Threat

Decryptor ransomware Lorenz memulihkan file korban secara gratis

July 1, 2021 by Winnie the Pooh

Perusahaan keamanan siber Belanda Tesorion telah merilis decryptor gratis untuk ransomware Lorenz, yang memungkinkan korban memulihkan beberapa file mereka secara gratis tanpa membayar uang tebusan.

Lorenz adalah ransomware yang dioperasikan manusia yang mulai beroperasi pada April 2021 dan sejak itu telah mendaftarkan dua belas korban yang datanya mereka curi dan bocorkan di situs kebocoran data ransomware mereka.

Alat dekripsi ransomware Lorenz dapat diunduh dari NoMoreRansom dan akan memungkinkan korban memulihkan beberapa file terenkripsi mereka.

Tidak seperti decryptor ransomware lain yang menyertakan kunci dekripsi sebenarnya, decryptor Tesorion beroperasi secara berbeda dan hanya dapat mendekripsi jenis file tertentu.

Peneliti Tesorion Gijs Rijnders mengatakan kepada BleepingComputer bahwa hanya file dengan struktur file terkenal yang dapat didekripsi, seperti dokumen Office, file PDF, beberapa jenis gambar, dan file film.

Sementara decryptor akan mendekripsi tidak semua jenis file, masih akan memungkinkan mereka yang tidak membayar uang tebusan untuk memulihkan file penting.

selengkapnya : www.bleepingcomputer.com

Masalah RPM Linux utama ditemukan

July 1, 2021 by Winnie the Pooh

Pada tahun 1995, ketika Linux 1.x adalah kernel Linux baru yang panas, programmer pendiri Red Hat awal Marc Ewing dan Erik Troan menciptakan RPM. Sistem manajemen paket perangkat lunak ini menjadi cara default untuk mendistribusikan perangkat lunak untuk distribusi berbasis Red Hat Linux seperti Red Hat Enterprise Linux (RHEL), CentOS Stream, AlmaLinux OS, dan Rocky Linux. Sayangnya, tersembunyi di dalam hatinya adalah lubang keamanan utama.

Dmitry Antipov, pengembang Linux di CloudLinux, perusahaan induk AlmaLinux OS, pertama kali menemukan masalah pada Maret 2021. Antipov menemukan bahwa RPM akan bekerja dengan paket RPM yang tidak sah. Ini berarti bahwa paket yang tidak ditandatangani atau paket yang ditandatangani dengan kunci yang dicabut dapat diam-diam ditambal atau diperbarui tanpa peringatan bahwa mereka mungkin tidak halal.

Mengapa? Karena RPM tidak pernah memeriksa dengan benar penanganan kunci sertifikat yang dicabut. Secara khusus, seperti yang dijelaskan oleh pengembang Linux dan RPM utama Panu Matilainen: “Pencabutan adalah salah satu dari banyak hal yang tidak diimplementasikan dalam dukungan OpenPGP rpm. Dengan kata lain, Anda tidak melihat bug seperti itu; itu hanya tidak diterapkan sama sekali, seperti kedaluwarsa tidak.”

Bagaimana ini bisa terjadi? Itu karena RPM berasal dari hari-hari ketika membuat kode berfungsi adalah prioritas pertama dan keamanan datang jauh kedua. Misalnya, kita tidak tahu apakah komit RPM pertama dibuat oleh Marc Ewing atau Erik Troan karena dilakukan sebagai root.

selengkapnya : www.zdnet.com

Eksploitasi 0-hari Windows PrintNightmare publik memungkinkan pengambilalihan domain

July 1, 2021 by Winnie the Pooh

Detail teknis dan eksploitasi proof-of-concept (PoC) telah bocor secara tidak sengaja untuk kerentanan yang saat ini belum ditambal di Windows yang memungkinkan eksekusi kode jarak jauh.

Terlepas dari kebutuhan untuk otentikasi, tingkat keparahan masalah ini sangat penting karena aktor ancaman dapat menggunakannya untuk mengambil alih server domain Windows untuk menyebarkan malware dengan mudah ke seluruh jaringan perusahaan.

