Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Attack

Cyber Attack

Peneliti Memperingatkan Penyebaran Malware ‘Raspberry Robin’ melalui Drive Eksternal

by

Peneliti keamanan siber telah menemukan malware Windows baru dengan kemampuan seperti worm dan disebarkan melalui perangkat removable USB.

Malware tersebut dikaitkan ke cluster bernama “Raspberry Robin,” peneliti Red Canary mencatat bahwa worm “memanfaatkan Windows Installer untuk menjangkau domain terkait QNAP dan mengunduh DLL berbahaya.”

Tanda-tanda paling awal dari aktivitas malware tersebut dikatakan terjadi pada September 2021, dengan infeksi pada organisasi di sektor teknologi dan manufaktur.

Rantai serangan yang berkaitan dengan Raspberry Robin dimulai dengan menghubungkan drive USB yang terinfeksi ke mesin Windows. Isi dari drive USB tersebut adalah muatan worm, yang muncul sebagai file pintasan .LNK ke folder yang sah.

Kemudian, worm akan menangani proses baru menggunakan cmd.exe untuk membaca dan mengeksekusi file berbahaya yang tersimpan di drive eksternal.

Hal ini diikuti dengan mengeksekusi explorer.exe dan msiexec.exe, yang kemudian akan digunakan untuk komunikasi jaringan eksternal ke domain jahat untuk tujuan command-and-control (C2) dan untuk mengunduh dan menginstal file library DLL.

DLL berbahaya selanjutnya dimuat dan dieksekusi menggunakan rantai utilitas Windows yang sah seperti fodhelper.exe, rundll32.exe hingga rundll32.exe, dan odbcconf.exe, secara efektif melewati User Access Control (UAC).

Selain itu, temuan lain yang terdeteksi pada seluruh Raspberry Robin adalah adanya kontak C2 keluar yang melibatkan proses regsvr32.exe, rundll32.exe, dan dllhost.exe ke alamat IP yang terkait dengan node Tor.

Hal tersebut berarti, tujuan operator tetap tidak terjawab pada tahap ini. Juga tidak jelas bagaimana dan di mana drive eksternal terinfeksi, meskipun diduga dilakukan secara offline.

“Kami juga tidak tahu mengapa Raspberry Robin memasang DLL berbahaya,” kata para peneliti. “Satu hipotesis adalah bahwa itu mungkin upaya untuk membangun persistence pada sistem yang terinfeksi.”

Selengkapnya: The Hacker News

Serangan Keamanan Siber Melonjak saat Perang Ukraina-Rusia Berkecamuk

by

Apa yang dilihat orang adalah perang antara tentara Rusia dan Ukraina, yang kurang diketahui adalah skala perang hibrida. Sebuah istilah yang diciptakan oleh NATO untuk menggambarkan kombinasi perang kinetik dan informasi. Realitas yang sedang berlangsung adalah campuran ampuh dari serangan kinetik dengan senjata dan amunisi, yang digunakan dalam kombinasi dengan serangan dunia maya, dan kampanye disinformasi. Hal ini sangat melegakan bagaimana hubungan internasional bekerja telah berubah dalam dekade terakhir. Sebagian besar pakar hubungan internasional dan diplomat setuju bahwa revolusi ini merupakan komponen penting dari transformasi digital yang sedang berlangsung di seluruh masyarakat, dan oleh karena itu perang dunia maya menjadi lebih menjadi kenyataan daripada teori.

Dari segi sosiologis, kesatuan negara, masyarakat, dan ekonomi tidak bisa lagi dianggap remeh, karena tidak ada batasan geografis dalam perang siber. Lingkungan ini dicirikan oleh signifikansi yang diberikan pada informasi, pengetahuan, dan gagasan sebagai sumber daya dalam hubungan internasional, dan dengan perluasan – informasi yang menyebabkan kemungkinan dampak kinetik, atau non-kinetik dalam konflik bersenjata.

Dalam beberapa minggu terakhir, Rusia telah menggunakan perang kinetik disertai dengan kampanye disinformasi yang diatur dengan baik. Kampanye disinformasi yang khas dapat merusak kebenaran, membingungkan orang-orang dari kedua belah pihak dan menarik narasi palsu, menabur benih perselisihan dan ketidakpercayaan di antara masyarakat luas. Menggunakan operasi psikologis dan/atau perang informasi membutuhkan kerja sama dari entitas sektor publik dan swasta dari pihak Rusia untuk mencapai massa kritis agar kampanye disinformasi menjadi nyata.

Dalam konteks perang Rusia-Ukraina, aktor ancaman muncul dari web gelap, mencoba mengambil keuntungan finansial dari situasi kacau. Jaringan perusahaan dan akses basis data ditawarkan oleh pelaku ancaman dengan imbalan uang. Serangan Hermetic Wiper yang merusak lebih lanjut diamati sebagai yang paling umum selama perang Rusia Ukraina yang sedang berlangsung serta menjelang perang kinetik.

Apa dampak dari serangan cyber?

Para peneliti telah memperkirakan serangan siber sebagai komponen utama dalam perang di masa depan. Komponen ini dikatakan sebagai domain konflik kelima setelah darat, udara, laut, dan ruang angkasa.

Efek yang paling menonjol dari operasi cyber, menurut peneliti akan mengganggu operasi militer. Misalnya, peretas dapat mengganggu saluran komunikasi untuk menghentikan komando tinggi mengirim perintah ke pasukan garis depan. Ini akan menyebabkan tindakan tertunda dalam situasi perang. Metode serangan lain bagi peretas adalah memalsukan pesan dengan instruksi palsu untuk menggunakan situasi demi kepentingan mereka.

Dalam perang ini, serangan siber digunakan untuk menciptakan kepanikan dan menurunkan kemampuan lawan untuk bertarung, operasi informasi mematahkan tekad untuk merespons dan mendorong narasi yang kondusif bagi pasukan penyerang, bahkan melegitimasi agresi. Operasi kinetik dengan demikian sesuai dibantu dengan pelunakan medan perang. Ketika NATO menuduh Rusia melakukan perang hibrida, inilah yang mereka maksud.

Hermetic Wiper

Target: Bisnis di Ukraina
Motivasi: mengenkripsi data komputer dengan cara yang tidak dapat dipulihkan
Hasil: Hingga saat ini telah menyebabkan kerugian finansial sebesar $10 miliar secara global
Deskripsi: Nama Hermetic Wiper diberikan berdasarkan sertifikat digital yang dicuri dari sebuah perusahaan bernama Hermetic Digital Ltd. Malware tersebut memecah-mecah file pada disk dan menimpanya melalui utilitas master boot recovery (MBR) untuk membuat pemulihan menjadi tidak mungkin. Secara praktis, malware memperoleh akses tulis ke struktur data tingkat rendah pada disk. Karena sifat fungsionalnya, ia juga dikenal sebagai malware penghapus disk atau hanya disebut sebagai penghapus. Serangan cyber menyebarkan malware yang terutama menghapus data ditemukan hanya beberapa jam sebelum pasukan Rusia memasuki Ukraina, ini dapat dianggap sebagai serangan pertama Moskow terhadap Ukraina.
Hermetic Wiper IOC’s

  • 1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591
  • 0385eeab00e946a302b24a91dea4187c1210597b8e17cd9e2230450f5ece21da
  • A64c3e0522fad787b95bfb6a30c3aed1b5786e69e88e023c062ec7e5cebf4d3e

MITRE ATT&CK Mapping for Hermetic Wiper

Selengkapnya: LMNTRIX

Stormous: Geng Ransomware Pro-Rusia Menargetkan AS dan Ukraina

by

Sebagai bagian dari penelitian Dark Web dan cybercriminal reguler kami, Trustwave SpiderLabs telah menemukan dan menganalisis postingan dari grup ransomware pro-Rusia yang bermotivasi politik bernama Stormous. Kelompok tersebut baru-baru ini menyatakan dukungan untuk Rusia dalam perangnya dengan Ukraina, menyerang Kementerian Luar Negeri Ukraina dan diduga memperoleh dan membuat nomor telepon umum, alamat email, dan kartu identitas nasional. Kelompok itu juga mengklaim memiliki operasi ransomware yang sukses terhadap merek-merek besar Amerika Coca-Cola, Mattel dan Danaher. Secara total, Stormous mengklaim telah mengakses dan merusak 700 situs web AS dan menyerang 44 perusahaan Amerika.

Siapa Stormous?

