Ransomware dapat menyebar ke seluruh jaringan menggunakan Wake-on-LAN, fitur yang memungkinkan komputer Windows dihidupkan dari jarak jauh oleh komputer lain di jaringan yang sama. Dengan menyebar ke setiap mesin yang dapat dijangkau di jaringan, serangan Ryuk bisa jauh lebih merusak.

Kemampuan ini ditemukan saat ANSSI menanggapi insiden ransomware Ryuk yang tidak dikenal awal tahun ini.

Makalah ANSSI menghangatkan bahwa Ryuk tetap sangat aktif dan bahwa “setidaknya salah satu operatornya menyerang rumah sakit selama pandemi”.

Rumah sakit tampaknya menjadi target khusus serangan ransomware Ryuk, meskipun – atau mungkin karena – pandemi COVID-19 yang sedang berlangsung, dengan akses ke jaringan yang penting untuk perawatan pasien. Dan mengingat situasi yang sedang berlangsung, beberapa rumah sakit menyerah pada permintaan tebusan, menganggap pendekatan itu sebagai cara termudah untuk tetap merawat pasien – meskipun membayar uang tebusan tidak menjamin kelancaran pemulihan jaringan.

selengkapnya : ZDNET

Ryuk ransomware sekarang menyebar sendiri ke perangkat Windows LAN lainnya

March 1, 2021 by Winnie the Pooh

Varian ransomware Ryuk baru dengan kemampuan seperti worm yang memungkinkannya menyebar ke perangkat lain di jaringan lokal korban telah ditemukan oleh badan keamanan siber nasional Prancis saat menyelidiki serangan pada awal 2021.

“Melalui penggunaan tugas terjadwal, malware menyebarkan dirinya – dari mesin ke mesin – dalam domain Windows,” kata ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) dalam sebuah laporan yang diterbitkannya.

“Setelah diluncurkan, ini akan menyebar dengan sendirinya di setiap mesin yang dapat dijangkau yang memungkinkan akses Windows RPC”.

Untuk menyebarkan dirinya melalui jaringan lokal, varian Ryuk yang baru mencantumkan semua alamat IP di cache ARP lokal dan mengirimkan apa yang tampak seperti paket Wake-on-LAN (WOL) ke setiap perangkat yang ditemukan. Kemudian mounts semua sharing resources yang ditemukan untuk setiap perangkat sehingga dapat mengenkripsi konten.

Apa yang membuat sampel Ryuk baru ini berbeda adalah kemampuannya untuk menyalin dirinya sendiri ke perangkat Windows lain di jaringan lokal korban.

Selain itu, ia dapat menjalankan dirinya sendiri dari jarak jauh menggunakan tugas terjadwal yang dibuat pada setiap host jaringan yang kemudian dikompromikan dengan bantuan alat Windows schtasks.exe yang sah.

Selengkapnya: Bleeping Computer

Bagaimana operator Ryuk Ransomware menghasilkan $34 juta dari satu korban

November 9, 2020 by Winnie the Pooh

Satu kelompok peretas yang menargetkan perusahaan berpenghasilan tinggi dengan ransomware Ryuk menerima $34 juta dari satu korban dengan imbalan kunci dekripsi yang membuka kunci komputer mereka.

Aktor ancaman sangat mahir bergerak secara lateral di dalam jaringan yang dikompromikan dan menghapus sebanyak mungkin jejak mereka sebelum meledakkan ransomware Ryuk.

Disebut sebagai grup “satu”, sesuai dengan identifikasi yang diterima dari botnet Trickbot yang memfasilitasi intrusi jaringan untuk malware pengenkripsi file Ryuk, pelaku ancaman ini tidak bermoral dalam hal target.

Menurut Vitali Kremez dari Advanced Intelligence, korban dari kelompok “satu” Ryuk termasuk perusahaan di bidang teknologi, perawatan kesehatan, energi, layanan keuangan, dan sektor pemerintah.

Dalam sebuah terbaru, Kremez mengatakan bahwa aktor ancaman berbahasa Rusia ini tangguh selama negosiasi dan jarang menunjukkan kelonggaran apapun. Pembayaran terkonfirmasi terbesar yang mereka dapatkan adalah 2.200 bitcoin, yang saat ini mendekati $34 juta.

Menganalisis aliran serangan, Kremez mencatat bahwa kelompok “satu” Ryuk menggunakan 15 langkah untuk menemukan host yang tersedia di jaringan, mencuri kredensial tingkat admin, dan menyebarkan ransomware Ryuk.

Rantai serangan dimulai dengan menjalankan perintah “invoke” Cobalt Strike untuk menjalankan skrip “DACheck.ps1” untuk memeriksa apakah pengguna saat ini adalah bagian dari grup Admin Domain.

Dari sana, sandi diambil melalui Mimikatz, jaringan dipetakan, dan host diidentifikasi mengikuti pemindaian port untuk protokol FTP, SSH, SMB, RDP, dan VNC.

Kremez merinci langkah lengkap serangan itu pada tautan di bawah ini:

Bleeping Computer

BazarLoader digunakan untuk menyebarkan ransomware Ryuk pada target bernilai tinggi

October 13, 2020 by Winnie the Pooh

Operator geng TrickBot semakin menargetkan target bernilai tinggi dengan trojan BazarLoader siluman baru sebelum menyebarkan ransomware Ryuk.

Selama bertahun-tahun, geng TrickBot telah menggunakan trojan mereka untuk menyusupi jaringan perusahaan dengan mengunduh modul perangkat lunak berbeda yang digunakan untuk perilaku tertentu seperti mencuri kata sandi, menyebarkan ke komputer lain, atau bahkan mencuri domain database Active Directory.

Karena modul-modul ini telah banyak dianalisis dari waktu ke waktu, solusi keamanan menjadi lebih baik dalam mendeteksi modul-modul ini sebelum digunakan.

Dalam laporan baru, peneliti keamanan Advanced Intel menjelaskan bahwa alih-alih menyerang korban dengan trojan TrickBot yang sangat tinggi potensinya untuk terdeteksi, pelaku ancaman sekarang lebih memilih BazarBackdoor sebagai alat pilihan mereka untuk target perusahaan bernilai tinggi.

Penyusupan BazarLoader dimulai dengan serangan phishing yang ditargetkan, seperti yang ditunjukkan oleh email phishing yang diterima oleh BleepingComputer pada bulan April.

Setelah menginfeksi komputer, BazarLoader akan menggunakan proses hollowing untuk menyuntikkan komponen BazarBackdoor ke dalam proses Windows yang sah seperti cmd.exe, explorer.exe, dan svchost.exe. Sebuah scheduled task dibuat untuk memuat BazarLoader setiap kali pengguna masuk ke sistem.

Akhirnya, BazarBackdoor akan menyebarkan suar Cobalt Strike, yang menyediakan akses jarak jauh ke pelaku ancaman yang memasang alat pasca-eksploitasi seperti BloodHound dan Lasagne untuk memetakan domain Windows dan mengekstrak kredensial.

Pada akhirnya, serangan tersebut mengarah pada pelaku ancaman yang menyebarkan ransomware Ryuk di seluruh jaringan dan menuntut tebusan besar-besaran.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Ransomware dilaporkan menjadi penyebab pemadaman di jaringan rumah sakit AS

September 29, 2020 by Winnie the Pooh

Universal Health Services, salah satu penyedia layanan kesehatan terbesar di AS, telah terkena serangan ransomware.

Serangan itu menghantam sistem UHS pada Minggu pagi, menurut dua orang yang mengetahui langsung insiden itu. Serangan itu mengunci komputer dan sistem telepon di beberapa fasilitas UHS di seluruh negeri, termasuk di California dan Florida.

Salah satu orang mengatakan layar komputer berubah dengan teks yang merujuk pada “shadow universe”, ciri khas ransomware Ryuk. “Setiap orang diberitahu untuk mematikan semua komputer dan tidak menyalakannya lagi,” kata orang itu. “Kami diberi tahu bahwa akan membutuhkan beberapa hari sebelum komputer menyala lagi.”

UHS menerbitkan pernyataan pada hari Senin, mengatakan jaringan TI-nya “saat ini sedang offline, karena masalah keamanan TI.”

“Kami menerapkan protokol keamanan TI yang ekstensif dan bekerja dengan rajin dengan mitra keamanan TI kami untuk memulihkan operasi TI secepat mungkin. Sementara itu, fasilitas kami menggunakan proses pencadangan yang sudah mapan termasuk metode dokumentasi offline. Perawatan pasien terus diberikan dengan aman dan efektif, ”kata pernyataan itu.

“Tidak ada data pasien atau karyawan yang tampaknya telah diakses, disalin, atau disusupi,” tambahnya.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Tech Crunch

A Bug Found In Ryuk’s Ransomware Decrypter

December 10, 2019 by Winnie the Pooh

Source: ZDNet

Perusahaan keamanan cyber Emsisoft mengatakan telah menemukan bug dalam aplikasi decrypter Ryuk Ransomware yang membuat pemulihan file tidak dapat dilakukan, bahkan setelah membayar permintaan tebusan.

Bug tersebut, menurut Emsisoft, menyebabkan pemulihan yang tidak lengkap dari beberapa jenis file, yang menyebabkan hilangnya data.

Ryuk adalah salah satu ransomware paling aktif saat ini. Ransomware ini digunakan oleh group kriminal di jaringan perusahaan menggunakan infeksi malware sebelumnya sebagai titik masuk – biasanya melalui trojan Emotet atau TrickBot.

Simak berita selengkapnya pada link di atas.

Other link about Decryptor Ryuk Ransomware: Crypto Globe

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Ryuk Ransomware

Cookies Settings