Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Kelompok Ransomware Vice Society Beralih ke Enkripsi Baru

by

Operasi ransomware Vice Society telah beralih menggunakan enkripsi ransomware khusus yang mengimplementasikan skema enkripsi hibrid yang kuat berdasarkan NTRUEncrypt dan ChaCha20-Poly1305.

Vice Society pertama kali muncul pada musim panas 2021, ketika mereka mulai mencuri data dari jaringan perusahaan dan mengenkripsi perangkat. Pelaku ancaman kemudian akan melakukan serangan pemerasan ganda, mengancam akan mempublikasikan data jika uang tebusan tidak dibayarkan.

Encyrptor “PolyVice” Baru
Strain PolyVice baru, begaimanapun, memberikan serangan Vice Society tabda tangan unik, menambahkan ekstensi “.ViceSociety” ke file yang terkunci dan menjatuhkan catatan tebusan bernama AllYFilesAE’.

Vice Society ransom note
Sumber: BleepingComputer

Analisis SentinelOne mengungkapkan bahwa PolyVice memiliki kesamaan kode yang luas dengan rensomware Chilly dan ransomware SunnyDay, engan kecocokan 100% pada fungsi

Similarity between Chilly and PolyVice (SentinelOne)

Perbedaannya terletak pada detail khusus kampanye seperti ekstensi file, nama catatan tebusan, kunci master hardcode, wallpaper, dll., yang mendukung hipotesis vendor umum.

“Ini memungkinkan pembeli untuk menyesuaikan ransomware mereka tanpa mengungkapkan kode sumber apa pun. Tidak seperti pembuat RaaS lain yang dikenal, pembeli dapat membuat muatan bermerek, memungkinkan mereka menjalankan program RaaS mereka sendiri.”

Enkripsi Hybrid
PolyVice menggunakan skema enkripsi hibrid yang menggabungkan enkripsi asimetris dengan algoritme NTRUEncrypt dan enkripsi simetris dengan algoritme ChaCha20-Poly1305.

Saat peluncuran, payload mengimpor kunci publik NTRU 192-bit yang dibuat sebelumnya dan kemudian menghasilkan pasangan kunci pribadi NTRU 112-bit acak pada sistem yang disusupi, yang unik untuk setiap korban.

Enkripsi pasangan kunci privat NTRU (SentinelOne)

PolyVice ransomware adalah biner 64-bit yang menggunakan multi-threading untuk enkripsi data simetris paralel, memanfaatkan prosesor korban secara penuh untuk mempercepat proses enkripsi.

Selain itu, setiap pekerja PolyVice membaca konten file untuk menentukan pengoptimalan kecepatan apa yang dapat diterapkan di setiap kasus. Pengoptimalan ini bergantung pada ukuran file, dengan PolyVice menerapkan enkripsi intermiten secara selektif.

  • File yang lebih kecil dari 5MB sepenuhnya dienkripsi
  • File antara 5MG dan 100MB dienkripsi sbegaian, memecahnya menjadi potongan kedua.
  • File yang lebih bedsar dari 100MB dipecah menjadi sepuluh potongan yang terdistribusi secara merata, dan 2,5MB dari setiap potongan dienkripsi

Kesimpulannya, temuan SentinelOne lebih lanjut menggarisbawahu tren outsourcing di ruang angkasa, dengan geng ransomware membayar spesialis untuk menciptakan alat yang canggih dan berkinerja tinggi.

sumber : BleepingComputer

Security Flaw Windows Kritis Dapat Menyaingi WannaCry

by

Kerentanan yang lebih serius daripada EternalBlue telah ada di Windows selama beberapa waktu, sebelum akhirnya ditemukan dan ditambal, ungkap para ahli.

Beritanya tidak ada orang tahu persis betapa berbahayanya itu. Pada kenyataannya, ini memungkinkan pelaku ancaman untuk menjalankan kode berbahaya tanpa memerlukan otentikasi. Lebih jauh lagi, ini dapat menyebar, memungkinkan pelaku ancaman untuk memicu reaksi berantai dari eksploitasi yang menggandakan diri pada titik akhir rentan lainnya. Dengan kata lain, malware yang menyalahgunakan cacat tersebut dapat menyebar ke seluruh perangkat seperti api.
Bagi mereka yang memiliki memori lebih pendek, EternalBlue adalah zero-day buatan NSA untuk Windows yang melahirkan WannaCry, mungkin ancaman ransomware global paling dahsyat yang pernah muncul.

Ketika Microsoft pertama kali menambalnya tiga bulan lalu, diyakini bahwa cacat tersebut hanya memungkinkan pelaku ancaman untuk mengambil beberapa informasi sensitif dari perangkat, dan dengan demikian, memberi label sebagai “penting”. Sekarang, perusahaan mengubah peringkat tersebut, melabelinya sebagai “kritis”, dengan skor keparahan 8,1.

