Cybersecurity

Kaseya memperbaiki kerentanan VSA yang digunakan dalam serangan ransomware REvil

July 12, 2021 by Winnie the Pooh

Kaseya telah merilis pembaruan keamanan untuk kerentanan zero-day VSA yang digunakan oleh geng ransomware REvil untuk menyerang MSP dan pelanggan mereka.

Kaseya VSA adalah solusi manajemen dan pemantauan jarak jauh yang biasa digunakan oleh penyedia layanan terkelola untuk mendukung pelanggan mereka. MSP dapat menerapkan VSA di lokasi menggunakan server mereka atau memanfaatkan solusi SaaS berbasis cloud Kaseya.

Pada bulan April, Dutch Institute for Vulnerability Disclosure (DIVD) mengungkapkan tujuh kerentanan pada Kaseya VSA.

Kaseya telah mengimplementasikan patch untuk sebagian besar kerentanan pada layanan VSA SaaS mereka tetapi belum menyelesaikan patch untuk versi lokal VSA.

Sayangnya, geng ransomware REvil mendahului Kaseya dan memanfaatkan kerentanan ini untuk meluncurkan serangan besar-besaran pada 2 Juli terhadap sekitar 60 MSP menggunakan server VSA lokal dan 1.500 pelanggan bisnis.

Sejak serangan itu, Kaseya telah mendesak pelanggan VSA lokal untuk mematikan server mereka sampai patch rilis.

Hampir sepuluh hari setelah serangan, Kaseya akhirnya merilis pembaruan VSA 9.5.7a (9.5.7.2994) untuk memperbaiki kerentanan yang digunakan dalam serangan ransomware REvil.

Namun, Kaseya mendesak pelanggan untuk mengikuti langkah-langkah ‘Panduan Kesiapan Startup VSA Lokal‘ sebelum menginstal pembaruan untuk mencegah pelanggaran lebih lanjut dan memastikan perangkat belum dikompromikan.

Setelah menginstal tambalan, semua pengguna akan diminta untuk mengubah kata sandi mereka menjadi kata sandi yang menggunakan persyaratan kata sandi baru.

Selengkapnya: Bleeping Computer

Premier digital “Black Widow” menutupi malware dan penipuan, kata Kaspersky

July 10, 2021 by Winnie the Pooh

Film superhero “Black Widow” akhirnya dirilis secara resmi pada 9 Juli, dan Kaspersky memperingatkan bahwa scammers menggunakan film yang sangat dinanti-nantikan itu sebagai cara untuk kabur dengan informasi kartu kredit pengamat dan melakukan kejahatan dunia maya lainnya.

Film superhero Marvel bisa dibilang beberapa film terpanas di dunia, dan saat ini tidak ada yang lebih panas dari “Black Widow,” yang rilisnya telah didorong berulang kali karena pandemi COVID-19. Awalnya dijadwalkan untuk rilis pada 1 Mei 2020, kemudian 6 November 2020, dan kemudian 7 Mei 2021, sebelum akhirnya mendapatkan tanggal rilis final (mungkin) pada 9 Juli.

Dengan pandemi virus corona yang masih berlangsung, Disney menayangkan perdana “Black Widow” di bioskop dan online, yang menurut Kaspersky telah digunakan berulang kali sepanjang siklus rilis film yang tertunda oleh penjahat dunia maya untuk mengambil keuntungan dari mereka yang berharap mendapatkan lebih awal atau kurang legal. Lihat.

“Kami telah mengamati aktivitas penipuan intensif di sekitar ‘Black Widow’, rilis yang telah ditunggu-tunggu oleh penggemar di seluruh dunia untuk waktu yang lama. Dalam kegembiraan mereka untuk menonton film yang telah lama ditunggu-tunggu, pemirsa menjadi tidak memperhatikan sumber yang mereka inginkan. digunakan, dan inilah yang dimanfaatkan oleh penipu. Serangan ini dapat dicegah, dan pengguna harus waspada terhadap situs yang mereka kunjungi,” kata pakar keamanan Kaspersky Anton V. Ivanov.

Kaspersky mencatat lonjakan upaya phishing dan unduhan berbahaya untuk film tersebut yang bertepatan dengan jadwal rilis bersejarah “Black Widow.” Lonjakan pada bulan Juni dan Juli 2020 dan Maret dan April 2021 menyertai tanggal rilis yang seharusnya, dan Juni 2021 berubah menjadi lonjakan lain yang terus menjadi tren hingga Juli.

selengkapnya : www.techrepublic.com

Badan Riset Nuklir Diduga Diretas oleh Korea Utara selama 12 Hari

July 8, 2021 by Winnie the Pooh

Lembaga penelitian nuklir Korea Selatan telah terkena serangan siber, kemungkinan dilakukan oleh Korea Utara, selama 12 hari.

