Ransomware DopplePaymer Beroperasi dengan Nama Baru Grief

Redaksi    Senin, Agustus 02, 2021    Comment   

Ransomware DopplePaymer Beroperasi dengan Nama Baru Grief

Ilustrasi | Foto: freepik.com

 

BorneoTribun - Bandit ransomware DopplePaymer kembali lagi terlihat di alam liar setelah beberapa waktu tak beraktivitas, demikian pelacakan dua perusahaan keamanan siber. Geng tersebut membuat branding baru di bawah nama “Grief” (aka Pay or Grief). Tidak jelas apakah pengembang yang sama masih berada di balik operasi nama baru ini atau tidak. 

Ransomware ini masih berbentuk Ransomware-as-a-Service (Raas) yaitu perangkat lunak jahat yang disewakan sehingga serangan siber belum tentu dilakukan oleh pembuat aslinya, tapi dilakukan oleh afiliasi. DopplePaymer menurun sejak medio Mei lalu atau sekitar sepekan setelah perusahaan operator pipa bahan bakar AS, Colonial Pipeline, didera ransomware. 

Peneliti keamanan siber dari Emsisoft, Fabian Wosar, mengatakan, baik DopplePaymer maupun Grief memberikan format file enkripsi yang sama, bahkan menggunakan saluran distribusi serupa, yaitu botnet “Dridex”. “Kesamaan Grief dengan DopplePaymer sangat mencolok sehingga hubungan antara keduanya tidak mungkin untuk diabaikan,” ujar Wosar kepada BleepingComputer, diakses Senin (2 Agustus 2021). 

Aktivitas Grief terlacak pada awal Juni lalu ketika sebuah sampel ditemukan sebuah operasi baru. Sementara, perusahaan keamanan cloud, Zscaler, juga turut menganalisis sampel awal ransomware Grief, termasuk memperhatikan catatan tebusan yang disematkan di sistem korban. Hasilnya, terdapat portal yang mengarahkan ke situs web DoppelPaymer. “Ini menunjukkan bahwa pembuat malware mungkin masih dalam proses mengembangkan portal tebusan Grief. 

Kelompok ransomware memang sering mengubah nama malware sebagai pengalih perhatian,” ujar Zscaler. Kesamaan lain ialah pemakaian kode CAPTCHA di situs webnya, lalu pemakaian algoritma enkripsi yang identik (RSA 2048-bit dan AES 256-bit), import hashing, dan entry point offset calculation. Yang menarik lagi, keduanya menggunakan regulasi perlindungan data pribadi Eropa (GDPR) sebagai ancaman bahwa korban yang tidak membayar masih harus menghadapi hukuman karena pelanggaran data. 

Untuk perbedaan, peneliti memandang tak terlalu signifikan dan hanya bersifat “kosmetik” sebagai pengelabuan. Misal, Grief menggunakan alat pembayaran Monero dibandingkan Bitcoin. 

 Lalu, Grief memakai istilah “kesedihan” (griefs) sebagai data korban di situs webnya baik sebagai bukti peretasan (griefs in progress) atau sebagai hukuman karena tidak membayar uang tebusan (complete griefs). “Saat ini ada lebih dari dua lusin korban yang terdaftar di situs kebocoran Grief. Ini menunjukkan bahwa aktor ancaman ini mulai aktif dengan nama barunya. 

Mereka mengklaim menyerang Pemkot Thessaloniki, Yunani dan menerbitkan arsip file sebagai bukti penyusupan,” tulis BleepingComputer. Berikut kode dari hasil enkripsi yang dipakai oleh Grief yang ditemukan oleh Zscaler:

Sumber : cyberthreat.id

"Ransomware" Serang Ratusan Perusahaan di Amerika Serikat

Redaksi    Minggu, Juli 04, 2021    Comment   

"Ransomware" Serang Ratusan Perusahaan di Amerika Serikat

"Ransomware" Serang Ratusan Perusahaan di Amerika Serikat.

BORNEOTRIBUN.COM - Serangan perusak perangkat lunak (ransomware) telah melumpuhkan jaringan setidaknya 200 perusahaan di Amerika Serikat.

Itu menurut seorang peneliti keamanan siber yang perusahaannya menanggapi insiden itu. 

John Hammond dari perusahaan keamanan Huntress Labs mengatakan, sindikat penyebar virus ransomware besar yang berbahasa Rusia, tampaknya berada di balik serangan itu. 

Ia mengatakan, para penjahat di 'Geng Revil' menarget pemasok perangkat lunak bernama Kaseya, yang menggunakan perangkat lunak manajemen jaringannya sebagai saluran untuk menyebarkan ransomware lebih luas. 

Peneliti lain setuju dengan penilaian Hammond. Tidak segera jelas berapa banyak pelanggan Kaseya yang mungkin terkena atau siapa mereka. 

"Kaseya menangani perusahaan besar hingga usaha kecil di dunia, sehingga akhirnya berpotensi menyebar ke berbagai skala bisnis," kata Hammond dalam pesan langsung di Twitter. 

Serangan siber semacam itu biasanya menyusup ke perangkat lunak yang banyak digunakan dan menyebarkan program jahat ketika diperbarui secara otomatis. 

Tidak jelas berapa banyak pelanggan Kaseya yang mungkin terkena atau siapa mereka. 

Kaseya mendesak pelanggan dalam sebuah pernyataan di situs webnya untuk segera mematikan server yang menjalankan perangkat lunak yang terkena virus itu. 

Dikatakan serangan itu terbatas pada "sejumlah kecil" pelanggannya. 

Peneliti keamanan siber Jake Williams, Presiden Rendition Infosec mengatakan, ia telah bekerja dengan enam perusahaan yang terkena ransomware. 

Bukan kebetulan kalau ini terjadi sebelum akhir pekan tanggal 4 Juli, ketika staf Teknologi Informasi telah banyak yang libur, tambahnya. [ps/ah]

Oleh: VOA

Serangan Ransomware Landa Empat Negara di Asia

Redaksi    Rabu, Mei 19, 2021    Comment   

Serangan Ransomware Landa Empat Negara di Asia

Tangkapan layar tentang peringatan dari serangan ransomware tampak di layar seorang pengguna komputer di Taiwan, 13 Mei 2017. (Foto: Mark Schiefelbein/AP)

BorneoTribun Tekno -- Axa Partners mengatakan ransomware menyerang empat negara di Asia di mana anak-anak perusahaan kelompok asuransi Axa berada. Sejumlah data di Thailand telah diretas.

Serangan dan dampak serangan itu masih diselidiki. Jika penyelidikan itu “memastikan bahwa data-data sensitif individu telah terkena dampaknya, akan diambil langkah-langkah yang diperlukan untuk memberitahu dan mendukung semua klien perusahaan dan individu yang terkena dampaknya,” kata perusahaan itu dalam pernyataannya, Minggu (16/5).

Pernyataan itu mengatakan serangan itu terjadi baru-baru ini, tetapi tidak memerinci kapan tepatnya serangan terjadi.

Ditambahkan, serangan ransomware berdampak pada operasi teknologi informasi di Thailand, Malaysia, Hong Kong dan Filipina. “Walhasil sejumlah data tertentu yang diproses oleh Inter Partners Asia (IPA) di Thailand telah diakses (peretas).”

Pernyataan itu menambahkan “otoritas dan mitra-mitra bisnis IPA telah diberitahu.”

Serangan terhadap empat negara Asia itu pertama kali dilaporkan oleh surat kabar the Financial Times, yang mengatakan para penjahat di dunia maya menggunakan ransomware yang disebut “Avadon” mencuri data-data yang mencakup informasi pelanggan, catatan medis dan klaim. Financial Times melaporkan informasi rumah sakit dan dokter juga telah diretas.

Sejumlah pakar mengatakan Amerika dan Perancis menjadi salah satu korban ransomware. Tingkat kerugian dan pembayaran di negara-negara Asia ini belum jelas.

Serangan ransomware kembali menjadi berita utama bulan ini setelah sejumlah peretas menyerang jalur pipa bahan bakar terbesar di Amerika, the Colonial Pipleline, dan perusahaan itu menutup seluruh jalur distribusi minyaknya selama beberapa hari untuk mengatasi dampak peretasan itu. [em/lt]

Oleh: VOA

UMKM masih jadi Target Serangan Ransomware

Redaksi    Rabu, April 21, 2021    Comment   

UMKM masih jadi Target Serangan Ransomware

Ilustrasi serangan di dunia siber (cyber attack). (msn.com)

BorneoTribun Jakarta -- Kaspersky melihat usaha mikro, kecil dan menengah (UMKM) di Indonesia masih menjadi sasaran serangan ransomware tahun ini meski jumlahnya menurun.

"Menurunnya deteksi ransomware di kawasan ini seharusnya tidak membuat kita terlena. Sejak tahun lalu, kami telah menggarisbawahi evolusi ancaman tersebut. Grup ransomware sekarang lebih mementingkan kualitas daripada kuantitas," General Manager Kaspersky Asia Tenggara, Yeo Siang Tiong, dalam siaran pers, dikutip Selasa.

Laporan Kaspersky Security Network menemukan upaya ransomware di kawasan Asia Tenggara pada 2020 menurun dibandingkan 2019, termasuk untuk Indonesia.

Kaspersky mendeteksi ada 439.743 upaya serangan ransomware di Indonesia pada 2020, jumlah turun signifikan dibandingkan 2019 yang sebanyak 1.158.837.

Tren penurunan serangan ransomware juga terjadi di Thailand, Malaysia, Filipina dan Vietnam. Kaspersky melihat tren ini akibat penurunan jumlah deteksi ransomware Wannacry, yang cukup mendominasi dari ransomware yang terdeteksi.

Ransomware merupakan malware yang menginfeksi komputer, kemudian ia akan mengenkripsi data dan memblokir akses pengguna. Penyerang akan meminta tebusan agar korban bisa kembali mengakses data dan sistem.

Serangan ini menjadi salah satu ancaman yang paling sering mengintai sektor UMKM di Asia Tenggara.

Meski pun tren menurun, Kaspersky melihat ancaman ransomware sekarang ini berbahaya karena melakukan eksfiltrasi data yang dilengkapi pemerasan. Penjahat siber mengancam akan mempublikasikan data sehingga urgensi korban untuk memberikan uang tebusan juga meningkat.

Untuk melindungi komputer dari serangan ransomware, Kaspersky menyarankan pelaku UMKM tidak memaparkan layanan desktop jarak jauh, misalnya RDP, ke jaringan publik. Jika harus disambungkan ke jaringan publik, gunakan kata sandi yang kuat.

Pasang tambalan atau patch untuk VPN komersial yang menyediakan akses jarak jauh untuk karyawan dan VPN yang berperan sebagai gateway di jaringan.

Beri perhatian khusus pada lalu lintas keluar untuk mendeteksi koneksi pelaku kejahatan dan buat cadangan data (backup) secara teratur.

Tidak kalah penting, beri pelatihan tentang keamanan siber kepada karyawan.

Sumber: Antaranews