Setelah berhasil terinfeksi, kelompok Ransomware "Avaddon" memposting beberapa dokumen milik korban di situs bawang http[:]//avaddongun7rngel[.]onion. Jika korban tidak membayar uang tebusan dalam jangka waktu yang ditentukan, maka seluruh dokumen korban akan diunggah ke situs bawang yang terkait dengan kelompok ransomware "Avaddon". Penjahat yang bertanggung jawab atas pendistribusian dapat menyimpan sisa 65% dari pembayaran yang diterima sebagai tebusan.
Berikut grafik korban Darkside Ransomware Agustus 2020 hingga April 2021 berdasarkan laporan Fire Eye.
Metode Penyebaran
Berdasarkan laporan Malwarebytes, grup ransomware bernama Maze merupakan sekelompok pihak yang terkait dengan ransomware Egregor.
Egregor Ransomware
Postingan tersebut menyebutkan terdapat 6 (enam) organisasi Indonesia yang mengalami kebocoran data di dark web yang disebabkan oleh beberapa kelompok ransomware dan salah satunya adalah MNC Group yang terinfeksi ransomware Egregor.
Pysa Ransomware
Metode enkripsi malware ini menggunakan algoritma enkripsi AES untuk mengunci gambar, dokumen, database, video dan berbagai jenis file penting lainnya. Mitre ATT&CK memetakan taktik, teknik, dan prosedur yang digunakan oleh Pysa Ransomware. Setelah mendapatkan akses, penyerang melakukan gerakan lateral ke pengontrol domain dan kemudian menjalankan perintah PowerShell.
Kumpulan kit peretasan yang menggunakan skrip «.bat». untuk menyalin dan mengeksekusi ransomware menggunakan Alat Administrasi Jarak Jauh PsExec. Tahap ini dilakukan dengan menggunakan Koadic untuk menjadwalkan eksekusi file HTA yang terletak di direktori C:\ProgramData saat sistem login. Alat pengintai jaringan Advanced Port Scanner dan Advanced IP Scanner ditemukan pada sistem informasi korban.
Beberapa alat yang tertanam dalam sistem informasi memungkinkan penyerang memelihara beberapa mesin atau mengekstrak data seperti Putty dan WinSCP. Penyerang login menggunakan akun yang valid di komputer korban menggunakan Remote Desktop Protocol (RDP). Tidak ditemukan file teks eksfiltrasi, kemungkinan eksfiltrasi dilakukan melalui salah satu saluran Komando dan Kontrol melalui RDP, Empire, atau Koadic.
RansomEXX Ransomware
RansomEXX adalah jenis ransomware dengan indikasi bahwa sampel malware dikodekan dengan nama organisasi korban. Korban yang terinfeksi RansomEXX diperingatkan bahwa data korban akan dipublikasikan di situs tertentu kecuali korban membayar uang tebusan. Tebusan !!!_Read_Me_How_To_DeCrypt_Files_!!!.txt; FILE.txt, HELP.txt, situs web Tor.
NANO-Antivirus - Trojan.Elf64.Ransom.ioxjer Qihoo-360 - Linux/Ransom.Encoder.HjsASQYA Meningkat - Ransom.RansomEXX/Linux!1.CE94 (KLASIK) Sophos - Linux/Ransm-I. CVE adalah kerentanan traversal di portal web FortiOS SSL VPN yang dapat dieksploitasi oleh pelaku ancaman yang tidak diautentikasi untuk secara khusus mengunduh file sistem FortiOS melalui permintaan sumber daya HTTP yang dibuat. Ransomware ini mengenkripsi data dari sistem korban menggunakan AES-256 + RSA-8192 dan meminta tebusan sebesar 2 BTC.