Masalah ini memengaruhi Windows Print Spooler dan karena daftar panjang bug yang memengaruhi komponen ini selama bertahun-tahun [1, 2, 3, 4], para peneliti menamakannya PrintNightmare.

Beberapa peneliti telah menguji eksploitasi PoC yang bocor pada sistem Windows Server 2019 yang sepenuhnya ditambal dan dapat mengeksekusi kode sebagai SISTEM.

Kebocoran detail untuk kerentanan ini terjadi secara tidak sengaja, karena kebingungan dengan masalah lain, CVE-2021-1675, juga memengaruhi Print Spooler yang ditambal Microsoft dalam peluncuran pembaruan keamanan bulan ini.

Awalnya, Microsoft mengklasifikasikan CVE-2021-1675 sebagai masalah eskalasi hak istimewa dengan tingkat keparahan tinggi, tetapi beberapa minggu kemudian mengubah peringkat menjadi kritis dan berdampak pada eksekusi kode jarak jauh, tanpa memberikan detail apa pun.

Dikreditkan untuk pelaporan CVE-2021-1675 adalah peneliti dari tiga perusahaan cybersecurity (Tencent, AFINE, NSFOCUS) tetapi beberapa tim menganalisis Windows Print Spooler.

selengkapnya : www.bleepingcomputer.com

NVIDIA Menambal Bug Serangan Spoof GeForce Tingkat Tinggi

June 30, 2021 by Winnie the Pooh

Perangkat lunak grafis game NVIDIA yang disebut GeForce Experience, dibundel dengan GPU GTX pembuat chip yang populer, memiliki kerentanan dan membuka pintu bagi penyerang jarak jauh yang dapat mengeksploitasi bug untuk mencuri atau memanipulasi data pada komputer Windows yang rentan.

NVIDIA memberi tahu pelanggan akhir minggu lalu tentang bug tersebut dan merilis tambalan perangkat lunak untuk cacat tersebut, yang ada dalam perangkat lunak Windows GeForce Experience (versi 3.21 dan sebelumnya). Pembaruan GeForce 3.23 sekarang tersedia untuk memitigasi bug.

Bug dilacak sebagai CVE‑2021‑1073, dengan peringkat keparahan CVSS 8.3 (tinggi). Perusahaan memperingatkan:

Perangkat lunak NVIDIA GeForce Experience mengandung kerentanan di mana, jika pengguna mengklik tautan berformat jahat yang membuka halaman login GeForce Experience di tab browser baru alih-alih aplikasi GeForce Experience dan memasukkan informasi login mereka, situs berbahaya tersebut bisa mendapatkan akses ke token sesi login pengguna. Serangan semacam itu dapat menyebabkan data pengguna yang ditargetkan ini diakses, diubah, atau hilang.

Mereka yang terpengaruh disarankan untuk mengunduh dan menginstal pembaruan perangkat lunak melalui halaman GeForce Experience Download atau cukup membuka klien perangkat lunak, yang kemudian akan memperbarui perangkat lunak secara otomatis.

GeForce Experience adalah perangkat lunak gratis yang dibundel dengan kartu grafis NVIDIA dan dirancang khusus untuk meningkatkan kinerja game PC. Ini memungkinkan pengguna untuk memantau dan mengoptimalkan kinerja sistem, mengambil tangkapan layar dalam game, dan merekam atau streaming langsung permainan game ke komunitas seperti Twitch.

Selengkapnya: Threat Post

Geng Ransomware sekarang membuat situs web untuk merekrut afiliasi

June 30, 2021 by Winnie the Pooh

Sejak dua forum kejahatan dunia maya terkemuka berbahasa Rusia melarang topik terkait ransomware, operasi kriminal telah dipaksa untuk mempromosikan layanan mereka melalui metode alternatif.