Badan Intelijen Nasional (NIS) mengungkapkan insiden peretasan pada sidang komite parlemen pada hari Kamis. Badan mata-mata itu mengatakan kepada anggota parlemen bahwa mereka yakin kelompok yang terkait dengan Korea Utara berada di balik serangan itu, menurut anggota parlemen Partai Demokrat yang berkuasa Kim Byeong-ki dan anggota parlemen oposisi utama Partai Kekuatan Rakyat (PPP) Ha Tae-keung.

Kedua anggota parlemen, yang menjabat sebagai anggota komite intelijen, mengatakan NIS tidak yakin pelakunya dapat mengakses materi tentang teknologi utama.

NIS mengatakan kepada anggota komite kerusakan dari organisasi teroris siber yang disponsori negara naik sembilan persen pada semester pertama tahun ini dari enam bulan sebelumnya.

Rep Ha, anggota senior komite intelijen untuk PPP, mengatakan Institut Penelitian Energi Atom Korea (KAERI) melaporkan pelanggaran data pada 1 Juni. Ha menambahkan bahwa badan tersebut kemungkinan ditargetkan selama 12 hari.

Ha mengatakan penyelidikan terpisah sedang berlangsung setelah Korea Aerospace Industries (KAI) juga diduga menjadi target serangan dunia maya.

Mengenai pemimpin Korea Utara Kim Jong-un, yang baru-baru ini tampak lebih ramping dalam foto-foto resmi, agen mata-mata Korea Selatan mengatakan tampaknya Kim telah kehilangan antara sepuluh dan 20 kilogram dan mengawasi urusan negara seperti biasa.

Selengkapnya: KBS World

Singapura melihat lonjakan serangan ransomware dan botnet

July 8, 2021 by Winnie the Pooh

Singapore Computer Emergency Response Team (SingCERT) tahun lalu menangani 9.080 kasus, naik dari 8.491 pada tahun sebelumnya dan 4.977 pada 2018, menurut laporan terbaru Singapore Cyber Landscape yang dirilis Kamis oleh Cyber Security Agency of Singapore (CSA). Badan pemerintah mencatat bahwa tahun lalu terjadi peningkatan yang nyata dalam ransomware, penipuan online, dan aktivitas phishing COVID-19.

Secara khusus, jumlah serangan ransomware yang dilaporkan mengalami lonjakan signifikan sebesar 154% pada tahun 2020, dengan 89 insiden, dibandingkan dengan 35 pada tahun 2019. Ini sebagian besar mempengaruhi usaha kecil dan menengah (UKM) di berbagai sektor termasuk manufaktur, ritel, dan perawatan kesehatan.

CSA mengaitkan peningkatan kasus ransomware di Singapura dengan wabah ransomware global, di mana serangan semacam itu berubah dari tidak pandang bulu dan bersifat oportunistik menjadi “Perburuan Besar” yang lebih bertarget. Penjahat dunia maya juga beralih ke taktik ransomware-as-a-service dan “kebocoran dan rasa malu”, kata agensi tersebut.

Disebutkan bahwa jumlah serangan server command-and-control (C&C) berbahaya juga tumbuh 94% menjadi 1.026 insiden yang dilaporkan tahun lalu. Ini sebagian didorong oleh peningkatan server semacam itu yang mendistribusikan malware Emotet dan Cobalt Strike, yang merupakan sepertiga dari malware di server C&C.

Sekitar 6.600 botnet drone dengan alamat IP Singapura diidentifikasi setiap hari tahun lalu, naik dari 2.300 pada 2019. CSA mengungkapkan bahwa varian malware Mirai dan Gamarue lazim di antara botnet yang terinfeksi pada 2020, dengan malware sebelumnya menargetkan terutama perangkat Internet of Things (IoT).

Selengkapnya: ZDNet

Bug Sage X3 RCE Kritis Memungkinkan Pengambilalihan Sistem

July 8, 2021 by Winnie the Pooh

Empat kerentanan menimpa platform perencanaan sumber daya perusahaan (ERP) Sage X3 yang populer, para peneliti menemukan – termasuk satu bug kritis yang memberi peringkat 10 dari 10 pada skala kerentanan-keparahan CVSS. Dua bug dapat digabungkan untuk memungkinkan pengambilalihan sistem secara keseluruhan, dengan potensi konsekuensi rantai pasokan, kata mereka.

