Cyber Attack

Malware AI Mengembangkan Masalah Keamanan, survei CyberArk menemukan

June 15, 2023 by Coffee Bean

Sebuah laporan global baru oleh perusahaan keamanan siber CyberArk mengungkapkan bahwa pertemuan antara kondisi ekonomi yang menantang dan inovasi teknologi yang cepat, termasuk munculnya kecerdasan buatan (AI), memperluas lanskap ancaman keamanan siber yang dipimpin oleh identitas.

CyberArk 2023 Identity Security Threat Landscape Report, ditugaskan oleh CyberArk dan dilakukan oleh firma riset pasar Vanson Bourne, mensurvei 2.300 pembuat keputusan keamanan siber di seluruh organisasi sektor swasta dan publik dengan 500 karyawan ke atas di 16 negara. Ditemukan bahwa hampir semua organisasi — 99,9% — mengantisipasi kompromi terkait identitas tahun ini, karena faktor-faktor seperti pemotongan ekonomi, masalah geopolitik, adopsi cloud, dan kerja hybrid.

Ancaman yang diaktifkan oleh AI adalah masalah yang signifikan, dengan 93% profesional keamanan yang disurvei memperkirakan ancaman tersebut akan berdampak pada organisasi mereka pada tahun 2023. Malware bertenaga AI disebut-sebut sebagai perhatian utama.

Enam puluh delapan persen organisasi mengharapkan masalah keamanan siber didorong oleh churn karyawan pada tahun 2023.

Laporan tersebut juga mengungkapkan bahwa organisasi berencana untuk menerapkan 68% lebih banyak alat software-as-a-service (SaaS) dalam 12 bulan ke depan. Karena sebagian besar identitas manusia dan mesin memiliki akses ke data sensitif melalui alat ini, jika tidak diamankan dengan baik, mereka dapat menjadi gerbang serangan.

Delapan puluh sembilan persen organisasi mengalami serangan ransomware dalam satu tahun terakhir, dengan 60% organisasi yang terkena dampak melaporkan melakukan pembayaran berkali-kali untuk pulih dari serangan ini.

Sektor energi, minyak, dan gas tampak sangat rentan, dengan 67% perusahaan di industri ini berharap mereka tidak akan dapat menghentikan atau bahkan mendeteksi serangan yang berasal dari rantai pasokan perangkat lunak mereka.

Area penting dari lingkungan TI tidak cukup terlindungi, dan tipe identitas tertentu menunjukkan risiko yang signifikan. Misalnya, 63% responden mengatakan bahwa akses karyawan dengan sensitivitas tertinggi tidak cukup aman.

sumber : venturebeat.com

Evolusi Ancaman Teknologi Informasi Kuartal Pertama 2023

June 12, 2023 by Søren

Targeted Attacks

BlueNoroff memperkenalkan metode baru untuk bypass MotW

Pada akhir tahun 2022, peneliti melaporkan aktivitas BlueNoroff, aktor ancaman yang bermotivasi finansial dan dikenal mencuri mata uang kripto. Pelaku ancaman biasanya mengeksploitasi dokumen Word, menggunakan file shortcut untuk intrusi awal. Namun, baru-baru ini grup tersebut telah mengadopsi metode baru untuk mengirimkan malware-nya.
Salah satunya, yang dirancang untuk menghindari bendera Mark-of-the-Web (MotW), adalah penggunaan format file .ISO (optical disk image) dan .VHD (virtual hard disk). MotW adalah ukuran keamanan Windows — sistem menampilkan pesan peringatan saat seseorang mencoba membuka file yang diunduh dari internet.

Roaming Mantis menerapkan DNS changer baru

Peneliti juga terus melacak aktivitas Roaming Mantis (alias Shaoye), aktor ancaman mapan yang menargetkan negara-negara di Asia. Dari 2019 hingga 2022, pelaku ancaman ini terutama menggunakan ‘smishing’ untuk mengirim tautan ke laman landasnya, dengan tujuan mengendalikan perangkat Android yang terinfeksi dan mencuri informasi perangkat, termasuk kredensial pengguna.