Setidaknya dua geng ransomware yang membutuhkan peretas untuk menjalankan serangan telah menggunakan situs mereka untuk mengiklankan fitur alat enkripsi mereka untuk menarik anggota baru.

Sekitar seminggu yang lalu, geng ransomware LockBit mengumumkan versi utama baru untuk alat mereka, mengklaim peningkatan yang signifikan untuk kecepatan enkripsi.

Untuk mendukung klaim mereka, pelaku ancaman tampaknya menguji versi beberapa potongan ransomware dan mempublikasikan pengukuran mereka untuk kecepatan enkripsi file.

Dengan meluncurkan LockBit 2.0, pengembang ransomware juga mengumumkan sesi rekrutmen afiliasi baru, menyoroti bahwa enkripsi yang mereka gunakan tidak goyah sejak operasi dimulai pada September 2019.

Untuk menarik mitra, LockBit mengklaim menawarkan enkripsi tercepat dan alat pencurian file (StealBit) “di seluruh dunia.”

Langkah dari LockBit ini terjadi setelah aktor pada akhir Mei mencoba untuk mendapatkan pembicaraan ransomware kembali di forum berbahasa Rusia yang populer dengan mengusulkan bagian pribadi hanya untuk “pengguna otoritatif, di mana tidak ada keraguan.”

Perusahaan intelijen ancaman KELA mengatakan bahwa tidak semua kelompok ransomware sekeras ini dalam pencarian afiliasi mereka.

Geng REvil, misalnya, lebih suka beroperasi secara rahasia dan bergantung pada jaringan afiliasi dan koneksinya untuk mendapatkan mitra baru saat mereka membutuhkannya, kata KELA.

Selengkapnya: Bleeping Computer

Bug Pengambilalihan Mesin Virtual yang Belum Ditambal Mempengaruhi Google Compute Engine

June 30, 2021 by Winnie the Pooh

Kerentanan keamanan yang belum ditambal yang memengaruhi platform Compute Engine Google dapat disalahgunakan oleh penyerang untuk mengambil alih mesin virtual melalui jaringan.

“Ini dilakukan dengan meniru server metadata dari sudut pandang mesin virtual yang ditargetkan,” kata peneliti keamanan Imre Rad dalam sebuah analisis yang diterbitkan Jumat. “Dengan memasang eksploitasi ini, penyerang dapat memberikan akses ke dirinya sendiri melalui SSH (otentikasi kunci publik) sehingga mereka dapat masuk sebagai pengguna root.”

Google Compute Engine (GCE) adalah komponen infrastruktur sebagai layanan (IaaS) dari Google Cloud Platform yang memungkinkan pengguna membuat dan meluncurkan mesin virtual (VM) sesuai permintaan. GCE menyediakan metode untuk menyimpan dan mengambil metadata dalam bentuk server metadata, yang menawarkan titik pusat untuk mengatur metadata dalam bentuk pasangan nilai kunci yang kemudian diberikan ke mesin virtual saat runtime.

Dalam skenario dunia nyata, rantai serangan yang digunakan dapat disalahgunakan oleh musuh untuk mendapatkan akses penuh ke mesin virtual yang ditargetkan saat sedang di-boot ulang atau melalui internet jika firewall platform cloud dimatikan.

Google diberitahu tentang masalah ini pada 27 September 2020, yang sejak itu mengakui laporan tersebut, menggambarkannya sebagai “tangkapan yang bagus,” tetapi belum meluncurkan tambalan, atau memberikan garis waktu kapan koreksi akan tersedia.

Selengkapnya: The Hacker News

Ransomware baru menyoroti adopsi luas dari bahasa Golang oleh penyerang siber

June 30, 2021 by Winnie the Pooh

Jenis ransomware baru yang menggunakan Golang menyoroti peningkatan adopsi bahasa pemrograman tersebut oleh aktor ancaman.

CrowdStrike mengamankan sampel varian ransomware baru, yang belum disebutkan namanya, yang meminjam fitur dari HelloKitty/DeathRansom dan FiveHands.

