Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Peretas Rusia REvil menuntut $70 JUTA untuk kunci dekripsi

by

Serangan ransomware terbesar dalam sejarah telah menghantam sistem TI hingga 1 juta perusahaan di hampir setiap benua ketika peretas yang terkait dengan Rusia menuntut $70 juta dalam cryptocurrency untuk memperbaikinya.

Toko kelontong Swedia, sekolah di Selandia Baru, dan dua perusahaan IT besar Belanda termasuk di antara korban kelompok peretasan REvil yang meluncurkan serangannya pada hari Jumat setelah melanggar sistem perusahaan perangkat lunak yang berbasis di AS Kaseya.

REvi yang telah menuntut uang tebusan hingga $5 juta dari masing-masing perusahaan – namun sekarang mengatakan meminta $70 juta dan akan membuka kunci semua jaringan yang terpengaruh.

Analis mengatakan bukan kebetulan bahwa serangan terakhir bertepatan dengan akhir pekan 4 Juli, ketika perusahaan akan kekurangan staf dan kurang mampu merespons.

Di antara korban yang dilaporkan adalah dua perusahaan besar layanan TI Belanda – VelzArt dan Hoppenbrouwer Techniek.

Tetapi sebagian besar korban diyakini adalah usaha kecil hingga menengah dan layanan publik yang tidak mungkin mengumumkan bahwa mereka telah terinfeksi – seperti praktik gigi, firma arsitektur, pusat operasi plastik, dan perpustakaan.

Peretas berhasil menjatuhkan perusahaan dengan menyusup ke VSA, perangkat lunak Kaseya yang digunakan untuk mengelola jaringan TI yang jauh lebih besar. Peretasan semacam itu dikenal sebagai serangan ‘rantai pasokan’.

Para ahli mengatakan fakta bahwa REvil meminta uang tebusan sebesar $70 juta untuk mengembalikan semua jaringan yang terpengaruh menunjukkan bahwa peretasannya jauh lebih luas daripada yang diantisipasi oleh peretas itu sendiri.

Selengkapnya: Daily Mail UK

Karyawan Microsoft mencuri gift cards Xbox senilai US$10 juta, membeli properti tepi danau dan Tesla bersamanya

by

Mungkin tidak pernah terdengar bahwa karyawan kadang-kadang meminjam satu atau dua barang dari kantor mereka dan membawanya pulang untuk penggunaan pribadi. Tetapi seorang karyawan yang berhasil mencuri barang bernilai jutaan dolar AS, itu adalah sesuatu yang tidak Anda dengar setiap hari. Menurut laporan Bloomberg, inilah yang terjadi di divisi Xbox Microsoft.

Kasus tersebut di atas terjadi pada tahun 2017, namun baru kali ini menyita perhatian publik. Empat tahun lalu, insinyur perangkat lunak junior yang baru direkrut Volodymyr Kvashuk ditugaskan untuk meninjau infrastruktur e-commerce Microsoft, khususnya pemrosesan pembayarannya. Inilah saat Kvashuk menemukan kelemahan keamanan yang cukup mencolok: Setiap kali dia mensimulasikan pembelian gift cards Xbox untuk tujuan pengujian, sistem internal Microsoft akan memberikan kode gift cards yang valid dan dapat digunakan. Alih-alih melaporkan kesalahan tersebut, pengembang kelahiran Ukraina memutuskan untuk menggunakan exploit untuk keuntungannya.

Sampai penangkapannya dua tahun kemudian, Kvashuk menghasilkan total 152.000 kode gift cards Xbox, senilai total lebih dari US$10 juta. Dia dilaporkan menggunakan hasil penjualan kode gift cards untuk menjalani kehidupan yang agak mewah dengan membeli Tesla baru dan properti tepi laut di Danau Washington. November lalu, dia dijatuhi hukuman sembilan tahun penjara, dan begitu dia bebas, dia akan menghadapi deportasi dari Amerika Serikat. Itu adalah perjalanan yang singkat, tetapi menyenangkan bagi pelakunya dalam kemungkinan salah satu perampokan paling terkenal dalam sejarah Microsoft.

selengkapnya : www.notebookcheck.net

Otoritas Sertifikat Mongolia Diretas untuk Mendistribusikan Perangkat Lunak CA Backdoored

by

Dalam contoh lain serangan rantai pasokan perangkat lunak, peretas tak dikenal melanggar situs web MonPass, salah satu otoritas sertifikat utama Mongolia, untuk mem-backdoor perangkat lunak penginstalnya dengan binari Cobalt Strike.

Klien trojan tersedia untuk diunduh antara 8 Februari 2021, dan 3 Maret 2021, kata perusahaan perangkat lunak keamanan siber Ceko Avast dalam sebuah laporan yang diterbitkan Kamis.

