Dari serangan berkelanjutan yang menargetkan server ESXi hingga sanksi terhadap anggota Conti/TrickBot, ini merupakan minggu yang cukup sibuk terkait ransomware.
Itu serangan ransomware ESXiArgs di seluruh dunia terus mengganggu server VMware ESXi selama akhir pekan dan minggu ini. Untuk membantu admin memulihkan server mereka, CISA merilis skrip yang akan memulihkan mesin virtual dari file datar di server terenkripsi.
Namun, sehari kemudian, a versi baru dari ransomware ESXiArgs dirilis yang mengenkripsi lebih banyak data, mencegah metode pemulihan yang diketahui sebelumnya.
Dengan ESXi, target menarik untuk geng ransomware, itu Enkripsi Linux untuk grup Royal Ransomware juga telah mengembangkan enkripsi Linux sendiri untuk mengenkripsi mesin virtual.
Kami juga mendapat berita dari pemerintah AS, yang memberikan sanksi kepada tujuh anggota organisasi kejahatan dunia maya TrickBot/Conti dan merilis laporan yang merinci caranya Serangan ransomware Korea Utara digunakan untuk mendanai operasi DRPK.
Setelah sekian lama tidak ada korban dan aktivitas di situs kebocoran data mereka, geng ransomware Clop (TA505) kembali, mengaku sebagai balik serangan menggunakan kerentanan zero-day di GoAnywhere MFT.
Geng ransomware mengatakan mereka mengeksploitasi kerentanan untuk mencuri data dari 130 perusahaan, tetapi kami tidak dapat memverifikasi ini secara independen.
Kami juga mengetahui beberapa berita tentang berbagai (kemungkinan) serangan ransomware, termasuk LockBit akhirnya mengklaim serangan di Royal Mailsebuah serangan di toko buku Indigo KanadaDan A10 Networks mengonfirmasi bahwa mereka mengalami pelanggaran data setelah serangan Ransomware Play.
Namun, a laporan oleh Huntress Labs juga menunjukkan bahwa Clop kemungkinan besar terlibat dalam serangan ini.
Kontributor dan mereka yang memberikan informasi dan cerita ransomware baru minggu ini termasuk @LawrenceAbrams, @malwrhunterteam, @billtoulas, @ demonslay335, @struppigel, @PolarToffee, @fwosar, @BleepinComputer, @Ionut_Ilascu, @serghei, @Seifreed, @jfslowik, @CISAgov, @LabsSentinel, @BushidoToken, @ASEC_Analysis, @pcrisk, @ValeryMarchiveDan @BrettCallow.
5 Februari 2023
Versi Linux dari Royal Ransomware menargetkan server VMware ESXi
Royal Ransomware adalah operasi ransomware terbaru untuk menambahkan dukungan untuk mengenkripsi perangkat Linux ke varian malware terbarunya, yang secara khusus menargetkan mesin virtual VMware ESXi.
6 Februari 2023
VMware memperingatkan admin untuk menambal server ESXi, menonaktifkan layanan OpenSLP
VMware memperingatkan pelanggan hari ini untuk menginstal pembaruan keamanan terbaru dan menonaktifkan layanan OpenSLP yang ditargetkan dalam kampanye serangan ransomware skala besar terhadap server ESXi yang terpapar Internet dan rentan.
DarkSide Ransomware Dengan Fitur Self-Propagating di Lingkungan AD
Untuk menghindari analisis dan deteksi sandbox, ransomware DarkSide hanya beroperasi ketika loader dan file data keduanya ada. Loader dengan nama “msupdate64.exe” membaca file data “config.ini” dalam jalur yang sama yang berisi ransomware yang disandikan dan menjalankan ransomware di area memori dari proses normal. Ransomware disusun untuk hanya beroperasi ketika argumen tertentu cocok. Ini kemudian akan mendaftarkan dirinya ke penjadwal tugas dan berjalan sendiri secara berkala.
7 Februari 2023
Geng ransomware LockBit mengklaim serangan cyber Royal Mail
Operasi ransomware LockBit telah mengklaim serangan dunia maya pada layanan pengiriman surat terkemuka di Inggris, Royal Mail, yang memaksa perusahaan untuk menghentikan layanan pengiriman internasionalnya karena “gangguan layanan yang parah”.
