Linux

Ransomware Black Basta versi Linux menargetkan server VMware ESXi

June 8, 2022 by Mally

Black Basta adalah geng ransomware terbaru yang menambahkan dukungan untuk mengenkripsi mesin virtual (VM) VMware ESXi yang berjalan di server Linux perusahaan.

Sebagian besar grup ransomware sekarang memfokuskan serangan mereka pada VM ESXi karena taktik ini selaras dengan penargetan perusahaan mereka. Ini juga memungkinkan untuk memanfaatkan enkripsi yang lebih cepat dari beberapa server dengan satu perintah.

Mengenkripsi VM masuk akal karena banyak perusahaan baru-baru ini bermigrasi ke mesin virtual karena memungkinkan pengelolaan perangkat yang lebih mudah dan penggunaan sumber daya yang jauh lebih efisien.

Dalam sebuah laporan baru, analis Uptycs Threat Research mengungkapkan bahwa mereka melihat binari ransomware Black Basta baru yang secara khusus menargetkan server VMWare ESXi.

Encryptor ransomware Linux bukanlah hal baru, dan BleepingComputer telah melaporkan encryptor serupa yang dirilis oleh beberapa geng lain, termasuk LockBit, HelloKitty, BlackMatter, REvil, AvosLocker, RansomEXX, dan Hive.

Seperti encryptor Linux lainnya, biner ransomware Black Basta akan mencari /vmfs/volumes tempat mesin virtual disimpan di server ESXi yang disusupi (jika tidak ada folder seperti itu yang ditemukan, ransomware akan keluar).

Ransomware menggunakan algoritma ChaCha20 untuk mengenkripsi file. Ini juga memanfaatkan multithreading untuk menggunakan banyak prosesor dan mempercepat proses enkripsi.

Saat mengenkripsi, ransomware akan menambahkan ekstensi .basta ke nama file terenkripsi dan membuat catatan tebusan bernama readme.txt di setiap folder.

Catatan tersebut menyertakan tautan ke panel dukungan obrolan dan ID unik yang dapat digunakan korban untuk berkomunikasi dengan penyerang.

Catatan tebusan Black Basta Linux (BleepingComputer)

“Berdasarkan tautan dukungan obrolan dan ekstensi file terenkripsi, kami percaya bahwa aktor di balik kampanye ini adalah sama yang menargetkan sistem Windows sebelumnya dengan ransomware Black Basta.”

Ransomware Black Basta pertama kali terlihat di alam liar pada minggu kedua bulan April, saat operasi tersebut dengan cepat meningkatkan serangannya yang menargetkan perusahaan di seluruh dunia.

Meskipun tuntutan tebusan geng cenderung bervariasi antara korban, BleepingComputer tahu setidaknya satu yang menerima permintaan lebih dari $ 2 juta untuk decryptor dan untuk menghindari kebocoran data online.

Meskipun tidak banyak lagi yang diketahui tentang geng ransomware baru, ini mungkin bukan operasi baru melainkan perubahan citra karena kemampuan mereka yang ditunjukkan untuk dengan cepat menembus korban baru dan gaya negosiasi (mungkin perubahan citra operasi ransomware Conti).

CTO Emsisoft Fabian Wosar sebelumnya telah memberi tahu bahwa geng ransomware lain (selain yang kami laporkan), termasuk Babuk, RansomExx/Defray, Mespinoza, GoGoogle, Snatch, PureLocker, dan DarkSide, juga telah mengembangkan dan menggunakan enkripsi Linux mereka sendiri.

Sumber: Bleeping Computer

Ransomware Linux ‘Cheers’ baru menargetkan server VMware ESXi

May 27, 2022 by Mally

Ransomware baru bernama ‘Cheers’ telah muncul di ruang kejahatan dunia maya dan telah memulai operasinya dengan menargetkan server VMware ESXi yang rentan.

VMware ESXi adalah platform virtualisasi yang biasa digunakan oleh organisasi besar di seluruh dunia, jadi mengenkripsi mereka biasanya menyebabkan gangguan parah pada operasi bisnis.

Kami telah melihat banyak grup ransomware yang menargetkan platform VMware ESXi di masa lalu, dengan tambahan terbaru adalah LockBit dan Hive.

Penambahan ransomware Cheers ke klub ditemukan oleh analis di Trend Micro, yang menyebut varian baru ‘Cheerscrypt’.

Setelah server VMware ESXi disusupi, pelaku ancaman meluncurkan encryptor, yang secara otomatis akan menghitung mesin virtual yang sedang berjalan dan mematikannya menggunakan perintah esxcli berikut.

esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep ‘World ID’|awk ‘{print $3}’)

Saat mengenkripsi file, ia secara khusus mencari file dengan ekstensi .log, .vmdk, .vmem, .vswp, dan .vmsn berikut. Ekstensi file ini terkait dengan snapshot ESXi, file log, file swap, file paging, dan disk virtual.

Setiap file terenkripsi akan memiliki ekstensi “.Cheers” yang ditambahkan ke nama filenya. Anehnya, penggantian nama file terjadi sebelum enkripsi, jadi jika izin akses untuk mengubah nama file ditolak, enkripsi akan gagal, tetapi file akan tetap diganti namanya.

Skema enkripsi menggunakan sepasang kunci publik dan pribadi untuk mendapatkan kunci rahasia (SOSEMANUK stream cipher) dan menyematkannya di setiap file terenkripsi. Kunci pribadi yang digunakan untuk membuat kunci rahasia dihapus untuk mencegah pemulihan.

Saat memindai folder untuk file yang akan dienkripsi, ransomware akan membuat catatan tebusan bernama ‘Cara Mengembalikan File Anda.txt’ di setiap folder.

Catatan tebusan ini mencakup informasi tentang apa yang terjadi pada file korban dan tautan ke situs kebocoran data Tor operasi ransomware dan situs negosiasi tebusan.

Setiap korban memiliki situs Tor unik untuk negosiasi mereka, tetapi URL situs kebocoran data Onion bersifat statis.

Cheers uang tebusan untuk para korban
Sumber: BleepingComputer

Berdasarkan penelitian BleepingComputer ke dalam operasi baru, tampaknya telah diluncurkan pada Maret 2022.

BleepingComputer menemukan kebocoran data dan pemerasan korban situs Onion untuk operasi ransomware Cheers, yang saat ini hanya mencantumkan empat korban.

Namun, keberadaan portal ini menunjukkan bahwa Cheers melakukan eksfiltrasi data selama serangan dan menggunakan data yang dicuri dalam serangan pemerasan ganda.

Kebocoran data Cheer situs Bawang
Sumber: BleepingComputer

Berdasarkan catatan tebusan yang kami periksa, pelaku ancaman memberi korbannya tiga hari untuk mengakses situs Tor yang disediakan untuk menegosiasikan pembayaran tebusan sebagai ganti kunci dekripsi yang berfungsi.

Jika korban tidak membayar uang tebusan, pelaku ancaman mengatakan mereka akan menjual data yang dicuri ke penjahat lain.

Jika tidak ada yang tertarik untuk membeli data, data tersebut akan dipublikasikan di portal kebocoran dan diekspos ke klien, kontraktor, otoritas perlindungan data, pesaing, dan pelaku ancaman lainnya.

Sumber: Bleeping Computer

Microsoft mendeteksi lonjakan besar dalam aktivitas malware XorDDoS Linux

May 20, 2022 by Mally

Malware tersembunyi dan modular yang digunakan untuk meretas perangkat Linux dan membangun botnet DDoS telah mengalami peningkatan aktivitas yang sangat besar sebesar 254% selama enam bulan terakhir, seperti yang diungkapkan Microsoft hari ini.

Malware ini (aktif setidaknya sejak 2014) dikenal sebagai XorDDoS (atau XOR DDoS) karena penggunaan enkripsi berbasis XOR saat berkomunikasi dengan server perintah-dan-kontrol (C2) dan digunakan untuk meluncurkan penolakan layanan terdistribusi (DDoS) serangan.

Seperti yang diungkapkan perusahaan, keberhasilan botnet kemungkinan karena penggunaan ekstensif berbagai taktik penghindaran dan ketekunan yang memungkinkannya tetap tersembunyi dan sulit dihilangkan.

XorDDoS dikenal untuk menargetkan banyak arsitektur sistem Linux, dari ARM (IoT) hingga x64 (server), dan mengorbankan yang rentan dalam serangan brute force SSH.

Untuk menyebar ke lebih banyak perangkat, ia menggunakan skrip shell yang akan mencoba masuk sebagai root menggunakan berbagai kata sandi terhadap ribuan sistem yang terpapar Internet hingga akhirnya menemukan kecocokan.

Selain meluncurkan serangan DDoS, operator malware menggunakan botnet XorDDoS untuk menginstal rootkit, mempertahankan akses ke perangkat yang diretas, dan, kemungkinan, menjatuhkan muatan berbahaya tambahan.

Peningkatan besar dalam aktivitas XorDDoS yang dideteksi Microsoft sejak Desember sejalan dengan laporan oleh perusahaan keamanan siber CrowdStrike yang mengatakan bahwa malware Linux telah mengalami pertumbuhan 35% selama tahun 2021 dibandingkan tahun sebelumnya.

XorDDoS, Mirai, dan Mozi adalah keluarga yang paling umum, terhitung 22% dari semua serangan malware yang menargetkan perangkat Linux yang diamati pada tahun 2021.

Dari ketiganya, CrowdStrike mengatakan bahwa XorDDoS mengalami peningkatan signifikan dari tahun ke tahun sebesar 123%, sementara Mozi memiliki pertumbuhan aktivitas yang eksplosif, dengan sepuluh kali lebih banyak sampel terdeteksi di alam liar sepanjang tahun lalu.

Laporan Februari 2021 dari Intezer juga mengungkapkan bahwa keluarga malware Linux meningkat sekitar 40% pada tahun 2020 dibandingkan dengan 2019.

Sumber: Bleeping Computer

Microsoft: Botnet Sysrv menargetkan server Windows, Linux dengan eksploitasi baru

May 17, 2022 by Mally

Microsoft mengatakan botnet Sysrv sekarang mengeksploitasi kerentanan di Spring Framework dan WordPress untuk menjerat dan menyebarkan malware cryptomining pada server Windows dan Linux yang rentan.

Redmond menemukan varian baru (dilacak sebagai Sysrv-K) yang telah ditingkatkan dengan lebih banyak kemampuan, termasuk memindai penyebaran WordPress dan Spring yang belum ditambal.

“Kerentanan ini, yang semuanya telah diatasi oleh pembaruan keamanan, termasuk kerentanan lama di plugin WordPress, serta kerentanan yang lebih baru seperti CVE-2022-22947.”

CVE-2022-22947 adalah kerentanan injeksi kode di library Spring Cloud Gateway yang dapat disalahgunakan untuk eksekusi kode jarak jauh pada host yang belum ditambal.

Sebagai bagian dari kemampuan yang baru ditambahkan ini, Sysrv-K memindai file konfigurasi WordPress dan cadangannya untuk mencuri kredensial basis data, yang kemudian digunakan untuk mengambil alih server web.

Pertama kali ditemukan oleh peneliti keamanan Alibaba Cloud (Aliyun) pada Februari setelah aktif sejak Desember 2020, malware ini juga mendarat di radar peneliti keamanan di Lacework Labs dan Juniper Threat Labs menyusul lonjakan aktivitas di bulan Maret.

Seperti yang mereka amati, Sysrv memindai Internet untuk server perusahaan Windows dan Linux yang rentan dan menginfeksi mereka dengan penambang Monero (XMRig) dan muatan malware yang menyebar sendiri.

Untuk meretas masuk ke server web ini, botnet mengeksploitasi kelemahan dalam aplikasi web dan database, seperti PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic, dan Apache Struts.

Setelah membunuh penambang cryptocurrency yang bersaing dan menyebarkan muatannya sendiri, Sysrv juga menyebar secara otomatis melalui jaringan melalui serangan brute force menggunakan kunci pribadi SSH yang dikumpulkan dari berbagai lokasi di server yang terinfeksi (mis., riwayat bash, konfigurasi ssh, dan file known_hosts).

Komponen propagator botnet akan secara agresif memindai Internet untuk sistem Windows dan Linux yang lebih rentan untuk ditambahkan ke pasukan bot penambangan Monero.

Sysrv sepenuhnya mengkompromikan mereka menggunakan eksploitasi yang menargetkan injeksi kode jarak jauh atau kerentanan eksekusi yang memungkinkannya mengeksekusi kode berbahaya dari jarak jauh.

Sumber: Bleeping Computer

BPFdoor: Malware Linux siluman melewati firewall untuk akses jarak jauh

May 13, 2022 by Mally

Malware backdoor yang baru-baru ini ditemukan bernama BPFdoor telah diam-diam menargetkan sistem Linux dan Solaris tanpa diketahui selama lebih dari lima tahun.

BPFdoor adalah backdoor Linux/Unix yang memungkinkan pelaku ancaman untuk terhubung dari jarak jauh ke shell Linux untuk mendapatkan akses penuh ke perangkat yang disusupi.

Malware tidak perlu membuka port, tidak dapat dihentikan oleh firewall, dan dapat merespons perintah dari alamat IP mana pun di web, menjadikannya alat yang ideal untuk spionase perusahaan dan serangan terus-menerus.

BPFdoor adalah backdoor pasif, artinya dapat mendengarkan pada satu atau lebih port untuk paket masuk dari satu atau lebih host, yang dapat digunakan penyerang untuk mengirim perintah dari jarak jauh ke jaringan yang disusupi.

Malware menggunakan Berkeley Packet Filter (BPF dalam nama pintu belakang), yang bekerja pada antarmuka lapisan jaringan yang dapat melihat semua lalu lintas jaringan dan mengirim paket pengiriman ke tujuan mana pun.

Karena posisinya pada tingkat yang rendah, BPF tidak mematuhi aturan firewall apa pun.

Ini memiliki versi untuk sistem Linux dan Solaris SPARC tetapi dapat juga di-porting ke BSD, BleepingComputer belajar dari Craig Rowland, pendiri Sandfly Security, sebuah perusahaan yang menawarkan solusi tanpa agen untuk melindungi sistem Linux.

BPFdoor hanya mem-parsing paket ICMP, UDP, dan TCP, memeriksanya untuk nilai data tertentu, dan juga kata sandi untuk dua jenis paket terakhir.

Apa yang membuat BPFDoor menonjol adalah ia dapat memantau port mana pun untuk paket ajaib, bahkan jika port tersebut digunakan oleh layanan sah lainnya, seperti server web, FTP, atau SSH.

Jika paket TCP dan UDP memiliki data “ajaib” yang tepat dan kata sandi yang benar, pintu belakang akan beraksi dengan menjalankan perintah yang didukung, seperti menyiapkan pengikatan atau shell terbalik.

Beaumont memberi tahu kami bahwa paket ICMP tidak memerlukan kata sandi, yang memungkinkannya memindai internet untuk menjalankan implan pintu BPF menggunakan fungsi ping.

Peneliti dapat menemukan aktivitas BPFdoor di jaringan organisasi di berbagai geografi, terutama AS, Korea Selatan, Hong Kong, Turki, India, Vietnam, dan Myanmar.

Anehnya, ia menemukan 11 server Speedtest yang terinfeksi BPFdoor. Peneliti mengatakan bahwa tidak jelas bagaimana mesin ini disusupi, terutama karena mereka berjalan pada perangkat lunak sumber tertutup.

Rowland mencatat dalam laporan teknis komprehensif di BPFdoor bahwa malware menggunakan beberapa taktik anti-penghindaran yang cerdas: Selengkapnya

Peneliti mengatakan bahwa tujuan dari tanggal palsu bisa untuk menyembunyikan malware dari pencarian mencari file baru di sistem.

Mengubah aturan firewall sangat penting karena memungkinkan penyerang untuk berkomunikasi dengan pintu belakang melalui lalu lintas yang tidak dapat ditandai oleh firewall sebagai mencurigakan.

Rowland menjelaskan bahwa ketika host yang terinfeksi menerima paket BPFdoor khusus, malware “akan menelurkan instance baru dan mengubah aturan iptables lokal untuk melakukan pengalihan dari host yang meminta ke port shell.”

Untuk lebih memperjelas, Rowland mengatakan bahwa untuk shell lokal, malware memodifikasi konfigurasi ‘iptables’ untuk mengarahkan semua lalu lintas yang datang dari penyerang melalui port yang sah ke kisaran port yang ditentukan dalam malware.

Dengan cara ini, penyerang dapat memilih koneksi melalui port mana pun karena akan dialihkan ke shell di belakang firewall.

Analisis teknis lain pada BPFdoor dari Tristan Pourcelot dari perusahaan intelijen ancaman dan respons insiden ExaTrack, mencatat bahwa malware tersebut hadir dengan beberapa nama hardcode yang cocok dengan string perintah di dalam paket yang relevan:

justtryit, justrobot, dan justforfun untuk membuat shell pengikatan pada port 42391 hingga 42491
socket atau sockettcp untuk mengatur shell terbalik ke alamat IP yang ada dalam paket

Pourcelot mengatakan bahwa aktor ancaman memperbarui BPFdoor secara teratur, meningkatkan setiap rilis dengan nama yang berbeda untuk perintah, proses, atau file.

Misalnya, varian implan yang lebih baru beralih dari menggunakan kata kunci perintah ke hash MD5, kemungkinan dalam upaya untuk menghindari deteksi sepele.

Setidaknya ada 21 versi BPFdoor yang saat ini terdeteksi di platform pemindaian Virus Total, yang paling awal dikirimkan pada Agustus 2018.

Sementara tingkat deteksi untuk implan ini meningkat, terutama setelah Beaumont, Rowland, dan Pourcelot mempublikasikan temuan mereka, malware tersebut hampir tidak terlihat untuk waktu yang lama.

Satu varian BPFdoor untuk Solaris dari 2019 tidak terdeteksi hingga setidaknya 7 Mei ini. Saat ini, 28 mesin antivirus menandainya sebagai berbahaya.

Dalam beberapa kasus, pendeteksian bersifat umum dan secara tidak akurat menandai varian Solaris di atas sebagai malware Linux, meskipun itu bukan biner Linux.

Tristan Pourcelot mengatakan bahwa meskipun BPFdoor tidak menggunakan teknik baru atau rumit, BPFdoor masih tetap tersembunyi untuk waktu yang lama.

Ini dapat dijelaskan oleh fakta bahwa teknologi pemantauan malware tidak umum di lingkungan Linux seperti di Windows. Juga, “vendor memiliki visibilitas yang jauh lebih sedikit,” kata Beaumont

Craig Rowland setuju bahwa ini adalah masalah besar. Bahkan jika ada pemantauan, orang tidak tahu apa yang harus dicari atau menggunakan pendekatan yang salah untuk menemukan malware Linux.

Peneliti memberi tahu kami bahwa beberapa administrator menggunakan hash kriptografis untuk memindai sistem dari malware atau file berbahaya. Ini tidak berfungsi dengan baik karena perubahan terkecil dalam file menghasilkan hash baru.

Rowland mengatakan bahwa berburu BPFdoor itu mudah, setidaknya untuk versi Linux yang dia analisis, karena taktiknya dengan jelas menunjukkan bahwa mereka “hanya berbahaya di luar kotak.”

Kode sumber untuk BPFdoor versi lama dari 2018 telah ditemukan oleh Florian Roth, pencipta pemindai THOR APT Sistem Nextron. Kode sekarang tersedia untuk umum di Pastebin.

Para peneliti BleepingComputer berbicara tentang BPFdoor tidak mengaitkan malware dengan aktor ancaman apa pun. Namun dalam laporan tahunan tentang ancaman siber, peneliti dari PricewaterhouseCoopers (PwC) mencatat bahwa mereka menemukan implan pintu BPF selama keterlibatan respons insiden.

PwC mengaitkan intrusi tersebut dengan aktor berbasis di China yang mereka lacak sebagai Red Menshen (sebelumnya Red Dev 18), yang telah menggunakan BPFdoor pada “penyedia telekomunikasi di seluruh Timur Tengah dan Asia, serta entitas di pemerintahan, pendidikan, dan logistik. sektor.”

Selama penyelidikan, peneliti PwC menemukan bahwa pada tahap pasca-eksploitasi serangan mereka, Red Menshen menggunakan varian khusus dari pintu belakang Mangzamel dan alat akses jarak jauh (RAT) Gh0st bersama dengan alat sumber terbuka seperti Mimikatz (untuk mengekstrak kredensial) dan Metasploit suite pengujian penetrasi, untuk gerakan lateral pada sistem Windows.

Para peneliti mencatat bahwa aktivitas Red Menshen berlangsung dalam interval waktu sembilan jam, antara pukul 01:00 dan 10:00 UTC, yang mungkin sejalan dengan jam kerja lokal.

Sumber: Bleeping Computer

Bug Linux baru memberikan akses root di semua distro utama

March 8, 2022 by Mally

Kerentanan Linux baru yang dikenal sebagai ‘Dirty Pipe’ memungkinkan pengguna lokal untuk mendapatkan hak akses root melalui eksploitasi yang tersedia untuk umum.

Peneliti keamanan Max Kellermann secara bertanggung jawab mengungkapkan kerentanan ‘Dirty Pipe’ dan menyatakan bahwa itu mempengaruhi Linux Kernel 5.8 dan versi yang lebih baru, bahkan pada perangkat Android.

Kerentanan dilacak sebagai CVE-2022-0847 dan memungkinkan pengguna yang tidak memiliki hak istimewa untuk menyuntikkan dan menimpa data dalam file read-only, termasuk proses SUID yang berjalan sebagai root.

Kellerman menyatakan bahwa kerentanan tersebut mirip dengan kerentanan Dirty COW (CVE-2016-5195) yang diperbaiki pada tahun 2016.

Sebagai bagian dari pengungkapan Dirty Pipe, Kellerman merilis eksploit proof-of-concept (PoC) yang memungkinkan pengguna lokal untuk memasukkan data mereka sendiri ke dalam file read-only yang sensitif, menghapus batasan atau memodifikasi konfigurasi untuk memberikan akses yang lebih besar.

Misalnya, peneliti keamanan Phith0n mengilustrasikan bagaimana mereka dapat menggunakan exploit untuk memodifikasi file /etc/passwd sehingga pengguna root tidak memiliki kata sandi. Setelah perubahan ini dibuat, pengguna yang tidak memiliki hak istimewa cukup menjalankan perintah ‘su root’ untuk mendapatkan akses ke akun root.

Namun, eksploitasi yang diperbarui oleh peneliti keamanan BLASTY juga dirilis secara publik hari ini yang membuatnya lebih mudah untuk mendapatkan hak akses root dengan menambal perintah /usr/bin/su untuk menjatuhkan shell root di /tmp/sh dan kemudian menjalankan skrip.

Setelah dieksekusi, pengguna mendapatkan hak akses root, seperti yang ditunjukkan oleh BleepingComputer di bawah ini di Ubuntu 20.04.3 LTS yang menjalankan kernel generik 5.13.0-27.

Kerentanan tersebut diungkapkan secara bertanggung jawab kepada berbagai pengelola Linux mulai 20 Februari 2022, termasuk tim keamanan kernel Linux dan Tim Keamanan Android.

Sementara bug telah diperbaiki di kernel Linux 5.16.11, 5.15.25, dan 5.10.102, banyak server terus menjalankan kernel usang yang membuat rilis eksploitasi ini menjadi masalah signifikan bagi administrator server.

Sumber: Bleeping Computer

Ransomware LockBit versi Linux menargetkan server VMware ESXi

January 27, 2022 by Mally

Geng ransomware kini telah mengembangkan taktik mereka untuk membuat enkripsi Linux yang secara khusus menargetkan platform virtualisasi VMware vSphere dan ESXi yang populer selama setahun terakhir.

Meskipun ESXi tidak sepenuhnya Linux, ia memiliki banyak karakteristik yang sama, termasuk kemampuan untuk menjalankan executable ELF64 Linux.

Pada bulan Oktober, LockBit mulai mempromosikan fitur baru dari operasi Ransomware-as-a-Service mereka di forum peretasan RAMP, termasuk encryptor Linux baru yang menargetkan mesin virtual VMware ESXi.

Peneliti Trend Micro menganalisis encryptor Linux geng ransomware dan menjelaskan bagaimana itu digunakan untuk menargetkan instalasi VMWare ESXi dan vCenter.

Seperti encryptor Linux lainnya, LockBits menyediakan antarmuka baris perintah yang memungkinkan afiliasi untuk mengaktifkan dan menonaktifkan berbagai fitur untuk menyesuaikan serangan mereka.

Argumen baris perintah enkripsi LockBit Linux
Sumber: Trend Micro

Yang membuat encryptor linux LockBit menonjol adalah penggunaan luas utilitas baris perintah VMware ESXI dan VMware vCenter untuk memeriksa mesin virtual apa yang sedang berjalan dan untuk mematikannya dengan bersih sehingga tidak rusak saat dienkripsi.

Trend Micro menyatakan bahwa encryptor menggunakan AES untuk mengenkripsi file dan algoritma elliptic-curve cryptography (ECC) untuk mengenkripsi kunci dekripsi.

Dengan meluasnya penggunaan VMware ESXI di perusahaan, semua pembela jaringan dan profesional keamanan harus mengharapkan bahwa setiap operasi ransomware besar telah mengembangkan varian Linux.

Dengan membuat asumsi ini, admin dan profesional keamanan dapat membuat pertahanan dan rencana yang sesuai untuk melindungi semua perangkat di jaringan mereka, bukan hanya perangkat Windows.

Hal ini terutama berlaku untuk operasi LockBit, yang telah menjadi operasi ransomware paling menonjol sejak REvil ditutup dan membanggakan kecepatan dan rangkaian fitur enkripsinya.

Penting juga untuk diingat bahwa sebanyak kita menonton geng ransomware, mereka juga mengawasi kita kembali.

Ini berarti bahwa mereka memantau umpan sosial peneliti dan jurnalis untuk taktik, pertahanan, dan kerentanan terbaru yang kemudian dapat mereka gunakan terhadap target perusahaan.

Selengkapnya : Bleeping Computer

Bug Linux Memberikan Root pada Semua Distro Utama, Eksploitasi Dirilis

January 26, 2022 by Mally

Kerentanan dalam komponen pkexec Polkit yang diidentifikasi sebagai CVE-2021-4034 (PwnKit) hadir dalam konfigurasi default semua distribusi Linux utama dan dapat dimanfaatkan untuk mendapatkan hak istimewa root penuh pada sistem, para peneliti memperingatkan hari ini.

CVE-2021-4034 telah diberi nama PwnKit dan asal-usulnya telah dilacak ke komitmen awal pkexec, lebih dari 12 tahun yang lalu, yang berarti bahwa semua versi Polkit terpengaruh.

Bagian dari kerangka aplikasi open-source Polkit yang menegosiasikan interaksi antara proses istimewa dan tidak mampu, pkexec memungkinkan pengguna yang berwenang untuk menjalankan perintah sebagai pengguna lain, dua kali lipat sebagai alternatif untuk sudo.

Mudah dieksploitasi, PoC diharapkan segera

Para peneliti di perusahaan keamanan informasi Qualys menemukan bahwa program pkexec dapat digunakan oleh penyerang lokal untuk meningkatkan hak istimewa untuk membasmi instalasi default Ubuntu, Debian, Fedora, dan CentOS.

Mereka memperingatkan bahwa PwnKit kemungkinan dapat dieksploitasi pada sistem operasi Linux lainnya juga.

Bharat Jogi, Direktur Kerentanan dan Penelitian Ancaman di Qualys menjelaskan bahwa PwnKit adalah “kerentanan korupsi memori di Polkit, yang memungkinkan setiap pengguna yang tidak mampu untuk mendapatkan hak istimewa root penuh pada sistem yang rentan menggunakan konfigurasi polkit default,”

Peneliti mencatat bahwa masalah ini telah bersembunyi di depan mata sejak versi pertama pkexec inn Mei 2009. Video di bawah ini menunjukkan eksploitasi bug:

Mengeksploitasi cacat itu sangat mudah, kata para peneliti, bahwa kode eksploitasi proof-of-concept (PoC) diperkirakan akan menjadi publik hanya dalam beberapa hari. Tim Peneliti Qualys tidak akan merilis PoC untuk PwnKit.

Pembaruan: Eksploitasi telah muncul di ruang publik, kurang dari tiga jam setelah Qualys menerbitkan rincian teknis untuk PwnKit. BleepingComputer telah menyusun dan menguji eksploitasi yang tersedia, yang terbukti dapat diandalkan karena memberi kita hak istimewa root pada sistem pada semua upaya.

Mengacu pada eksploitasi, analis kerentanan CERT / CC Will Dormann mengatakan bahwa itu sederhana dan universal. Peneliti lebih lanjut mengujinya pada sistem ARM64, menunjukkan bahwa ia bekerja pada arsitektur itu juga.

Qualys melaporkan masalah keamanan secara bertanggung jawab pada 18 November 2021, dan menunggu patch tersedia sebelum menerbitkan rincian teknis di balik PwnKit.

Perusahaan sangat merekomendasikan administrator memprioritaskan penerapan patch yang penulis Polkit dirilis di GitLab mereka beberapa jam yang lalu.

Distro Linux memiliki akses ke patch beberapa minggu sebelum pengungkapan terkoordinasi hari ini dari Qualys dan diharapkan untuk merilis paket pkexec diperbarui mulai hari ini.

Ubuntu telah mendorong pembaruan untuk PolicyKit untuk mengatasi kerentanan dalam versi 14.04 dan 16.04 ESM (pemeliharaan keamanan diperpanjang) serta dalam versi yang lebih baru 18.04, 20.04, dan 21.04. Pengguna hanya perlu menjalankan pembaruan sistem standar dan kemudian me-reboot komputer agar perubahan berlaku.

Red Hat juga telah memberikan pembaruan keamanan untuk polkit pada workstation dan produk Enterprise untuk arsitektur yang didukung, serta untuk dukungan siklus hidup yang diperpanjang, TUS, dan AUS.

Mitigasi sementara untuk sistem operasi yang belum mendorong patch adalah untuk melucuti hak baca / tulis dengan perintah berikut:
chmod 0755 /usr/bin/pkexec

Pengguna yang ingin mencari tanda-tanda eksploitasi PwnKit dapat melakukannya dengan memeriksa log untuk “Nilai untuk variabel SHELL tidak ditemukan file / etc / shells” atau “Nilai untuk variabel lingkungan […] berisi konten yang mencurigakan.”

Namun, Qualys mencatat bahwa mengeksploitasi PwnKit adalah mungkin tanpa meninggalkan jejak.

Tahun lalu, peneliti GitHub Security Lab Kevin Backhouse menemukan kerentanan eskalasi hak istimewa lama lainnya yang mempengaruhi Polkit.

Bug telah hadir selama tujuh tahun, sejak versi 0.113 dari komponen dan mempengaruhi distro Linux populer termasuk RHEL 8, Fedora 21 (atau lebih baru), Ubuntu 20.04, dan versi debian yang tidak stabil (‘bullseye’) dan turunannya.

Pembaruan [25 Januari, 17:26 EST]: Menambahkan pemberitahuan keamanan pada PolicyKit / Polkit dari Ubuntu dan Red Hat.

Pembaruan [25 Januari, 17:43 EST]: Artikel diperbarui dengan informasi tentang kode eksploitasi proof-of-concept yang tersedia untuk umum.

Sumber: Bleepingcomputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Linux

Mudah dieksploitasi, PoC diharapkan segera

Cookies Settings