Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / DDoS

DDoS

Serangan siber menyerang bank Ukraina dan situs web pemerintah

by

Beberapa situs web pemerintah Ukraina offline pada hari Rabu sebagai akibat dari serangan penolakan layanan yang didistribusikan secara massal, Mykhailo Fedorov, kepala Kementerian Transformasi Digital Ukraina, mengatakan di saluran Telegramnya.

Serangan, yang juga berdampak pada beberapa bank, dimulai sekitar pukul 4 sore. waktu setempat, menurut Fedorov. Dia tidak mengatakan bank mana yang diserang atau seberapa parah kerusakannya.

Situs web untuk Kementerian Luar Negeri Ukraina, Kabinet Menteri dan Rada, parlemen negara itu, termasuk di antara yang tidak aktif pada Rabu pagi waktu Timur. Situs-situs pemerintah sedang offline ketika para pejabat berusaha untuk mengalihkan lalu lintas di tempat lain untuk meminimalkan kerusakan, katanya.

Serangan DDoS adalah ketika seorang peretas membanjiri jaringan atau server korban dengan lalu lintas sehingga orang lain tidak dapat mengaksesnya.

Sumber serangan belum dikonfirmasi tetapi pemadaman terjadi karena Rusia terus menempatkan pasukan di sekitar perbatasan Ukraina. Pada hari Selasa, Presiden Joe Biden mengatakan Rusia telah memulai “invasi,” setelah Presiden Rusia Vladimir Putin memerintahkan pasukan ke dua wilayah memisahkan diri pro-Rusia di Ukraina timur, dan mengumumkan sanksi terhadap bank-bank Rusia, utang negara dan beberapa individu yang dekat dengan Rusia. pemerintah Rusia.

Seorang juru bicara Gedung Putih mengatakan kepada NBC News bahwa mereka “memantau dengan cermat” laporan tersebut.

Ukraina melaporkan serangan terpisah pekan lalu yang menghapus empat situs web pemerintah, menurut NBC News. Sekitar waktu yang sama, Polisi Cyber ​​Ukraina mengatakan banyak penduduk telah menerima pesan teks yang mengatakan bahwa ATM di negara itu tidak berfungsi, meskipun tidak jelas apakah ada ATM yang benar-benar terpengaruh, NBC News melaporkan.

Gedung Putih mengaitkan serangan sebelumnya dengan agen Rusia, meskipun Rusia membantah bertanggung jawab atas serangan minggu lalu di situs web pemerintah Ukraina.

Pejabat Gedung Putih pada hari Rabu mengatakan kepada NBC News, “kami menganggap insiden lebih lanjut ini konsisten dengan jenis kegiatan yang akan dilakukan Rusia dalam upaya untuk mengacaukan Ukraina. Kami sedang berkomunikasi dengan Ukraina mengenai kebutuhan terkait siber mereka, termasuk baru-baru ini.”

Seorang perwakilan untuk Kedutaan Besar Rusia di Washington, D.C., tidak segera menanggapi permintaan komentar.

Sumber : CNBC

Banjir lalu lintas sampah berbahaya membuat situs web Ukraina tidak dapat dijangkau

by

Kementerian Pertahanan Ukraina dan dua bank ditutup pada hari Selasa oleh banjir lalu lintas berbahaya yang dirancang untuk mencegah orang mengunjungi situs tersebut, kata pusat keamanan informasi Ukraina.

Serangan penolakan layanan terdistribusi menargetkan situs web untuk kementerian pertahanan Ukraina, Angkatan Bersenjata Ukraina, dan dua bank, Privatbank dan Oschadbank, Layanan Negara untuk Komunikasi Khusus dan Perlindungan Informasi negara itu melaporkan. Pada saat posting ini dilaporkan, situs Kementerian Pertahanan tetap tidak dapat dijangkau sama sekali. Sementara itu, hanya beranda PrivatBank yang tersedia, dan telah dirusak. Situs Oschadbank hanya menyediakan akses terbatas.

Banjir data berbahaya juga dilaporkan oleh polisi siber Ukraina, tetapi pada saat posting ini dilaporkan, upaya untuk mengunjungi sebagian besar situs web departemen tidak berhasil. Halaman beranda mengatakan: “Kami mohon maaf atas ketidaknyamanan ini. Situs ini sedang dalam pemeliharaan.”

Kampanye yang menggunakan DDoSes (kependekan dari distributed denial-of-service) mengirimkan arus lalu lintas sampah yang dimaksudkan untuk membanjiri target sehingga mereka tidak dapat memberikan layanan. DDoSes bisa sulit dihentikan karena dikirimkan oleh sejumlah besar perangkat yang didistribusikan di wilayah geografis yang luas. Mereka analog dengan membanjiri kedai pizza dengan begitu banyak panggilan sehingga tidak dapat menerima pesanan dari pelanggan.

Meskipun DDoS memiliki kapasitas untuk melumpuhkan situs web atau bahkan sebagian besar Internet, gangguan yang ditimbulkannya bersifat sementara dan biasanya hanya berlangsung selama pihak yang bertanggung jawab terus mengirimkan torrent atau hingga layanan mitigasi DDoS menyaring lalu lintas sampah.

Perusahaan pengamatan jaringan Kentik telah melacak lalu lintas Internet yang mengalir melalui Ukraina. Grafik menunjukkan DDoSes mulai hari Selasa, ketika volume lalu lintas ke berbagai target tiba-tiba melonjak berkali-kali lipat. AS28907, sistem otonom yang menampung Angkatan Darat Ukraina, dihantam oleh tiga gelombang, seperti yang ditunjukkan oleh dua gambar berikut:

Gambaran sederhana lalu lintas yang diterima.

AS60173 DAN AS15742, yang masing-masing menampung Oschadbank dan PrivatBank, mengalami banjir serupa:

DDoSes tiba saat Rusia telah mengumpulkan lebih dari 100.000 tentara di perbatasannya dengan Ukraina. Tidak ada bukti bahwa pemerintah atau warga Rusia berada di balik aksi siber, tetapi pernyataan dari Pusat Komunikasi Strategis dan Keamanan Informasi Ukraina yang diposting di Facebook mengisyaratkan siapa yang dicurigai.

Sumber : Arstechnica

Microsoft Mengurangi Rekor Serangan DDoS 3,47 Tbps pada Pengguna Azure

by

Microsoft mengatakan platform perlindungan Azure DDoS-nya mengurangi serangan penolakan terdistribusi 3,47 terabit per detik (Tbps) yang menargetkan pelanggan Azure dari Asia pada bulan November.

Dua serangan ukuran besar lainnya mengikuti ini pada bulan Desember, juga menargetkan pelanggan Asia Azure, serangan UDP 3,25 Tbps di pelabuhan 80 dan 443 dan banjir UDP 2,55 Tbps di pelabuhan 443.

Pada bulan November, Microsoft mengurangi serangan DDoS dengan throughput 3,47 Tbps dan tingkat paket 340 juta paket per detik (pps), menargetkan pelanggan Azure di Asia. Kami percaya ini adalah serangan terbesar yang pernah dilaporkan dalam sejarah,” kata Alethea Toh, manajer produk Jaringan Azure.

“Ini adalah serangan terdistribusi yang berasal dari sekitar 10.000 sumber dan dari berbagai negara di seluruh dunia, termasuk Amerika Serikat, China, Korea Selatan, Rusia, Thailand, India, Vietnam, Iran, Indonesia, dan Taiwan.”

Serangan 15 menit menggunakan beberapa vektor serangan untuk refleksi UDP pada port 80, termasuk:

  • Protokol Penemuan Layanan Sederhana (SSDP),
  • Connection-less Lightweight Directory Access Protocol (CLDAP),
  • Sistem Nama Domain (DNS),
  • Protokol Waktu Jaringan (NTP)

Serangan DDoS yang dilaporkan secara publik sebelumnya adalah serangan lapisan aplikasi 21,8 juta permintaan per detik (rrps) yang menghantam raksasa internet Rusia Yandex pada bulan Agustus dan serangan volumetrik 2,3 Tbps yang terdeteksi oleh Amazon Web Services Shield selama Q1 2020.

Insinyur Keandalan Keamanan Google Damian Menscher juga mengungkapkan dua tahun lalu bahwa Google mengurangi DDoS 2,54 Tbps pada tahun 2017.

“Serangan terbesar yang pernah dilaporkan dalam sejarah”

Serangan 3,47 Tbps November adalah yang terbesar yang harus dihadapi perusahaan hingga saat ini (dan kemungkinan pernah tercatat), setelah sebelumnya melaporkan bahwa mereka mengurangi rekor serangan 2,4 Tbps lainnya yang menargetkan pelanggan Azure Eropa selama akhir Agustus.

Microsoft melihat peningkatan serangan yang berlangsung lebih dari satu jam pada paruh kedua tahun 2021, sementara serangan multi-vektor seperti rekor yang dikurangi pada bulan November lazim terjadi.

Serangan DDoS yang lebih lama ini biasanya datang sebagai urutan serangan ledakan yang berumur pendek dan berulang dengan cepat meningkat (dalam hitungan detik) ke volume terabit.

“Game terus menjadi industri yang paling terpukul. Industri game selalu penuh dengan serangan DDoS karena pemain sering berusaha keras untuk menang,” tambah Toh.

“Konsentrasi serangan di Asia sebagian besar dapat dijelaskan oleh jejak permainan yang sangat besar, terutama di China, Jepang, Korea Selatan, Hong Kong, dan India, yang akan terus tumbuh karena penetrasi smartphone yang meningkat mendorong popularitas game mobile di Asia.”

Microsoft juga membela pelanggan terhadap serangan banjir TCP PUSH-ACK baru (dominan di kawasan Asia Timur) selama musim liburan 2021.

“Kami mengamati teknik manipulasi opsi TCP baru yang digunakan oleh penyerang untuk membuang muatan besar, dimana dalam variasi serangan ini, panjang opsi TCP lebih panjang dari header opsi itu sendiri,” kata Toh.

Sumber: Bleepingcomputer

Serangan DDoS pemerasan tumbuh lebih kuat dan lebih umum

by

Akhir tahun 2021 terjadi peningkatan jumlah insiden penolakan layanan terdistribusi yang datang dengan permintaan tebusan dari penyerang untuk menghentikan serangan tersebut.

Pada kuartal keempat tahun lalu, sekitar seperempat pelanggan Cloudflare yang menjadi target serangan DDoS mengatakan bahwa mereka menerima catatan tebusan dari pelaku.

Sebagian besar serangan ini terjadi pada Desember 2021, ketika hampir sepertiga pelanggan Cloudflare melaporkan menerima surat tebusan.

Menurut perusahaan, 2021 adalah saat sebagian besar serangan ini terjadi, dengan peningkatan 29% tahun-ke-tahun yang tercatat dan lompatan kuartal-ke-kuartal 175%.

Sekitar 200Gbps dan kemudian ditekuk menjadi lebih dari 500Gbps pada pertengahan September. Pada Februari 2021, perusahaan layanan keamanan internet Akamai melihat bagiannya dari tantangan berurusan dengan RDDoS 800Gbps yang menargetkan perusahaan perjudian di Eropa.

September lalu, seorang aktor ancaman menyebarkan RDDoS terhadap penyedia voice-over-Internet VoIP.ms, mengganggu layanan telepon karena server DNS perusahaan menjadi tidak dapat dijangkau.

Melihat alamat IP, sebagian besar insiden DDoS ini berasal dari China, AS, Brasil, dan India, yang disebarkan oleh bot seperti Meris, yang muncul tahun ini dengan serangan memecahkan rekor sebanyak 21,8 juta permintaan terhadap raksasa internet Rusia Yandex.

Tidak seperti DDoS lapisan aplikasi, yang menolak akses pengguna ke layanan, serangan DDoS lapisan jaringan menargetkan seluruh infrastruktur jaringan perusahaan yang mencoba untuk menghapus router dan server.

Salah satu serangan DDoS terbesar yang dimitigasi Cloudflare berlangsung selama 60 detik dan berasal dari botnet dengan 15.000 sistem yang melemparkan hampir 2Tbps paket sampah ke pelanggan, ini dikerahkan dari jaringan perangkat IoT yang berjalan dikompromikan oleh varian botnet Mirai.

Cloudflare mencatat bahwa banjir SYN tetap menjadi metode serangan yang populer. Protokol SNMP telah mengalami lonjakan dramatis hampir 6.000% dari satu kuartal ke kuartal lainnya, meskipun serangan DDoS berbasis UDP adalah vektor kedua yang paling banyak digunakan.

“Saat kami melihat vektor serangan yang muncul — yang membantu kami memahami vektor baru yang digunakan penyerang untuk meluncurkan serangan — kami mengamati lonjakan besar dalam serangan DDoS berbasis UDP, MSSQL, dan generik” – Cloudflare

Sumber : Bleeping Computer

Operasi Ransomware Yanluowang Tumbuh Dengan Afiliasi Berpengalaman

by

Afiliasi dari operasi ransomware Yanluowang yang baru-baru ini ditemukan memfokuskan serangannya pada organisasi AS di sektor keuangan menggunakan malware BazarLoader dalam tahap pengintaian.

Berdasarkan taktik, teknik, dan prosedur yang diamati, aktor ancaman berpengalaman dengan operasi ransomware-as-a-service (RaaS) dan dapat dikaitkan dengan kelompok Fivehands.

Koneksi ransomware Fivehands

Para peneliti di Symantec, sebuah divisi dari Broadcom Software, mencatat bahwa aktor tersebut telah mencapai target profil yang lebih tinggi di AS setidaknya sejak Agustus.

Selain lembaga keuangan, afiliasi ransomware Yanluowang juga menargetkan perusahaan di sektor manufaktur, layanan TI, konsultasi, dan teknik.

Melihat taktik, teknik, dan prosedur (TTP), para peneliti melihat kemungkinan hubungan dengan serangan yang lebih tua dengan Thieflock, operasi ransomware yang dikembangkan oleh kelompok Fivehands.

Fivehands ransomware sendiri relatif baru di skena ini, dikenal pada bulan April – pertama kali dalam laporan dari Mandiant, yang melacak pengembangnya sebagai UNC2447, dan kemudian saat dapat peringatan dari CISA.

Pada saat itu, Mandiant mengatakan bahwa UNC2447 menunjukkan “kemampuan canggih untuk menghindari deteksi dan meminimalkan forensik pasca-intrusi,” dan bahwa afiliasinya telah menyebarkan ransomware RagnarLocker.

Alat perdagangan

Setelah mendapatkan akses ke jaringan target, penyerang menggunakan PowerShell untuk mengunduh alat, seperti malware BazarLoader untuk membantu bergerak secara lateral.

BazarLoader dikirim ke target perusahaan oleh botnet TrickBot, yang juga menyebarkan ransomware Conti. Baru-baru ini, operator TrickBot mulai membantu membangun kembali botnet Emotet.

Aktor ancaman Yanluowang memungkinkan layanan desktop jarak jauh (RDP) dari registri dan menginstal alat ConnectWise untuk akses jarak jauh.

Para peneliti mengatakan bahwa afiliasi menemukan sistem yang menarik dengan alat AdFind – untuk query Active Directory, dan SoftPerfect Network Scanner – untuk menemukan nama host dan layanan jaringan.

Beberapa alat digunakan untuk mencuri kredensial dari browser (Firefox, Chrome, Internet Explorer) dari mesin yang dikompromikan: GrabFF, GrabChrome, BrowserPassView.

Peneliti Symantec juga memperhatikan bahwa penyerang menggunakan KeeThief untuk mencuri kunci utama untuk pengelola kata sandi KeePass, alat tangkapan layar, dan utilitas exfiltrasi data Filegrab.

Dalam laporan sebelumnya tentang serangan Yanluowang, perusahaan mengatakan bahwa peretas mengancam dengan serangan denial-of-service (DDoS) dan data wiping jika korban tidak memenuhi tuntutan.

Sumber: Bleepingcomputer

Pasar Dark Web Cannazon Tutup Setelah Serangan DDoS Besar-besaran

by

Cannazon, salah satu pasar web gelap terbesar untuk membeli produk ganja, ditutup pekan lalu setelah terkena serangan DDoS.

Seperti yang dijelaskan admin dalam pesan yang ditandatangani dengan kunci pasar PGP, mereka secara resmi pensiun dan mengklaim tidak menarik penipuan keluar pada vendor mereka.

Admin memposting pesan itu pada 23 November 2021, dan hari ini Cannazon offline, diduga selamanya.

Serangan DDoS menyebabkan penutupan

Situs ini terkena serangan DDoS (distributed denial of service) besar-besaran pada awal bulan, yang tidak biasa untuk pasar web gelap.

Admin mengurangi jumlah pesanan dan membuat pasar sebagian offline sementara waktu untuk mengurangi masalah, tetapi ini telah menciptakan desas-desus di masyarakat, takut akan penipuan keluar yang akan segera terjadi.

Dengan ditutupnya Cannazon, tidak mengherankan melihat situs lain dibuat menggunakan nama yang sama di bawah alamat Tor baru. Namun, ini kemungkinan akan dioperasikan oleh scammers yang ingin menipu anggota situs asli.

Munculnya situs klon palsu adalah hal biasa ketika platform web gelap yang besar dan terkenal offline.

Mengapa itu ide yang buruk</h4

Jika Anda berpikir bahwa membeli ganja dari dark web adalah cara mudah untuk menghindari undang-undang narkoba di negara Anda sambil tetap anonim di belakang VPN atau Tor, Anda mengabaikan sebagian besar risiko yang terlibat.

Pertama, sebagian besar platform ini, termasuk Cannazon dan CannaHome, beroperasi dengan keanggotaan. Dengan demikian, semua pengguna memberikan beberapa remah-remah info selama pendaftaran. Jika server mereka akhirnya jatuh ke tangan penegak hukum, pembeli dapat diidentifikasi.

Kedua, kemungkinan mendapatkan scammed ketika menempatkan pesanan selalu tinggi, bahkan di pasar di mana admin menjanjikan tingkat keamanan perdagangan yang tinggi.

Ketiga, obat apa pun yang dikirim kepada Anda mungkin dicampur dengan zat beracun berbahaya atau benar-benar berbeda dari apa yang Anda pikir Anda bayar. Dengan demikian, mengkonsumsinya dapat menimbulkan risiko serius bagi kesehatan Anda.

Akhirnya, membeli obat-obatan secara online adalah ilegal di banyak negara dan dapat menyebabkan denda dan kemungkinan hukuman penjara.

Sumber: Bleepingcomputer

Peneliti memperingatkan risiko parah dari serangan printer ‘Printjack’

by

Sebuah tim peneliti Italia telah menyusun serangkaian tiga serangan yang disebut ‘Printjack’, memperingatkan pengguna tentang konsekuensi signifikan dari terlalu mempercayai printer mereka.

Serangan tersebut termasuk merekrut printer di kawanan DDoS, memaksakan status DoS kertas, dan melakukan pelanggaran privasi.

Seperti yang ditunjukkan oleh para peneliti, printer modern masih rentan terhadap kelemahan dasar dan tertinggal dari IoT dan perangkat elektronik lainnya yang mulai sesuai dengan keamanan siber dan persyaratan privasi data.

Dengan mengevaluasi potensi serangan dan tingkat risiko, para peneliti menemukan ketidakpatuhan terhadap persyaratan GDPR dan ISO/IEC 27005:2018 (kerangka kerja untuk mengelola risiko siber).

Kurangnya keamanan built-in ini sangat bermasalah ketika mempertimbangkan bagaimana printer di mana-mana, digunakan di lingkungan kritis, perusahaan, dan organisasi dari semua ukuran.

Sebuah makalah berjudul ‘You Overtrust Your Printer’ oleh Giampaolo Bella dan Pietro Biondi menjelaskan bagaimana Shodan digunakan untuk memindai negara-negara Eropa untuk perangkat dengan port TCP 9100 yang dapat diakses publik, biasanya digunakan untuk pekerjaan printing TCP/IP raw.

Pencarian ini menghasilkan puluhan ribu IP yang menanggapi permintaan port, dengan Jerman, Rusia, Prancis, Belanda, dan Inggris memiliki perangkat yang paling terbuka.

Jenis serangan Printjack pertama adalah merekrut printer dalam gerombolan DDoS, dan pelaku ancaman dapat melakukannya dengan memanfaatkan kerentanan RCE yang diketahui dengan PoC yang tersedia untuk umum.

Para peneliti menggunakan CVE-2014-3741 sebagai contoh tetapi menggarisbawahi bahwa setidaknya beberapa lusin kerentanan lain tersedia di database MITRE.

Printer yang menjadi korban serangan ini cenderung tidak responsif, mengkonsumsi lebih banyak daya, dan lebih cepat panas, sementara elektronik mereka akan mengalami kerusakan yang lebih cepat.

Serangan kedua adalah ‘serangan DoS kertas’ yang dilakukan dengan mengirimkan tugas cetak berulang-ulang hingga korban kehabisan kertas dari semua baki.

Situasi ini tidak terdengar seperti malapetaka, tetapi masih dapat menyebabkan gangguan bisnis, jadi ini bukan tentang biaya tinta dan kertas tetapi waktu henti layanan dan respons insiden.

Para peneliti menjelaskan bahwa serangan ini mudah dilakukan dengan menulis skrip Python sederhana yang dieksekusi di dalam jaringan target, menciptakan loop pekerjaan pencetakan yang berulang ribuan kali.

Dalam jenis serangan Printjack yang paling parah, ada potensi untuk melakukan serangan “man in the middle” dan menguping konten yang dicetak.

Karena tidak ada data pencetakan yang dikirim dalam bentuk terenkripsi, jika penyerang mengeksploitasi kerentanan pada jaringan printer, mereka secara teoritis dapat mengambil data dalam bentuk teks biasa.

Selengkapnya: Bleeping Computer

Microsoft Mengatakan Telah Memitigasi Salah Satu Serangan DDoS Terbesar Yang Pernah Ada

by

Microsoft mengatakan mampu mengurangi serangan Distributed Denial-of-Service (DDoS) 2,4Tbps pada bulan Agustus. Serangan tersebut menargetkan pelanggan Azure di Eropa dan 140 persen lebih tinggi dari volume bandwidth serangan tertinggi yang dicatat Microsoft pada tahun 2020.

Ini juga melebihi volume lalu lintas puncak 2,3Tbps yang diarahkan ke Amazon Web Services tahun lalu, meskipun itu adalah serangan yang lebih kecil daripada 2,54Tbps yang dimitigasi Google pada tahun 2017.

Microsoft mengatakan serangan itu berlangsung lebih dari 10 menit, dengan ledakan lalu lintas berumur pendek yang memuncak pada 2,4Tbps, 0,55Tbps, dan akhirnya 1,7Tbps.

Serangan DDoS biasanya digunakan untuk memaksa situs web atau layanan offline, berkat banjir lalu lintas yang tidak dapat ditangani oleh host web.

Mereka biasanya dilakukan melalui botnet, jaringan mesin yang telah disusupi menggunakan malware atau perangkat lunak berbahaya untuk mengontrolnya dari jarak jauh. Azure dapat tetap online selama serangan, berkat kemampuannya menyerap puluhan terabit serangan DDoS.

Sementara jumlah serangan DDoS telah meningkat pada tahun 2021 di Azure, serangan maksimum secara keseluruhan telah menurun menjadi 625Mbps sebelum serangan 2,4Tbps ini pada minggu terakhir bulan Agustus.

Microsoft tidak menyebutkan nama pelanggan Azure di Eropa yang menjadi sasaran, tetapi serangan semacam itu juga dapat digunakan sebagai perlindungan untuk serangan sekunder yang berupaya menyebarkan malware dan menyusup ke sistem perusahaan.