Cringe Ransomware
Initial Vector Attack
Lateral Movement
Encryption
Penyerang yang tidak diautentikasi dan terhubung ke Internet ini mengakses file sesi jarak jauh "sslvpn_websession", yang berisi informasi penting seperti nama pengguna dan kata sandi serta nama pengguna dalam teks biasa. Sumber: https://ics-cert.kaspersky.com/media/Kaspersky-ICS-CERT-Vulnerability-in-Fortigate-VPN-serv-ers-is-exploited-in-Cring-ransomware-atches-En.pdf. Pada Agustus 2020, Conti meluncurkan situs kebocoran informasi di DarkWeb dan SurfaceWeb untuk mempublikasikan informasi yang dicuri dari korban yang gagal membayar.
Contohnya termasuk memberikan korban catatan tebusan yang memberitahukan korban bahwa jaringan korban telah dikunci, memerintahkan mereka untuk menghubungi alamat email untuk mendapatkan kunci dekripsi.
Conti Ransomware
Sasaran ransomware Conti adalah entitas di sektor publik dan swasta, seperti ritel, manufaktur, konstruksi, pemerintah, kesehatan, makanan, logistik, jasa, hukum, nirlaba, perumahan, pendidikan, keuangan, farmasi, energi, berita media, akuntansi, komunikasi, hiburan, rumah sakit, pertambangan dan utilitas. File batch yang mengidentifikasi dan menonaktifkan layanan yang dipilih oleh penyerang didistribusikan ke seluruh lingkungan dan dijalankan pada setiap sistem. Dalam beberapa kasus, penyerang menggunakan pengontrol domain melalui akses admin untuk menyebarkan ransomware ke seluruh jaringan.
Conti dapat menggunakan opsi baris perintah untuk memungkinkan penyerang mengontrol cara memindai dan mengenkripsi file. Conti dapat mengulang semua proses terbuka untuk mencari apa pun yang memiliki string "sql" dalam nama prosesnya. Conti dapat mengambil cache ARP dari sistem lokal menggunakan panggilan API GetIpNetTable() dan memeriksa untuk memastikan alamat IP yang dihubungkan adalah untuk sistem lokal, jaringan sistem non-internet.
Conti dapat menyebar melalui SMB dan mengenkripsi file di host yang berbeda, yang berpotensi membahayakan seluruh jaringan. Conti dapat menggunakan "Windows Restart Manager" untuk memastikan file tidak terkunci dan terbuka untuk enkripsi. Conti dapat menghentikan hingga 146 layanan Windows yang terkait dengan solusi keamanan, pencadangan, database, dan email menggunakan net stop.
Babuk Ransomware
Isu COVID-19 dimanfaatkan Netwalker untuk melakukan phishing melalui email, yang diikuti dengan eksfiltrasi dan enkripsi data. Selain itu, serangan Netwalker menggunakan eksploitasi VPN, antarmuka jaringan aplikasi web, dan Remote Desktop Protocol (RDP). Setelah menerima data dari korban, penjahat Netwalker akan mempublikasikan data yang dihasilkan di Darkweb sebagai bukti keberhasilan serangan.
Serangan Netwalker menargetkan bisnis yang terkait dengan penyedia layanan kesehatan, lembaga pendidikan, pemerintah daerah, dan perusahaan swasta. Biasanya, Netwalker akan melampirkan skrip VBS bernama “CORONAVIRUS_COVID-19.vbs” yang akan meluncurkan ransomware ketika mereka mengklik dua kali email atau membuka dokumen terlampir. Begitu berada di sistem, ransomware ini akan mengelabui sistem agar menjalankan proses yang tampaknya sah, biasanya dalam bentuk Microsoft.
Ini kemudian akan memulai proses penggalian, memberikan ransomware banyak waktu untuk menembus jaringan, mengeksfiltrasi dan mengenkripsi data, menghapus cadangan, dan keluar dari pintu belakang sebelum ada yang menyadari ada yang salah. Setelah Netwalker selesai mengeksfiltrasi dan mengenkripsi data, korban akan menyadari ada sesuatu yang salah dan menemukan catatan tebusan. Netwalker akan meningkatkan jumlah tebusan atau melepaskan sebagian atau seluruh data yang dicuri di web gelap jika korban tidak menuruti permintaan dalam waktu yang ditentukan.
NetWalker Ransomware
Netwalker adalah jenis ransomware yang pertama kali dikembangkan pada September 2019 oleh kelompok peretas berbahasa Rusia "Circus Spider". Netwalker mendistribusikan malware melalui email spam yang memikat korbannya sebagai umpan phishing dan menginfeksi komputer di jaringan mereka.
Ringkasan Insiden
Analisis
INSIDEN RANSOMWARE //
Korban Ransomware dari Harrison Federation yang Berbasis di London
Black KingDom Ransomware Targeting Vulnerable Exchange Servers
Pada malam hari tanggal 17 Januari 2021, Rumah Sakit Pusat Wallonie Picarde, CHwapi, mengalami serangan dunia maya yang mengenkripsi 80 dari 300 servernya, menyebabkan gangguan besar pada layanan TI, memaksa rumah sakit untuk mengalihkan pasien yang masuk ke rumah sakit dan klinik terdekat. Menurut penyelidik forensik, penyerang tidak meninggalkan catatan tebusan berisi informasi kontak dan pembayaran, seperti yang biasa dilakukan dalam serangan ransomware. Ransomware baru bernama Black KingDom digunakan untuk menyerang server Microsoft Exchange yang belum menerapkan patch untuk kerentanan ProxyLogon CVE-2021-27065.
Cantumkan folder yang tidak terenkripsi untuk memastikan sistem target masih dapat berfungsi dan menampilkan catatan tebusan. Pasangkan kunci dan ID korban untuk mengidentifikasi korban dengan mudah dan memberikan kunci dekripsi yang sesuai setelah pembayaran tebusan.
Rumah Sakit Belgia CHwapi terkena serangan Ransomware - Kemungkinan Smokescreen
Investigasi kemudian dilakukan dan diketahui bahwa Departemen Kesehatan telah diserang oleh ransomware Conti terhadap Health Services Executive (HSE). Cobalt Strike Beacon adalah alat akses jarak jauh yang sering digunakan penyerang untuk melakukan pergerakan lateral di suatu lingkungan sebelum mengeksekusi muatan ransomware. Serangan tersebut mempengaruhi operasional layanan kesehatan dan beberapa prosedur non-darurat ditunda karena rumah sakit menerapkan Rencana Kesinambungan Bisnis (BCP).
Conti mengklaim memiliki 700GB file tidak terenkripsi, seperti informasi karyawan dan pasien, laporan keuangan, penggajian, kontrak, dan banyak lagi.
Indicator of Compromise Avaddon Ransomware
Conti Ransomware yang menyerang Departemen Kesehatan Irlandia
INDICATOR OF
COMPROMISE (IOC) //
Indicator of Compromise DarkSide Ransomware
Indicator of Compromise Conti Ransomware
Identifikasi pesan-pesan yang ditampilkan oleh ransomware, apakah ditampilkan melalui GUI (antarmuka pengguna grafis), teks atau file HTML, yang umumnya sering muncul setelah proses infeksi ransomware. Identifikasi kontak email dan ekstensi file yang dibuat oleh ransomware saat mengenkripsi file di komputer yang terinfeksi. Tujuannya adalah untuk mengidentifikasi sistem mana yang terpengaruh sehingga kita dapat menentukan kemungkinan penyebaran ransomware.
MITIGASI JIKA TERKENA RANSOMWARE //
Selalu Melakukan Backup Secara Berkala
Dengan memiliki backup yang terus diperbarui, jika terjadi serangan cyber, seluruh sistem dapat dipulihkan dengan cepat dan mudah, dimana backup yang disimpan dapat menggantikan sistem yang terganggu akibat serangan tersebut. Untuk memastikan hal tersebut, dapat dilakukan pengujian untuk mengetahui keandalan sistem backup yang digunakan. Pastikan ada backup yang disimpan secara offline atau terpisah yang tidak terhubung dengan sistem utama yang dibackup.
Hal ini untuk mencegah ransomware menemukan cadangan yang telah dibuat dan menghapusnya sebelum infeksi dilakukan.
Meningkatkan Kesadaran Keamanan Siber Personel Pengetahuan dan kesadaran personil terhadap keamanan
PENCEGAHAN INFEKSI
RANSOMWARE //
- Memblokir akses terhadap situs yang tidak dapat dipercaya atau berbahaya
- Melakukan penyaringan email (spam filtering)
- Mengimplementasikan Intrusion Prevention System (IPS)/Intrusion Detection System (IDS) serta firewall
- Menutup akses internet kepada servis yang tidak membutuhkan akses internet
- Memastikan penggunaan password yang kuat pada seluruh sistem dan servis yang berjalan
- Selektif dalam memilih vendor pengembang aplikasi atau sistem
- Menggunakan Antivirus yang selalu diperbarui pada komputer yang digunakan untuk operasional organisasi
- Mengelola penggunaan akun yang memiliki hak akses (privilege) dengan baik, yaitu dengan hanya memberikan pengguna akses administratif jika diperlukan dan pengguna
- Memberlakukan pembatasan akses melalui akses kontrol dengan baik
- Menerapkan application whitelisting, yaitu dengan hanya mengizinkan program tertentu untuk dijalankan
- Melakukan pengkategorian data berdasarkan nilai data tersebut bagi organisasi serta mengimplementasikan pemisahan fisik dan logik terhadap jaringan dan data bagi setiap
- Mengimplementasikan Software Restriction Policies (RSP) atau kontrol keamanan lainnya untuk mencegah program mengeksekusi ransomware dari lokasi yang biasanya digunakan
- Melakukan vulnerability assessment dan penetration test secara berkala untuk
Tim yang bertanggung jawab atas jaringan atau sistem yang terhubung ke Internet harus lebih waspada mendeteksi jika ada upaya penyerangan terhadap sistem yang dikelolanya. Situs web yang tidak tepercaya atau berbahaya, seperti situs web yang menawarkan konten atau perangkat lunak ilegal, mungkin dikendalikan oleh penjahat dunia maya dan memasang malware, termasuk ransomware, di komputer pengunjung. Pemblokiran mencegah staf yang bertugas mengunjungi situs berbahaya secara sengaja atau tidak, sehingga mengurangi risiko infeksi malware.
Jika memungkinkan, gunakan teknologi seperti Sender Policy Framework (SPF), Domain Message Authentication Reporting and Matching (DMARC), dan DomainKeys Identified Mail (DKIM) untuk mencegah spoofing email. IPS/IDS dan firewall dapat memblokir alamat IP berbahaya yang diketahui dan memberikan peringatan (alert) jika terdapat indikasi serangan, termasuk serangan ransomware pada jaringan, sehingga pengelola jaringan dapat mengambil tindakan yang diperlukan untuk mencegah infeksi ransomware pada jaringan. Layanan yang tidak memerlukan akses Internet, seperti Server Message Block (SMB) dan Remote Desktop Protocol (RDP).
Pastikan semua pengguna, sistem, dan layanan yang berjalan tidak menggunakan kata sandi default atau kata sandi yang mudah ditebak. Mengkategorikan data berdasarkan nilai data bagi organisasi dan menerapkan pemisahan fisik dan logis jaringan dan data untuk masing-masing.Menerapkan pemisahan fisik dan logis jaringan dan data untuk setiap unit organisasi yang berbeda. Menerapkan Kebijakan Pembatasan Perangkat Lunak (RSP) atau kontrol keamanan lainnya untuk mencegah program mengeksekusi ransomware dari lokasi yang biasanya digunakan untuk mencegah program mengeksekusi ransomware dari lokasi yang biasanya digunakan oleh ransomware, seperti folder sementara dan folder AppData/LocalAppData.
