Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Kampanye Malware Lightshot Baru

by

Lightshot adalah utilitas untuk Windows dan Mac yang memungkinkan Anda mengambil tangkapan layar dari bagian layar tertentu. Ini berguna jika Anda tidak ingin menggunakan fungsi bawaan Windows yang sejujurnya kurang.

Para penyerang membayar uang untuk membuat ini menjadi hasil pertama di Google melalui iklan. Lihat gambar di bawah:

Dan jika Anda pergi ke situs web, saya tidak dapat menyalahkan orang karena tidak dapat membedakannya:

Gambar di sebelah kanan adalah situs palsu, dibuat dengan baik untuk meniru yang asli di sebelah kiri.

Dan jika Anda mengunduh versi palsu, Anda sebenarnya menginstal Lightshot, tetapi juga klien NetSupport lama yang dikompilasi pada tahun 2009:

Sulit bagi rata-rata pengguna untuk tetap mengikuti jenis kampanye ini ketika penyerang melakukan pekerjaan yang baik meniru situs asli dan penginstal, belum lagi penginstal ditandatangani dan diverifikasi sehingga Windows tidak akan membuat kesalahan apa pun. Ini dibuat lebih lagi ketika mereka membeli ruang iklan yang berhasil muncul sebelum situs yang sah dalam pencarian.

Penting untuk diingat untuk memeriksa URL, dalam hal ini hadiahnya adalah “n” tambahan di URL, karena ini adalah yang paling bisa Anda lakukan untuk menjaga diri Anda tetap terlindungi. Antivirus terbaru juga terbukti penting karena akan menghentikan beacon menjangkau dan merusak sistem lebih lanjut. Menonton IP asing hanya dapat melakukan banyak hal karena yang dalam kasus ini adalah campuran sistem Asia dan Amerika. Ini juga bukan pertama kalinya hal seperti ini terjadi.

Selengkapnya: Culbert Report

Google Chrome Disalahgunakan untuk Mengirimkan Malware sebagai Aplikasi Win 10 ‘Legit’

by

Muncul kampanye malware baru yang dikirimkan melalui situs web yang disusupi di browser Chrome dapat melewati Kontrol Akun Pengguna untuk menginfeksi sistem dan mencuri data sensitif, seperti kredensial dan mata uang kripto.

Peneliti dari Rapid7 baru-baru ini mengidentifikasi kampanye dan memperingatkan bahwa tujuan penyerang adalah untuk mencuri data sensitif dancryptocurrency dari PC yang terinfeksi yang ditargetkan.

Andrew Iwamaye, analis riset Rapid7, mengatakan bahwa malware mempertahankan kegigihan pada PC “dengan menyalahgunakan variabel lingkungan Windows dan tugas terjadwal asli untuk memastikannya terus-menerus dijalankan dengan hak istimewa yang lebih tinggi.”

Iwamaye menulis dalam blog posting blog yang diterbitkan Kamis (28/10/2021), rantai serangan dimulai ketika pengguna browser Chrome mengunjungi situs web jahat dan “layanan iklan browser” meminta pengguna untuk mengambil tindakan. Pertanyaan tentang apa yang peneliti identifikasi sebagai “layanan iklan browser” belum dikembalikan pada tulisan ini.

Selengkapnya: Threat Post

Kepala infosec Twitter memberikan nasihat mengenai keamanan siber di ruang rapat direksi

by

Rinki Sethi bekerja di Walmart, IBM, eBay, Intuit, dan Palo Alto Networks sebelum bergabung dengan Twitter sebagai chief information security officer pada September 2020. Agustus lalu, Sethi ditunjuk sebagai dewan direksi perusahaan teknologi keamanan ForgeRock.

“Banyak yang berubah, terutama di bidang keamanan,” jelas Sethi.

“Keamanan siber dibicarakan di ruang rapat sepanjang waktu; ini adalah salah satu area dengan risiko tertinggi bagi perusahaan,” baik mereka berada di industri teknologi atau tidak. “Itu salah satu risiko eksistensial bagi perusahaan.”

“Berada di ruang infosec dan benar-benar menjadi lebih mewakili sisi pelanggan dari perusahaan seperti ForgeRock adalah untuk membantu membawa pertanyaan seputar produk, pertanyaan seputar bagaimana mereka menangani keamanan, mengapa mereka memikirkan produk dalam situasi tertentu. cara, yang hanya bisa dibawa oleh seorang praktisi.”