Namun, pada September 2022, peneliti menganalisis malware Android Wroba.o baru, yang digunakan oleh Roaming Mantis, dan menemukan fungsi pengubah DNS yang diterapkan untuk menargetkan router Wi-Fi tertentu yang digunakan terutama di Korea Selatan.

BadMagic: APT baru yang berhubungan dengan konflik Russia-Ukraina

Sejak awal konflik Rusia-Ukraina, peneliti telah mengidentifikasi sejumlah besar serangan dunia maya geo-politik, sebagaimana diuraikan dalam ikhtisar kami tentang serangan dunia maya yang terkait dengan konflik tersebut.

Oktober lalu, peneliti mengidentifikasi infeksi aktif organisasi pemerintah, pertanian, dan transportasi yang berlokasi di Donetsk, Lugansk, dan Krimea. Vektor awal kompromi tidak jelas, tetapi detail tahap selanjutnya menyiratkan penggunaan spear-phishing atau yang serupa. Target menavigasi ke URL yang mengarah ke arsip ZIP yang dihosting di server web berbahaya. Arsip ini berisi dua file: dokumen umpan (peneliti menemukan versi PDF, XLSX, dan DOCX) dan file LNK berbahaya dengan ekstensi ganda (mis. PDF.LNK) yang, ketika dibuka, menyebabkan infeksi.

Malware

Prilex menargetkan transaksi contactless pada credit card

Prilex telah berevolusi dari malware yang berfokus pada ATM menjadi ancaman PoS tercanggih yang pernah kami lihat sejauh ini. Pelaku ancaman melampaui pengikis memori lama yang terlihat dalam serangan PoS, hingga malware yang sangat canggih yang menyertakan skema kriptografi unik, penambalan perangkat lunak target secara real-time, memaksa penurunan versi protokol, memanipulasi kriptogram, melakukan apa yang disebut “transaksi GHOST” dan kredit penipuan kartu — bahkan pada kartu chip-dan-PIN.

Saat menyelidiki suatu insiden, kami menemukan sampel Prilex baru, dan salah satu fitur baru mencakup kemampuan untuk memblokir transaksi nirsentuh. Transaksi ini menghasilkan pengidentifikasi unik yang valid hanya untuk satu transaksi, menjadikannya tidak berharga bagi penjahat dunia maya. Dengan memblokir transaksi, Prilex mencoba memaksa pelanggan memasukkan kartu mereka untuk melakukan transaksi chip-dan-PIN, memungkinkan penjahat dunia maya untuk mengambil data dari kartu menggunakan teknik standar mereka.

Mencuri cryptocurrency menggunakan Tor browser palsu

Kami baru-baru ini menemukan kampanye pencurian mata uang kripto yang sedang berlangsung yang memengaruhi lebih dari 15.000 pengguna di 52 negara. Para penyerang menggunakan teknik yang telah ada selama lebih dari satu dekade dan awalnya digunakan oleh Trojan perbankan untuk mengganti nomor rekening bank. Namun, dalam kampanye baru-baru ini, penyerang menggunakan Tor Browser versi Trojan untuk mencuri mata uang kripto.

Target mengunduh Tor Browser versi Trojan dari sumber daya pihak ketiga yang berisi arsip RAR yang dilindungi kata sandi — kata sandi digunakan untuk mencegahnya terdeteksi oleh solusi keamanan. Setelah file dijatuhkan ke komputer target, ia mendaftarkan dirinya sendiri di mulai otomatis sistem dan menyamar sebagai ikon untuk aplikasi populer, seperti uTorrent.

Malvertising menggunakan search engine

Dalam beberapa bulan terakhir, kami mengamati peningkatan jumlah kampanye berbahaya yang menggunakan Iklan Google sebagai sarana untuk mendistribusikan dan mengirimkan malware. Setidaknya dua pencuri berbeda, Rhadamanthys dan RedLine, menyalahgunakan rencana promosi mesin pencari untuk mengirimkan muatan berbahaya ke komputer korban.

