Diketemukan Ransomware Luna yang Dapat Menyandera Mekanisme Windows, Linux, dan ESXi

Ransomware baru yang dipanggil Luna dapat dipakai untuk mengenkripsi piranti yang jalankan beberapa mekanisme operasi, terhitung Windows, Linux, dan ESXi.

Diketemukan oleh periset keamanan Kaspersky lewat iklan komunitas dark situs ransomware, Luna nampaknya direncanakan khusus untuk dipakai cuma oleh artis teror berbahasa Rusia.

Enkripsi ialah proses tehnis yang mengonversikan info jadi code rahasia, hingga mengaburkan data yang dikirimkan, diletakkan, dan diterima.

Sama sesuai namanya, Ransomware ialah malware yang hendak menyandera data korban dengan lakukan enkripsi data penting.

“Iklan itu mengatakan jika Luna cuma bekerja dengan affiliate berbahasa Rusia. , catatan pelunasan yang dikodekan dalam biner memiliki kandungan kekeliruan ejaan. Misalkan, tercatat ‘a little tim’ bukanlah ‘a small tim’,” kata Kaspersky seperti diambil dari BleepingComputer, Jumat (22/7/2022).

“Karenanya, kami beranggapan dengan kepercayaan jika artis ada di belakang Luna ialah pengucap bahasa Rusia,” ikat Kaspersky.

Luna (bulan dengan bahasa Rusia) ialah ransomware simpel yang masih juga dalam peningkatan dan dengan kekuatan terbatas berdasar pilihan baris perintah yang tersedia.

Tetapi, dia memakai pola enkripsi yang tidak umum, menyatukan kurva elips X25519 yang cepat dan aman, transisi kunci Diffie-Hellman memakai Curve25519, dengan algoritme enkripsi simetris Advanced Encryption Standar (AES).

Ransomware Lintasi Basis

Group dibalik ransomware baru ini meningkatkan tipe baru di bahasa pemrograman Rust dan manfaatkan karakter platform-agnostic untuk mengalihkannya ke beragam basis dengan sedikit peralihan pada code sumber.

Memakai bahasa lintasi basis memungkinkannya ransomware Luna untuk menghindar usaha analitis code statis otomatis https://enfindonesia.id/.

“Baik contoh Linux dan ESXi dikompilasi memakai code sumber yang serupa dengan beberapa peralihan kecil dari versus Windows. Tersisa code tidak mempunyai peralihan berarti dari versus Windows,” beberapa periset Kaspersky menambah.

Luna selanjutnya diverifikasi dipungut oleh barisan cybercrime yang meningkatkan ransomware lintasi basis memakai bahasa seperti Rust dan Golang untuk membikin malware yang sanggup menarget beberapa mekanisme operasi dengan tanpa peralihan atau sedikit.

Kaspersky mengutarakan masih tetap sedikit data mengenai korban yang sudah dienkripsi memakai ransomware Luna. Barisan itu barusan diketemukan dan kegiatannya masih dipantau.

Keluarga ransomware baru yang lain yang disampaikan BleepingComputer bulan ini, terhitung Lilith, ransomware berbasiskan konsol C/C++ yang menarget piranti Windows 64-bit.

0mega, operasi ransomware baru yang menarget perusahaan semenjak Mei dan menuntut pelunasan juta-an dolar.

Ke-2 nya disebutkan mengambil data dari jaringan korban saat sebelum mengenkripsi mekanisme mereka untuk memberikan dukungan pemerasan dan gempuran.

Microsoft Bedah Hacker Korut Penebar Ransomware Holy Ghost yang Serang Usaha Kecil

Di lain sisi, Microsoft menyangkutkan penebaran ransomware Holy Ghost ke barisan hacker Korea Utara (Korut). Mereka dijumpai sudah jalankan operasi ransomware itu untuk serang usaha kecil di beberapa negara.