Dia juga melihat peluang bagi ForgeRock dan perusahaan lain untuk membangun keunggulan kompetitif melalui keunggulan dalam keamanan siber.

“Jika Anda membangun fitur di mana Anda berpikir dari perspektif pelanggan, apa yang mungkin mereka harapkan atau inginkan dari perspektif keamanan atau privasi, mendapatkan fitur tersebut sejak dini dapat menghasilkan beberapa inovasi yang sangat menarik.”

“Saya pikir tim Anda perlu mewakili pelanggan Anda,” kata Sethi. “Jika pelanggan Anda adalah kumpulan individu yang beragam di seluruh dunia… tim Anda harus mewakili hal itu, sehingga Anda dapat membangun untuk orang-orang itu juga. Saya pikir dari sudut pandang keamanan, itu sama halnya dengan tim lain mana pun.”

Selengkapnya: Fortune

Setengah dari Pekerja Rumahan Membeli Perangkat yang Berpotensi Tidak Aman

by

Laporan raksasa teknologi “Out of Sight and Out of Mind” ini didasarkan pada survei global terhadap 1100 pembuat keputusan IT dan jajak pendapat terpisah terhadap lebih dari 8400 pekerja rumahan di AS, Inggris, Meksiko, Jerman, Australia, Kanada, dan Jepang.

Hampir setengah (45%) mengatakan mereka telah membeli peralatan IT seperti printer atau PC untuk mendukung pekerjaan rumahan selama setahun terakhir.

Namun, 68% mengatakan keamanan tidak menjadi pertimbangan besar seperti faktor lain seperti harga atau fungsionalitas saat membeli. Lebih buruk lagi, 43% tidak memeriksa atau menginstal laptop atau PC baru mereka, dan 50% mengatakan hal yang sama tentang printer baru mereka.

Studi menemukan bahwa tim IT juga melewatlam pelaporan insiden. Meskipun tiga perempat (74%) tim IT mengklaim telah melihat peningkatan jumlah karyawan yang membuka tautan atau lampiran phishing berbahaya dalam setahun terakhir, sebagian besar (70%) pekerja rumahan yang mengklik mengatakan bahwa mereka tidak melaporkannya.

Sekitar 83% mengklaim bahwa masalah keamanan pekerja rumahan telah membuat lebih banyak tekanan pada tim IT, dan lebih dari tiga perempat (77%) khawatir staf akan kelelahan sebagai akibatnya.

“Seiring dengan kompleksitas IT yang terus berkembang, dukungan keamanan menjadi lebih susah dikelola. Agar model kerja “hybrid” berhasil, tim keamanan IT perlu dibebaskan dari menghabiskan berjam-jam untuk menyediakan dan memenuhi permintaan akses pengguna sehingga mereka dapat fokus pada tugas yang lebih penting,” kata kepala keamanan global untuk sistem pribadi HP, Ian Pratt.

“KIta membutuhkan arsitektur keamanan baru yang tidak hanya melindungi dari ancaman yang dikenal dan tidak dikenal, tetapi juga membantu mengurangi beban untuk membebaskan tim dan pengguna keamanan siber. Dengan menerapkan prinsip seperti “zero-trust”, organisasi dapat merancang pertahanan yang tangguh untuk menjaga bisnis tetap aman dan pulih dengan cepat jika terjadi kompromi.”

Selengkapnya: Info Security Magazine

Microsoft menemukan kerentanan macOS baru “Shrootless” yang dapat melewati System Integrity Protection

by

Microsoft telah menemukan kerentanan yang memungkinkan penyerang melewati System Integrity Protection (SIP) di macOS dan melakukan operasi sewenang-wenang pada perangkat.

Peneliti juga menemukan teknik serupa yang memungkinkan penyerang meningkatkan hak istimewa mereka untuk melakukan root pada perangkat yang terpengaruh. Peneliti membagikan temuan ini kepada Apple melalui Coordinated Vulnerability Disclosure (CVD) melalui Microsoft Security Vulnerability Research (MSVR).

Perbaikan untuk kerentanan ini, yang sekarang diidentifikasi sebagai CVE-2021-30892, disertakan dalam pembaruan keamanan yang dirilis oleh Apple pada 26 Oktober 2021.