Sage X3 ditargetkan untuk perusahaan menengah – khususnya produsen dan distributor – yang mencari fungsionalitas ERP all-in-one. Sistem ini mengelola penjualan, keuangan, inventaris, pembelian, manajemen hubungan pelanggan dan manufaktur dalam satu solusi perangkat lunak ERP terintegrasi.

Peneliti Rapid7 Jonathan Peterson, Aaron Herndon, Cale Black, Ryan Villarreal dan William Vu, yang menemukan masalah (CVE-2020-7387 hingga -7390), mengatakan bahwa kelemahan paling parah ada pada fungsi administrator jarak jauh platform.

Dengan demikian, mereka mengatakan bahwa mungkin ada konsekuensi rantai pasokan untuk serangan yang berhasil (seperti Kaseya) jika platform digunakan oleh penyedia layanan terkelola untuk memberikan fungsionalitas ke bisnis lain.

Untuk mengeksploitasi masalah dan melewati proses otentikasi, aktor jahat dapat membuat permintaan khusus ke layanan yang terbuka. Penyerang siber harus menghindari dua komponen yang terlibat dalam pengiriman perintah untuk dieksekusi, kata para peneliti.

Pertama, penyerang harus mengetahui direktori instalasi layanan AdxAdmin, sehingga mereka dapat menentukan lokasi path lengkap untuk menulis file cmd yang akan dieksekusi.

Kedua, penyerang harus mengacaukan urutan otorisasi yang menyertakan kata sandi terenkripsi. Ini dapat dilakukan dengan menggunakan serangkaian paket yang menipu protokol otentikasi dan perintah AdxDSrv.exe, tetapi dengan satu modifikasi kritis.

Masalah ini memengaruhi versi platform V9, V11 dan V12.

Selengkapnya: Threat Post

Cobalt Strike Payload Menyamar Sebagai Pembaruan Keamanan Kaseya VSA Palsu

July 8, 2021 by Winnie the Pooh

Pelaku ancaman mencoba memanfaatkan krisis serangan ransomware Kaseya yang sedang berlangsung dengan menargetkan calon korban dalam kampanye spam yang mendorong muatan Cobalt Strike yang disamarkan sebagai pembaruan keamanan Kaseya VSA.

Cobalt Strike adalah alat pengujian penetrasi yang sah dan perangkat lunak emulasi ancaman yang juga digunakan oleh penyerang untuk tugas pasca-eksploitasi dan untuk menyebarkan suar yang memungkinkan mereka mendapatkan akses jarak jauh ke sistem yang disusupi.

Tujuan akhir dari serangan tersebut adalah untuk mengumpulkan dan mengekstrak data sensitif atau mengirimkan muatan malware tahap kedua.

Kampanye malspam yang ditemukan oleh peneliti Malwarebytes Threat Intelligence menggunakan dua taktik berbeda untuk menyebarkan muatan Cobalt Strike.

Email berbahaya yang dikirim sebagai bagian dari kampanye malspam ini dilengkapi dengan lampiran berbahaya dan tautan tertanam yang dirancang agar terlihat seperti patch Microsoft untuk zero-day Kaseya VSA yang dieksploitasi dalam serangan ransomware REvil.

“Kampanye malspam memanfaatkan serangan ransomware Kaseya VSA untuk menjatuhkan CobaltStrike,” kata tim Malwarebytes Threat Intelligence.

“Ini berisi lampiran bernama ‘SecurityUpdates.exe’ serta tautan yang berpura-pura sebagai pembaruan keamanan dari Microsoft untuk menambal kerentanan Kaseya!”

Penyerang mendapatkan akses jarak jauh yang persisten ke sistem target setelah mereka menjalankan lampiran berbahaya atau mengunduh dan meluncurkan pembaruan Microsoft palsu di perangkat mereka.

Selengkapnya: Bleeping Computer

WildPressure APT Muncul Dengan Malware Baru yang Menargetkan Windows dan macOS

July 8, 2021 by Winnie the Pooh

Kampanye jahat yang menargetkan entitas terkait industri di Timur Tengah sejak 2019 telah muncul kembali dengan perangkat malware yang ditingkatkan untuk menyerang sistem operasi Windows dan macOS, yang melambangkan ekspansi baik pada targetnya maupun strateginya dalam mendistribusikan ancaman.

Perusahaan keamanan siber Rusia mengaitkan serangan itu dengan advanced persistent threat (APT) yang dilacaknya sebagai “WildPressure”, dengan korban diyakini berada di industri minyak dan gas.

WildPressure pertama kali terungkap pada Maret 2020 berdasarkan operasi malware yang mendistribusikan Trojan C++ berfitur lengkap yang dijuluki “Milum” yang memungkinkan pelaku ancaman untuk mendapatkan kendali jarak jauh dari perangkat yang disusupi. Serangan itu dikatakan telah dimulai pada awal Agustus 2019.

Sejak itu, sampel malware baru yang digunakan dalam kampanye WildPressure telah digali, termasuk versi terbaru dari C++ Milum Trojan, varian VBScript yang sesuai dengan nomor versi yang sama, dan skrip Python bernama “Guard” yang berfungsi di Windows dan macOS.

Trojan multi-OS berbasis Python, yang secara ekstensif membuat kode pihak ketiga yang tersedia untuk umum, direkayasa untuk memberi isyarat nama host mesin korban, arsitektur mesin, dan nama rilis OS ke server jarak jauh dan memeriksa produk anti-malware yang diinstal, berikutnya ia menunggu perintah dari server yang memungkinkannya mengunduh dan mengunggah file, menjalankan perintah, memperbarui Trojan, dan menghapus jejaknya dari host yang terinfeksi.

Versi VBScript dari malware, bernama “Tandis,” memiliki kemampuan yang mirip dengan Guard dan Milum, sambil memanfaatkan XML terenkripsi melalui HTTP untuk komunikasi command-and-control (C2). Secara terpisah, Kaspersky mengatakan telah menemukan sejumlah plugin C++ yang sebelumnya tidak dikenal yang telah digunakan untuk mengumpulkan data pada sistem yang terinfeksi, termasuk merekam penekanan tombol dan menangkap tangkapan layar.

Selengkapnya: The Hacker News

Pandemi Berikutnya Akan Menjadi Digital, dan Sudah Dimulai. Yang Perlu Anda Ketahui Tentang Meningkatnya Ancaman Ransomware

July 8, 2021 by Winnie the Pooh

Selama liburan akhir pekan, REvil, grup peretas yang terkait dengan Rusia, tampaknya menargetkan setidaknya 20 penyedia layanan terkelola, yang menyediakan layanan keamanan jaringan TI dan backend untuk bisnis kecil dan menengah.

Itu adalah kelompok yang sama yang dikreditkan dengan serangan terhadap salah satu perusahaan pengepakan daging terbesar di A.S. Berita itu muncul setelah kelompok lain menutup pipa Kolonial awal tahun ini, menyebabkan gangguan di seluruh Pantai Timur.

Serangan Ransomware melibatkan peretas yang memasang perangkat lunak di jaringan yang mencegah pemiliknya mengakses perangkat atau data mereka. Pada dasarnya, mereka menculik bisnis Anda dan menuntut pembayaran uang tebusan sebagai imbalan untuk melepaskan jaringan Anda.

Meskipun hampir tidak mungkin untuk menghilangkan semua risiko ransomware, ada beberapa hal yang dapat Anda lakukan untuk membuat jaringan Anda menjadi target yang kurang diinginkan. Biasanya, penyerang mencari target bernilai tinggi dengan kerentanan yang mudah dieksploitasi.

Offline Backups

Salah satu alat paling sederhana dan paling efektif melawan ransomware adalah mencadangkan sistem Anda secara lokal secara teratur. Cadangan tersebut kemudian harus disimpan secara offline sehingga tidak dapat menjadi sasaran ransomware.

Batasi Izin

Umumnya, pakar keamanan merekomendasikan bahwa pengguna tertentu hanya memiliki tingkat hak minimum yang diperlukan untuk pekerjaan mereka. Dalam banyak kasus, perangkat lunak berbahaya tidak dapat mengambil alih komputer jika akun pengguna tidak memiliki kemampuan untuk membuat perubahan di tingkat root.

Selalu Perbarui Perangkat Lunak

Meskipun kita telah melihat contoh di mana kode berbahaya bersembunyi di perangkat lunak yang sah, secara umum, Anda lebih aman jika terus memperbarui sistem Anda secara teratur. Itu berarti baik dari segi patch keamanan untuk sistem operasi Anda, serta perangkat lunak antivirus yang dapat mengisolasi dan menghapus malware.

Jangan Klik Tautan Tidak Dikenal

Terakhir, jangan pernah mengklik tautan di email atau pesan teks yang bukan dari sumber tepercaya. Peretas menjadi jauh lebih canggih, artinya Anda harus semakin berhati-hati setiap kali membuka email, tetapi sebagai aturan umum, jika Anda tidak mengharapkan dikirimi sesuatu untuk diunduh dan dipasang, jangan klik tautannya.

Selengkapnya: INC

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Offline Backups

Batasi Izin

Selalu Perbarui Perangkat Lunak

Jangan Klik Tautan Tidak Dikenal

Cookies Settings