Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Serangan ransomware Kaseya memicu perlombaan untuk meretas penyedia layanan -peneliti

by

Serangan ransomware pada bulan Juli yang melumpuhkan sebanyak 1.500 organisasi dengan mengkompromikan perangkat lunak manajemen teknologi dari sebuah perusahaan bernama Kaseya telah memicu perlombaan di antara para penjahat yang mencari kerentanan serupa, kata pakar keamanan siber.

Afiliasi dari geng ransomware top berbahasa Rusia yang dikenal sebagai REvil menggunakan dua kelemahan dalam perangkat lunak dari Kaseya yang berbasis di Florida untuk membobol sekitar 50 penyedia layanan terkelola (MSP) yang menggunakan produknya, kata penyelidik.

Sekarang para penjahat melihat betapa kuatnya serangan MSP, “mereka sudah sibuk, mereka sudah pindah dan kita tidak tahu di mana,” kata Victor Gevers, kepala Institut Pengungkapan Kerentanan Belanda nirlaba, yang memperingatkan Kaseya atas kelemahan sebelum serangan.

Gevers mengatakan para penelitinya telah menemukan kerentanan serupa di lebih banyak MSP. Dia menolak menyebutkan nama perusahaan karena mereka belum memperbaiki semua masalah.

Bisnis MSP telah berkembang pesat selama pandemi coronavirus di samping peningkatan pesat dalam pekerjaan jarak jauh.

“Di situlah Anda menemukan akses tepercaya ke sistem pelanggan,” kata Chris Krebs, pemimpin pertama Badan Keamanan Siber dan Keamanan Infrastruktur (CISA) Departemen Keamanan Dalam Negeri AS, yang telah menjadikan ransomware sebagai prioritas utama. “Ini adalah pendekatan yang jauh lebih ekonomis untuk meluncurkan serangan breakout. Dan sulit bagi pelanggan untuk mempertahankannya.”

Selengkapnya: Reuters

‘Situasinya Sangat Serius’: Peretas Ransomware Mengganggu Vaksinasi Covid-19 di Italia

by

Serangkaian serangan siber telah mengganggu vaksinasi COVID-19 di wilayah Lazio Italia—wilayah luas yang mencakup ibu kota negara, Roma.

Serangan, yang tampaknya diluncurkan oleh peretas yang terhubung dengan geng ransomware, untuk sementara melumpuhkan situs web pemerintah Lazio selama akhir pekan, sementara juga melumpuhkan LAZIOCrea, perusahaan pihak ketiga yang bertanggung jawab atas penjadwalan dan pemesanan janji vaksinasi. Data yang terkait dengan basis data kesehatan masyarakat yang besar juga dienkripsi, meskipun pemerintah memiliki cadangan data tersebut, lapor outlet lokal.

ANSA, layanan kabel terkemuka di negara itu, melaporkan bahwa penjahat siber menyusup ke sistem LAZIOCrea sebagai “administrator” dan mampu menyebarkan “malware yang mengenkripsi data pada sistem.” Dalam sebuah posting Facebook, pemerintah setempat mengakui bahwa “operasi yang berkaitan dengan vaksinasi mungkin tertunda” sebagai akibatnya.

“Saat ini kami membela komunitas kami dari serangan teroris ini,” kata Nicola Zingaretti, gubernur Lazio, pada konferensi pers. “Serangan masih berlangsung. Situasinya sangat serius.”

Manajer kesehatan Lazio, Alessio D’Amato, menambahkan bahwa itu adalah “serangan peretas yang sangat kuat, sangat serius… Seluruh CED regional [database] sedang diserang.”

Selengkapnya: Gizmodo

Kampanye phishing pintar menargetkan pengguna Office 365

by

Microsoft memperingatkan tentang kampanye phishing “lebih licik dari biasanya” yang sedang berlangsung yang ditujukan untuk pengguna Office 365.

Para phisher menggunakan berbagai tema sebagai umpan, dan email dikirim dari alamat email dari berbagai domain tingkat atas.

Alamat pengirim mengandung variasi kata “referral” – misalnya zreffertalt.com.com, refferal.net, irefferal.com, dan sejenisnya. Email dibuat agar terlihat seperti mengarah ke dokumen bersama yang disimpan di Microsoft SharePoint, platform kolaboratif berbasis web yang terintegrasi dengan Microsoft Office, dan menyertakan branding Microsoft.

Dokumen palsu itu konon laporan staf, “perubahan buku harga”, berisi informasi tentang bonus, dan sebagainya. Tetapi mengklik tautan akan membawa pengguna ke halaman phishing bertema Office 365.

“Email berisi dua URL yang memiliki header HTTP yang salah. URL phishing utama adalah sumber daya penyimpanan Google yang mengarah ke domain AppSpot yang mengharuskan pengguna untuk masuk sebelum akhirnya menyajikan domain Konten Pengguna Google lainnya dengan halaman phishing Office 365,” kata Microsoft.

“URL kedua terletak di dalam pengaturan notifikasi dan mengarah ke situs SharePoint yang disusupi yang digunakan penyerang untuk menambahkan legitimasi serangan. Kedua URL memerlukan masuk untuk melanjutkan ke halaman terakhir, melewati banyak kotak pasir.”

Selengkapnya: Help Net Security

BazarCaller – geng malware yang membujuk Anda untuk menginfeksi diri sendiri

by

Seperti yang mungkin Anda ketahui, ada dunia penipuan hybrid yang menarik yang menggabungkan penipuan berbasis email dan berbasis telepon.

Penipu dukungan teknis – orang-orang rendahan yang menemukan virus palsu di komputer Anda dan kemudian menagih Anda uang sungguhan karena berpura-pura menghapusnya – telah melakukan ini selama bertahun-tahun.

Mereka tahu bahwa calon korban telah diajari “untuk tidak mengklik” dan “berhati-hati terhadap tautan popup yang cerdik”, begitu banyak penipuan akhir-akhir ini mengundang Anda untuk menelepon nomor telepon lokal alih-alih mengklik tautan atau membuka lampiran.

Pada April 2021, Naked Security by Sophos memperingatkan kru malware yang menggunakan trik serupa untuk membujuk Anda agar menginfeksi diri sendiri dengan malware mereka, yang dikenal sebagai BazarLoader (juga dikenal sebagai BazaLoader), sehingga memberi mereka pijakan di komputer Anda untuk memasang hampir semua jenis serangan siber mereka inginkan.

Daripada memutuskan terlebih dahulu apakah mereka akan menyerang Anda dengan keylogger, pencuri data, atau serangan ransomware, penjahat yang berbicara dengan Anda di telepon membantu menjelaskan cara membuka file Office jebakan yang mereka kirimkan kepada Anda.

Dengan menipu Anda agar melewati pemeriksaan keamanan yang seharusnya membuat Anda tetap aman, mereka menanamkan bot atau program zombie ke komputer Anda yang dapat:

  • Mengunduh dan menjalankan program lain
  • Mengunduh dan menjalankan DLL
  • Mengunduh dan menjalankan file batch atau skrip PowerShell
  • Menghapus dirinya sendiri dari disk dan keluar

Selengkapnya: Naked Security

LockBit ransomware merekrut orang dalam untuk menembus jaringan perusahaan

by

Geng ransomware LockBit 2.0 secara aktif merekrut orang dalam perusahaan untuk membantu mereka menembus dan mengenkripsi jaringan. Sebagai imbalannya, orang dalam itu dijanjikan pembayaran jutaan dolar.

Banyak geng ransomware beroperasi sebagai Ransomware-as-a-Service, yang terdiri dari kelompok inti pengembang, yang memelihara ransomware dan situs pembayaran, dan merekrut afiliasi yang melanggar jaringan korban dan mengenkripsi perangkat.

Setiap pembayaran tebusan yang dilakukan korban kemudian dibagi antara kelompok inti dan afiliasi, dengan afiliasi biasanya menerima 70-80% dari jumlah total.

Dengan LockBit 2.0, geng ransomware mencoba menghapus perantara dan merekrut orang dalam untuk memberi mereka akses ke jaringan perusahaan.

Pada bulan Juni, operasi ransomware LockBit mengumumkan peluncuran ransomware-as-a-service LockBit 2.0 baru mereka.

Peluncuran ulang ini mencakup situs Tor yang didesain ulang dan berbagai fitur lanjutan, termasuk mengenkripsi perangkat secara otomatis di jaringan melalui kebijakan grup.

Dengan peluncuran ulang ini, LockBit juga telah mengubah wallpaper Windows yang ditempatkan pada perangkat terenkripsi untuk menawarkan “jutaan dolar” bagi orang dalam perusahaan yang menyediakan akses ke jaringan tempat mereka memiliki akun.

Sumber: BleepingComputer

Selengkapnya: Bleeping Computer

Spyware Cina Baru Digunakan dalam Serangan Spionase Siber yang Meluas

by

Seorang aktor ancaman yang diduga berasal dari China telah dikaitkan dengan serangkaian 10 serangan yang menargetkan Mongolia, Rusia, Belarusia, Kanada, dan AS dari Januari hingga Juli 2021 yang melibatkan penyebaran trojan akses jarak jauh (RAT) pada sistem yang terinfeksi, menurut penelitian baru.

Intrusi telah dikaitkan dengan ancaman persisten canggih bernama APT31 (FireEye), yang dilacak oleh komunitas keamanan siber sebagai moniker Zirkonium (Microsoft), Judgment Panda (CrowdStrike), dan Bronze Vinewood (Secureworks).

Kelompok tersebut adalah “aktor spionase cyber China-nexus yang berfokus pada perolehan informasi yang dapat memberikan keuntungan politik, ekonomi, dan militer kepada pemerintah China dan perusahaan milik negara,” menurut FireEye.

Positive Technologies, dalam sebuah tulisan yang diterbitkan Selasa, mengungkapkan dropper malware baru yang digunakan untuk memfasilitasi serangan, termasuk pengambilan muatan terenkripsi tahap berikutnya dari server perintah-dan-kontrol jarak jauh, yang kemudian didekodekan untuk mengeksekusi pintu belakang.