Tidak seperti EternalBlue, yang merupakan zero-day dan meninggalkan pakar keamanan dan pembuat perangkat lunak yang berebut untuk membuat perbaikan, tambalan untuk kelemahan ini telah tersedia selama tiga bulan sekarang, jadi efeknya seharusnya agak terbatas.

Bug keyboard Corsair Membuatnya Mengetik Sendiri, Tidak Ada Malware yang Terlibat

by

Corsair telah mengonfirmasi bahwa bug pada firmware keyboard K100, dan bukan malware, berada di belakang teks yang dimasukkan sebelumnya diketik secara otomatis ke dalam aplikasi beberapa hari kemudian.

Pernyataan perusahaan muncul setelah beberapa pengguna K100 melaporkan bahwa keyboard mereka mengetik teks sendiri secara acak.

Beberapa mengatakan mereka telah menguji keyboard K100 mereka dalam mode aman untuk mengecualikan kemungkinan malware berjalan di Windows dan masih menyaksikan pengetikan kata secara acak, sehingga sumber masalahnya ditentukan berada di perangkat keras itu sendiri.

“Keyboard Corsair benar-benar tidak mencatat input pengguna dengan cara apa pun dan tidak memiliki kemampuan untuk mencatat setiap penekanan tombol,” kata Corsair kepada Ars Technica.

Penyebab pasti dari bug ini belum ditentukan, dan juru bicara Corsair mengatakan perusahaan tersebut bekerja dengan pengguna yang terkena dampak untuk menyelidiki sifat sebenarnya dari masalah tersebut.

Solusi belum pasti
Sayangnya, pembaruan firmware terbaru yang tersedia untuk perangkat K100 (versi 1.11.39) beberapa minggu yang lalu tidak memperbaiki masalah tersebut.

Lebih buruk lagi, pembaruan firmware terbaru ini telah menyebabkan pembekuan acak pada keyboard, yang dilaporkan beberapa pengguna mungkin terkait dengan pengaturan tingkat polling tinggi.

Namun, beberapa pengguna melaporkan bahwa pengaturan ulang pabrik dan menghapus memori keyboard masih tidak mencegah masalah terjadi lagi setelah beberapa saat. Oleh karena itu, pengguna mungkin harus menunggu hingga Corsair menyediakan pembaruan firmware yang memperbaiki bug ini.

Mengulangi masukan yang ditangkap secara acak dapat memaparkan informasi sensitif dalam berbagi layar dan presentasi. Itu juga dapat mengganggu pengalaman bermain pengguna, jadi jika Anda menggunakan keyboard dalam situasi ini, Anda mungkin ingin menggantinya dengan yang lain sampai bug diperbaiki.

sumber : bleeping computer

Malware Zerobot Sekarang Menyebar dengan Mengeksploitasi Kerentanan Apache

by

Botnet Zerobot telah ditingkatkan untuk menginfeksi perangkat baru dengan mengeksploitasi kerentanan keamanan yang memengaruhi server Apache yang terbuka dan tidak terhubung ke Internet.

Tim peneliti Pertahanan Microsoft untuk IoT juga mengamati bahwa versi terbaru ini menambahkan kemampuan penolakan layanan terdistribusi (DDoS) baru.

Pembaruan yang terlihat oleh Microsoft menambahkan eksploit yang lebih baru ke toolkit malware, memungkinkannya untuk menargetkan tujuh jenis perangkat dan perangkat lunak baru, termasuk server Apache dan Apache Spark yang belum ditambal.

Daftar lengkap modul yang ditambahkan ke Zerobot 1.1 meliputi:

  • CVE-2017-17105: Zivif PR115-204-P-RS
  • CVE-2019-10655: Grandstream
  • CVE-2020-25223: WebAdmin of Sophos SG UTM
  • CVE-2021-42013: Apache
  • CVE-2022-31137: Roxy-WI
  • CVE-2022-33891: Apache Spark
  • ZSL-2022-5717: MiniDVBLinux

Terakhir tapi tidak kalah penting, malware yang diperbarui kini hadir dengan tujuh kemampuan DDoS baru, termasuk metode serangan TCP_XMAS.

Zerobot menyebar melalui serangan brute force terhadap perangkat yang tidak aman dengan kredensial default atau lemah dan mengekploitasi kerantanan di perangkat Internet of Things (IoT) dan aplikasi web.

Setelah menginfeksi sistem, ia mengunduh skrip bernama “nol” yang memungkinkannya menyebar sendiri ke perangkat yang lebih rentan yang terpapar secara online.