SIP adalah teknologi keamanan di macOS yang membatasi pengguna root untuk melakukan operasi yang dapat membahayakan integritas sistem.

Peneliti menemukan kerentanan saat menilai proses yang berhak melewati perlindungan SIP. Peneliti menemukan bahwa kerentanannya terletak pada bagaimana paket yang ditandatangani Apple dengan skrip pasca-instal diinstal.

Aktor jahat dapat membuat file yang dibuat khusus yang akan membajak proses instalasi. Setelah melewati batasan SIP, penyerang kemudian dapat menginstal driver kernel berbahaya (rootkit), menimpa file sistem, atau menginstal malware yang persisten dan tidak terdeteksi, dan lain sebagainya.

Selengkapnya: Microsoft

Library NPM Berbahaya Memasang Ransomware Pencuri Kata Sandi

by

Paket NPM berbahaya yang berpura-pura menjadi library Roblox mengirimkan ransomware dan trojan pencuri kata sandi pada pengguna yang tidak menaruh curiga.

Kedua paket NPM diberi nama noblox.js-proxy dan noblox.js-proxies, dan menggunakan salah ketik untuk berpura-pura menjadi pembungkus Roblox API yang sah yang disebut noblox.js-proksi dengan mengubah satu huruf dalam nama library.

Malicious noblox.js-proxies NPM (sumber: Bleeping Computer)

Dalam laporan baru oleh perusahaan keamanan open source Sonatype dengan analisis lebih lanjut oleh BleepingComputer, NPM berbahaya ini menginfeksi korban dengan ransomware MBRLocker yang meniru ransomware GoldenEye yang terkenal, trollware, dan trojan pencuri kata sandi.

Kedua Library NPM berbahaya telah dihapus dan tidak lagi tersedia.

Kekacauan Aktivitas Malicious
Setelah libraby NPM berbahaya ditambahkan ke proyek dan diluncurkan, library akan menjalankan skrip postinstall.js. Skrip ini biasanya digunakan untuk menjalankan perintah yang sah setelah library diinstal, tetapi dalam kasus ini, skrip ini memulai rantai aktivitas jahat di komputer korban.

Seperti yang Anda lihat di bawah, skrip postinstall.js sangat dikaburkan untuk mencegah analisis oleh peneliti keamanan dan perangkat lunak.

Obfuscated postinstall.js script (sumber: Bleeping Computer)

Saat dieksekusi, skrip akan meluncurkan file batch yang sangat dikaburkan yang disebut ‘nobox.bat,’ yang ditunjukkan di bawah ini.

Obfuscated noblox.bat batch file (sumber: Bleeping Computer)

File batch ini didekodekan oleh peneliti keamanan Sonatype Juan Aguirre dan akan mengunduh berbagai malware dari Discord dan meluncurkannya dengan bantuan bypass UAC fodhelper.exe

File yang diunduh oleh file batch noblox.bat tercantum di bawah ini sesuai urutan penginstalannya, bersama dengan tautan VirusTotal dan deskripsi tindakannya.

exclude.bat – Menambahkan pengecualian Microsoft Defender untuk tidak memindai file di bawah drive C:\.
legion.exe – Menyebarkan trojan pencuri kata sandi yang mencuri riwayat browser, cookie, kata sandi yang disimpan, dan upaya untuk merekam video melalui webcam internal.
000.exe – Trollware yang mengubah nama pengguna saat ini menjadi ‘UR NEXT,’ memutar video, mengubah kata sandi pengguna, dan mencoba menguncinya dari sistem mereka.
tunamor.exe – Menginstal MBRLocker yang disebut ‘Monster Ransomware,’ yang meniru ransomware GoldenEye.

Rakasa Ransomware MBRLocker
Yang menarik adalah executable ‘tunamor.exe’, yang menginstal MBRLocker yang menyebut dirinya ‘Monster Ransomware.’

Ketika dieksekusi, ransomware akan melakukan restart paksa komputer dan kemudian menampilkan CHKDSK palsu dari sistem. Selama proses ini, ransomware diduga mengenkripsi disk di komputer.

Setelah selesai, komputer akan reboot dan menampilkan layar kunci tengkorak dan tulang bersilang yang awalnya ditemukan di keluarga ransomware Petya/GoldenEye.

