Lab Exercise

Simple Report
- Conti Ransomware

Apa dan siapa itu Conti? Conti adalah ransomware yang beraksi internasional dan menebar
masalah di banyak negara. Dilansir dari Cybersecurity & Infrastructure Security Agency (CISA) dan FBI
Amerika Serikat, Conti sudah melakukan 400 serangan di Amerika Serikat dan organisasi
internasional. Conti ransomware merupakan pelaku kejahatan siber asal Rusia. Conti ransomware
pertama kali muncul pada Mei 2020. Jenis ransomware ini berbeda dari yang lain dalam kecepatan
yang dapat mengenkripsi file dan menyebar ke berbagai komputer. Sebelum menjalankan kode
ransomware, penyerang akan berusaha mencuri sebanyak mungkin data penting bisnis.

Conti ransomware juga menggunakan strategi “pemerasan ganda”, di mana penyerang tidak
hanya mengenkripsi data korban dan meminta uang, tetapi mereka juga membuat salinan data
korban, yang akan mereka ungkap atau jual jika korban menolak untuk membayar. Untuk
mengintimidasi korban agar membayar uang tebusan, penyerang Conti akan mengancam untuk
memposting data mereka secara online agar dapat dilihat oleh penjahat dunia maya lainnya dan
mungkin digunakan dalam serangan mereka sendiri. Melansir dari HSToday, Cybersecurity and
Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), dan National Security
Agency (NSA) mengaku adanya peningkatan serangan siber Conti ransomware selama tahun lalu.

CISA dan FBI telah mengamati lebih dari 400 serangan menggunakan Conti ransomware
terhadap AS dan organisasi internasional untuk mencuri file, mengenkripsi server dan workstation,
dan meminta pembayaran tebusan untuk mengembalikan data sensitif yang dicuri.

Sumber: https://inet.detik.com/security/d-5907339/apa-itu-ransomware-conti-yang-bobol-bank-
indonesia & https://technologue.id/bobol-bank-indonesia-apa-itu-ransomware-conti/
 - HermeticWiper Malware

Malware ini disebut HermeticWiper. Ditandatangani oleh perusahaan game Hermetica

Digital Ltd, malware ini memengaruhi mesin yang menjalankan Windows. Malware ini pertama kali
ditemukan pada bulan Februari. Dua bagian lain dari malware termasuk dalam serangan, yang
disebut HermeticWizard dan HermeticRansom. HermeticWizard adalah komponen yang
menyebarkan HermeticWiper.

Adapun HermeticRansom, ia bertindak seperti ransomware dengan mengenkripsi dokumen

dan menampilkan catatan tebusan. Malware ini menggunakan catatan, “Satu-satunya hal yang kami
pelajari dari pemilu baru adalah kami tidak belajar apa pun dari yang lama. Terima kasih atas suara
Anda! Semoga harimu menyenangkan!"

Malware tersebut telah diamati di negara tetangga Latvia dan Lithuania. Ini mengikuti
serangkaian serangan cyber penolakan layanan (DDoS) terdistribusi dan ancaman terbaru lainnya di
wilayah tersebut. Berdasarkan analisis awal, tim telah mengidentifikasi beberapa karakteristik
spesifik dari malware:

 Serangan sangat ditargetkan: Sejauh ini, serangan HermeticWiper sangat ditargetkan. Secara
khusus, distribusi wiper tampaknya tidak memanfaatkan kerentanan rantai pasokan atau
teknik "penyebar super" lainnya untuk meningkatkan skala serangan. Ini berarti bahwa
infeksi tidak akan cepat menyebar ke geografi lain. Namun, analisis awal penghapus tidak
mengungkapkan parameter pelingkupan seperti pengaturan bahasa keyboard, zona waktu
jam, IP eksternal, dll., yang berarti malware — atau varian malware — pada akhirnya dapat
menyebar ke target lain di negara lain.
 Deployment memerlukan hak istimewa admin: Wiper memanfaatkan hak istimewa tinggi
pada host yang disusupi untuk membuat host "tidak dapat di-boot" dengan
mengesampingkan catatan dan konfigurasi boot, menghapus konfigurasi perangkat, dan
menghapus salinan bayangan (cadangan). Taktik serupa diamati dalam serangan
ransomware NotPetya 2017, yang juga menargetkan infrastruktur Ukraina pada awalnya.
 Direktori Aktif dapat digunakan sebagai landasan peluncuran: Dalam satu kasus yang
dilaporkan, perangkat lunak penghapus dikerahkan menggunakan kebijakan grup Direktori
Aktif, yang berarti pelaku ancaman memiliki akses istimewa ke Direktori Aktif. Skenario ini
lebih umum digunakan dalam insiden yang ditargetkan dan dioperasikan oleh manusia,
seperti serangan rantai pasokan ransomware Kaseya 2021.
 Kompromi identitas sangat penting: Tampaknya penghapus dikonfigurasi untuk TIDAK
mengenkripsi pengontrol domain. Ini memungkinkan domain untuk tetap berjalan, memungkinkan
perangkat lunak penghapus menggunakan kredensial yang valid untuk mengautentikasi ke server
dan mengenkripsinya. Ini menyoroti peran penting identitas dalam serangan ini. Dengan mencuri
atau menyalahgunakan identitas dan kredensial karyawan atau pihak ketiga yang berwenang, pelaku
ancaman dapat mengakses jaringan target dan/atau bergerak secara lateral.

Sumber : https://www.cyberark.com/reSumber/blog/hermeticwiper-what-we-know-about-new-
malware-targeting-ukrainian-infrastructure-thus-far & https://www.macobserver.com/news/eset-
ukraine-cyberattacks/

- Cyber Threat di Ukraine-Russia

Badan Keamanan Siber dan Infrastruktur (CISA) AS baru-baru ini mengeluarkan peringatan
tentang risiko serangan siber Rusia yang meluas ke jaringan AS, yang mengikuti peringatan CISA
sebelumnya tentang risiko yang ditimbulkan oleh serangan siber Rusia untuk infrastruktur penting
AS. Bank Sentral Eropa (ECB) telah memperingatkan lembaga keuangan Eropa tentang risiko
serangan siber Rusia pembalasan jika terjadi sanksi dan gangguan pasar terkait.

Pertempuran dunia maya awal telah dimulai, dengan sistem dan bank pemerintah Ukraina
diserang dalam seminggu terakhir, dan perusahaan-perusahaan AS yang waspada mencatat
peningkatan dramatis dalam penyelidikan dunia maya. Rob Lee, CEO perusahaan keamanan siber
Dragos mengatakan kepada kami, “Kami telah mengamati kelompok ancaman yang dikaitkan
dengan pemerintah Rusia oleh lembaga pemerintah AS yang melakukan pengintaian terhadap
infrastruktur industri AS, termasuk situs listrik dan gas alam utama dalam beberapa bulan terakhir.”

Tim keamanan dan intelijen di beberapa perusahaan multinasional besar menunjukkan kepada
kami bahwa mereka mengantisipasi serangan siber Rusia dan menilai potensi efek urutan kedua dan
ketiga pada operasi mereka. Beberapa perusahaan mencatat bahwa mereka mengantisipasi
peningkatan serangan dan penipuan sehubungan dengan krisis Ukraina, dengan penilaian risiko
biasanya bergantung pada apakah perusahaan memiliki hubungan langsung dengan bank nasional
Ukraina atau infrastruktur penting lainnya. Seorang manajer intelijen korporat mengamati bahwa
tim siber mereka “tidak berpikir bahwa kami mungkin menjadi target”, tetapi telah mengikuti
panduan CISA. Hal serupa lainnya menunjukkan bahwa perusahaan mereka tidak peduli dengan
ancaman langsung terhadap data mereka, karena mereka tidak memiliki kehadiran di Ukraina atau
Rusia, tetapi mengawasi dampak tidak langsung pada pelanggan dan mitra bisnis mereka di wilayah
tersebut.

Sumber : https://hbr.org/2022/02/the-cybersecurity-risks-of-an-escalating-russia-ukraine-conflict &

https://www.macobserver.com/news/eset-ukraine-cyberattacks/

- MuddyWater

MuddyWater adalah kelompok ancaman Iran yang terutama menargetkan negara-negara

Timur Tengah, dan juga menargetkan negara-negara Eropa dan Amerika Utara. Korban kelompok ini
terutama di sektor telekomunikasi, pemerintahan (layanan TI), dan minyak. Aktivitas dari grup ini
sebelumnya terkait dengan FIN7, tetapi grup tersebut diyakini sebagai grup berbeda yang
kemungkinan dimotivasi oleh spionase.
Sumber : https://attack.mitre.org/groups/G0069/

Laporan ditulis oleh : Irsyad Fauzan Hanaf

Kode Registrasi Peserta : B120-119