Jenis ransomware ini diperkirakan telah aktif sejak 2019 dan telah dikaitkan dengan serangan terhadap pembuat Cyberpunk 2077, CD Projekt Red (CDPR), serta organisasi perusahaan.

Sampel yang ditemukan mengungkapkan fungsi yang mirip dengan HelloKitty dan FiveHands, dengan komponen yang ditulis dalam C++, serta cara malware mengenkripsi file dan menerima argumen baris perintah.

Namun, tidak seperti HelloKitty dan FiveHands, jenis ransomware baru ini telah mengadopsi paket yang ditulis dalam Go yang mengenkripsi muatan ransomware C++-nya.

Menurut Intezer, malware yang memanfaatkan Go adalah kejadian langka sebelum 2019, tetapi sekarang, bahasa pemrograman tersebut adalah pilihan populer karena kemudahan kompilasi kode dengan cepat untuk berbagai platform dan kesulitannya untuk merekayasa balik. Tingkat sampel telah meningkat sekitar 2.000% dalam beberapa tahun terakhir.

Sampel CrowdStrike menggunakan Golang versi terbaru, v.1.16, yang dirilis pada Februari 2021.

Selain penggunaan Go, sampel berisi fungsi khas ransomware — termasuk kemampuan untuk mengenkripsi file dan disk, serta mengeluarkan permintaan pembayaran sebagai imbalan atas kunci dekripsi.

Selengkapnya: ZDNet

Pelanggaran Data LinkedIn dilaporkan mengekspos data 92% pengguna, termasuk gaji yang diperkirakan [U]

June 30, 2021 by Winnie the Pooh

Pelanggaran besar kedua LinkedIn dilaporkan mengekspos data 700 juta pengguna, yang merupakan lebih dari 92% dari total 756 juta pengguna. Basis data untuk dijual di web gelap, dengan data termasuk nomor telepon, alamat fisik, data geolokasi, dan gaji yang diperkirakan.

Peretas yang memperoleh data telah memposting sampel 1 juta catatan, dan pemeriksaan mengonfirmasi bahwa data tersebut asli dan terbaru.

RestorePrivacy melaporkan bahwa peretas tampaknya telah menyalahgunakan LinkedIn API resmi untuk mengunduh data, metode yang sama yang digunakan dalam pelanggaran serupa pada bulan April.

Pada tanggal 22 Juni, seorang pengguna situs peretasan populer mengiklankan data dari 700 Juta pengguna LinkedIn untuk dijual. Pengguna forum memposting sampel data yang mencakup 1 juta pengguna LinkedIn. Kami memeriksa sampel dan menemukannya mengandung informasi berikut:

Alamat email

Nama lengkap

Nomor telepon

Alamat fisik

Catatan geolokasi

Nama pengguna dan URL profil LinkedIn

Pengalaman/latar belakang pribadi dan profesional

jenis kelamin

Akun media sosial dan nama pengguna lainnya

PrivacyShark

Tidak ada kata sandi yang ikut bocor, tetapi ini masih merupakan data berharga yang dapat digunakan untuk pencurian identitas dan upaya phishing yang tampak meyakinkan yang dapat digunakan sendiri untuk mendapatkan kredensial masuk untuk LinkedIn dan situs lainnya.

Saat dimintai keterangan, pihak LinkedIn membantah dengan mengatakan bahwa itu bukanlah pelanggaran data.

Sementara kami masih menyelidiki masalah ini, analisis awal kami menunjukkan bahwa kumpulan data tersebut mencakup informasi yang diambil dari LinkedIn serta informasi yang diperoleh dari sumber lain. Ini bukan pelanggaran data LinkedIn dan penyelidikan kami telah menetapkan bahwa tidak ada data pribadi anggota LinkedIn yang terpapar. Memotong data dari LinkedIn merupakan pelanggaran terhadap Ketentuan Layanan kami dan kami terus berupaya untuk memastikan privasi anggota kami terlindungi.

LinkedIn

Selengkapnya: 9to5mac

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings