Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Target Internet Paling Menggoda

by

Jumlah aset yang terpapar terus meningkat, tetapi strategi keamanan yang ada tidak mengikuti. Permukaan serangan semakin kompleks, dan bagian yang sangat sulit adalah mencari tahu di mana harus fokus. Untuk setiap 1.000 aset di permukaan serangan, seringkali hanya ada satu yang benar-benar menarik bagi penyerang. Tapi bagaimana seorang bek bisa tahu yang mana itu?

Randori meneliti perangkat lunak yang terpapar internet apa yang paling menggoda bagi penyerang dengan menggunakan enam atribut yaitu: enumerabilitas, eksploitabilitas, kekritisan, penerapan, potensi pasca-eksploitasi, dan potensi penelitian.

Log4j
Tim penyerang kami melakukan eksploitasi dalam waktu satu jam, dan dapat menggunakannya di lingkungan VMware langsung pada hari yang sama. Meskipun komunitas keamanan secepat mungkin menerapkan tambalan dan strategi perbaikan, kemungkinan ada beberapa layanan yang masih menjalankan kode yang rentan. Karena sangat mudah untuk dieksploitasi dan variasi baru dari kerentanan Log4Shell kemungkinan besar akan muncul, itu akan menempati peringkat tinggi dalam daftar penyerang mana pun.

VPN
VPN sering kali tidak ditambal, salah konfigurasi, dan tidak terlindungi dengan baik. Jika penyerang mengeksploitasi perangkat yang satu ini, mereka dapat menjangkau perangkat tambahan yang dilindunginya. Mereka juga dikenal sebagai target eksploitasi; sebenarnya kami menemukan 9,8 CVE pada produk Global Protect Palo Alto.

Solarwinds versi lama
Penyerang kemungkinan menempatkannya di urutan teratas daftar mereka karena 1) ada eksploitasi yang diketahui; 2) Solarwinds biasanya merupakan teknologi mission-critical untuk bisnis yang dapat memberikan akses istimewa kepada penyerang; dan 3) banyak digunakan. Satu eksploitasi dapat digunakan untuk melawan banyak orang.

Versi lama Microsoft IIS 6
Microsoft IIS 6 TIDAK didukung selama lebih dari setengah dekade. Penyerang menyukai perangkat lunak lama yang terbuka yang tidak lagi didukung. Pada tahun 2015 Dengan banyak kelemahan publik yang diketahui dan penerapan yang tinggi, IIS 6 adalah sesuatu yang mungkin diasumsikan oleh beberapa orang sebagai honeypot, tetapi penyerang lebih tahu—ini adalah target yang menarik.

Versi Microsoft OWA yang lebih lama
Ingat pelanggaran Windows Exchange dari tahun lalu yang berdampak pada 30.000 perusahaan? Terlepas dari risikonya, banyak perusahaan terus mengekspos OWA ke internet. Beberapa kerentanan yang diketahui dapat memberikan akses jarak jauh kepada penyerang dan diketahui dieksploitasi secara aktif.

Semakin banyak penyerang tahu tentang suatu sistem, semakin menggoda. Salah satu aspek yang sering menaikkan skor godaan OWA misalnya adalah penggunaan pengaturan default yang mengekspos informasi versi rinci. Layanan yang mengekspos nama, versi, dan lebih baik lagi, informasi konfigurasi, memudahkan penyerang untuk memeriksa silang untuk melihat apakah ada kerentanan publik yang diketahui atau eksploitasi yang dipersenjatai terhadap versi spesifik itu dan untuk mengonfirmasi apakah eksploitasi akan mendarat.

Tidak ada sistem yang akan sepenuhnya aman, tetapi membatasi informasi yang dapat dilakukan penyerang dari gerbang akan sangat membantu untuk menghilangkan angin dari layar mereka.

Ini bisa berarti menambahkan pencatatan/pemantauan, firewall aplikasi web, atau segmentasi ke aset penting di permukaan serangan — atau bahkan membuat sistem offline sepenuhnya jika mereka tidak perlu berkomunikasi dengan internet.

Selengkapnya : Threat Post

Bug Agen McAfee memungkinkan peretas menjalankan kode dengan hak istimewa SISTEM Windows

by

McAfee Enterprise telah menambal kerentanan keamanan yang ditemukan dalam perangkat lunak Agen McAfee perusahaan untuk Windows yang memungkinkan penyerang meningkatkan hak istimewa dan mengeksekusi kode arbitrer dengan hak istimewa SISTEM.

Perusahaan telah memperbaiki kelemahan eskalasi hak istimewa lokal (LPE) tingkat keparahan tinggi yang dilacak sebagai CVE-2022-0166 dan ditemukan oleh analis kerentanan CERT/CC Will Dormann mengeluarkan pembaruan keamanan dengan merilis McAfee Agent 5.7.5 pada 18 Januari.

Semua versi Agen McAfee sebelum 5.7.5 rentan dan memungkinkan penyerang yang tidak memiliki hak untuk menjalankan kode menggunakan hak akun NT AUTHORITY\SYSTEM, tingkat hak istimewa tertinggi pada sistem Windows, yang digunakan oleh OS dan layanan OS.

“Agen McAfee berisi layanan istimewa yang menggunakan komponen OpenSSL ini. Seorang pengguna yang dapat menempatkan file openssl.cnf yang dibuat khusus pada jalur yang sesuai mungkin dapat mencapai eksekusi kode arbitrer dengan hak istimewa SISTEM.”

Setelah eksploitasi yang berhasil, pelaku ancaman dapat terus-menerus mengeksekusi muatan berbahaya dan berpotensi menghindari deteksi selama serangan.

Meskipun hanya dapat dieksploitasi secara lokal, pelaku ancaman biasanya mengeksploitasi jenis kelemahan keamanan ini selama tahap serangan selanjutnya, setelah menyusup ke mesin target untuk meningkatkan izin guna mendapatkan kegigihan dan lebih lanjut membahayakan sistem.

Ini bukan pertama kalinya peneliti keamanan menemukan kerentanan saat menganalisis produk keamanan Windows McAfee.

Misalnya, pada September 2021, perusahaan menambal bug eskalasi hak istimewa Agen McAfee lainnya (CVE-2020-7315) yang ditemukan oleh peneliti keamanan Tenable Clément Notin yang memungkinkan pengguna lokal untuk mengeksekusi kode arbitrer dan mematikan antivirus.

Dua tahun sebelumnya, McAfee memperbaiki kerentanan keamanan yang memengaruhi semua edisi perangkat lunak Antivirus untuk Windows (yaitu, Perlindungan Total, Anti-Virus Plus, dan Keamanan Internet) dan memungkinkan penyerang potensial untuk meningkatkan hak istimewa dan mengeksekusi kode dengan otoritas akun SISTEM.

Sumber : Bleeping Computer

Microsoft menonaktifkan makro Excel 4.0 secara default untuk memblokir malware

by

Microsoft telah mengumumkan bahwa makro Excel 4.0 (XLM) sekarang akan dinonaktifkan secara default untuk melindungi pelanggan dari dokumen berbahaya. Perusahaan mengungkapkan akan menonaktifkan makro XLM di semua penyewa jika pengguna atau admin tidak mengaktifkan atau menonaktifkan fitur secara manual.

Mulai Juli 2021, admin Windows juga dapat menggunakan kebijakan grup dan pengguna pengaturan ‘Aktifkan makro XLM saat makro VBA diaktifkan’ dari Pusat Kepercayaan Excel untuk menonaktifkan fitur ini secara manual.

Admin dapat mengonfigurasi bagaimana makro Excel diizinkan untuk berjalan menggunakan pengaturan Kebijakan Grup, kebijakan Cloud, dan kebijakan ADMX.

Mereka juga dapat memblokir semua penggunaan makro XLM Excel di lingkungan mereka (termasuk file baru yang dibuat pengguna) dengan mengaktifkan Kebijakan Grup “Cegah Excel menjalankan makro XLM”, yang dapat dikonfigurasi melalui Editor Kebijakan Grup atau kunci registri.

Dokumen XLS dengan makro Excel 4.0 yang dikaburkan

Makro XLM (alias Excel 4.0) adalah format makro Excel default hingga Excel 5.0 dirilis pada tahun 1993 ketika Microsoft pertama kali memperkenalkan makro VBA yang masih merupakan format default.

Namun, meskipun dihentikan, pelaku ancaman masih menggunakan XLM tiga dekade kemudian untuk membuat dokumen yang menyebarkan malware atau melakukan perilaku berbahaya lainnya yang memanipulasi file di sistem file lokal karena versi Microsoft Office saat ini masih mendukung makro XLM.

Kampanye berbahaya yang menggunakan makro jenis ini untuk mendorong malware telah diamati dengan mengunduh dan menginstal TrickBot, Zloader, Qbot, Dridex, dan banyak jenis lainnya di komputer korban.

Microsoft juga diam-diam menambahkan Kebijakan Grup pada Oktober 2019 yang memungkinkan admin memblokir pengguna Excel dari membuka file Microsoft Query yang tidak tepercaya (dan berpotensi berbahaya) dengan ekstensi IQY, OQY, DQY, dan RQY.

File-file tersebut telah dipersenjatai dalam berbagai serangan berbahaya untuk mengirimkan Trojan akses jarak jauh dan pemuat malware sejak awal 2018.

Sumber : Bleeping Computer

ProtonMail Memblokir Sistem Pelacakan Email

by

ProtonMail telah memperkenalkan sistem perlindungan pelacakan email yang disempurnakan untuk solusi email berbasis web yang mencegah pengirim dilacak oleh penerima yang membuka pesan mereka.

ProtonMail adalah layanan email terenkripsi end-to-end yang berbasis di Swiss dan menggunakan pendekatan enkripsi sisi klien untuk menjaga privasi pengguna dan melindungi komunikasi mereka dari perantara pengintaian.
40% dari semua email memiliki pelacak

Menurut sebuah studi tahun 2017, hampir setengah dari semua email dikirim dan menerima pelacak fitur yang mengirimkan informasi kembali ke pengirim.

Informasi tersebut mencakup waktu penerima membuka email, berapa kali ditinjau kembali, perangkat apa yang dihubungi, dan alamat IP penerima.

Pelacak ini praktis tidak terlihat karena mereka hanya piksel kecil dalam gambar yang tertanam di badan email, dan mereka mencatat data tentang aktivitas pengguna setiap kali pesan dibuka.

Pelacak email sebagian besar digunakan untuk iklan bertarget tetapi juga dapat digunakan untuk de-anonimisasi, untuk mengekspos informasi penerima kepada pihak ketiga, atau hanya untuk memantau ketika seseorang telah membaca email Anda.

Pengumpulan data ini terjadi tanpa persetujuan pengguna, tetapi sistem ini sulit diatur, jadi pendekatan terbaik adalah memblokirnya.

Memblokir pelacak untuk semua pengguna

ProtonMail sekarang akan mulai memblokir pelacak email secara default di semua akun, termasuk pengguna gratis (tidak membayar).

Layanan webmail akan memblokir piksel yang diidentifikasi sebagai piksel berisiko dan menyembunyikan alamat IP pengguna sehingga lokasi mereka tetap tersembunyi.

Setiap kali pelacak diblokir, pengguna akan mendapatkan pemberitahuan yang relevan dengan ikon yang dapat diklik yang menyimpan lebih banyak informasi tentang pelacak yang terdeteksi.

Seperti yang dijelaskan perusahaan, sistem baru ini tidak akan mempengaruhi berlangganan buletin atau mendaftar untuk layanan online.

Pengguna ProtonMail dapat memeriksa apakah fitur privasi ini diaktifkan dengan masuk ke Pengaturan > Privasi Email dan mengonfirmasi apakah pengaturan pelacakan email Blokir diaktifkan, seperti yang ditunjukkan di bawah ini.

Cara lain untuk melindungi diri sendiri

Jika Anda tidak menggunakan ProtonMail, tetapi Anda masih ingin melindungi diri dari pelacak email, coba nonaktifkan pemuatan gambar / sumber daya pada klien email Anda.

Opsi ini tersedia di Thunderbird, Outlook, Gmail, dan Apple Mail, dan seharusnya cukup untuk memblokir sebagian besar pelacak dari pemuatan.

Anda juga dapat mematikan email HTML sepenuhnya dan membaca pesan Anda dalam bentuk teks biasa untuk keamanan tambahan. Namun, langkah ini tidak dianjurkan untuk pengalaman pengguna yang menyenangkan tetapi dapat membantu dalam kasus-kasus di mana perlindungan privasi sangat penting.

Bug Cisco Memberikan Hak Akses Root Penyerang Jarak Jauh Melalui Mode Debug

by

Cisco telah memperbaiki kelemahan keamanan kritis yang ditemukan di Cisco Redundancy Configuration Manager (RCM) untuk Cisco StarOS Software selama pengujian keamanan internal.

Kerentanan, dilacak sebagai CVE-2022-20649, memungkinkan penyerang yang tidak diautentikasi untuk mendapatkan eksekusi kode jarak jauh (RCE) dengan hak istimewa tingkat root pada perangkat yang menjalankan perangkat lunak yang rentan.

“Kerentanan di Cisco RCM untuk Cisco StarOS Software dapat memungkinkan penyerang jarak jauh yang tidak diautistik untuk melakukan eksekusi kode jarak jauh pada aplikasi dengan hak istimewa tingkat akar dalam konteks wadah yang dikonfigurasi,” kata Cisco.

Seperti yang dijelaskan perusahaan lebih lanjut, kerentanan ada karena mode debug salah diaktifkan untuk layanan tertentu.

“Penyerang dapat mengeksploitasi kerentanan ini dengan menghubungkan ke perangkat dan menavigasi ke layanan dengan mode debug diaktifkan. Eksploitasi yang sukses dapat memungkinkan penyerang untuk mengeksekusi perintah sewenang-wenang sebagai pengguna akar,” tambah Cisco.

Namun, untuk akses yang tidak diautistik ke perangkat yang menjalankan perangkat lunak yang tidak ditamtik, para penyerang pertama-tama perlu melakukan pengintaian terperinci untuk menemukan layanan yang rentan.

Tidak ada eksploitasi di alam liar

Tim Respons Insiden Keamanan Produk Cisco (PSIRT) mengatakan bahwa perusahaan tidak mengetahui eksploitasi kerentanan ini dalam serangan yang sedang berlangsung.

Hari ini, Cisco juga memperbaiki bug pengungkapan informasi tingkat keparahan menengah (CVE-2022-20648) di Cisco RCM untuk Cisco StarOS yang disebabkan oleh layanan debug yang salah mendengarkan dan menerima koneksi masuk.

Penyerang jarak jauh dapat mengeksploitasi bug kedua ini dengan mengeksekusi perintah debug setelah terhubung ke port debug. Eksploitasi yang berhasil dapat memungkinkan mereka untuk mengakses informasi debugging sensitif pada perangkat yang rentan.

Perusahaan telah merilis Cisco RCM untuk StarOS 21.25.4, yang dilengkapi dengan pembaruan keamanan untuk mengatasi kekurangan ini dan tersedia melalui Software Center pada Cisco.com.

Tahun lalu, Cisco menambal beberapa kerentanan lain yang memungkinkan aktor ancaman untuk mengeksekusi kode dan perintah dari jarak jauh dengan hak istimewa root.

Misalnya, ini membahas cacat RCE pra-otentikasi kritis yang berdampak pada SD-WAN vManage yang dapat memungkinkan aktor ancaman untuk mendapatkan hak istimewa root pada OS yang mendasarinya pada bulan Mei. Bug pra-auth lain dalam perangkat lunak yang sama, yang memungkinkan penyerang untuk mendapatkan RCE sebagai root, diperbaiki pada bulan April.

Sumber: Bleepingcompter

Spyware ‘anomali’ mencuri kredensial di perusahaan industri

by

Para peneliti telah menemukan beberapa kampanye spyware yang menargetkan perusahaan industri, yang bertujuan untuk mencuri kredensial akun email dan melakukan penipuan keuangan atau menjualnya kembali kepada aktor lain.

Para aktor menggunakan alat spyware yang tersedia tetapi hanya menggunakan setiap varian untuk waktu yang sangat terbatas untuk menghindari deteksi.

Contoh malware yang digunakan dalam serangan termasuk AgentTesla/Origin Logger, HawkEye, Noon/Formbook, Masslogger, Snake Keylogger, Azorult, dan Lokibot.

Serangan spyware ini disebut ‘anomali’ karena sifatnya yang berumur sangat pendek yaitu sekitar 25 hari, sedangkan sebagian besar kampanye spyware berlangsung selama beberapa bulan atau bahkan bertahun-tahun.

Durasi serangan dibandingkan dengan statistik dari semua deteksi
Sumber: Kaspersky

Jumlah sistem yang diserang dalam kampanye ini selalu di bawah seratus, setengahnya adalah mesin ICS (sistem komputer terintegrasi) yang digunakan di lingkungan industri.

Elemen lain yang tidak biasa adalah menggunakan protokol komunikasi berbasis SMTP untuk mengekstrak data ke server C2 yang dikendalikan aktor.

SMTP adalah saluran satu arah yang hanya melayani pencurian data, SMTP berkembang melalui kesederhanaan dan kemampuannya untuk berbaur dengan lalu lintas jaringan biasa.

Mencuri kredensial untuk melanjutkan infiltrasi
Para aktor menggunakan kredensial karyawan curian yang mereka peroleh melalui spear-phishing untuk menyusup lebih dalam dan bergerak secara lateral di jaringan perusahaan.

Selain itu, mereka menggunakan kotak surat perusahaan yang dikompromikan dalam serangan sebelumnya sebagai server C2 untuk serangan baru, membuat deteksi dan penandaan korespondensi internal berbahaya menjadi sangat menantang.

diagram operasional
Sumber: Kaspersky

Dalam hal jumlah, para analis mengidentifikasi setidaknya 2.000 akun email perusahaan yang disalahgunakan sebagai server C2 sementara dan 7.000 akun email lainnya disalahgunakan dengan cara lain.

Menjual di pasar Darkweb
Banyak kredensial akun RDP, SMTP, SSH, cPanel, dan VPN email yang dicuri dalam kampanye ini diposting di pasar web gelap dan akhirnya dijual ke pelaku ancaman lainnya.

Menurut analisis statistik Kaspersky, sekitar 3,9% dari semua akun RDP yang dijual di pasar ilegal ini adalah milik perusahaan industri.

Akun RDP (protokol desktop jarak jauh) sangat berharga bagi penjahat dunia maya karena memungkinkan mereka mengakses mesin yang disusupi dari jarak jauh dan berinteraksi langsung dengan perangkat tanpa menimbulkan tanda bahaya.

Sumber : Bleeping Computer

Kelemahan Plugin WordPress Menempatkan 20.000 Situs pada Risiko Phishing

by Leave a Comment

Plugin WordPress WP HTML Mail, yang diinstal di lebih dari 20.000 situs, rentan terhadap cacat tingkat keparahan tinggi yang dapat menyebabkan injeksi kode dan distribusi email phishing yang meyakinkan.

‘WP HTML Mail’ adalah plugin yang digunakan untuk merancang email khusus, pemberitahuan formulir kontak, dan pesan yang umumnya disesuaikan yang dikirim platform online ke audiens mereka.

Plugin ini kompatibel dengan WooCommerce, Ninja Forms, BuddyPress, dan lain-lain. Sementara jumlah situs yang menggunakannya tidak besar, banyak yang memiliki audiens yang besar, memungkinkan cacat untuk mempengaruhi sejumlah besar pengguna internet.

Menurut sebuah laporan oleh tim Threat Intelligence Wordfence, seorang aktor yang tidak diautistik dapat memanfaatkan cacat yang dilacak sebagai “CVE-2022-0218” untuk memodifikasi template email untuk berisi data sewenang-wenang yang dipilih penyerang.

Selain itu, aktor ancaman dapat menggunakan kerentanan yang sama untuk mengirim email phishing kepada siapa pun yang terdaftar di situs yang dikompromikan.

Titik akhir API yang tidak dilindungi

Masalahnya terletak pada pendaftaran plugin dari dua rute REST-API yang digunakan untuk mengambil dan memperbarui pengaturan template email.

Titik akhir API ini tidak dilindungi secara memadai dari akses yang tidak sah, sehingga bahkan pengguna yang tidak diautistik dapat memanggil dan menjalankan fungsi.

Terlepas dari kemungkinan serangan phishing, musuh juga bisa menyuntikkan JavaScript berbahaya ke dalam template surat, yang akan mengeksekusi kapan saja administrator situs mengakses editor email HTML.

Ini berpotensi membuka jalan untuk menambahkan akun admin baru, mengarahkan pengunjung situs ke situs phishing, menyuntikkan backdoor ke file tema, dan bahkan menyelesaikan pengambilalihan situs.

Pengungkapan dan perbaikan

Wordfence menemukan dan mengungkapkan kerentanan kepada pengembang plugin pada 23 Desember 2021, tetapi mereka baru mendapat tanggapan pada 10 Januari 2022.

Pembaruan keamanan yang mengatasi kerentanan datang pada 13 Januari 2022, dengan rilis versi 3.1.

Dengan demikian, semua pemilik dan administrator situs WordPress disarankan untuk memverifikasi bahwa mereka menjalankan versi terbaru dari plugin ‘WP HTML Mail’.

Sumber: Bleepingcomputer

FBI menautkan ransomware Diavol ke grup kejahatan dunia maya TrickBot

by

FBI telah secara resmi menghubungkan operasi ransomware Diavol ke Grup TrickBot, pengembang malware di balik trojan perbankan TrickBot yang terkenal kejam.

Geng TrickBot, alias Wizard Spider, adalah pengembang infeksi malware yang telah merusak jaringan perusahaan selama bertahun-tahun, umumnya mengarah pada serangan ransomware Conti dan Ryuk, penyusupan jaringan, penipuan keuangan, dan spionase perusahaan.

Pada Juli 2021, peneliti dari FortiGuard Labs merilis analisis ransomware baru bernama Diavol (bahasa Rumania untuk Iblis) yang terlihat menargetkan korban perusahaan.

Para peneliti melihat muatan ransomware Diavol dan Conti disebarkan di jaringan dalam serangan ransomware yang sama pada awal Juni 2021.

Setelah menganalisis dua sampel ransomware, kesamaan ditemukan, seperti penggunaan operasi I/O asinkron untuk antrian enkripsi file dan parameter baris perintah yang hampir identik untuk fungsi yang sama.

Sebulan kemudian, peneliti IBM X-Force membangun hubungan yang lebih kuat antara ransomware Diavol dan malware TrickBot Gang lainnya, seperti Anchor dan TrickBot.

FBI menghubungkan ransomware Diavol ke geng TrickBot
FBI telah secara resmi mengumumkan bahwa mereka telah menghubungkan operasi Ransomware Diavol ke Geng TrickBot dalam indikator berbagi penasehat baru dari kompromi yang terlihat pada serangan sebelumnya.

Sejak itu, FBI telah melihat tuntutan tebusan berkisar antara $10.000 dan $500.000, dengan pembayaran yang lebih rendah diterima setelah negosiasi tebusan.

Warning.txt ransom note dari Diavol ransomware

Jumlah ini sangat kontras dengan tebusan yang lebih tinggi yang diminta oleh operasi ransomware lain yang terkait dengan TrickBot, seperti Conti dan Ryuk, yang secara historis meminta tebusan jutaan dolar.

FBI dapat secara resmi menghubungkan Diavol ke Geng TrickBot setelah penangkapan Alla Witte, seorang wanita Latvia yang terlibat dalam pengembangan ransomware untuk geng malware.

“Alla Witte memainkan peran penting untuk operasi TrickBot dan berdasarkan wawasan permusuhan mendalam AdvIntel sebelumnya, dia bertanggung jawab atas pengembangan ransomware Diavol dan proyek frontend/backend yang dimaksudkan untuk mendukung operasi TrickBot dengan ransomware khusus yang disesuaikan dengan bot backconnectivity antara TrickBot dan Diavol,” kata Kremez

“Nama lain untuk ransomware Diavol disebut ransomware “Enigma” yang dimanfaatkan oleh kru TrickBot sebelum merek ulang Diavol.”

Perlu dicatat bahwa ransomware Diavol awalnya membuat catatan tebusan bernama ‘README_FOR_DECRYPT.txt’ seperti yang ditunjukkan oleh penasihat FBI, tetapi geng ransomware beralih pada bulan November ke catatan tebusan bernama ‘Warning.txt.’

FBI juga mendesak semua korban, terlepas dari apakah mereka berencana untuk membayar uang tebusan, untuk segera memberi tahu penegak hukum tentang serangan untuk mengumpulkan IOC baru yang dapat mereka gunakan untuk tujuan investigasi dan operasi penegakan hukum.

Jika Anda terkena serangan Diavol, penting juga untuk memberi tahu FBI sebelum membayar karena mereka “mungkin dapat memberikan sumber daya mitigasi ancaman kepada mereka yang terkena dampak ransomware Diavol.”

Sumber : Bleeping Computer