Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Microsoft Office baru zero-day digunakan dalam serangan untuk mengeksekusi PowerShell

by

Peneliti keamanan telah menemukan kerentanan zero-day Microsoft Office baru yang digunakan dalam serangan untuk mengeksekusi perintah PowerShell berbahaya melalui Microsoft Diagnostic Tool (MSDT) hanya dengan membuka dokumen Word.

Kerentanan, yang belum menerima nomor pelacakan dan disebut oleh komunitas infosec sebagai ‘Follina,’ dimanfaatkan menggunakan dokumen Word berbahaya yang menjalankan perintah PowerShell melalui MSDT.

Follina zero-day baru ini membuka pintu ke vektor serangan kritis baru yang memanfaatkan program Microsoft Office karena bekerja tanpa hak istimewa yang lebih tinggi, melewati deteksi Windows Defender, dan tidak memerlukan kode makro untuk diaktifkan untuk mengeksekusi binari atau skrip.

Jumat lalu, peneliti keamanan nao_sec menemukan dokumen Word berbahaya yang dikirimkan ke platform pemindaian Virus Total dari alamat IP di Belarus.

“Saya sedang berburu file di VirusTotal yang mengeksploitasi CVE-2021-40444. Kemudian saya menemukan file yang menyalahgunakan skema ms-msdt,” kata nao_sec

“Ini menggunakan tautan eksternal Word untuk memuat HTML dan kemudian menggunakan skema ‘ms-msdt’ untuk mengeksekusi kode PowerShell,” tambah peneliti dalam tweet, memposting tangkapan layar kode yang dikaburkan di bawah ini:

Kode muatan yang dikaburkan, sumber: nao_sec

Peneliti keamanan Kevin Beaumont mendeobfuscate kode dan menjelaskan dalam posting blog bahwa itu adalah string baris perintah yang dijalankan Microsoft Word menggunakan MSDT, bahkan jika skrip makro dinonaktifkan.

Muatan yang tidak disamarkan, sumber: Kevin Beaumont

Skrip PowerShell di atas akan mengekstrak file yang disandikan Base64 dari file RAR dan dijalankan. File ini tidak lagi tersedia, jadi tidak jelas aktivitas jahat apa yang dilakukan oleh serangan tersebut.

Beaumont mengklarifikasi lebih banyak hal dengan mengatakan bahwa dokumen Word berbahaya menggunakan fitur templat jarak jauh untuk mengambil file HTML dari server jauh.

Kode HTML kemudian menggunakan skema protokol MS-MSDT URI Microsoft untuk memuat kode tambahan dan mengeksekusi kode PowerShell.

Peneliti menambahkan bahwa fitur Tampilan Terlindungi di Microsoft Office, yang dirancang untuk memperingatkan file dari lokasi yang berpotensi tidak aman, diaktifkan untuk memperingatkan pengguna tentang kemungkinan dokumen berbahaya.

Namun, peringatan ini dapat dengan mudah dilewati dengan mengubah dokumen menjadi file Rich Text Format (RTF). Dengan demikian, kode yang dikaburkan dapat berjalan “bahkan tanpa membuka dokumen (melalui tab pratinjau di Explorer).”

Beberapa peneliti keamanan telah menganalisis dokumen berbahaya yang dibagikan oleh nao_sec dan berhasil mereproduksi eksploit dengan beberapa versi Microsoft Office.

Dalam analisis terpisah hari ini, para peneliti di perusahaan layanan keamanan siber Huntress menganalisis eksploitasi dan memberikan lebih banyak detail teknis tentang cara kerjanya.

Mereka menemukan bahwa dokumen HTML yang mengatur hal-hal yang bergerak berasal dari “xmlformats[.]com,” sebuah domain yang tidak lagi dimuat.

Huntress mengkonfirmasi temuan Beaumont bahwa dokumen RTF akan mengirimkan muatan tanpa interaksi apa pun dari pengguna (selain memilihnya), untuk apa yang umumnya dikenal sebagai “eksploitasi nol-klik.”

Payload Follina dieksekusi hanya dengan memilih dokumen RTF berbahaya, sumber: Huntress

Para peneliti mengatakan bahwa tergantung pada muatannya, penyerang dapat menggunakan eksploitasi ini untuk mencapai lokasi terpencil di jaringan korban

Ini akan memungkinkan penyerang untuk mengumpulkan hash dari kata sandi mesin Windows korban yang berguna untuk aktivitas pasca-eksploitasi lebih lanjut.

Bug Microsoft Office dapat membantu mengumpulkan hash kata sandi Windows, sumber: Huntress

Beaumont memperingatkan bahwa deteksi untuk metode eksploitasi baru ini “mungkin tidak akan bagus,” dengan alasan bahwa kode berbahaya dimuat dari template jarak jauh, sehingga dokumen Word yang dibawa tidak akan ditandai sebagai ancaman karena tidak menyertakan file berbahaya. kode, hanya referensi untuk itu.

Untuk mendeteksi serangan melalui vektor ini, Huntress menunjuk ke proses pemantauan pada sistem karena muatan Follina membuat proses anak ‘msdt.exe’ di bawah induk Microsoft Office yang menyinggung.

Untuk organisasi yang mengandalkan aturan Pengurangan Permukaan Serangan (ASR) Microsoft Defender, Huntress menyarankan untuk mengaktifkan “Blokir semua aplikasi Office agar tidak membuat proses anak” dalam mode Blokir, yang akan mencegah eksploitasi Follina.

Menjalankan aturan dalam mode Audit terlebih dahulu dan memantau hasilnya disarankan sebelum menggunakan ASR, untuk memastikan bahwa pengguna akhir tidak mengalami efek samping.

Mitigasi lain, dari Didier Stevens, adalah menghapus asosiasi tipe file untuk ms-msdt sehingga Microsoft Office tidak akan dapat memanggil alat tersebut saat membuka dokumen Folina yang berbahaya.

Peneliti keamanan mengatakan bahwa kerentanan Follina tampaknya telah ditemukan dan dilaporkan ke Microsoft sejak April.

Menurut tangkapan layar yang diterbitkan oleh anggota Shadow Chaser Group – sebuah asosiasi mahasiswa yang berfokus pada memburu dan menganalisis ancaman persisten tingkat lanjut (APT), Microsoft diberitahu tentang kerentanan tetapi menolaknya sebagai “bukan masalah terkait keamanan.”

Argumen Microsoft untuk ini adalah bahwa sementara ‘msdt.exe’ memang dieksekusi, diperlukan kode sandi saat memulai dan perusahaan tidak dapat mereplikasi eksploitasi.

Balasan Microsoft untuk laporan kerentanan Follina, sumber: CrazyMan_Army

Namun, pada 12 April, Microsoft menutup laporan pengiriman kerentanan (dilacak sebagai VULN-065524) dan mengklasifikasikannya “Masalah ini telah diperbaiki,” dengan dampak keamanan eksekusi kode jarak jauh.

Laporan April untuk Follina Microsoft Office RCE, sumber: CrazyMan_Army

Sumber: Bleeping Computer

Tiga warga Nigeria ditangkap karena kejahatan keuangan yang dibantu malware

by

Interpol telah mengumumkan penangkapan tiga pria Nigeria di Lagos, yang diduga menggunakan trojan akses jarak jauh (RAT) untuk mengubah rute transaksi keuangan dan mencuri kredensial akun.

Operasi internasional, dengan kode nama “Killer Bee,” dipimpin oleh Interpol dengan bantuan lembaga penegak hukum dari 11 negara Asia Tenggara.

Menurut sebuah laporan yang diterbitkan hari ini, target geng tersebut termasuk organisasi perusahaan besar dan perusahaan minyak & gas di Timur Tengah, Afrika Utara, dan Asia Tenggara.

Namun, Interpol tidak mengungkapkan berapa banyak uang yang berhasil dicuri geng dari organisasi yang menjadi korban.

Salah satu dari tiga pria yang ditangkap, Hendrix Omorume, menghadapi hukuman satu tahun penjara karena memiliki dokumen palsu, mendapatkan uang dengan kepura-puraan palsu, dan terlibat dalam peniruan identitas.

Dua pria lainnya, yang masih diadili, hanya menghadapi satu dakwaan memiliki dokumen palsu yang kemungkinan digunakan dalam serangan BEC (kompromi email bisnis).

“Tiga pria, berusia antara 31 dan 38 tahun, masing-masing ditangkap karena memiliki dokumen palsu, termasuk faktur palsu dan surat resmi palsu,” sebut pengumuman itu.

Tiga orang yang ditangkap (Interpol)

Pekan lalu, Interpol mengumumkan penangkapan tersangka pemimpin geng SilverTerrier BEC dalam operasi berbeda yang diberi nama sandi “Delilah.”

Interpol mengatakan laptop dan ponsel dari orang-orang yang ditangkap diperiksa secara menyeluruh, dan polisi menemukan tanda-tanda penyebaran Agen Tesla.

Agen Tesla adalah RAT yang telah ada selama beberapa tahun sekarang, berfungsi sebagai pencuri informasi dan keylogger yang kuat yang dapat mencuri kredensial yang disimpan di browser web, klien email, FTP, dan perangkat lunak lainnya.

Biasanya, itu menginfeksi target melalui email phishing berbahaya yang membawa lampiran berbahaya, yang terbaru, dokumen PowerPoint.

Dalam kasus ini, Omorume diyakini menggunakan Agen Tesla untuk mencuri kredensial akun di organisasi target, mengakses komunikasi email, dan melakukan pengawasan.

Ini diperlukan untuk meletakkan dasar bagi serangan BEC yang sukses, karena pelaku kejahatan tahu kapan harus menyerang dan detail meyakinkan apa yang harus diberikan kepada korban.

Perlu juga dicatat bahwa Agen Tesla melihat penyebaran luas saat ini, dengan laporan deteksi malware ASEC baru-baru ini menempatkan malware di daftar teratas, di atas Formbook, RedLine, Lokibot, Wakbot, dan AveMaria.

Sumber: Bleeping Computer

Microsoft menemukan bug parah di aplikasi Android dari penyedia seluler besar

by

Peneliti keamanan Microsoft telah menemukan kerentanan tingkat keparahan yang tinggi dalam kerangka kerja yang digunakan oleh aplikasi Android dari beberapa penyedia layanan seluler internasional yang besar.

Para peneliti menemukan kerentanan ini (dilacak sebagai CVE-2021-42598, CVE-2021-42599, CVE-2021-42600, dan CVE-2021-42601) dalam kerangka kerja seluler yang dimiliki oleh Sistem mce yang memaparkan pengguna pada serangan injeksi perintah dan eskalasi hak istimewa .

Aplikasi rentan memiliki jutaan unduhan di Google Play Store dan sudah diinstal sebelumnya sebagai aplikasi sistem pada perangkat yang dibeli dari operator telekomunikasi yang terpengaruh, termasuk AT&T, TELUS, Rogers Communications, Bell Canada, dan Freedom Mobile.

“Semua aplikasi tersedia di Google Play Store yang melalui pemeriksaan keamanan otomatis Google Play Protect, tetapi pemeriksaan ini sebelumnya tidak memindai jenis masalah ini.

“Seperti halnya dengan banyak aplikasi pra-instal atau default yang dimiliki sebagian besar perangkat Android akhir-akhir ini, beberapa aplikasi yang terpengaruh tidak dapat sepenuhnya dihapus atau dinonaktifkan tanpa mendapatkan akses root ke perangkat.”

Sementara vendor yang dihubungi Microsoft telah memperbarui aplikasi mereka untuk mengatasi bug sebelum kelemahan keamanan diungkapkan hari ini untuk melindungi pelanggan mereka dari serangan, aplikasi dari perusahaan telekomunikasi lain juga menggunakan kerangka kerja kereta yang sama.

“Beberapa penyedia layanan seluler lainnya ditemukan menggunakan kerangka kerja rentan dengan aplikasi masing-masing, menunjukkan bahwa mungkin ada penyedia tambahan yang masih belum ditemukan yang mungkin terpengaruh,” tambah para peneliti.

Microsoft menambahkan bahwa beberapa perangkat Android mungkin juga terkena serangan yang mencoba menyalahgunakan kelemahan ini jika aplikasi Android (dengan nama paket com.mce.mceiotraceagent) diinstal “oleh beberapa bengkel ponsel.”

Mereka yang menemukan aplikasi ini terinstal di perangkat mereka disarankan untuk segera menghapusnya dari ponsel mereka untuk menghapus vektor serangan.

“Kerentanan, yang memengaruhi aplikasi dengan jutaan unduhan, telah diperbaiki oleh semua pihak yang terlibat,” kata para peneliti.

“Ditambah dengan hak istimewa sistem ekstensif yang dimiliki aplikasi pra-instal, kerentanan ini bisa menjadi vektor serangan bagi penyerang untuk mengakses konfigurasi sistem dan informasi sensitif.”

Sumber: Bleeping Computer

Tagged With:

Deteksi trojan seluler meningkat saat tingkat distribusi malware menurun

by

Laporan triwulanan Kaspersky tentang distribusi malware seluler mencatat tren penurunan yang dimulai pada akhir tahun 2020. Terlepas dari penurunan volume malware secara keseluruhan, perusahaan keamanan melaporkan lonjakan distribusi trojan, termasuk trojan generik, trojan perbankan, dan spyware.

Perkembangan yang mengkhawatirkan ini menggarisbawahi peningkatan fokus pada operasi yang lebih canggih dan merusak yang secara bertahap menggantikan adware dan “alat risiko” dengan hasil rendah.

Adware dan “alat risiko” tetap menjadi yang paling umum dalam hal volume distribusi, dengan yang terakhir menyumbang hampir setengah dari semua upaya infeksi malware seluler yang terdeteksi oleh Kaspersky pada Q1 2022.

Jenis malware yang didistribusikan pada kuartal terakhir (Kaspersky)

Deteksi trojan mobile banking telah meningkat sekitar 40% dibandingkan dengan kuartal sebelumnya, dan jumlahnya dua kali lipat dibandingkan dengan data Q1 2021.

Jenis malware ini biasanya melapisi layar login di atas aplikasi perbankan atau manajemen cryptocurrency yang sah untuk mencuri kredensial akun orang.

Trojan perbankan menjadi lebih luas dan murah tersedia di forum peretasan dan saluran Telegram, sehingga adopsi mereka oleh penjahat cyber berketerampilan rendah meningkat.

Menurut Kaspersky, keluarga baru yang mendorong angka distribusi ke atas pada kuartal ini adalah yang mereka lacak sebagai “Trojan-Banker.AndroidOS.Bray”, yang menyumbang 81% dari semua deteksi trojan seluler pada kuartal pertama tahun ini.

Kaspersky telah memperhatikan beberapa tren menarik di awal tahun ini, yang paling menonjol adalah peningkatan aplikasi penipuan yang didorong melalui saluran toko aplikasi resmi seperti Google Play Store.

Pada kuartal pertama tahun 2022, scammers mengeksploitasi invasi Rusia ke Ukraina untuk menawarkan aplikasi manfaat publik palsu yang menjanjikan bantuan keuangan sebagai tanggapan terhadap sanksi dan pembatasan transaksi. Namun, aplikasi ini hanya mencuri uang pengguna dengan mengarahkan mereka ke situs web eksternal yang berbahaya.

Aplikasi penipuan terlihat di Play Store pada bulan-bulan sebelumnya (Kaspersky)

Ancaman lain yang disorot adalah aplikasi pinjaman bayaran agresif yang menargetkan sebagian besar pengguna di India, Brasil, dan Meksiko.

Kaspersky mengklasifikasikan ini sebagai “RiskTool.AndroidOS.SpyLoan”, dan mengatakan aplikasi ini meminta akses ke daftar kontak pengguna, SMS, dan foto selama instalasi. Jika pembayaran terlambat, informasi ini digunakan untuk pemerasan.

Aplikasi pinjaman bayaran dilaporkan terlibat dalam pemerasan (Kaspersky)

Dalam beberapa kasus, telah dilaporkan bahwa agen penagih utang yang bekerja untuk platform ini memanggil orang-orang dari daftar kontak pengguna untuk mengekspos mereka dan meningkatkan tekanan untuk membayar utang.

Dalam kasus lain, bahkan lebih ekstrim, pengguna aplikasi ini terkunci dari ponsel mereka jika mereka melewatkan pembayaran, menggemakan ancaman ransomware.

Perkembangan dan kondisi yang memicu tren yang berlangsung pada kuartal terakhir tetap tidak berubah, sehingga distribusi trojan diperkirakan akan terus menggantikan ancaman yang ditandai sebagai adware dan riskware.

Sumber:

Malware EnemyBot menambahkan eksploitasi untuk VMware kritis, kelemahan F5 BIG-IP

by

EnemyBot, botnet berdasarkan kode dari beberapa bagian malware, memperluas jangkauannya dengan cepat menambahkan eksploitasi untuk kerentanan kritis yang baru-baru ini diungkapkan di server web, sistem manajemen konten, IoT, dan perangkat Android.

Botnet pertama kali ditemukan pada bulan Maret oleh para peneliti di Securonix dan pada bulan April, ketika analisis sampel yang lebih baru muncul dari Fortinet, EnemyBot telah mengintegrasikan kelemahan untuk lebih dari selusin arsitektur prosesor.

Tujuan utamanya adalah meluncurkan serangan penolakan layanan (DDoS) terdistribusi dan malware juga memiliki modul untuk memindai perangkat target baru dan menginfeksinya.

Sebuah laporan baru dari AT&T Alien Labs mencatat bahwa varian terbaru dari EnemyBot menggabungkan eksploitasi untuk 24 kerentanan. Sebagian besar dari mereka kritis tetapi ada beberapa yang bahkan tidak memiliki nomor CVE, yang mempersulit para pembela HAM untuk menerapkan perlindungan.

Pada bulan April, sebagian besar kelemahan yang terkait dengan router dan perangkat IoT, dengan CVE-2022-27226 (iRZ) dan CVE-2022-25075 (TOTOLINK) menjadi salah satu yang terbaru dan Log4Shell menjadi yang paling menonjol.

Namun, varian baru yang dianalisis oleh AT&T Alien Labs menyertakan eksploitasi untuk masalah keamanan berikut:

  • CVE-2022-22954: Cacat eksekusi kode jarak jauh yang kritis (CVSS: 9.8) yang berdampak pada VMware Workspace ONE Access dan VMware Identity Manager. Eksploitasi PoC (bukti konsep) tersedia pada April 2022.
  • CVE-2022-22947: Cacat eksekusi kode jarak jauh di Musim Semi, diperbaiki sebagai zero-day pada Maret 2022, dan ditargetkan secara besar-besaran sepanjang April 2022.
  • CVE-2022-1388: Kelemahan eksekusi kode jarak jauh yang kritis (CVSS: 9.8) yang berdampak pada F5 BIG-IP, mengancam titik akhir yang rentan dengan pengambilalihan perangkat. PoC pertama muncul di alam liar pada Mei 2022, dan eksploitasi aktif segera dimulai.
Penambahan CVE-2022-22954 dalam kode EnemyBot (AT&T)

Melihat daftar perintah yang didukung oleh versi malware yang lebih baru, RSHELL menonjol, digunakan untuk membuat shell terbalik pada sistem yang terinfeksi. Ini memungkinkan aktor ancaman untuk melewati batasan firewall dan mendapatkan akses ke mesin yang disusupi.

Semua perintah yang terlihat di versi sebelumnya masih ada, menawarkan daftar opsi yang kaya tentang serangan DDoS.

Keksec, grup di belakang EnemyBot, secara aktif mengembangkan malware dan memiliki proyek jahat lainnya: Tsunami, Gafgyt, DarkHTTP, DarkIRC, dan Necro.

Tampaknya ini adalah pembuat malware berpengalaman yang menunjukkan perhatian khusus pada proyek terbaru, menambahkan eksploitasi kerentanan baru segera setelah muncul, seringkali sebelum admin sistem memiliki kesempatan untuk menerapkan perbaikan.

Lebih buruk lagi, AT&T melaporkan bahwa seseorang, yang kemungkinan besar berafiliasi dengan Keksec, telah merilis kode sumber EnemyBot, membuatnya tersedia untuk semua musuh.

Rekomendasi untuk melindungi dari jenis ancaman ini termasuk menambal produk perangkat lunak segera setelah pembaruan tersedia dan memantau lalu lintas jaringan, termasuk koneksi keluar.

Saat ini, tujuan utama EnemyBot adalah serangan DDoS tetapi kemungkinan lain juga harus dipertimbangkan (misalnya cryptomining, akses), terutama karena malware sekarang menargetkan perangkat yang lebih kuat.

Sumber: Bleeping Computer

Pengguna Tails OS Disarankan untuk Tidak Menggunakan Tor Browser Sampai Bug Firefox Kritis Ditambal

by

Pengelola proyek Tails telah mengeluarkan peringatan bahwa Tor Browser yang dibundel dengan sistem operasi tidak aman digunakan untuk mengakses atau memasukkan informasi sensitif.

“Kami menyarankan Anda berhenti menggunakan Tails hingga rilis 5.1 (31 Mei) jika Anda menggunakan Tor Browser untuk informasi sensitif (kata sandi, pesan pribadi, informasi pribadi, dll.),” kata proyek tersebut dalam sebuah nasihat yang dikeluarkan minggu ini.

Tails, kependekan dari The Amnesic Incognito Live System, adalah distribusi Linux berbasis Debian yang berorientasi pada keamanan yang ditujukan untuk menjaga privasi dan anonimitas dengan menghubungkan ke internet melalui jaringan Tor.

Peringatan itu datang ketika Mozilla pada 20 Mei 2022 meluncurkan perbaikan untuk dua kelemahan kritis zero-day di browser Firefox-nya, versi modifikasi yang bertindak sebagai dasar dari Tor Browser.

Dilacak sebagai CVE-2022-1802 dan CVE-2022-1529, dua kerentanan adalah apa yang disebut sebagai polusi prototipe yang dapat dipersenjatai untuk mendapatkan eksekusi kode JavaScript pada perangkat yang menjalankan versi rentan dari Firefox, Firefox ESR, Firefox untuk Android, dan Thunderbird .

“Misalnya, setelah Anda mengunjungi situs web jahat, penyerang yang mengendalikan situs web ini mungkin mengakses kata sandi atau informasi sensitif lainnya yang Anda kirim ke situs web lain setelahnya selama sesi Tails yang sama,” demikian bunyi nasihat Tails.

Bug tersebut didemonstrasikan oleh Manfred Paul pada kontes peretasan Pwn2Own edisi ke-15 yang diadakan di Vancouver minggu lalu, di mana peneliti dianugerahi $100.000.

Namun, Peramban Tor yang mengaktifkan tingkat keamanan “Teraman” serta klien email Thunderbird di sistem operasi kebal terhadap kelemahan karena JavaScript dinonaktifkan dalam kedua kasus.

Selain itu, kelemahannya tidak merusak anonimitas dan perlindungan enkripsi yang dimasukkan ke dalam Tor Browser, yang berarti bahwa pengguna Tails yang tidak menangani informasi sensitif dapat terus menggunakan browser web.

“Kerentanan ini akan diperbaiki di Tails 5.1 (31 Mei), tetapi tim kami tidak memiliki kapasitas untuk menerbitkan rilis darurat lebih awal,” kata para pengembang.

Sumber: The Hacker News

Laporan Verizon: Ransomware, Kesalahan Manusia Di Antara Risiko Keamanan Teratas

by

Ransomware, ancaman rantai pasokan, dan bagaimana organisasi dan karyawan mereka adalah musuh terburuk mereka sendiri dalam hal keamanan adalah beberapa kesimpulan utama dari laporan tahunan Verizon tentang serangan cyber selama 12 bulan terakhir.

Laporan Investigasi Pelanggaran Data 2022 (DBIR) yang diterbitkan Selasa memberikan beberapa berita mengejutkan bagi organisasi yang bertujuan untuk mengamankan diri mereka sendiri dari ancaman yang dapat mengakibatkan kompromi sistem dan hilangnya data, sumber daya, uang, waktu, dan/atau semua hal di atas.

Para peneliti di balik laporan tersebut–Gabriel Bassett, C. David Hylender, Philippe Langlois, Alex Pinto, dan Suzanne Widup–mengamati bahwa beberapa tahun terakhir telah “luar biasa” bagi semua orang, tanpa menyebutkan faktor yang jelas, yaitu pandemi dan awal mulanya. perang di Ukraina tepat di belakangnya.

Namun, yang paling dipedulikan oleh penjaga laporan adalah data yang terkait dengan insiden dan pelanggaran keamanan yang terjadi—dengan yang pertama adalah kompromi apa pun terhadap aset informasi, dan yang terakhir adalah pengungkapan data kepada pihak yang tidak berwenang. Dan pada tahun 2021, para peneliti menemukan bahwa keduanya mengalami lonjakan kejadian yang belum pernah terjadi sebelumnya.

Ada sedikit kejutan di antara temuan-temuan kunci DBIR bagi mereka yang mengamati lanskap keamanan pada tahun 2021. Faktanya, beberapa temuan tampaknya konsisten dengan apa yang disoroti oleh laporan tersebut sejak dimulainya pada tahun 2008, seorang profesional keamanan mengamati.

Namun, satu temuan yang mencerminkan ancaman yang menjadi terkenal hanya dalam beberapa tahun terakhir adalah bahwa ransomware melanjutkan tren kenaikannya. Jenis kejahatan dunia maya ini yang mengunci data perusahaan melalui penyusupan dan tidak akan merilisnya sampai organisasi membayar sejumlah pemerasan yang besar mengalami peningkatan hampir 13 persen dari tahun ke tahun pada tahun 2021.

Memang, meskipun kelompok ransomware telah datang dan pergi dan otoritas federal telah mengambil langkah besar untuk menindak jenis kejahatan dunia maya ini, keuntungannya sangat menguntungkan bagi penjahat sehingga kemungkinan akan bertahan untuk sementara waktu, catat pakar keamanan.

Serangan signifikan pada rantai pasokan—di mana pelanggaran terjadi pada satu sistem atau perangkat lunak yang dapat dengan mudah menyebar ke seluruh organisasi—yang menunjukkan dampak jangka panjang juga meningkat dan terjadi pada tahun 2021, para peneliti menemukan.

Tanpa menyebutkan namanya, tim Verizon mengutip sebagai contoh serangan rantai pasokan SolarWinds yang sekarang terkenal yang terjadi pada akhir tahun 2020 dan masih membuat perusahaan berebut untuk bereaksi terhadap dampak hingga tahun 2021.

Memang, “rantai pasokan bertanggung jawab atas 62 persen insiden penyusupan sistem tahun ini,” para peneliti melaporkan. Selain itu, tidak seperti aktor ancaman yang bermotivasi finansial, pelaku kejahatan ini sering kali adalah aktor yang disponsori negara yang lebih memilih untuk “melewati pelanggaran dan mempertahankan aksesnya,” mempertahankan kegigihan pada jaringan organisasi untuk beberapa waktu, kata peneliti.

Serangan ini sangat berbahaya karena, karena serangan dapat dimulai dengan satu perusahaan tetapi dengan cepat menyebar ke pelanggan dan mitranya, dapat ada begitu banyak korban yang terlibat, para peneliti.

Lebih lanjut, sering kali pelanggaran yang melewati rantai pasokan tidak ditemukan sampai lama setelah penyerang mendapatkan akses ke sistem organisasi, membuat potensi pelanggaran dan pencurian data dalam jangka panjang lebih mungkin terjadi.

Dua temuan kunci lagi dari laporan tersebut terkait dalam hal di mana letak tanggung jawab utama—seseorang baik di dalam maupun di luar organisasi yang melakukan kesalahan. Memang, kesalahan manusia terus menjadi tren dominan tentang bagaimana dan mengapa pelanggaran terjadi, para peneliti menemukan.

Faktanya, 82 persen dari pelanggaran yang dianalisis dalam DBIR pada tahun 2021 melibatkan apa yang oleh para peneliti disebut “elemen manusia, yang dapat berupa banyak hal, kata mereka.

“Apakah itu penggunaan kredensial yang dicuri, phishing, penyalahgunaan, atau hanya kesalahan, orang terus memainkan peran yang sangat besar dalam insiden dan pelanggaran,” tulis para peneliti.

Pakar keamanan mengungkapkan sedikit kejutan atas temuan “elemen manusia”, yang merupakan salah satu yang menjangkiti industri teknologi bahkan sebelum keamanan dan seluruh industri di sekitarnya menjadi kenyataan, kata seorang profesional keamanan.

Banyak kesalahan yang terjadi saat ini adalah hasil dari rekayasa sosial yang cerdik dari pihak penyerang, terutama dalam serangan phishing yang mengelabui orang agar mengklik file atau tautan berbahaya yang memungkinkan akses komputer atau memberikan kredensial pribadi yang dapat digunakan untuk menyusup ke sistem perusahaan , dia berkata.

Satu-satunya cara untuk mengatasi masalah keamanan yang disebabkan oleh kesalahan manusia adalah melalui pendidikan, apakah itu tentang kesalahan konfigurasi yang salah, pentingnya menambal, kredensial yang dicuri, dan atau hanya “kesalahan biasa, seperti ketika pengguna secara tidak sengaja mengirim email ke data orang yang salah,” kata Grimes.

Sumber: Threat Post

Cybergang Mengklaim REvil Kembali, Menjalankan Serangan DDoS

by

Aktor yang mengaku sebagai kelompok ransomware yang sudah mati menargetkan salah satu pelanggan Akami dengan serangan Layer 7, menuntut pembayaran pemerasan dalam Bitcoin.

Geng ransomware REvil yang mati mengklaim bertanggung jawab atas kampanye penolakan layanan terdistribusi (DDoS) baru-baru ini terhadap pelanggan perhotelan penyedia jaringan cloud Akamai. Namun, sangat mungkin serangan itu bukan kebangkitan kelompok penjahat dunia maya yang terkenal, tetapi operasi peniru, kata para peneliti.

Peneliti Akamai telah memantau serangan DDoS sejak 12 Mei, ketika seorang pelanggan memperingatkan Tim Tanggap Insiden Keamanan (SIRT) perusahaan tentang upaya serangan oleh kelompok yang mengaku terkait dengan REvil, Akamai mengungkapkan dalam sebuah posting blog Rabu.

Namun, sementara penyerang mengklaim sebagai REvil, tidak jelas saat ini apakah kelompok ransomware yang mati bertanggung jawab, karena upaya tersebut tampaknya lebih kecil daripada kampanye serupa sebelumnya yang diklaim oleh kelompok tersebut, kata para peneliti.

Tampaknya juga ada motivasi politik di balik kampanye DDoS, yang tidak konsisten dengan taktik REvil sebelumnya, di mana kelompok tersebut mengklaim bahwa itu dimotivasi semata-mata oleh keuntungan finansial.

REvil, yang menjadi gelap pada Juli 2021, adalah grup ransomware-as-a-service (RaaS) yang berbasis di Rusia yang terkenal dengan serangan profil tinggi terhadap Kaseya, JBS Foods, dan Apple Computer, antara lain.

Akhirnya, pada Maret 2022, Rusia—yang hingga saat itu tidak berbuat banyak untuk menggagalkan operasi REvil—mengklaim bertanggung jawab untuk sepenuhnya membubarkan kelompok tersebut atas permintaan pemerintah AS, dengan menahan anggota individunya.

Salah satu dari mereka yang ditangkap pada saat itu berperan penting dalam membantu kelompok ransomware DarkSide dalam serangan yang melumpuhkan pada Mei 2021 terhadap Colonial Pipeline, yang mengakibatkan perusahaan membayar uang tebusan sebesar $5 juta.

Serangan DDoS baru-baru ini—yang akan menjadi poros REvil—terdiri dari permintaan HTTP GET sederhana di mana jalur permintaan berisi pesan ke target yang berisi pesan 554-byte yang menuntut pembayaran, kata para peneliti. Lalu lintas dalam serangan pada Layer 7 jaringan—lapisan interaksi manusia-komputer tempat aplikasi mengakses layanan jaringan—memuncak pada 15 kRps.

Korban diarahkan untuk mengirim pembayaran BTC ke alamat dompet yang “saat ini tidak memiliki riwayat dan tidak terkait dengan BTC yang diketahui sebelumnya,” tulis Cashdollar.

Serangan itu juga memiliki permintaan geospesifik tambahan yang meminta perusahaan yang ditargetkan untuk menghentikan operasi bisnis di seluruh negara, katanya. Secara khusus, penyerang mengancam akan meluncurkan serangan lanjutan yang akan memengaruhi operasi bisnis global jika permintaan ini tidak dipenuhi dan uang tebusan tidak dibayarkan dalam jangka waktu tertentu.

Modus operandi khas REvil adalah untuk mendapatkan akses ke jaringan atau organisasi target dan mengenkripsi atau mencuri data sensitif, menuntut pembayaran untuk mendekripsi atau mencegah kebocoran informasi kepada penawar tertinggi atau mengancam pengungkapan publik atas informasi sensitif atau merusak, katanya.

Teknik yang terlihat dalam serangan DDoS “menyimpang dari taktik normal mereka,” tulis Cashdollar. “Geng REvil adalah penyedia RaaS, dan tidak ada ransomware dalam insiden ini,” tulisnya.

Namun, ada kemungkinan bahwa REvil sedang mencari kebangkitan dengan mencelupkan kakinya ke dalam model bisnis baru pemerasan DDoS, katanya. Apa yang lebih mungkin adalah bahwa penyerang dalam kampanye hanya menggunakan nama kelompok penjahat dunia maya yang terkenal untuk menakut-nakuti organisasi yang ditargetkan agar memenuhi tuntutan mereka, kata Cashdollar.

Sumber: Threat Post