Setelah menekan enter, korban diperlihatkan layar yang menyatakan bahwa hard disk mereka dienkripsi dan mereka harus mengunjungi situs http://monste3rxfp2f7g3i.onion/ Tor, yang sekarang sedang down, untuk membayar uang tebusan.

BleepingComputer menemukan string ‘qVwaofRW5NbLa8gj’, yang diterima sebagai kunci yang valid untuk mendekripsi komputer. Namun, sementara kuncinya diterima dan ransomware menyatakan itu mendekripsi komputer, Windows akan gagal untuk memulai sesudahnya.

Tidak jelas apakah string tambahan harus ditambahkan ke kunci itu untuk mendekripsi drive hard disk dengan benar atau apakah program ini hanya penghapus yang dirancang untuk menghancurkan sistem.

Ransomware ini tampaknya tidak tersebar luas dan hanya diketahui didistribusikan melalui paket NPM ini.

Berdasarkan aktivitas 000.exe trollware dan perilaku aneh ransomware Monster, kemungkinan paket ini dirancang untuk menghancurkan sistem daripada menghasilkan permintaan tebusan.

NPM berbahaya yang digunakan dalam serangan rantai pasokan, seperti ini, menjadi lebih umum.

Sonatype baru-baru ini menemukan tiga library NPM berbahaya yang digunakan untuk menyebarkan cryptominers di perangkat Linux dan Windows.

Jumat lalu, library UA-Parser-JS NPM yang sangat populer dibajak untuk menginfeksi pengguna dengan penambang dan trojan pencuri kata sandi.

sumber: Bleeping Computer

Gratis! Telah Rilis Babuk Ransomware Decryptor untuk Memulihkan File

by

Perusahaan perangkat lunak keamanan siber Ceko, Avast, telah membuat dan merilis alat dekripsi untuk membantu korban ransomware Babuk memulihkan file mereka secara gratis.

Menurut Avast Threat Labs, dekripsi Babuk dibuat menggunakan kode sumber dan kunci dekripsi yang bocor.

Decryptor gratis dapat digunakan oleh korban Babuk yang filenya dienkripsi menggunakan ekstensi berikut: .babuk, .babyk, .doydo.

Korban ransomware Babuk dapat mengunduh alat dekripsi dari server Avast dan mendekripsi seluruh partisi sekaligus menggunakan instruksi yang ditampilkan dalam antarmuka pengguna dekripsi.

Dari pengujian BleepingComputer, decryptor ini kemungkinan hanya akan bekerja untuk korban yang kuncinya bocor sebagai bagian dari dump kode sumber Babuk.

Ransomware dan Kunci Dekripsi Bocor
Kode sumber ransomware lengkap geng Babuk bocor di forum peretasan berbahasa Rusia bulan lalu oleh aktor ancaman yang mengaku sebagai anggota kelompok ransomware.

Keputusan untuk membocorkan kode tersebut dilatarbelakangi oleh dugaan anggota Babu yang mengidap penyakit kanker stadium akhir. Dia mengatakan dalam posting kebocorannya bahwa dia memutuskan untuk merilis kode sumber sementara mereka harus “hidup seperti manusia.”

Arsip bersama berisi berbagai proyek ransomware Visual Studio Babuk untuk VMware ESXi, NAS, dan Windows encryptors, dengan folder Windows berisi kode sumber lengkap untuk Windows encryptor, decryptor, dan apa yang tampak seperti generator kunci pribadi dan publik.

Termasuk dalam kebocoran itu juga encryptors dan decryptors yang dikompilasi untuk korban tertentu dari geng ransomware.

Setelah kebocoran tersebut, CTO Emsisoft dan pakar ransomware Fabian Wosar mengatakan kepada BleepingComputer bahwa kode sumbernya sah dan arsip tersebut mungkin juga berisi kunci dekripsi untuk korban sebelumnya.

Sejarah Babuk yang Bermasalah
Babuk Locker, juga dikenal sebagai Babyk dan Babuk, adalah operasi ransomware yang diluncurkan pada awal 2021 ketika mulai menargetkan bisnis untuk mencuri dan mengenkripsi data mereka sebagai bagian dari serangan pemerasan ganda.

Setelah serangan mereka di Departemen Kepolisian Metropolitan (MPD) Washington DC, mereka mendarat di rambut salib penegak hukum AS dan mengaku telah menutup operasi mereka setelah mulai merasakan panas.

Setelah serangan ini, ‘Admin’ geng tersebut diduga ingin membocorkan data MPD yang dicuri secara online untuk publisitas, sementara anggota lainnya menentangnya.

Setelah ini, anggota Babuk terpecah, dengan admin asli meluncurkan forum kejahatan dunia maya Ramp dan yang lainnya meluncurkan kembali ransomware dengan nama Babuk V2, terus menargetkan dan mengenkripsi korban sejak saat itu.

Tepat setelah peluncuran forum cybercrime Ramp, itu menjadi sasaran serangkaian serangan DDoS yang akhirnya menyebabkan situs menjadi tidak dapat digunakan.

Sementara Admin Babuk menyalahkan mantan rekannya atas insiden ketiga, tim Babuk V2 mengatakan kepada BleepingComputer bahwa mereka tidak berada di balik serangan tersebut.

sumber: BLEEPING COMPUTER

Baru Dirilis, Decryptor Gratis untuk Atom Silo dan LockFile Ransomware

by

Avast baru saja merilis alat dekripsi yang akan membantu korban ransomware AtomSilo dan LockFile memulihkan beberapa file mereka secara gratis tanpa harus membayar uang tebusan.

Avast merilis alat dekripsi lain sebelumnya hari ini untuk membantu korban ransomware Babuk memulihkan file mereka secara gratis.

Seperti yang dijelaskan oleh perusahaan perangkat lunak keamanan siber Ceko, decryptor ini mungkin tidak dapat mendekripsi file dengan tidak dikenal, berpemilik, atau tanpa format sama sekali.

“Selama proses dekripsi, dekripsi Avast AtomSilo bergantung pada format file yang diketahui untuk memverifikasi bahwa file berhasil didekripsi. Oleh karena itu, beberapa file mungkin tidak didekripsi,” kata Tim Intelijen Ancaman Avast.

Decryptor bekerja untuk kedua jenis ransomware karena mereka sangat mirip, meskipun kelompok yang menyebarkannya di jaringan korban menggunakan taktik serangan yang berbeda.

Avast Threat Labs mengatakan dekripsi ransomware ini dibuat bekerja sama dengan analis malware RE – CERT Jiří Vinopal, yang menemukan kelemahan di ransomware AtomSilo awal bulan ini.

Korban AtomSilo dan LockFile dapat mengunduh alat dekripsi dari server Avast dan mendekripsi seluruh partisi disk menggunakan petunjuk yang ditampilkan dalam UI dekripsi.

BleepingComputer menguji alat ini dan memulihkan file yang dienkripsi dengan sampel Atom Silo menggunakan dekripsi gratis Avast.

Avast Atom Silo Decryptor (sumber:BleepingComputer)

Operasi ransomware LockFile pertama kali terlihat pada Juli 2021 setelah geng tersebut terlihat mengambil alih domain Windows dan mengenkripsi perangkat setelah mengeksploitasi server yang belum ditambal terhadap kerentanan ProxyShell dan PetitPotam.

Saat mengenkripsi file, LockFile ransomware akan menambahkan ekstensi .lockfile ke nama file terenkripsi dan menjatuhkan catatan tebusan yang diberi nama menggunakan format ‘[victim_name]-LOCKFILE-README.hta’.

Yang menarik adalah bahwa skema warna LockFile dan tata letak catatan tebusan sangat mirip dengan ransomware LockBit. Namun, tampaknya tidak ada hubungan antara kedua kelompok.

Atom Silo adalah geng ransomware baru yang operatornya baru-baru ini menargetkan Server Confluence dan server Pusat Data yang rentan terhadap bug yang sekarang ditambal dan dieksploitasi secara aktif.

Ransomware yang digunakan oleh Atom Silo hampir identik dengan LockFile, menurut peneliti SophosLabs.

Namun, operator Atom Silo menggunakan teknik baru yang membuatnya sangat sulit untuk menyelidiki serangan mereka, termasuk pemuatan samping pustaka tautan dinamis berbahaya yang mengganggu solusi perlindungan titik akhir.

sumber: BLEEPING COMPUTER