Mereka tampaknya menggunakan teknik yang sama untuk meniru situs web yang terkait dengan perangkat lunak terkenal, seperti Notepad ++ dan Blender 3D. Pelaku ancaman membuat salinan situs web perangkat lunak yang sah dan menggunakan “typosquatting” (menggunakan merek atau nama perusahaan yang dieja salah sebagai URL) atau “combosquatting” (seperti di atas, tetapi menambahkan kata acak sebagai URL) untuk membuat situs terlihat sah. Mereka kemudian membayar untuk mempromosikan situs di mesin pencari untuk mendorongnya ke bagian atas hasil pencarian — sebuah teknik yang dikenal sebagai “malvertising”.

Selengkapnya: Secure List

Geng ransomware kehilangan minat pada perusahaan AS

June 11, 2023 by Coffee Bean

Operator ransomware sekarang memusatkan upaya mereka pada wilayah dan industri tertentu, karena AS kehilangan daya tariknya.

Dengan menganalisis data yang tersedia untuk umum tentang serangan ransomware yang terjadi antara tahun 2020 dan 2023, para peneliti menemukan bahwa pada tahun 2022, bisnis Amerika mengalami 876 serangan, turun dari 1.237 pada tahun sebelumnya.

Perusahaan finance diserang
Meskipun tampaknya geng ransomware menyebarkan jaring yang lebih luas, mereka sebenarnya memusatkan upaya mereka. Pada tahun 2021, perusahaan di 102 negara menjadi sasaran ransomware, turun menjadi 91 negara tahun lalu.

Ada juga perubahan di antara target industri paling populer. Sementara pada 2021, manufaktur menjadi industri paling populer dengan 223 serangan, tahun lalu konstruksi menjadi yang paling populer dengan 142 serangan.

Secara keseluruhan, jumlah serangan ransomware di seluruh dunia menurun antara tahun 2021 dan 2022, dari 2.702 menjadi 2.257.

“Kami memperhatikan bahwa perusahaan keuangan semakin khawatir dengan keamanan siber mereka. Perusahaan memperhatikan peningkatan serangan dunia maya di sektor ini,” kata Aivaras Vencevičius, kepala produk NordLocker.

Namun meskipun manufaktur dan konstruksi menjadi pusat perhatian, sektor keuanganlah yang dengan cepat menjadi target terbesar. Pada tahun 2021, perusahaan keuangan hanya menjadi sektor keenam yang paling banyak diserang, tetapi naik ke posisi kedua pada tahun 2022.

Grup ransomware paling aktif tahun lalu adalah LockBit, terlibat dalam total 723 serangan di seluruh dunia, dan menggulingkan Conti yang terkenal. Pada tahun 2021 Conti, yang diyakini berafiliasi dengan Rusia, menjadi grup paling aktif dengan 445 serangan di seluruh dunia.

sumber : techradar.com

Portal Azure Microsoft down mengikuti klaim baru serangan DDoS

June 10, 2023 by Coffee Bean

Portal Microsoft Azure sedang down di web sebagai aktor ancaman yang dikenal sebagai Anonymous Suda mengklaim menargetkan situs dengan serangan DDoS.

Mencoba mengakses portal di https://portal.azure.com menampilkan pesan kesalahan yang menyatakan, “Layanan kami tidak tersedia saat ini. Kami sedang bekerja untuk memulihkan semua layanan secepat mungkin. Periksa kembali nanti.” Aplikasi seluler tampaknya tidak terpengaruh saat ini.

Error message saat mengunjungi portal.azure.com

Halaman status Microsoft Azure menyertakan informasi status yang menyatakan bahwa Microsoft mengetahui insiden tersebut dan berusaha untuk menguranginya.

“Portal Azure – Kesalahan mengakses Portal Azure – Menerapkan Mitigasi

Pernyataan Dampak: Mulai sekitar pukul 15.00 UTC pada 9 Juni 2023, pelanggan Azure mungkin mengalami pemberitahuan kesalahan saat mencoba mengakses Portal Azure (portal.azure.com).

Status Saat Ini: Kami telah menentukan akar penyebab potensial dan secara aktif terlibat dalam aliran kerja berbeda yang menerapkan proses penyeimbangan muatan untuk mengurangi masalah tersebut. Pembaruan berikutnya akan diberikan dalam 60 menit atau sesuai acara.

Pesan ini terakhir diperbarui pada 16:35 UTC pada 09 Juni 2023”

Anonim Sudan mengaku sebagai peretas yang menargetkan perusahaan AS untuk memprotes keterlibatan Amerika Serikat dalam urusan dalam negeri Sudan. Namun, beberapa percaya ini adalah bendera palsu dan pelaku ancaman sebenarnya adalah orang Rusia.

Terlepas dari asal-usul aktor ancaman, ini bukan minggu yang baik untuk Microsoft, dengan aktor ancaman melakukan serangan DDoS di portal web Microsoft lainnya untuk Outlook.com dan OneDrive, yang juga mengalami pemadaman pada saat yang sama.

Meskipun Microsoft belum mengonfirmasi bahwa pemadaman ini disebabkan oleh serangan DDoS, mereka membagikan pernyataan berikut dengan BleepingComputer kemarin, mengisyaratkan bahwa masalah tersebut lebih dari sekadar masalah teknis.

“Kami mengetahui klaim ini dan sedang menyelidiki. Kami mengambil langkah-langkah yang diperlukan untuk melindungi pelanggan dan memastikan stabilitas layanan kami,” kata Microsoft kepada BleepingComputer dalam sebuah pernyataan.

BleepingComputer sekali lagi menghubungi Microsoft untuk menanyakan apakah layanannya mati karena serangan DDoS, tetapi tanggapan tidak segera tersedia.

Perbarui 9/6/23 13:32 ET: Portal Azure tampaknya hidup kembali dan stabil.

Microsoft masih belum mengungkapkan penyebab yang mendasari pemadaman, hanya menunjukkan bahwa mereka menerapkan lebih banyak proses penyeimbangan beban ke layanan.

sumber : bleepingcomputer.com

British Airways, Boots dan BBC telah Terkena Ultimatum dari Kelompok Kejahatan Siber berbahasa Rusia “Clop”

June 8, 2023 by Coffee Bean

Enam organisasi telah dipastikan terkena dampaknya, dengan Aer Lingus dan University of Rochester juga mengakui bahwa mereka telah terkena dampaknya. Banyak organisasi bukan pengguna langsung perangkat lunak MOVEit, tetapi mengalihdayakan layanan penggajian mereka ke pihak ketiga bernama Zellis, yang juga terpukul.

Grup peretas mengklaim memiliki informasi tentang “ratusan” perusahaan. Dalam postingan tersebut, mereka malu-malu tentang sifat serangan mereka, menggambarkannya hanya sebagai “layanan pengujian penetrasi setelah fakta”.

“Ini adalah pengumuman untuk mengedukasi perusahaan yang menggunakan produk Progress MOVEit bahwa kemungkinan besar kami mengunduh banyak data Anda sebagai bagian dari eksploitasi luar biasa,” bunyi permintaan tersebut. “Kami adalah satu-satunya yang melakukan serangan seperti itu dan santai karena data Anda aman.”

Ultimatum tidak berisi jumlah eksplisit yang harus dibayar oleh bisnis, tetapi menuntut agar mereka mengadakan negosiasi.

Kelompok tersebut juga mengklaim telah menghapus data yang mungkin telah dicuri dari aktor negara. “Jangan khawatir, kami menghapus data Anda, Anda tidak perlu menghubungi kami,” katanya. “Kami tidak tertarik untuk mengungkapkan informasi semacam itu.”

Cabang-cabang zaitun seperti itu biasa terjadi pada kelompok peretas profesional, yang ingin memaksimalkan pendapatan mereka tanpa menarik perhatian yang tidak perlu dari penegak hukum.

Ancaman tersebut merupakan peningkatan serangan ransomware konvensional dan dikenal sebagai “doxware”. Alih-alih hanya mengenkripsi data dan menagih kunci, peretas mencuri data secara langsung dan mengancam akan menerbitkannya kecuali uang tebusan dibayarkan.

“Meskipun tidak pernah disarankan untuk membayar tuntutan uang tebusan kepada penjahat dunia maya, ada risiko yang tak terhindarkan bahwa beberapa perusahaan yang ditargetkan akan menyerah pada tekanan tersebut. Ini hanya akan menyulut api dan melanjutkan siklus kelompok kriminal yang menghancurkan ini.

“Yang lebih penting adalah perusahaan yang terkena dampak terbuka dan jujur dengan karyawan dan pelanggan mereka yang menawarkan dukungan dalam cara melindungi diri mereka sendiri dan cara menemukan … serangan.”

sumber : theguardian.com

Terminator Antivirus Killer: Driver Windows Rentan yang Mengancam

June 1, 2023 by Eevee

Terminator antivirus killer adalah sebuah driver Windows yang rentan yang menyamar sebagai alat yang dapat menghentikan antivirus dan platform keamanan lainnya. Dikenal sebagai Spyboy, aktor ancaman ini mempromosikan alat Terminator di forum peretas berbahasa Rusia. Namun, menurut CrowdStrike, ini hanyalah serangan Bring Your Own Vulnerable Driver (BYOVD) yang terlihat mewah.

Terminator diklaim dapat melewati 24 solusi keamanan seperti antivirus, Endpoint Detection and Response (EDR), dan Extended Detection and Response (XDR). Ini termasuk Windows Defender pada perangkat dengan sistem operasi Windows 7 ke atas.

Spyboy menjual alat ini dengan harga mulai dari $300 hingga $3,000. Namun, beberapa solusi EDR seperti SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex, dan Cylance tidak bisa dibeli secara terpisah.

Untuk menggunakan Terminator, pengguna harus memiliki hak administratif pada sistem Windows dan memperdaya pengguna agar menerima pop-up User Account Controls (UAC) saat menjalankan alat ini.

Terminator sebenarnya hanya menjatuhkan driver kernel anti-malware bernama zamguard64.sys atau zam64.sys ke folder C:\Windows\System32\ dengan nama acak. Driver ini digunakan untuk menghentikan proses perangkat lunak keamanan yang berjalan pada perangkat dengan hak istimewa tingkat kernel.

Aktivitas Terminator ini baru terdeteksi oleh satu mesin pemindai anti-malware. Namun, peneliti keamanan telah membagikan aturan yang dapat membantu deteksi driver yang rentan yang digunakan oleh alat Terminator.

Teknik ini sering digunakan oleh aktor ancaman untuk melewati perangkat lunak keamanan dengan menjalankan driver Windows yang rentan. Kelompok ancaman yang berbeda, mulai dari kelompok ransomware hingga kelompok peretas yang didukung oleh negara, menggunakan teknik ini.

Baru-baru ini, peneliti keamanan Sophos X-Ops menemukan sebuah alat peretasan baru bernama AuKill yang menggunakan driver Process Explorer yang rentan untuk menonaktifkan perangkat lunak EDR sebelum menyerang dengan ransomware dalam serangan BYOVD.

Sumber: Bleeping Computer

Spyware Ditemukan di Aplikasi Google Play dengan Unduhan Lebih dari 420 Juta

June 1, 2023 by Eevee

Perusahaan antivirus Doctor Web baru-baru ini mengungkapkan adanya spyware di lebih dari 100 aplikasi Android di Google Play. Total unduhan dari aplikasi-aplikasi ini mencapai lebih dari 420 juta.

Spyware ini disebut SpinOk dan tersebar dalam bentuk SDK pemasaran. Pada perangkat korban, SpinOk dapat mengumpulkan informasi file, mengirim file kepada penyerang, dan mencuri konten clipboard.

Modul jahat ini menawarkan permainan mini, tugas, dan hadiah palsu untuk menjaga minat pengguna terhadap aplikasi-aplikasi tersebut.

SpinOk terhubung ke server command-and-control (C&C) setelah dieksekusi. Ia mengirim informasi perangkat, termasuk data dari sensor, yang digunakan untuk mendeteksi lingkungan emulator. Server merespons dengan sejumlah URL yang digunakan untuk menampilkan iklan melalui WebView.

Selain itu, SpinOk dapat mengumpulkan daftar file dalam direktori tertentu, memeriksa keberadaan file dan direktori spesifik, mengunggah file dari perangkat, dan mengganti konten clipboard.

Dengan kemampuannya yang berbahaya, modul trojan ini memungkinkan para penyerang untuk mendapatkan informasi dan file rahasia dari perangkat pengguna. Untuk melakukan ini, penyerang perlu menambahkan kode tertentu ke halaman iklan.

Doctor Web telah melaporkan temuannya kepada Google, dan beberapa aplikasi sudah dihapus. Namun, perlu diingat bahwa tidak semua versi aplikasi mengandung SDK jahat tersebut.

Beberapa aplikasi populer yang terdampak meliputi Noizz dengan lebih dari 100 juta unduhan, Zapya dengan lebih dari 100 juta unduhan (versi 6.3.3 hingga 6.4), VFly dengan lebih dari 50 juta unduhan, MVBit dengan lebih dari 50 juta unduhan, dan Biugo dengan lebih dari 50 juta unduhan. Doctor Web telah merilis daftar lengkap aplikasi yang terinfeksi untuk informasi lebih lanjut.

Sumber: Securityweek

Gigabyte Systems Mengalami Kerentanan Firmware Kritis yang Membahayakan Jutaan Perangkat

June 1, 2023 by Eevee

Pada April 2023, peneliti keamanan cyber menemukan perilaku mencurigakan dalam sistem Gigabyte yang memungkinkan perangkat-perangkatnya terinfeksi oleh eksekutor Windows melalui firmware UEFI. Eksekutor tersebut dapat mengunduh pembaruan dalam format yang tidak aman.

Eclypsium, perusahaan keamanan firmware, berhasil mendeteksi anomali ini dan menginformasikan masalah ini kepada Gigabyte, yang telah mengakui dan menangani masalah tersebut.

John Loucaides, wakil presiden senior strategi di Eclypsium, menjelaskan bahwa sebagian besar firmware Gigabyte mengandung eksekutor biner Windows Native yang tertanam di dalam firmware UEFI. Eksekutor tersebut akan dieksekusi saat perangkat dinyalakan, mirip dengan serangan agen ganda LoJack. Melalui metode yang tidak aman, eksekutor ini dapat mengunduh dan menjalankan biner tambahan.

Eclypsium juga menemukan bahwa aplikasi berbasis .NET yang ada dalam firmware tersebut dapat mengunduh dan menjalankan pembaruan dari server Gigabyte melalui protokol HTTP biasa. Hal ini membuka kemungkinan serangan oleh pihak yang tidak bertanggung jawab melalui router yang terinfeksi.

Kerentanan ini dapat mempengaruhi sekitar 7 juta perangkat Gigabyte, dengan sekitar 364 sistem terkena dampak secara kasar. Ancaman ini serius karena malware yang disisipkan dalam firmware dapat bertahan bahkan jika perangkat dihapus dan sistem operasi diinstal ulang.

Untuk melindungi diri, disarankan agar pengguna menerapkan pembaruan firmware terbaru dan memeriksa fitur “APP Center Download & Install” dalam Pengaturan UEFI/BIOS untuk menonaktifkannya. Selain itu, pengguna juga disarankan untuk mengatur kata sandi BIOS guna mencegah perubahan yang tidak sah.

Sumber: The Hackernews

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attack

Cookies Settings