Stormous, yang mungkin telah mulai beroperasi pada pertengahan 2021, telah memposting pernyataan misi yang menyatakan tujuannya adalah untuk menyerang target di AS dan negara-negara barat lainnya. Tujuan ini bergeser pada tahun 2022, menambahkan Ukraina dan India ke daftar targetnya. Cara mereka mendiskusikan negara sebagai target mereka dibandingkan dengan bisnis atau industri tertentu menunjukkan bahwa politik lebih memengaruhi perubahan target ini daripada keuntungan finansial.

Analisis awal kami terhadap Stormous menunjukkan geng tersebut kemungkinan memiliki anggota yang berlokasi di negara-negara Timur Tengah dan Rusia. Beberapa postingan kelompok itu ditulis dalam bahasa Arab bersama dengan sikap publiknya yang pro-Rusia, yang konsisten dengan wilayah tersebut. Apalagi, dua anggota kelompok yang ditangkap berasal dari negara-negara timur tengah.

Grup berkomunikasi melalui saluran Telegram dan situs web .onion di Tor. Ada sedikit obrolan di saluran Telegram, dengan percakapan yang sebagian besar terdiri dari proklamasi grup. Meskipun grup tersebut mengidentifikasi dirinya sebagai grup ransomware, grup tersebut tidak beroperasi sebagai Ransomware-as-a-Service (RaaS), dan tidak diketahui jenis ransomware apa yang mungkin digunakan dalam kampanye mereka.

Era Baru Penjahat Dunia Maya

Gaya baru kelompok ancaman Stormous yang tidak takut — dan bahkan mencari pujian publik — dapat membuat anggotanya lebih rentan untuk ditemukan dan ditangkap.

Meskipun mungkin ada sisi positif dari perspektif pengaruh dan branding untuk membuat aktivitas peretasan menjadi publik, penegak hukum dapat menggunakan informasi komunikasi untuk membawa penjahat dunia maya lebih cepat ke pengadilan.

Trustwave SpiderLabs akan terus melacak ancaman Stormous dan aktivitas grup saat lebih banyak informasi tersedia.

Sumber: Trustwave

Eropa Menguatkan Diri untuk Perang Cyber, tetapi Apakah Sudah Siap?

by

Ketika sistem tiga perusahaan minyak dan transportasi di Eropa dan Afrika dijatuhkan pada 2 Februari 2022, Eropa sedang mempersiapkan perang yang akan datang di Ukraina dan dampak ketegangan di perbatasan Rusia mulai terasa di pasar energi global.

Serangan siber itu memicu gelombang kecemasan bahwa perang di Ukraina akan segera meluas secara online, dengan infrastruktur penting yang terancam. Kurang dari seminggu setelah serangan terhadap SEA-Invest, dan hanya sebelas hari sebelum pasukan Rusia melintasi perbatasan ke Ukraina, Bank Sentral Eropa memperingatkan bank-bank di Eropa untuk bersiap menghadapi gelombang serangan siber yang disponsori Moskow.

Kurang dari 18 bulan sejak strategi keamanan siber UE baru dipresentasikan oleh Komisi Eropa dan infrastruktur penting, seperti rumah sakit, jaringan energi, dan kereta api, disorot sebagai prioritas, tetapi juga menyoroti risiko terhadap rumah dan kantor sehari-hari.

“Kami perlu memastikan bahwa sistem kami dapat diandalkan,” jelas Tanel Sepp, duta besar Estonia untuk keamanan siber.

Sebagai salah satu negara paling maju secara digital di Eropa, Estonia tidak menggunakan kertas pada tahun 2000 dan telah menetapkan dirinya sebagai pusat teknologi, setelah memproduksi perusahaan panggilan video profil tinggi Skype, yang dibeli oleh Microsoft pada tahun 2011. Baru-baru ini memperkenalkan e- program residensi, mengundang pengusaha untuk mendaftar di Estonia.

Sepp percaya bahwa contoh Estonia dapat diulang di seluruh benua dan memprioritaskan internet terbuka yang bebas dari kontrol negara.

“Kami berpikir sama, kami memiliki prinsip yang sama,” katanya.

Satu di antara proposal Komisi Eropa adalah “perisai dunia maya” di seluruh Uni Eropa dari pusat operasi keamanan yang menggunakan kecerdasan buatan (AI) dan pembelajaran mesin (ML) sebagai sistem peringatan dini untuk serangan siber dan unit bersama untuk berbagi informasi dan secara kolektif menanggapi ancaman.

Salah satu cara Eropa bekerja untuk mengatasi ancaman siber adalah dengan meningkatkan standar keamanan siber produk melalui proses sertifikasi di seluruh UE, seperti tanda kualitas.

Saat ini sedang dikembangkan kerangka sertifikasi agar skema sertifikasi khusus dapat dikembangkan untuk jenis produk tertentu.

“Keberhasilan besar UE, ketika kita berpikir tentang keamanan siber, adalah bahwa ia mengambilnya dari keamanan informasi yang sangat teknis, jaringan komputer, dan status sistem di tahun 80-an menjadi sesuatu yang sekarang menjadi item tingkat atas dalam agenda politik di 27 negara. ,” kata Tim Stevens, seorang profesor di University College London.

Pendekatan awal terhadap keamanan siber ini lebih reaktif, dengan fokus pada cara meminimalkan gangguan dan memastikan kelangsungan bisnis. Sejak itu pendekatannya telah berubah, jelasnya, dan telah beralih dari fokus pada risiko ke fokus pada ancaman spesifik, dari geng kriminal, negara bangsa, dan segala sesuatu di antaranya.

“Kami semua ingin memajukan e-government dan layanan kami, tetapi kami semua harus memikirkan keamanannya,” katanya.

Sumber: Euro News

Anonim meretas Bank Komersial PSCB Rusia dan perusahaan di sektor energi

by

Dilansir dari unggahan akun twitter @YourAnonTV pada 26 April 2022, Grup tertaut Anonymous ‘NB 65’ (@xxNB65) meretas 229.000 email dan 630.000 file dari Petersburg Social Commercial Bank (JSC Bank “PSCB”), salah satu dari 100 bank Rusia teratas dalam hal aset bersih. Dokumen hasil peretasan terebut kemudian diunggah dan tersedia di situs DDoSecrets.

“JSC Bank PSCB, Anda sekarang dikendalikan oleh Network Battalion 65. Kami sangat bersyukur bahwa Anda menyimpan begitu banyak kredensial di Chrome. Sudah selesai dilakukan dengan baik. Jelas bahwa respon insiden telah dimulai. Semoga berhasil mendapatkan data Anda kembali tanpa kami. Beritahu pemerintah Anda untuk meninggalkan Ukraina” tulis kelompok Network Battalion 65 atau NB 65. dalam unggahan asli di halaman twitter mereka pada 18 April 2022.

Kemudian, kelompok NB 65 membuat utas terkait aktivitas mereka di dalam jaringan bank yang terkompromi dengan nada seolah-olah mempermainkan.

Selain peretasan pada bank PSCB, pada 27 April 2022, kelompok Anonymous mengklaim bahwa mereka telah meretas 1,23 juta email (1.7TB data) dari Elektrocentromontazh (ECM), organisasi kekuatan utama Rusia. ECM merancang, membangun, memasang, dan memelihara peralatan listrik di fasilitas pembangkit listrik dan transmisi.

Mereka juga memberikan informasi klien domestik ECM terdiri dari pembangkit listrik tenaga nuklir Novovoronezh, Kursk dan Smolensk, Russian Railways JSC, perusahaan negara Direktorat Tenaga Moskow, departemen Energi Pemerintah Moskow, cabang JSC jaringan listrik Moskow bersatu, dan Baltic Oil Pipelines LLC.

Selengkapnya: Security Affairs

Ukraina ditargetkan oleh serangan DDoS dari situs WordPress yang disusupi

by

Tim tanggap darurat komputer Ukraina (CERT-UA) telah menerbitkan peringatan pengumuman serangan DDoS (distributed denial of service) yang sedang berlangsung yang menargetkan situs pro-Ukraina dan portal web pemerintah.

Pelaku ancaman, yang saat ini masih belum diketahui, mengkompromikan situs WordPress dan menyuntikkan kode JavaScript berbahaya untuk melakukan serangan.

Skrip ini ditempatkan dalam struktur HTML dari file utama situs web dan dikodekan base64 untuk menghindari deteksi.

Kode berjalan di komputer pengunjung situs web dan mengarahkan sumber daya komputasi yang tersedia untuk menghasilkan jumlah permintaan yang tidak normal untuk menyerang objek (URL) yang ditentukan dalam kode.

Hasilnya adalah beberapa situs web target kewalahan oleh permintaan dan, akibatnya, tidak dapat diakses oleh pengunjung reguler mereka.

Ini semua terjadi tanpa pemilik atau pengunjung situs yang disusupi pernah menyadarinya, kecuali mungkin beberapa cegukan kinerja yang hampir tidak terlihat untuk yang terakhir.

Entitas dan situs di atas telah mengambil sikap yang kuat untuk mendukung Ukraina dalam konflik militer yang sedang berlangsung dengan Rusia, sehingga mereka tidak dipilih secara acak. Namun, tidak banyak yang diketahui tentang asal-usul serangan ini.

Pada bulan Maret, kampanye DDoS serupa dilakukan menggunakan skrip yang sama tetapi terhadap situs web pro-Ukraina yang lebih kecil, serta terhadap target Rusia.

Selengkapnya: Bleeping Computer

Serangan Siber Menghantam Situs Web Pemerintah Rumania

by

Pemerintah Rumania mengumumkan serangkaian serangan siber di situs web lembaga publik utama, termasuk pemerintah dan Kementerian Pertahanan, pada hari Jumat.

“Pagi ini, mengakses situs gov.ro, mapn.ro dan politiadefrontiera.ro [Polisi Perbatasan], cfrcalatori.ro [National RailRoads] dan situs lembaga keuangan dipengaruhi oleh serangkaian serangan cyber DDOS,” kata siaran pers.

Pemerintah mengatakan spesialis TI bekerja dengan para ahli dari lembaga khusus untuk memulihkan akses dan mengidentifikasi penyebabnya.

Kementerian Pertahanan mengkonfirmasi serangan siber, bersikeras bahwa serangan itu tidak membahayakan fungsi situs web, hanya memblokir akses pengguna ke sana.

Situs web Kementerian Pertahanan tidak berisi database sensitif atau rahasia, dan serangan itu tidak memengaruhi layanan dan jaringan komputer kementerian lainnya.

Menteri Pertahanan, Vasile Dincu, menyatakan bahwa serangan siber adalah “serangan simbolis”, tidak mempengaruhi database atau sistem komando dan kontrol.

“Serangan seperti itu ada di situs pemerintah bahkan tanpa perang yang berkelanjutan. Divisi keamanan siber kami sudah siap. Episode seperti ini juga dari amatir. Beberapa diatur secara kelembagaan,” kata Dincu.

Selengkapnya: Balkan Insight

Geng KelvinSecurity telah mengumumkan “PT Pertamina Gas” dalam daftar korban.

by

Dilansir dari akun twitter Dark Tracer (@darktracer_int) pada Sabtu 22 April 2022, PT Pertamina Gas telah dimasukkan geng KelvinSecurity ke dalam daftar korban.

Namun, pada unggahan tersebut tidak ada penjelasan lebih lanjut seperti kronologi, waktu dan tempat, ataupun sampel data terkait insiden tersebut.

Demikian pula dari pihak PT Pertamina Gas juga belum memberikan tanggapan sama sekali terkait insiden ini.

Menurut peneliti dari InfoArmor, KelvinSecTeam adalah kemungkinan organisasi peretasan Rusia dengan kehadiran kuat di forum Deep dan Dark Web yang populer di kalangan peretas dan penjahat dunia maya, dengan kemungkinan anggota tim di Amerika Tengah dan Selatan — dan mereka terus berkembang.

Saat ini peneliti dari InfoArmor menilai bahwa tujuan KelvinSecTeam adalah untuk menunjukkan kredibilitas peretasan mereka dan mengganggu demi gangguan, dengan sebagian besar pos berfokus pada informasi yang memalukan tentang atau tentang urusan pemerintah, militer, politik, dan bisnis AS—meningkatkan upayanya terhadap negara-negara Amerika tengah dan selatan .

Beberapa pengungkapan publik mereka berpotensi membahayakan warga AS. Atau paling tidak, informasi yang mereka paparkan berisiko memperburuk ketegangan politik dan sosial hanya untuk duduk diam dan menyaksikan kekacauan yang terjadi.

Selengkapnya: Dark Tracer InfoArmor