Threat

Geng ransomware kehilangan minat pada perusahaan AS

June 11, 2023 by Coffee Bean

Operator ransomware sekarang memusatkan upaya mereka pada wilayah dan industri tertentu, karena AS kehilangan daya tariknya.

Dengan menganalisis data yang tersedia untuk umum tentang serangan ransomware yang terjadi antara tahun 2020 dan 2023, para peneliti menemukan bahwa pada tahun 2022, bisnis Amerika mengalami 876 serangan, turun dari 1.237 pada tahun sebelumnya.

Perusahaan finance diserang
Meskipun tampaknya geng ransomware menyebarkan jaring yang lebih luas, mereka sebenarnya memusatkan upaya mereka. Pada tahun 2021, perusahaan di 102 negara menjadi sasaran ransomware, turun menjadi 91 negara tahun lalu.

Ada juga perubahan di antara target industri paling populer. Sementara pada 2021, manufaktur menjadi industri paling populer dengan 223 serangan, tahun lalu konstruksi menjadi yang paling populer dengan 142 serangan.

Secara keseluruhan, jumlah serangan ransomware di seluruh dunia menurun antara tahun 2021 dan 2022, dari 2.702 menjadi 2.257.

“Kami memperhatikan bahwa perusahaan keuangan semakin khawatir dengan keamanan siber mereka. Perusahaan memperhatikan peningkatan serangan dunia maya di sektor ini,” kata Aivaras Vencevičius, kepala produk NordLocker.

Namun meskipun manufaktur dan konstruksi menjadi pusat perhatian, sektor keuanganlah yang dengan cepat menjadi target terbesar. Pada tahun 2021, perusahaan keuangan hanya menjadi sektor keenam yang paling banyak diserang, tetapi naik ke posisi kedua pada tahun 2022.

Grup ransomware paling aktif tahun lalu adalah LockBit, terlibat dalam total 723 serangan di seluruh dunia, dan menggulingkan Conti yang terkenal. Pada tahun 2021 Conti, yang diyakini berafiliasi dengan Rusia, menjadi grup paling aktif dengan 445 serangan di seluruh dunia.

sumber : techradar.com

Portal Azure Microsoft down mengikuti klaim baru serangan DDoS

June 10, 2023 by Coffee Bean

Portal Microsoft Azure sedang down di web sebagai aktor ancaman yang dikenal sebagai Anonymous Suda mengklaim menargetkan situs dengan serangan DDoS.

Mencoba mengakses portal di https://portal.azure.com menampilkan pesan kesalahan yang menyatakan, “Layanan kami tidak tersedia saat ini. Kami sedang bekerja untuk memulihkan semua layanan secepat mungkin. Periksa kembali nanti.” Aplikasi seluler tampaknya tidak terpengaruh saat ini.

Error message saat mengunjungi portal.azure.com

Halaman status Microsoft Azure menyertakan informasi status yang menyatakan bahwa Microsoft mengetahui insiden tersebut dan berusaha untuk menguranginya.

“Portal Azure – Kesalahan mengakses Portal Azure – Menerapkan Mitigasi

Pernyataan Dampak: Mulai sekitar pukul 15.00 UTC pada 9 Juni 2023, pelanggan Azure mungkin mengalami pemberitahuan kesalahan saat mencoba mengakses Portal Azure (portal.azure.com).

Status Saat Ini: Kami telah menentukan akar penyebab potensial dan secara aktif terlibat dalam aliran kerja berbeda yang menerapkan proses penyeimbangan muatan untuk mengurangi masalah tersebut. Pembaruan berikutnya akan diberikan dalam 60 menit atau sesuai acara.

Pesan ini terakhir diperbarui pada 16:35 UTC pada 09 Juni 2023”

Anonim Sudan mengaku sebagai peretas yang menargetkan perusahaan AS untuk memprotes keterlibatan Amerika Serikat dalam urusan dalam negeri Sudan. Namun, beberapa percaya ini adalah bendera palsu dan pelaku ancaman sebenarnya adalah orang Rusia.

Terlepas dari asal-usul aktor ancaman, ini bukan minggu yang baik untuk Microsoft, dengan aktor ancaman melakukan serangan DDoS di portal web Microsoft lainnya untuk Outlook.com dan OneDrive, yang juga mengalami pemadaman pada saat yang sama.

Meskipun Microsoft belum mengonfirmasi bahwa pemadaman ini disebabkan oleh serangan DDoS, mereka membagikan pernyataan berikut dengan BleepingComputer kemarin, mengisyaratkan bahwa masalah tersebut lebih dari sekadar masalah teknis.