Botnet mendapatkan kegigihan dari perangkat yang dikompromikan, dan digunakan untuk meluncurkan serangan DDoS melalui berbagai protokol, tetapi juga dapat memberi operatornya akses awal ke jaringan korban.

sumber : bleeping computer

FBI Memperingatkan Iklan Mesin Pencari yang Mendorong Malware, Phishing

by Leave a Comment


FBI memperingatikan bahwa pelaku ancaman menggunakan iklan mesin pencari untuk mempromosikan situs web yang mendistribusikan ransomware atau mencuri keredensial masuk untuk lembaga keuangan dan pertukaran crypto.

Dalam pengumuman layanan publik hari ini, badan penegak hukum federal mengatakan pelaku ancaman membeli iklan yang menyamar sebagai bisnis atau layanan ang sah. iklan ini muncul di bagian atas halaman hasil pencarian dan tertaut ke situ yang mirip dengan situs web perusahaan yang ditiru

Saat mencari perangkat lunak, FBI mengatakan iklan akan ditautkan ke situs web dengan tautan unduhan ke perangkat lunak yang dinamai sesuai dengan aplikasi yang ditiru.

Penasihat FBI juga memperingatkan tentang iklan yang mempromosikan situs phishing yang meniru platform keuangan dan, lebih khusus lagi, platform pertukaran cryptocurrency yang mengundang pengunjung untuk memasukkan kredensial akun mereka.

Iklan ini sepertinya mempromosikan situs web gimp.org yang sebenarnya, seperti yang ditunjukkan di bawah ini, mereka mengarahkan pengguna ke situs lain yang mendorong malware.

Contoh betapa rumitnya iklan jahat (Morphisec)

Cara Melindungi Diri Sendiri
Tindakan pencegahan yang paling penting saat mencari sesuatu secara online adalah tidak mengklik hal pertama yang muncul di hasil pencarian tanpa memeriksa URL-nya.

Karena beberapa hasil pertama pada istilah pencarian tertentu biasanya adalah iklan promosi, lebih aman untuk melewatkannya dan menggulir ke bawah sampai Anda melihat hasil pencarian situs web resmi proyek dan menggunakannya.

Selebihnya, bahkan memeriksa tautan terkadang hanya dapat membantu, karena pelakuk ancaman dapat membuat iklan untuk menampilkan URL yang sah tetapi mengarahkan pengguna ke situs kloning di bawah kendali penyerang.

Rekomendasi lainnya adalah menggunakan pemblokir iklan, yang memfilter hasil yang dipromosikan di Google.

Jika anda sering mengunjungi situs web, akan lebih baik untuk membookmark URL-nya dan menggunakannya untuk mengaksesnya daripada mencari setiap saat.

sumber : bleeping computer

Pengguna Brazilian Banking Terancam Trojan Android BrasDex Baru

by

Pelaku ancaman di balik malware perbankan Windows yang dikenal sebagai Casbaneiro telah dikaitkan sebagai dibalik trojan Android baru bernama BrasDex yang telah diamati menargetkan pengguna Brasil sebagai bagian dari kampanye multi-platform yang sedang berlangsung.

BrasDex menampilkan “sistem keylogging kompleks yang dirancang untuk menyalahgunakan Layanan Aksesibilitas untuk mengekstraksi kredensial secara khusus dari serangkaian aplikasi yang ditargetkan di Brasil. yang diketahui menyerang bank dan layanan mata uang kripto di Brasil dan Meksiko.

BrasDex, yang menyamar sebagai aplikasi perbankan untuk Banco Santander, juga melambangkan tren baru yang melibatkan penyalahgunaan API Aksesibilitas Android untuk mencatat penekanan tombol yang dimasukkan oleh korban, beralih dari metode serangan overlay tradisional untuk mencuri kredensial dan data pribadi lainnya.

Itu juga direkayasa untuk menangkap informasi saldo akun, kemudian menggunakannya untuk mengambil alih perangkat yang terinfeksi dan memulai transaksi penipuan dengan cara terprogram.

Ini bukan pertama kalinya ekosistem pembayaran instan menjadi sasaran pelaku kejahatan. Pada September 2021

Investigasi ThreatFabric terhadap BrasDex juga memungkinkannya mendapatkan akses ke panel C2 yang digunakan oleh operator kriminal untuk melacak perangkat yang terinfeksi dan mengambil log data yang diambil dari ponsel Android.

Rantai serangan ini menggunakan umpan phishing bertema pengiriman paket yang mengaku berasal dari Correios, layanan pos milik negara, untuk menipu penerima agar mengeksekusi malware mengikuti proses multi-tahap.

Kasus BrasDex menunjukkan perlunya mekanisme deteksi dan pencegahan penipuan pada perangkat pelanggan: Pembayaran penipuan yang dilakukan secara otomatis dengan bantuan mesin ATS tampaknya sah untuk backend bank dan mesin penilaian penipuan, karena dilakukan melalui perangkat yang sama yang biasanya digunakan oleh pelanggan.

sumber : the hackernews

Microsoft Akan Menonaktifkan Autentikasi Dasar Exchange Online pada Bulan Januari

by

Microsoft memperingatkan hari ini bahwa itu akan secara permanen mematikan otentikasi dasar Exchange Online mulai awal Januari 2023 untuk meningkatkan keamanan.

Pengumuman ini muncul setelah beberapa pengingat dan peringatan yang dikeluarkan Redmond selama tiga tahun terakhir, yang pertama diterbitkan pada September 2019 dan dua lagi pada September 2021 dan Mei 2022 setelah banyak pelanggan menunda peralihan ke autentikasi modern.

CISA juga mendesak lembaga pemerintah dan organisasi sektor swasta yang menggunakan platform email cloud Microsoft Exchange pada bulan Juni untuk mempercepat perpindahan dari metode autentikasi lama tanpa dukungan autentikasi multifaktor (MFA) ke alternatif autentikasi modern.

Protokol SMTP AUTH yang digunakan untuk pengiriman email klien juga akan dinonaktifkan di semua penyewa yang tidak menggunakannya.

Protokol ini akan dinonaktifkan untuk penggunaan autentikasi dasar secara permanen selama minggu pertama bulan Januari 2023, tanpa dapat mengaktifkannya kembali.

Setelah autentikasi dasar tidak digunakan lagi, pelanggan mungkin mengalami berbagai masalah, termasuk tidak dapat masuk ke Exchange Online mulai Januari 2023.

Tim Exchange juga telah membagikan informasi mendetail tentang cara berhenti menggunakan autentikasi dasar untuk menghindari aplikasi email Exchange Online tidak lagi masuk atau terus meminta kata sandi Anda.

selengkapnya : bleeping computer

Kelompok Ransomware Menggunakan Eksploit Microsoft Exchange Baru Untuk Menembus Server

by

Pelaku ancaman ransomware Play menggunakan rantai eksploit baru yang melewati mitigasi penulisan ulang URL ProxyNotShell untuk mendapatkan eksekusi kode jarak jauh (RCE) pada server yang rentan melalui Outlook Web Access (OWA).

Perusahaan cybersecurity CrowdStrike melihat eksploit (dijuluki OWASSRF) saat menyelidiki serangan ransomware Play di mana server Microsoft Exchange yang disusupi digunakan untuk menyusup ke jaringan korban.

Untuk menjalankan perintah sewenang-wenang pada server yang disusupi, operator ransomware memanfaatkan Remote PowerShell untuk menyalahgunakan CVE-2022-41082, bug yang sama yang dieksploitasi oleh ProxyNotShell.

Sementara ProxyNotShell mengeksploitasi target CVE-2022-41040, CrowdStrike menemukan bahwa kelemahan yang disalahgunakan oleh eksploit yang baru ditemukan kemungkinan besar adalah CVE-2022-41080, sebuah kelemahan keamanan yang ditandai oleh Microsoft sebagai kritis dan tidak dieksploitasi secara liar yang memungkinkan eskalasi hak istimewa jarak jauh di server Exchange .

OWASSRF PoC exploit (BleepingComputer)

CVE-2022-41080 ditemukan dan dilaporkan oleh zcgonvh dengan 360 noah lab dan rskvp93, Q5Ca, dan nxhoang99 dengan VcsLab dari Viettel Cyber Security.

OWASSRF PoC exploit leaked online
Sementara peneliti keamanan CrowdStrike bekerja mengembangkan kode proof-of-concept (PoC) mereka sendiri untuk mencocokkan info log yang ditemukan saat menyelidiki serangan ransomware Play baru-baru ini, peneliti ancaman Huntress Labs Dray Agha menemukan dan membocorkan alat pelaku ancaman secara online, pada bulan Desember tanggal 14.

CrowdStrike percaya bahwa eksploitasi proof-of-concept digunakan untuk menjatuhkan alat akses jarak jauh seperti Plink dan AnyDesk di server yang disusupi.

Sejak diluncurkan pada bulan Juni, puluhan korban ransomware Play telah mengunggah sampel atau catatan tebusan ke platform ID Ransomware untuk mengidentifikasi ransomware apa yang digunakan untuk mengenkripsi data mereka.

Aktifitas Play Ransomware (ID Ransomware)

Saat ini, tidak ada kebocoran data yang terkait dengan ransomware ini atau indikasi apa pun bahwa data apa pun dicuri selama serangan.

Korban baru-baru ini yang terkena afiliasi ransomware Play termasuk jaringan hotel Jerman H-Hotels, kota Antwerpen di Belgia, dan Pengadilan Córdoba di Argentina.

sumber : bleeping computer