Barisan ini sudah aktif lumayan lama, tapi tidak berhasil memperoleh keberhasilan keuangan dan kepopuleran. Beberapa periset di Microsoft Threat Intelligence Center (MSTIC) mencari geng ransomware Holy Ghost sebagai DEV-0530.

Dalam sebuah laporan awalnya, mereka menjelaskan jika muatan pertama dari artis teror ini kelihatan tahun kemarin pada Juni 2021. Begitu berdasar laporan Bleeping Komputer, diambil Selasa (19/7/2022).

Dikelompokkan sebagai SiennaPurple (BTLC_C.exe), variasi ransomware Holy Ghost awalnya tidak banyak memiliki feature dibanding dengan versus berbasiskan Go selanjutnya yang ada pada Oktober 2021.

Microsoft mencari variasi yang lebih baru sebagai SiennaBlue (HolyRS.exe, HolyLocker.exe, dan BTLC.exe) dan menulis jika perannya diperlebar dari hari ke hari untuk mengikutkan beberapa pilihan enkripsi, string obfuscation, management kunci khalayak, dan support internet/intranet.

Beberapa periset menjelaskan DEV-0530 sukses mengkompromikan beberapa sasaran, khususnya usaha kecil sampai menengah. Adapun korbannya ialah bank, sekolah, organisasi manufacturing, dan perusahaan rencana tatap muka dan acara.

Artis Holy Ghost ikuti skema gempuran ransomware yang unik dan mengambil data saat sebelum mengaplikasikan enkripsi pada mekanisme yang terinfeksi.

Striker tinggalkan catatan pelunasan pada mesin yang dimasuki dan mereka mengirimi e-mail ke korban dengan link ke contoh data yang diculik untuk umumkan jika mereka siap membicarakan uang pelunasan dengan imbalan kunci dekripsi.

Umumnya, beberapa aktor menuntut pembayaran di antara 1,2 sampai 5, atau sampai sekitaran US$ 100.000 dengan nilai ganti saat ini.

“Bahkan juga bila permohonannya tidak terlalu besar, striker siap untuk bertransaksi dan kadang turunkan harga sampai kurang dari sepertiga dari keinginan awalnya,” kata Microsoft Threat Intelligence Center.

Apa Pemerintahan Korut Turut serta?

Berkaitan tingkat gempuran yang jarang-jarang dan penyeleksian korban secara random, memperkuat teori jika operasi ransomware Holy Ghost kemungkinan tidak dikontrol oleh pemerintahan Korea Utara.

Kebalikannya, peretas yang bekerja untuk pemerintahan Pyongyang kemungkinan lakukan ini sendiri, untuk keuntungan keuangan pribadi.

Jaringan dengan barisan peretas yang disokong negara bisa jadi terjadi, karena MSTIC mendapati komunikasi di antara account e-mail punya Holy Ghost dengan Andariel, artis teror sisi dari Group Lazarus di bawah Pengintaian Korea Utara.

“Jalinan di antara ke-2 barisan jadi lebih kuat dengan bukti jika ke-2 nya bekerja dari set infrastruktur yang serupa, serta memakai pengatur malware khusus bernama serupa,” kata beberapa peneliti.

Untuk dipahami, website Holy Ghost sedang down sekarang ini tapi striker memakai visibility kecil untuk bersandiwara sebagai substansi sah, yang coba menolong korban tingkatkan kemampuan keamanan mereka.

Seterusnya, mereka berikan motivasi perlakuan mereka sebagai usaha untuk ‘menutup ketimpangan di antara yang kaya dan yang miskin’. untuk menolong yang yang kelaparan dan miskin.

Seperti artis lain dalam usaha ransomware, Holy Ghost memberikan keyakinan beberapa korban jika mereka tidak jual atau mengungkapkan data yang diculik bila mereka dibayar.

Laporan Microsoft meliputi rangkaian perlakuan yang direferensikan untuk menahan infeksi dengan muatan Holy Ghost dan beberapa tanda sepakat yang diketemukan saat menyelidik malware.

Bermacam Mode Kejahatan Cyber