“Kami mengetahui klaim ini dan sedang menyelidiki. Kami mengambil langkah-langkah yang diperlukan untuk melindungi pelanggan dan memastikan stabilitas layanan kami,” kata Microsoft kepada BleepingComputer dalam sebuah pernyataan.

BleepingComputer sekali lagi menghubungi Microsoft untuk menanyakan apakah layanannya mati karena serangan DDoS, tetapi tanggapan tidak segera tersedia.

Perbarui 9/6/23 13:32 ET: Portal Azure tampaknya hidup kembali dan stabil.

Microsoft masih belum mengungkapkan penyebab yang mendasari pemadaman, hanya menunjukkan bahwa mereka menerapkan lebih banyak proses penyeimbangan beban ke layanan.

sumber : bleepingcomputer.com

Asylum Ambuscade: Grup Cybercrime dengan Ambisi Spionase

June 10, 2023 by Søren

Kelompok ancaman yang dikenal dengan nama Asylum Ambuscade telah terlihat dalam operasi cybercrime dan cyber espionage sejak awal 2020.

“Mereka adalah kelompok crimeware yang menargetkan pelanggan bank dan pedagang cryptocurrency di berbagai wilayah, termasuk Amerika Utara dan Eropa,” kata ESET dalam analisis yang diterbitkan pada hari Kamis. “Asylum Ambuscade juga melakukan spionase terhadap entitas pemerintah di Eropa dan Asia Tengah.”

Asylum Ambuscade pertama kali didokumentasikan oleh Proofpoint pada Maret 2022 sebagai kampanye phishing yang disponsori oleh negara yang menargetkan entitas pemerintah Eropa dalam upaya untuk memperoleh intelijen tentang pergerakan pengungsi dan pasokan di wilayah tersebut.

Tujuan para penyerang, menurut perusahaan keamanan Siber Slovakia, adalah untuk mencuri informasi rahasia dan kredensial email web dari portal email resmi pemerintah.

Serangan ini dimulai dengan email spear-phishing yang membawa lampiran spreadsheet Excel berbahaya yang, ketika dibuka, akan mengeksploitasi kode VBA atau kerentanan Follina (CVE-2022-30190) untuk mengunduh paket MSI dari server jarak jauh.

Kemudian, installer menggunakan downloader yang ditulis dalam Lua yang disebut SunSeed (atau versi Visual Basic Script) untuk mengunduh malware berbasis AutoHotkey yang dikenal sebagai AHK Bot dari server jarak jauh.

Yang mencolok tentang Asylum Ambuscade adalah aksi kejahatan siber mereka yang telah menyerang lebih dari 4.500 korban di seluruh dunia sejak Januari 2022, dengan sebagian besar dari mereka berlokasi di Amerika Utara, Asia, Afrika, Eropa, dan Amerika Selatan.

Rantai kompromi ini mengikuti pola yang serupa kecuali vektor intrusi awalnya, yang melibatkan penggunaan iklan Google palsu atau sistem traffic direction system (TDS) untuk mengarahkan korban potensial ke situs web palsu yang mengirimkan file JavaScript berisi malware.

Serangan ini juga menggunakan versi Node.js dari AHK Bot yang diberi nama kode NODEBOT yang kemudian digunakan untuk mengunduh plugin yang bertanggung jawab atas pengambilan tangkapan layar, pencurian kata sandi, pengumpulan informasi sistem, dan instalasi trojan dan stealer tambahan.

Serangan ini menunjukkan bahwa para pelaku ancaman terus mengembangkan metode dan alat untuk mencapai tujuan jahat mereka. Penting bagi pengguna komputer dan internet untuk selalu waspada terhadap tautan yang mencurigakan, iklan palsu, dan situs web yang tidak dikenal.

Selain itu, penting juga untuk memperbarui perangkat lunak dan sistem keamanan secara teratur serta menggunakan solusi keamanan yang andal untuk melindungi diri dari serangan siber. Kesadaran akan teknik-teknik serangan dan kebijakan keamanan yang kuat adalah langkah-langkah yang krusial dalam menghadapi ancaman siber saat ini.

Selengkapnya: The Hacker News

Microsoft OneDrive down di seluruh dunia menyusul klaim serangan DDoS

June 9, 2023 by Coffee Bean

Microsoft sedang menyelidiki pemadaman yang sedang berlangsung yang mencegah pelanggan OneDrive mengakses layanan hosting file cloud di seluruh dunia, seperti halnya aktor ancaman yang dikenal sebagai ‘Sudan Anonim’ mengklaim akan melakukan DDoS pada layanan tersebut

Pengguna yang mencoba membuka situs web OneDrive saat ini melihat pesan kesalahan “Maaf, telah terjadi kesalahan” dan “Halaman ini tidak berfungsi saat ini”.

Sementara perusahaan tidak memberikan perincian tentang apa yang menyebabkan pemadaman, insiden hari ini diklaim oleh peretas yang dikenal sebagai Anonymous Sudan, yang diyakini sebagian orang terkait dengan Rusia.

Mereka juga mengatakan bahwa mereka menghentikan sejumlah layanan Microsoft awal pekan ini dalam serangan denial-of-service (DDoS) terdistribusi.

“Microsoft, Anda pikir kami melupakan Anda? Kami termotivasi untuk mengajari Anda pelajaran yang sangat baik tentang kejujuran yang tidak pernah diajarkan oleh orang tua Anda kepada Anda,” kata mereka di grup Telegram publik mereka.

“Onedrive telah dimatikan. Mari kita lihat alasan barumu sekarang.”

Insiden hari ini mengikuti pemadaman panjang lainnya dari awal minggu ini yang memengaruhi beberapa layanan dan fitur Microsoft, termasuk Outlook, SharePoint Online, dan OneDrive for Business.

Pemadaman dimulai Senin malam dan akhirnya ditangani pada dini hari Rabu, dan itu juga diklaim oleh Anonymous Sudan sebagai akibat dari serangan DDoS mereka.

Microsoft memberi tahu BleepingComputer bahwa mereka sedang menyelidiki klaim tersebut dan mengambil langkah-langkah untuk melindungi pelanggan.

Dalam pembaruan berikutnya ke halaman status kesehatan layanan, Microsoft mengonfirmasi bahwa pemadaman terputus-putus ini hanya memengaruhi domain onedrive.live.com.

“URL browser yang terpengaruh adalah onedrive.live.com. Akses ke layanan OneDrive menggunakan klien desktop, klien sinkronisasi, atau klien Office tidak terpengaruh,” kata Microsoft.

“Kami terus menganalisis telemetri pemantauan dan melakukan proses penyeimbangan beban untuk memberikan bantuan.”

sumber : bkeepingcomputer.com

Para Ahli Mengungkap Eksploitasi untuk Kerentanan Windows Terbaru Sedang Aktif Diekploitasi

June 9, 2023 by Søren

Muncul laporan tentang celah keamanan dalam Microsoft Windows yang sedang dieksploitasi secara aktif, yang dapat disalahgunakan oleh penyerang untuk memperoleh hak istimewa yang lebih tinggi pada sistem yang terpengaruh.

Kerentanan ini, yang dikenali sebagai CVE-2023-29336, memiliki tingkat keparahan 7.8 dan berkaitan dengan bug elevation of privilege dalam komponen Win32k.

“Penyerang yang berhasil mengeksploitasi kerentanan ini dapat memperoleh hak istimewa SISTEM,” ungkap Microsoft dalam sebuah peringatan yang dikeluarkan bulan lalu sebagai bagian dari pembaruan Patch Tuesday.

Peneliti Avast, yaitu Jan Vojtěšek, Milánek, dan Luigino Camastra, diakui sebagai orang yang menemukan dan melaporkan kerentanan ini.

Win32k.sys adalah driver mode kernel dan bagian integral dari arsitektur Windows, bertanggung jawab atas graphical user interface (GUI) dan pengelolaan jendela.

Meskipun rincian spesifik tentang penyalahgunaan celah ini di lingkungan nyata saat ini belum diketahui, Numen Cyber telah memecahkan kode dari pembaruan yang dirilis oleh Microsoft untuk membuat eksplorasi konsep (PoC) yang digunakan sebagai bukti untuk Windows Server 2016.

Perusahaan keamanan siber yang berbasis di Singapura menyatakan bahwa kerentanan ini bergantung pada alamat kernel handle yang bocor di memori heap untuk akhirnya memperoleh izin read-write.

“Kerentanan Win32k telah dikenal dalam sejarah,” kata Numen Cyber. “Namun, dalam versi pratinjau Windows 11 terbaru, Microsoft telah mencoba memperbarui bagian kode kernel ini menggunakan Rust. Hal ini mungkin akan menghilangkan kerentanan semacam itu di sistem baru di masa depan.”

Numen Cyber membedakan dirinya dari perusahaan keamanan Web3 biasa dengan menekankan perlunya kemampuan keamanan lanjutan, khususnya dalam hal serangan keamanan dan pertahanan tingkat OS. Produk dan layanan mereka menawarkan solusi terkini untuk mengatasi tantangan keamanan unik yang dihadapi dalam lingkungan Web3.

Selengkapnya: The Hacker News

Pembaruan Keamanan Mendesak: Cisco dan VMware Mengatasi Kerentanan Kritis

June 9, 2023 by Coffee Bean

VMware telah merilis pembaruan keamanan untuk memperbaiki tiga kelemahan dalam Operasi Aria untuk Jaringan yang dapat menyebabkan pengungkapan informasi dan eksekusi kode jarak jauh.

Yang paling serius dari ketiga kelemahan tersebut adalah cacat injeksi perintah yang diidentifikasi sebagai CVE-2023-20887 (skor CVSS: 9,8) yang dapat mengaktifkan eksekusi kode jarak jauh untuk aktor bermusuhan dengan akses jaringan.

Kerentanan deserialisasi lainnya (CVE-2023-20888), yang memiliki peringkat CVSS 9,1 dari 10, juga telah diatasi oleh VMware.

“Aktor jahat dengan akses jaringan ke VMware Aria Operations for Networks dan kredensial peran ‘anggota’ yang valid mungkin dapat melakukan serangan deserialisasi yang menghasilkan eksekusi kode jarak jauh,” kata perusahaan itu dalam sebuah penasehat.

Produk yang sama berisi kerentanan tingkat tinggi kedua yang memungkinkan penyerang lokal resmi untuk mengubah pengaturan konfigurasi sistem dan menjalankan perintah (CVE-2023-20192, skor CVSS: 8,4).

Cisco menyarankan agar klien menonaktifkan akses CLI untuk pengguna hanya-baca sebagai perbaikan untuk CVE-2023-20192. Kedua masalah tersebut telah diperbaiki di masing-masing VCS versi 14.2.1 dan 14.3.0.

Meskipun tidak ada bukti bahwa kerentanan tersebut telah dieksploitasi di alam liar, sangat disarankan untuk menambalnya sesegera mungkin untuk mengurangi risiko apa pun.

Anjuran juga datang sebagai tanggapan atas penemuan tiga kelemahan keamanan di RenderDoc, sebuah debugger grafis sumber terbuka (CVE-2023-33863, CVE-2023-33864, dan CVE-2023-33865), yang memungkinkan penyerang memperoleh hak tinggi dan menjalankan kode arbitrer.

sumber : thehackernews.com

Aktor Jahat Memanipulasi Foto dan Video untuk Membuat Konten Eksplisit dan Skema Sextortion

June 8, 2023 by Coffee Bean

FBI memperingatkan publik tentang aktor jahat yang membuat konten sintetik (biasanya disebut sebagai “deepfakes”) dengan memanipulasi foto atau video jinak untuk menargetkan korban. Kemajuan teknologi terus meningkatkan kualitas, kemampuan penyesuaian, dan aksesibilitas pembuatan konten yang mendukung kecerdasan buatan (AI). FBI terus menerima laporan dari para korban, termasuk anak-anak kecil dan orang dewasa yang tidak setuju, yang foto atau videonya diubah menjadi konten eksplisit. Foto atau video tersebut kemudian diedarkan secara publik di media sosial atau situs porno, untuk tujuan melecehkan korban atau skema sextortion.

EXPLICIT CONTENT
Untuk mengubah foto dan video—biasanya diambil dari akun media sosial korban, internet terbuka, atau atas permintaan korban—menjadi gambar bertema seksual yang sangat mirip dengan korban, pelaku jahat menggunakan teknologi dan layanan manipulasi konten. Gambar-gambar ini kemudian dibagikan di media sosial, forum publik, atau situs web porno. Banyak korban—termasuk anak di bawah umur—tidak menyadari bahwa foto mereka telah diambil, diubah, dan disebarluaskan hingga orang lain menunjukkannya kepada mereka. Aktor jahat kemudian mengirimkan foto langsung ke korban untuk sextortion atau pelecehan, atau hingga foto tersebut ditemukan sendiri secara online. Setelah konten yang dimodifikasi menyebar, korban mungkin mengalami kesulitan untuk menghentikan penyebaran lebih lanjut atau menghapusnya dari internet.