Kode berbahaya hadir dengan kapasitas untuk mengunduh malware lain, yang berpotensi menempatkan korban yang terkena dampak pada risiko lebih lanjut, serta melakukan operasi file, mengekstrak data sensitif, dan bahkan menghapus dirinya sendiri dari mesin yang disusupi.

Juga patut dicatat bahwa kesamaan malware dengan trojan bernama DropboxAES RAT yang digunakan oleh kelompok ancaman yang sama tahun lalu dan mengandalkan Dropbox untuk komunikasi command-and-control (C2), dengan banyak tumpang tindih yang ditemukan di teknik dan mekanisme yang digunakan untuk menyuntikkan kode serangan, mendaptkan persistence, dan mekanisme yang digunakan untuk menghapus alat spionase.

Selengkapnya: The Hacker News

Serangan phishing WeTransfer baru memalsukan berbagi file untuk mencuri kredensial

by

Menurut laporan dari Armorblox, penjahat dunia maya memalsukan sistem hosting file WeTransfer untuk melakukan serangan phishing kredensial di mana email palsu mengarah ke halaman phishing yang menampilkan branding Microsoft Excel.

Tujuan utama serangan ini adalah untuk mengambil kredensial email Office 365 korban. Perlu dicatat bahwa WeTransfer digunakan untuk berbagi file yang terlalu besar untuk dikirim melalui email.

Email phishing tampaknya dikirim oleh WeTransfer karena menggunakan nama pengirim Wetransfer dan memiliki judul Lihat File yang Dikirim Melalui WeTransfer.

Kesamaannya cukup untuk tampil sebagai email WeTransfer asli dan dapat dengan mudah menipu pengguna yang tidak menaruh curiga. Badan email juga membuat beberapa referensi ke organisasi target agar tampak sah.

Berbagai teknik telah digunakan untuk menghindari filter keamanan email konvensional dan memikat pengguna yang tidak curiga. Ini termasuk rekayasa sosial, karena judul email, konten, dan nama pengirim telah dirancang untuk menciptakan rasa “kepercayaan dan urgensi pada para korban,” tulis Mark Royall dari Armorblox dalam sebuah posting blog.

Teknik lain yang digunakan dalam kampanye ini adalah peniruan identitas brand. Gaya HTML email sangat mirip dengan WeTransfer, dan halaman phishing telah dirancang untuk muncul sebagai halaman login Microsoft Excel yang sah. Satu-satunya hal yang membuatnya tampak mencurigakan adalah Microsoft dieja sebagai MicroSoft.

Selengkapnya: Hackread

Serangan Windows PetitPotam dapat diblokir menggunakan metode baru

by

Peneliti keamanan telah menemukan cara untuk memblokir vektor serangan PetitPotam yang baru-baru ini diungkapkan yang memungkinkan peretas untuk mengendalikan pengontrol domain Windows dengan mudah.

Setelah vektor diungkapkan, para peneliti dengan cepat mulai menguji metode dan menggambarkan betapa mudahnya membuang kredensial dan mengambil alih domain Windows.

Dengan menggunakan serangan ini, pelaku ancaman dapat mengambil kendali penuh atas domain Windows, termasuk mendorong kebijakan grup baru, skrip, dan menyebarkan malware di semua perangkat, seperti ransomware.

Meskipun saran Microsoft dapat mencegah serangan relai NTLM, saran tersebut tidak memberikan panduan apa pun untuk memblokir PetitPotam, yang dapat digunakan sebagai vektor untuk serangan lainnya.

Kabar baiknya adalah bahwa para peneliti telah menemukan cara untuk memblokir vektor serangan PetitPotam yang tidak diautentikasi jarak jauh menggunakan filter NETSH tanpa memengaruhi fungsionalitas EFS lokal.

Craig Kirby membagikan filter NETSH RPC yang memblokir akses jarak jauh ke MS-EFSRPC API, yang secara efektif memblokir vektor serangan PetitPotam yang tidak diautentikasi.

Menurut peneliti keamanan Benjamin Delpy, Anda dapat menggunakan filter ini dengan menyalin konten berikut ke dalam file bernama ‘block_efsr.txt’ dan menyimpannya di desktop Anda.

rpc
filter
add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=c681d488-d850-11d0-8c52-00c04fd90f7e
add filter
add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=df1941c5-fe89-4e79-bf10-463657acf44d
add filter
quit

Sekarang buka command prompt sebagai Admin dan ketik perintah berikut untuk mengimpor filter menggunakan NETSH.

netsh -f %userprofile%\desktop\block_efsr.txt

Anda dapat memverifikasi bahwa filter telah ditambahkan dengan menjalankan perintah berikut:

netsh rpc filter show filter

Setelah menjalankan perintah, netsh akan menampilkan dua filter, satu untuk c681d488-d850-11d0-8c52-00c04fd90f7e dan satu lagi untuk df1941c5-fe89-4e79-bf10-463657acf44d, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Dengan adanya filter ini, vektor PetitPotam tidak akan berfungsi lagi, tetapi EFS akan terus beroperasi secara normal pada perangkat.

Selengkapnya: Bleeping Computer