Cacat ransomware Clop memungkinkan korban Linux memulihkan file selama berbulan-bulan
Geng ransomware Clop sekarang juga menggunakan varian malware yang secara eksplisit menargetkan server Linux, tetapi cacat dalam skema enkripsi telah memungkinkan korban untuk secara diam-diam memulihkan file mereka secara gratis selama berbulan-bulan.
Pria Rusia mengaku bersalah atas pencucian uang ransomware Ryuk
Warga negara Rusia Denis Mihaqlovic Dubnikov mengaku bersalah pada hari Selasa atas pencucian uang untuk grup ransomware Ryuk yang terkenal selama lebih dari tiga tahun.
CISA merilis skrip pemulihan untuk korban ransomware ESXiArgs
US Cybersecurity and Infrastructure Security Agency (CISA) telah merilis skrip untuk memulihkan server VMware ESXi yang dienkripsi oleh serangan ransomware ESXiArgs yang meluas baru-baru ini.
Varian ransomware Chaos baru
Risiko PC menemukan varian ransomware Chaos baru yang menambahkan ekstensi acak (.1iyT6bav7VyWM5) dan menjatuhkan catatan tebusan bernama adrianov.txt.
8 Februari 2023
Versi ransomware ESXiArgs baru mencegah pemulihan VMware ESXi
Serangan ransomware ESXiArgs baru sekarang mengenkripsi data dalam jumlah yang lebih luas, membuatnya jauh lebih sulit, jika bukan tidak mungkin, untuk memulihkan mesin virtual VMware ESXi terenkripsi.
Menyelidiki Gangguan Dari Eksploitasi yang Menarik
Dengan menyelidiki peristiwa yang dipermasalahkan dan melakukan analisis akar masalah (RCA), Huntress dapat menghubungkan gangguan ini dengan kerentanan yang diumumkan baru-baru ini serta dengan kerangka kerja pasca-eksploitasi jangka panjang yang ditautkan ke grup ransomware terkemuka.
9 Februari 2023
Toko buku terbesar di Kanada, Indigo, menutup situs setelah serangan siber
Indigo Books & Music, rantai toko buku terbesar di Kanada, telah diserang oleh serangan dunia maya kemarin, menyebabkan perusahaan membuat situs web tidak tersedia bagi pelanggan dan hanya menerima pembayaran tunai.
AS dan Inggris memberikan sanksi kepada anggota operasi TrickBot dan Conti ransomware
Amerika Serikat dan Inggris telah memberikan sanksi kepada tujuh orang Rusia atas keterlibatan mereka dalam kelompok kejahatan dunia maya TrickBot, yang malware-nya digunakan untuk mendukung serangan oleh operasi ransomware Conti dan Ryuk.
Varian ransomware STOP baru
PCrisk menemukan varian ransomware STOP baru yang menambahkan .vvmm perpanjangan.
10 Februari 2023
A10 Networks mengonfirmasi pelanggaran data setelah serangan ransomware Play
Produsen perangkat keras jaringan yang berbasis di California ‘A10 Networks’ telah mengonfirmasi kepada BleepingComputer bahwa geng ransomware Play secara singkat memperoleh akses ke infrastruktur TI dan data yang disusupi.
Clop ransomware mengklaim berada di balik serangan zero-day GoAnywhere
Geng ransomware Clop mengklaim berada di balik serangan baru-baru ini yang mengeksploitasi kerentanan zero-day di alat transfer file aman MFT GoAnywhere, mengatakan bahwa mereka mencuri data dari lebih dari 130 organisasi.
Serangan ransomware Korea Utara pada operasi pemerintah dana perawatan kesehatan
Penasihat keamanan siber baru dari Badan Keamanan Siber & Infrastruktur AS (CISA) menjelaskan taktik, teknik, dan prosedur (TTP) yang diamati baru-baru ini yang diamati dengan operasi ransomware Korea Utara terhadap kesehatan masyarakat dan sektor infrastruktur penting lainnya.
Varian ransomware STOP baru
PCrisk menemukan varian ransomware STOP baru yang menambahkan .vvoo perpanjangan.
Itu saja untuk minggu ini! Semoga semua orang memiliki akhir pekan yang menyenangkan!