Sextortion dan Pelecehan
Untuk mengubah foto dan video—biasanya diambil dari akun media sosial korban, internet terbuka, atau atas permintaan korban—menjadi gambar bertema seksual yang sangat mirip dengan korban, pelaku jahat menggunakan teknologi dan layanan memperbudak konten. Gambar-gambar ini kemudian dibagikan di media sosial, forum publik, atau situs web porno. Banyak korban—termasuk anak di bawah umur—tidak menyadari bahwa foto mereka telah diambil, diubah, dan disebarkan hingga orang lain menunjukkannya kepada mereka. Aktor jahat kemudian mengirimkan foto langsung ke korban untuk sextortion atau memudar, atau hingga foto tersebut ditemukan sendiri secara online. Setelah konten yang dimodifikasi disebarkan, korban mungkin mengalami kesulitan untuk menghentikan penyebaran lebih lanjut atau menghapusnya dari internet.

Rekomendasi
FBI menyarankan masyarakat untuk berhati-hati saat memposting atau mengirim pesan langsung yang berisi konten pribadi atau mengidentifikasi di media sosial, aplikasi kencan, dan situs web lainnya. Meskipun foto dan video tampak tidak bersalah saat dibagikan atau diposting, aktor jahat mungkin menggunakannya sebagai sumber konten yang kaya untuk terlibat dalam perilaku ilegal. Kemampuan untuk dengan mudah mengakses foto-foto pribadi secara online dan peningkatan teknologi pembuatan konten memberi pelaku kejahatan cara tambahan untuk mencari dan menargetkan korban. Ini membuat orang terbuka terhadap penghinaan, ejekan, pemerasan, kehilangan uang, atau viktimisasi ulang jangka panjang.

sumber : public service announcement FBI

British Airways, Boots dan BBC telah Terkena Ultimatum dari Kelompok Kejahatan Siber berbahasa Rusia “Clop”

June 8, 2023 by Coffee Bean

Enam organisasi telah dipastikan terkena dampaknya, dengan Aer Lingus dan University of Rochester juga mengakui bahwa mereka telah terkena dampaknya. Banyak organisasi bukan pengguna langsung perangkat lunak MOVEit, tetapi mengalihdayakan layanan penggajian mereka ke pihak ketiga bernama Zellis, yang juga terpukul.

Grup peretas mengklaim memiliki informasi tentang “ratusan” perusahaan. Dalam postingan tersebut, mereka malu-malu tentang sifat serangan mereka, menggambarkannya hanya sebagai “layanan pengujian penetrasi setelah fakta”.

“Ini adalah pengumuman untuk mengedukasi perusahaan yang menggunakan produk Progress MOVEit bahwa kemungkinan besar kami mengunduh banyak data Anda sebagai bagian dari eksploitasi luar biasa,” bunyi permintaan tersebut. “Kami adalah satu-satunya yang melakukan serangan seperti itu dan santai karena data Anda aman.”

Ultimatum tidak berisi jumlah eksplisit yang harus dibayar oleh bisnis, tetapi menuntut agar mereka mengadakan negosiasi.

Kelompok tersebut juga mengklaim telah menghapus data yang mungkin telah dicuri dari aktor negara. “Jangan khawatir, kami menghapus data Anda, Anda tidak perlu menghubungi kami,” katanya. “Kami tidak tertarik untuk mengungkapkan informasi semacam itu.”

Cabang-cabang zaitun seperti itu biasa terjadi pada kelompok peretas profesional, yang ingin memaksimalkan pendapatan mereka tanpa menarik perhatian yang tidak perlu dari penegak hukum.

Ancaman tersebut merupakan peningkatan serangan ransomware konvensional dan dikenal sebagai “doxware”. Alih-alih hanya mengenkripsi data dan menagih kunci, peretas mencuri data secara langsung dan mengancam akan menerbitkannya kecuali uang tebusan dibayarkan.

“Meskipun tidak pernah disarankan untuk membayar tuntutan uang tebusan kepada penjahat dunia maya, ada risiko yang tak terhindarkan bahwa beberapa perusahaan yang ditargetkan akan menyerah pada tekanan tersebut. Ini hanya akan menyulut api dan melanjutkan siklus kelompok kriminal yang menghancurkan ini.

“Yang lebih penting adalah perusahaan yang terkena dampak terbuka dan jujur dengan karyawan dan pelanggan mereka yang menawarkan dukungan dalam cara melindungi diri mereka sendiri dan cara menemukan … serangan.”

sumber : theguardian.com

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings