Please enable JavaScript.
Coggle requires JavaScript to display documents.
Ransomware Case - Coggle Diagram
Ransomware Case
(1) Seq of Events
(1). Ratih PMO WA di tgl 13 Feb jam 22:30 bahwa email tidak bsa digunakan.Wa nya baru kebaca di 14 Feb jam 05:00
(2) Dugaan awal,disk full di server CAS dan tidak bisa diup-kan dari VCenter
(3) Setelah server CAS bisa diakses,dari desktop terlihat bahwa ada pesan notepad yang mengidentifikasikan serangan ransomware (meminta 1BTC per 1 server)
(4) IT mengecek semua server yang kena ransomware,dan akhirnya 1 per 1 server terinfeksi.dimulai dari server radius,AD Primary,dll
(5) Dikarenakan server radius terkena,dan user harus tetap mengakses internet.user dipush memakai Guest-AP paralel server cas direstore
(6) Setelah server CAS selesai restore,email kembali UP.akses internet dan network keseluruhan di stop dari sisi user krena persebaran ransomware terlalu cepat.IT paralel mencari anti virus/ransomware/malware dan memanggil tim vaksin eksternal
(7) Coba scan dgn menggunakan sophos intercepts x 1 laptop yang terinfeksi.dari hasil scanning sophos men-detect/men-clean BCD.exe.tetapi BCD.exe akan selalu mncul kembali walaupun sudah didelete.dan juga mencoba scan menggunakan malwarebyte dan harmony.keduanya hanya mendetect file yg sudah terencrypt dan trojan. disini tim sdh memastikan BCD.exe bukan file bawaan windows.krena tim sudah mencoba format dan install ulang windows, file tersebut tidak ada,tetapi akan muncul begitu join domain dan login menggunakan akun personalnya
(8) Yusep mengecek laptop,di laptop nya hanya ada N.exe tidak ada BCD.exe.dari situ tim menelusuri data,dan ketemu lah di windows temp ada 4 file.start.bat,restart.bat,9ds dan N.exe.dari situ scriptnya dibaca dan akhirnya paham bahwa attacker menggunakan sysvol folder AD utk mendistribusikan virus.dari script itulah kita semua paham,bagaimana cara menghilangkan virusnya
(9) Server Recovery Phase (Setup AD,Setup GPO,Restore all sistem)
Planning
-
-
3.Ganti OS Linux,utk beberapa server
4.Utk Server file sharing,ataupun server backup ataupun server2 lainnya yg datanya tidak boleh hilang 1 hari pun harus diinstal Neushield Data Protection.Contoh : File Sharing,Synology,File Attachment apps server,database server dll
- Ganti Antivirus Harmony,Firewall Check Point dan EmailGateaway Proofpoint
6.(Hire/Assign) dan Training 1 (*training cyber security) Orang utk diassign sebagai security specialist
7.Pakai Web Application Firewall (Cloudflare,Akamai,Toffs)
-
-
Laptop yang terinfeksi
(2) Laptop yang terinfeksi tidak terlalu banyak jika dbandingkan jumlah laptop yang disebar..sekitar 50 buah laptop (15%)
Penyebaran Ransomware
Penyebaran Ransomware bsa dri code inject ataupun bruteforce ataupun email.Untuk serangan kali ini AD dijadikan sarana distribusi ransomware.ransomware masuk melalui share folder SYSVOL dan menginject logon script.
Hacker bisa masuk ke sysvol dikarenakan kurangnya security di AD.teridentifikasi kemungkinan dengan menggunakan salah 1 akun sharepoint admin (*yang mana pass nya jarang diganti),yg mana akun tersebut dapat meremote AD dan juga dijadikan administrator group AD