Selain itu, server web publik yang dihosting oleh MonPass berpotensi disusupi sebanyak delapan kali secara terpisah, dengan para peneliti mengungkap delapan cangkang web dan pintu belakang yang berbeda pada server yang disusupi.

Penyelidikan Avast atas insiden tersebut dimulai setelah menemukan penginstal pintu belakang dan implan pada salah satu sistem pelanggannya.

“Pemasang berbahaya adalah file [Portable Executable] yang tidak ditandatangani,” kata para peneliti. “Ini dimulai dengan mengunduh versi penginstal yang sah dari situs web resmi MonPass. Versi yang sah ini dijatuhkan ke folder ‘C:\Users\Public\’ dan dijalankan di bawah proses baru. Ini menjamin bahwa penginstal berperilaku seperti yang diharapkan, artinya pengguna biasa tidak mungkin melihat sesuatu yang mencurigakan.”

selengkapnya : thehackernews.com

Microsoft memperingatkan kerentanan eksekusi kode PowerShell 7 yang kritis

by

Microsoft memperingatkan kerentanan eksekusi kode jarak jauh .NET Core yang kritis di PowerShell 7 yang disebabkan oleh bagaimana pengkodean teks dilakukan di .NET 5 dan .NET Core.

PowerShell menyediakan shell baris perintah, kerangka kerja, dan bahasa skrip yang berfokus pada otomatisasi untuk memproses cmdlet PowerShell.

Ini berjalan di semua platform utama, termasuk Windows, Linux, dan macOS, dan memungkinkan bekerja dengan data terstruktur seperti JSON, CSV, dan XML, serta REST API dan model objek.

Perusahaan mengatakan tidak ada tindakan mitigasi yang tersedia untuk memblokir eksploitasi kelemahan keamanan yang dilacak sebagai CVE-2021-26701.

Pelanggan didesak untuk menginstal versi PowerShell 7.0.6 dan 7.1.3 yang diperbarui sesegera mungkin untuk melindungi sistem mereka dari potensi serangan.

Penasihat awal Microsoft juga memberikan panduan kepada pengembang tentang memperbarui aplikasi mereka untuk menghapus kerentanan ini.

“Paket yang rentan adalah System.Text.Encodings.Web. Memutakhirkan paket Anda dan menerapkan ulang aplikasi Anda seharusnya cukup untuk mengatasi kerentanan ini,” Microsoft menjelaskan pada bulan April ketika kelemahan keamanan telah ditambal.

Aplikasi berbasis .NET 5, .NET Core, atau .NET Framework apa pun yang menggunakan versi paket System.Text.Encodings.Web yang tercantum di bawah ini rentan terhadap serangan.

selengkapnya : www.bleepingcomputer.com

Microsoft Memperingatkan Cacat “PrintNightmare” Kritis Dieksploitasi di Alam Liar

by

Microsoft pada hari Kamis secara resmi mengkonfirmasi bahwa kerentanan eksekusi kode jarak jauh (RCE) “PrintNightmare” yang memengaruhi Windows Print Spooler berbeda dari masalah yang ditangani perusahaan sebagai bagian dari pembaruan Patch Tuesday yang dirilis awal bulan ini, sambil memperingatkan bahwa ia telah mendeteksi upaya eksploitasi yang menargetkan cacat.

Perusahaan melacak kelemahan keamanan di bawah pengenal CVE-2021-34527.

“Kerentanan eksekusi kode jarak jauh terjadi ketika layanan Windows Print Spooler melakukan operasi file yang diistimewakan secara tidak benar,” kata Microsoft dalam nasihatnya. “Seorang penyerang yang berhasil mengeksploitasi kerentanan ini dapat menjalankan kode arbitrer dengan hak istimewa SISTEM. Penyerang kemudian dapat menginstal program; melihat, mengubah, atau menghapus data; atau membuat akun baru dengan hak pengguna penuh.”

“Sebuah serangan harus melibatkan pengguna yang diautentikasi yang memanggil RpcAddPrinterDriverEx(),” tambah perusahaan yang berbasis di Redmond.

Pengakuan itu muncul setelah para peneliti dari perusahaan keamanan siber yang berbasis di Hong Kong, Sangfor, memublikasikan kesalahan teknis Print Spooler RCE ke GitHub, bersama dengan kode PoC yang berfungsi penuh, sebelum diturunkan hanya beberapa jam setelah naik.

selengkapnya : thehackernews.com

Data yang Diretas untuk 69K Pengguna LimeVPN Dijual di Web Gelap

by

LimeVPN telah mengkonfirmasi insiden data, dan sementara itu situs webnya telah dimatikan.

Penyedia VPN yang dikenal sebagai LimeVPN telah terkena peretasan yang memengaruhi 69.400 catatan pengguna, menurut para peneliti.

Seorang peretas mengklaim telah mencuri seluruh basis data pelanggan perusahaan sebelum membuat situs webnya offline (Threatpost mengonfirmasi bahwa pada waktu pers, situs web itu mati). Catatan yang dicuri terdiri dari nama pengguna, kata sandi dalam teks biasa, alamat IP, dan informasi penagihan, menurut PrivacySharks. Para peneliti menambahkan serangan itu juga termasuk kunci publik dan pribadi pengguna LimeVPN.

“Peretas memberi tahu kami bahwa mereka memiliki kunci pribadi setiap pengguna, yang merupakan masalah keamanan serius karena itu berarti mereka dapat dengan mudah mendekripsi lalu lintas setiap pengguna LimeVPN,” kata perusahaan itu dalam sebuah posting.

selengkapnya : threatpost.com

CISA merilis alat audit keamanan penilaian mandiri ransomware baru

by

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) telah merilis Ransomware Readiness Assessment (RRA), modul baru untuk Alat Evaluasi Keamanan Cyber ​​(CSET).

RRA adalah alat penilaian mandiri audit keamanan untuk organisasi yang ingin lebih memahami seberapa baik mereka diperlengkapi untuk bertahan dan pulih dari serangan ransomware yang menargetkan teknologi informasi (TI), teknologi operasional (OT), atau sistem kontrol industri (ICS) mereka. aktiva.

Modul CSET ini dirancang RRA untuk menilai berbagai tingkat kesiapan ancaman ransomware untuk membantu semua organisasi terlepas dari kematangan keamanan siber mereka.

“RRA juga menyediakan jalur yang jelas untuk perbaikan dan berisi perkembangan pertanyaan yang berkembang berjenjang berdasarkan kategori dasar, menengah, dan lanjutan,” kata CISA di halaman wiki alat.

“Ini dimaksudkan untuk membantu organisasi meningkatkan dengan berfokus pada dasar-dasar terlebih dahulu, dan kemudian berkembang dengan menerapkan praktik melalui kategori menengah dan lanjutan.”

CISA mengatakan RRA dapat digunakan untuk bertahan melawan ancaman yang berkembang ini karena secara efektif:

  1. Membantu organisasi mengevaluasi postur keamanan siber mereka, sehubungan dengan ransomware, terhadap standar yang diakui dan rekomendasi praktik terbaik secara sistematis, disiplin, dan berulang.
  2. Memandu pemilik aset dan operator melalui proses sistematis untuk mengevaluasi teknologi operasional (OT) dan praktik keamanan jaringan teknologi informasi (TI) mereka terhadap ancaman ransomware.
  3. Menyediakan dasbor analisis dengan grafik dan tabel yang menyajikan hasil penilaian baik dalam bentuk ringkasan maupun detail.

selengkapnya : www.bleepingcomputer.com

Serangan ransomware besar ini digagalkan pada menit terakhir. Begini cara mereka melihatnya

by

Geng ransomware menginstal perangkat lunak desktop jarak jauh di lebih dari 100 mesin di seluruh jaringan, dan rencana mereka untuk mengenkripsi jaringan hanya digagalkan pada menit terakhir ketika pakar keamanan siber dipanggil ke perusahaan setelah perangkat lunak mencurigakan ditemukan di jaringannya.

Upaya yang dilakukan oleh penjahat untuk meletakkan dasar untuk serangan ransomware, yang mengakibatkan perangkat lunak akses jarak jauh yang sah diinstal pada 130 titik akhir, ditemukan ketika perusahaan keamanan Sophos dibawa untuk menyelidiki perusahaan yang tidak disebutkan namanya setelah Cobalt Strike terdeteksi di jaringannya.

Cobalt Strike adalah alat pengujian penetrasi yang sah, tetapi biasanya digunakan oleh penjahat cyber pada tahap awal serangan ransomware. Salah satu alasan yang digunakan oleh penjahat cyber adalah sebagian berjalan di memori, sehingga sulit untuk dideteksi.

Tujuan dari geng tersebut adalah untuk mengenkripsi sebanyak mungkin jaringan dengan REvil ransomware, tetapi karena penjahat cyber terdeteksi sebelum mereka dapat menyelesaikan persiapan mereka, serangan itu tidak berhasil – meskipun mereka berhasil mengenkripsi data pada beberapa perangkat yang tidak terlindungi. dan menghapus cadangan online setelah mereka menyadari bahwa mereka telah ditemukan oleh penyelidik.

selengkapnya : www.zdnet.com