Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Ukraina

Ukraina

Decryptor gratis dirilis untuk korban HermeticRansom di Ukraina

by

Avast telah merilis decryptor untuk jenis ransomware HermeticRansom yang digunakan dalam serangan yang ditargetkan terhadap sistem Ukraina selama sepuluh hari terakhir.

Decryptor ditawarkan sebagai alat unduh gratis dari situs web Avast dan dapat membantu orang Ukraina memulihkan data mereka dengan cepat dan andal.

Tanda-tanda pertama distribusi HermeticRansom diamati oleh para peneliti ESET pada 23 Februari, hanya beberapa jam sebelum invasi pasukan Rusia terjadi di Ukraina.

Jenis ransomware dikirimkan bersama dengan worm komputer bernama HermeticWizard dan lebih berfungsi sebagai umpan dalam serangan penghapus daripada alat untuk mendukung pemerasan finansial. Namun, infeksinya telah mengganggu sistem vital Ukraina.

Crowdstrike dengan cepat menemukan kelemahan dalam skema kriptografi dari strain yang ditulis GO dan menawarkan skrip untuk mendekripsi file yang dienkripsi oleh HermeticRansom (alias PartyTicket).

HermeticRansom berisi banyak nama string berorientasi politik dalam biner ransomware, catatan tebusan, dan email kontak (vote2024forjb@protonmail.com dan stephanie.jones2024@protonmail.com).

HermeticRansom tidak pernah dimaksudkan untuk berfungsi sebagai jenis ransomware modern yang akan menjadi dasar bagi pemerasan ganda, yang menimbulkan kerusakan finansial dan reputasi.

Di atas tidak berarti bahwa infeksi HermeticRansom tidak berdampak pada mesin yang ditargetkan.

Sebaliknya, jenis ini masih dapat mengenkripsi file berharga di luar File Program dan folder Windows, menggunakan kunci RSA-2048.

Catatan tebusan yang dilihat oleh para korban memiliki bentuk dan isi yang khas, meminta mereka untuk menghubungi alamat ProtonMail untuk mendapatkan decryptor.

Catatan tebusan HermeticRansom/PartyTicket

Meskipun skrip Crowdstrike dapat diandalkan, tidak mudah bagi semua orang untuk menggunakannya dalam situasi ini. Untuk mempermudahnya, Avast telah merilis GUI decryptor yang memudahkan untuk mendekripsi file yang dienkripsi oleh HermeticRansom.

Selain itu, alat ini menawarkan opsi untuk mencadangkan file yang dienkripsi untuk menghindari berakhirnya file yang rusak secara permanen jika terjadi kesalahan dengan proses enkripsi.

Dekripsi grafis Avast

Sumber : Bleeping Computer

Rusia meminta Google untuk mengakhiri “informasi yang salah” pada “operasi khusus” di Ukraina

by

Roskomnadzor, pengawas telekomunikasi Rusia, meminta Google untuk menghentikan kampanye iklan yang menyebarkan informasi yang salah tentang invasi Rusia ke Ukraina di video YouTube.

Seperti yang diklaim oleh pengawas telekomunikasi Rusia, iklan online dengan konten yang tidak akurat dan tanpa label usia digunakan untuk menanamkan “suasana protes” dan mendorong info palsu tentang “operasi khusus” Angkatan Darat Rusia di Ukraina.

“Roskomnadzor mengirim surat ke Google LLC (bertanggung jawab atas aktivitas periklanan Google di Rusia) dengan permintaan untuk segera menghentikan penyebaran informasi palsu yang bersifat politik tentang operasi khusus Angkatan Bersenjata Rusia di Ukraina di wilayah Rusia,” internet pengawas menjelaskan.

“Pesan iklan tersebut ditampilkan kepada pengguna Rusia dari situs hosting video YouTube dan berisi informasi yang salah yang bertujuan untuk membentuk persepsi yang menyimpang dari peristiwa yang terjadi dan menciptakan sentimen protes di antara penonton Internet Rusia.”

Roskomnadzor juga memberi tahu media independen Rusia pada 26 Februari (misalnya, Ekho Moskvy, InoSMI, Mediazona, New Times, Dozhd, Svobodnaya Pressa, Krym. Realii, Novaya Gazeta, Jurnalis, dan Lenizdatnot) untuk tidak menyebarkan informasi palsu tentang penembakan kota-kota Ukraina, serta menyebut “operasi yang sedang berlangsung” sebagai serangan, invasi, atau deklarasi perang.

Rusia ingin memperkenalkan undang-undang baru yang akan menghukum penyebaran berita palsu tentang operasi militer angkatan bersenjata Rusia di Ukraina dengan hukuman hingga 15 tahun penjara.

Namun, Google telah mengambil tindakan untuk menghentikan misinformasi, menghapus kampanye disinformasi terkait invasi Rusia, dan memblokir saluran YouTube milik Russia Today (RT) dan Sputnik di seluruh Eropa atas permintaan otoritas Uni Eropa.

Roskomnadzor memprotes keputusan YouTube, menuntut penghapusan segera semua pembatasan akses ke akun resmi media Rusia (termasuk RT dan Sputnik) di Eropa.

Sebelumnya, Google juga mendemonstrasikan media yang didanai pemerintah Rusia di semua platformnya, sebuah tindakan yang juga memblokir mereka dari menjalankan kampanye iklan.

YouTube juga telah menghapus ratusan saluran dengan ribuan video yang melanggar Pedoman Komunitasnya, termasuk saluran yang terlibat dalam praktik penipuan terkoordinasi.

“Ketika orang-orang di seluruh dunia menelusuri topik yang terkait dengan perang di Ukraina di Penelusuran atau YouTube, sistem kami secara mencolok menampilkan informasi, video, dan konteks penting lainnya dari sumber berita resmi,” kata Google.

Untuk saat ini, Google mengatakan bahwa sebagian besar layanannya, termasuk Penelusuran, YouTube, dan Maps, masih tersedia di Rusia untuk memberi orang Rusia akses ke informasi dan perspektif global.

Sumber : Bleeping Computer

Saat Perang Dimulai, Ukraina Beralih ke Telegram

by

Setiap hari selama dua tahun terakhir, ribuan orang Ukraina membuka saluran resmi Telegram Covid-19 untuk berita pandemi terbaru. Akun @COVID19_Ukraine membagikan angka kasus harian, jumlah orang yang meninggal, dan saran kesehatan terbaru dari pemerintah. Jutaan orang membaca saluran tersebut selama krisis kesehatan global.

Tetapi ketika pasukan Rusia berbaris menuju perbatasan Ukraina, saluran itu merespons. Saluran tersebut menanyakan apakah anggota menginginkan update tentang berita “sosial-politik” terbaru? Orang-orang sangat memilih untuk adanya perubahan. Sejak itu saluran Telegram telah membagikan berita perang terbaru 24 jam sehari—mengubah nama tampilannya menjadi @UkraineNOW—dan menjadi sumber penting informasi terverifikasi bagi warga Ukraina.

Pada hari-hari sejak perang dimulai, WIRED telah meninjau ratusan posting Telegram dari akun dan politisi pemerintah Ukraina yang diverifikasi. Pesan mereka membantu menjaga orang tetap aman, menghilangkan prasangka disinformasi Rusia, dan melawan ancaman yang muncul.

Dengan hampir 500.000 anggota sebelum invasi Rusia, UkrainaNOW sudah menjadi salah satu saluran Telegram terbesar di negara itu. Sekarang satu juta orang bergantung padanya untuk mendapatkan informasi terbaru tentang perang.

Selain mempromosikan pesan resmi, pemerintah Ukraina juga menggunakan Telegram untuk meminta bantuan dari warganya. Fedorov membentuk “Tentara TI” yang didukung pemerintah dari peretas sukarelawan menggunakan Telegram; lebih dari 200.000 orang telah mendaftar.

Selengkapnya: Wired

Situs Ukraina mengalami peningkatan serangan 10x saat invasi dimulai

by

Perusahaan keamanan internet telah mencatat gelombang serangan besar-besaran terhadap situs WordPress Ukraina sejak Rusia menginvasi Ukraina, yang bertujuan untuk menghapus situs web dan menyebabkan demoralisasi.

Firma keamanan siber Wordfence, yang melindungi 8.320 situs WordPress milik universitas, pemerintah, militer, dan entitas penegak hukum di Ukraina, melaporkan telah mencatat 144.000 serangan pada 25 Februari saja.

Fokus serangan tampaknya adalah bagian dari 376 situs web akademik yang menerima 209.624 serangan antara 25 dan 27 Februari.

Gelombang besar serangan terkoordinasi ini telah mengakibatkan kompromi dari 30 situs web universitas Ukraina, yang sebagian besar mengalami kerusakan total dan tidak tersedianya layanan.

Kelompok peretas di balik serangan ini adalah kelompok pro-Rusia yang disebut “theMx0nday,” yang telah memposting bukti peretasan pada agregator defacement Zone-H.

Wordfence telah menemukan bahwa pelaku ancaman berbasis di Brasil tetapi mengarahkan serangan mereka melalui alamat IP Finlandia menggunakan penyedia layanan internet anonim Njalla.

Kelompok aktor tertentu sebelumnya telah menyerang situs Brasil, Indonesia, Spanyol, Argentina, AS, dan Turki, sementara entri pertama mereka di Zone-H dimulai pada April 2019.

Untuk pertama kalinya dalam sejarahnya, Wordfence telah memutuskan untuk menyebarkan real-time threat intelligenc ke semua situs web Ukraina terlepas dari tingkat langganan mereka ke layanannya. Biasanya, fitur ini hanya tersedia untuk pelanggan Premium.

Sumber: Bleeping Computer

Peneliti Ukraina Bocorkan Data Geng Conti Ransomware

by

Peneliti, yang memiliki akses ke sistem Conti, merilis data setelah geng ransomware terkenal menyatakan dukungan untuk Rusia sejak invasi ke Ukraina, kata Alex Holden, CTO Hold Security, sebuah konsultan yang mempelajari ransomware dan kejahatan dunia maya. Nama peneliti keamanan tidak dapat dirilis.

Data, yang dalam format JSON, termasuk log obrolan Jabber, alamat bitcoin, dan negosiasi antara korban ransomware dan penyerang Conti. Sebagian besar data adalah obrolan internal antara anggota dan afiliasi Conti, termasuk detail pribadi, konflik, dan tuduhan. Ada juga log yang terkait dengan TrickBot, botnet yang kadang-kadang digunakan untuk mendistribusikan Conti, kata Holden. Data tersebut mencakup periode dari Januari 2021 hingga awal bulan ini (lihat: Gerakan Kejahatan Dunia Maya: Conti Ransomware Menyerap TrickBot Malware).

Data Conti “harus dibaca oleh semua profesional keamanan karena memberikan Anda wawasan tentang cara kerja ransomware sebenarnya,” kata Holden. VX-Underground, sekelompok peneliti malware, juga telah memeriksa data dan membagikannya secara publik.

Pesan ini menyertai data Conti. (Sumber: VX-Underground via Twitter)

Ada sekitar 150 alamat bitcoin, pegangan obrolan, alamat IP, panel kontrol, dan data infrastruktur lainnya yang akan sangat berguna untuk melacak geng serta afiliasi yang menggunakan malware-nya, kata Liska. Conti adalah apa yang disebut grup ransomware-as-a-service. Afiliasi mendaftar untuk mendistribusikan ransomware, dan keuntungan dari serangan yang berhasil dibagikan.

“Banyak grup ransomware tidak memiliki opsec [keamanan operasional] sebaik yang mereka kira,” kata Liska. “Ini pasti cara untuk belajar dan memahami bagaimana mereka beroperasi dan apa yang mereka lakukan.”

Conti adalah salah satu jenis ransomware yang paling umum. Ini dikembangkan oleh kelompok kejahatan dunia maya Rusia yang sudah lama berjalan yang dikenal sebagai Wizard Spider, menurut CrowdStrike. Kelompok ini diyakini bertanggung jawab atas malware/kode botnet TrickBot serta ransomware jenis Ryuk dan BazarLoader.

Conti agresif dan memusuhi korbannya. Jika korban menolak untuk membayar uang tebusan, perlahan-lahan data sensitif mereka bocor di situs webnya. Itu berarti bahwa meskipun suatu organisasi memiliki cadangan yang baik dan rencana pemulihan bencana, mereka masih menghadapi kesulitan dari data yang bocor.

Meneriakkan dukungan untuk Rusia di tengah kecaman global atas serangan negara itu terhadap Ukraina adalah langkah yang berisiko. Pada hari Jumat, geng Conti menerbitkan posting singkat di situs web yang digunakannya untuk membocorkan data organisasi yang telah dikompromikan.

Ia menulis bahwa mereka sepenuhnya mendukung pemerintah Rusia dan bahwa jika ada yang mengorganisir serangan siber terhadap Rusia, ia akan menggunakan semua sumber dayanya untuk menyerang balik “infrastruktur penting musuh.”

Pada hari Senin, posting itu tampaknya telah dihapus. Posting lain yang pada dasarnya mengungkapkan sentimen yang sama telah diterbitkan tetapi dengan tambahan baru yang mencoba meredam posisinya: “Kami tidak bersekutu dengan pemerintah mana pun dan kami mengutuk perang yang sedang berlangsung.”

Risiko terbesar yang datang dari kebocoran ini adalah bahwa afiliasi dan penjahat dunia maya lainnya mungkin tidak ingin bekerja dengan geng yang infrastrukturnya telah disusupi oleh peneliti keamanan dunia maya.

Kebocoran akan menyulitkan Conti untuk melanjutkan, kata Brett Callow, analis ancaman di Emsisoft, sebuah perusahaan keamanan yang berkantor pusat di Selandia Baru yang membantu organisasi pulih dari ransomware.

Sumber : Data Breach Today

Facebook, Twitter hapus akun disinformasi yang menargetkan warga Ukraina

by

Facebook dan Twitter menghapus dua “operasi pengaruh rahasia” anti-Ukraina selama akhir pekan, satu terkait dengan Rusia dan lainnya dengan koneksi ke Belarus, kata perusahaan tersebut.

Salah satu operasi, kampanye propaganda yang menampilkan situs web yang mendorong poin pembicaraan anti-Ukraina, adalah cabang dari operasi disinformasi Rusia yang terkenal. Seorang juru bicara Facebook mengatakan mereka menggunakan wajah yang dihasilkan komputer untuk meningkatkan kredibilitas kolumnis palsu di beberapa platform, termasuk Instagram.

Kampanye lainnya menggunakan akun yang diretas untuk mendorong propaganda anti-Ukraina serupa dan dikaitkan dengan kelompok peretas Belarusia yang terkenal.

Pakar disinformasi memperingatkan bahwa Rusia diperkirakan akan terus mencoba memanipulasi narasi tentang Ukraina – terutama seputar klaim yang dibuat oleh Presiden Rusia Vladimir Putin.

Jaringan yang dihapus oleh Facebook dan Twitter mendorong narasi yang disebutkan sendiri oleh Putin dalam pidatonya yang mengumumkan operasi militer, yang sejak itu berubah menjadi invasi skala besar.

Pengumuman tersebut juga menunjukkan bahwa Rusia terus menggunakan strategi disinformasi yang pertama kali diidentifikasi beberapa tahun lalu sekitar pemilu 2016, meskipun dengan beberapa kemajuan — terutama penggunaan perangkat lunak yang dapat membuat wajah manusia yang realistis dan orisinal.

Facebook menghapus profil yang terkait dengan News Front dan South Front pada tahun 2020, dan perusahaan tersebut mengkonfirmasi kepada NBC News bahwa grup baru tersebut berbagi koneksi ke akun yang sebelumnya dilarang. Kedua situs web tersebut telah mendorong artikel yang menyesatkan, mempertanyakan hasil pemilihan presiden 2020 dan kemanjuran vaksin Covid-19. Departemen Luar Negeri mengidentifikasi situs web tersebut sebagai outlet disinformasi Rusia dalam laporan tahun 2020.

Situs web tersebut menampilkan artikel yang mendorong poin pembicaraan Rusia seperti “Zelensky sedang membangun kediktatoran neo-Nazi di Ukraina” dan “Mengapa Ukraina hanya akan menjadi lebih buruk.” Hingga Minggu malam, situs-situs tersebut masih menampilkan biografi dan wajah para kolumnis yang dihasilkan komputer dan ditautkan ke akun mereka di VKontakte, pesaing Facebook Rusia.

Facebook mengatakan telah menghapus 40 profil yang terkait dengan operasi disinformasi, dengan mengatakan bahwa profil tersebut adalah bagian kecil dari operasi pembangunan kepribadian yang lebih besar yang tersebar di Twitter, Instagram, Telegram, dan jejaring sosial Rusia.

Twitter mengatakan telah melarang lebih dari selusin akun yang terkait dengan operasi Front Berita dan Front Selatan Rusia, yang mendorong tautan ke situs propaganda baru bernama Ukraine Today.

Kemudian pada hari Senin, Ivy Choi, juru bicara YouTube, mengatakan perusahaan telah menghapus serangkaian saluran yang terkait dengan operasi pengaruh Rusia, meskipun saluran tersebut memiliki jumlah pelanggan yang sangat rendah.

Facebook mengatakan telah menghentikan operasi disinformasi multi-cabang terpisah oleh kelompok peretas terkenal yang berbasis di Belarusia yang menargetkan Ukraina. Perusahaan itu mengatakan telah meretas akun media sosial untuk digunakan menyebarkan propaganda pro-Rusia.

Peretas menargetkan jurnalis, personel militer, dan pejabat publik lokal di Ukraina, menggunakan akun email dan kata sandi yang disusupi untuk masuk ke profil Facebook mereka. Akun yang diretas kemudian akan memposting video yang mereka sebut sebagai seorang Ukraina yang mengibarkan bendera putih tanda menyerah.

Facebook mengaitkan upaya tersebut dengan kelompok peretasan Ghostwriter, yang sebelumnya menggunakan akun yang diretas untuk mendorong disinformasi yang menguntungkan pemerintah Belarus. Kelompok peretas Ghostwriter bekerja untuk pemerintah Belarusia, menurut perusahaan keamanan siber Mandiant.

Sumber : NBC NEWS

Pelanggaran simultan: berurusan dengan dua kelompok ransomware pada hari yang sama

by

Meskipun umum bagi kelompok ransomware untuk menerapkan taktik pemerasan ganda dan tiga kali lipat terhadap korban mereka, sangat jarang beberapa kelompok berbeda menyerang target yang sama pada waktu yang sama.

Menurut Sean Gallagher, Peneliti Ancaman Senior di Sophos, pada awal Desember, penyedia layanan kesehatan di Kanada dihantam oleh dua pelaku ransomware menggunakan taktik yang berbeda.

Sementara kelompok ransomware Karma mengekstrak data tetapi memilih untuk tidak mengenkripsi data karena korban berada dalam perawatan kesehatan, Conti, secara mengejutkan, tidak menahan diri seperti itu.

Menurut laporan itu, kedua penyerang memperoleh akses melalui eksploitasi ProxyShell. ProxyShell adalah rantai serangan yang dirancang untuk mengeksploitasi tiga kerentanan terpisah (CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207) pada platform Exchange Server Microsoft.

Sementara menurut Gallagher, tidak jarang geng ransomware menggunakan eksploitasi ProxyShell untuk menembus jaringan korban, sangat jarang terlihat beberapa kelompok yang fokus pada target yang sama.

Sophos percaya bahwa broker akses awal kemungkinan menembus jaringan pada 10 Agustus. Tiga bulan kemudian, pada 30 November, Karma muncul dan mengekstrak 52 gigabyte data.

Meskipun geng Karma menjatuhkan catatan ransomware pada 3 Desember, kelompok itu tidak mengenkripsi data milik penyedia layanan kesehatan. Pada saat yang sama, Conti ransomware sedang mengekstrak data. Pada tanggal 4 Desember, grup tersebut menyebarkan ransomware dari server yang disusupi dan data organisasi yang dienkripsi.

18 bulan terakhir penuh dengan serangan siber besar-besaran, seperti peretasan SolarWinds, serangan terhadap Colonial Pipeline, perusahaan pemrosesan daging JBS, dan perusahaan perangkat lunak Kaseya.

Sementara para pakar berbicara tentang demam emas ransomware, penelitian menunjukkan bahwa 74% yang mengejutkan dari semua pendapatan ransomware masuk ke pelaku ancaman yang berafiliasi dengan Rusia tahun lalu.

Dengan kata lain, cryptocurrency senilai sekitar $400 juta akhirnya mengisi kantong penjahat dunia maya yang terhubung ke Rusia dalam beberapa bentuk.

Conti juga merupakan geng ransomware yang terkait dengan Rusia. Setelah Rusia menginvasi Ukraina, kelompok tersebut menyatakan dukungan penuhnya kepada pemerintah Rusia.

Ternyata, tidak semua orang senang dengan pengumuman tersebut. Seorang peretas tak dikenal merilis bocoran komunikasi selama 13 bulan dari anggota grup Conti dan afiliasinya.

“Isi dump [informasi] pertama berisi komunikasi obrolan saat ini, mulai hari ini dari geng ransomware Conti. Kami berjanji itu sangat menarik,” kata pernyataan tentang kebocoran itu.

Sumber : Cybernews

Microsoft: Ukraina terkena malware FoxBlade baru beberapa jam sebelum invasi

by

Microsoft mengatakan bahwa jaringan Ukraina ditargetkan dengan malware yang baru ditemukan beberapa jam sebelum invasi Rusia ke Ukraina pada 24 Februari.

Para peneliti dari Microsoft Threat Intelligence Center (MSTIC) mengamati serangan destruktif yang menargetkan Ukraina dan menemukan jenis malware baru yang mereka namakan FoxBlade.

“Kami segera memberi tahu pemerintah Ukraina tentang situasinya, termasuk identifikasi kami tentang penggunaan paket malware baru (yang kami denominasikan FoxBlade), dan memberikan saran teknis tentang langkah-langkah untuk mencegah keberhasilan malware.”

Smith juga mengatakan bahwa perusahaan memperbarui platform keamanan Defender dengan tanda tangan baru untuk memblokir malware FoxBlade dalam waktu tiga jam setelah menemukan alat berbahaya yang digunakan di alam liar.

Microsoft menggambarkan malware dalam penasehat Intelijen Keamanan yang diterbitkan pada 23 Februari sebagai trojan yang dapat menggunakan komputer “untuk serangan penolakan layanan (DDoS) terdistribusi” tanpa sepengetahuan pemiliknya.

Serangan siber yang baru-baru ini terlihat dan masih aktif ini “telah ditargetkan dengan tepat,” Smith juga mengungkapkan.

Ini kontras dengan serangan malware tanpa pandang bulu yang berdampak pada ekonomi Ukraina dan negara lain selama serangan NotPetya di seluruh dunia tahun 2017 yang terkait dengan grup peretasan Direktorat Intelijen Utama GRU Rusia yang dikenal sebagai Sandworm.

Jaringan Ukraina diserang dengan malware yang merusak
Serangan siber ofensif yang terdeteksi oleh peneliti MSTIC tepat sebelum invasi Rusia mengikuti beberapa rangkaian serangan malware lainnya sejak awal tahun 2021.

Awal bulan ini, malware HermeticWiper yang baru ditemukan digunakan untuk menargetkan Ukraina bersama dengan umpan ransomware untuk menghapus data dan membuat perangkat tidak dapat di-boot.

Pada bulan Januari, negara itu dilanda serangkaian serangan malware lainnya yang menggunakan wiper WhisperGate yang disamarkan sebagai muatan ransomware.

Selama akhir pekan, CISA dan FBI memperingatkan organisasi AS bahwa data yang menghapus serangan terhadap Ukraina dapat menyebar ke negara lain, mendesak organisasi AS untuk “meningkatkan kewaspadaan” dan memperkuat pertahanan mereka.

Pada hari yang sama, Wakil Perdana Menteri Ukraina Mykhailo Fedorov juga mengungkapkan pembentukan “tentara TI” untuk membantu negara “bertarung di front cyber.”

Tepat sebelum perang dimulai, Layanan Keamanan Ukraina (SSU) melaporkan bahwa Ukraina menjadi sasaran “gelombang besar perang hibrida”.

Sumber : Bleeping Computer