Threat

Ransomware Epsilon Red baru memburu server Microsoft Exchange yang belum ditambal

May 31, 2021 by Winnie the Pooh

Ancaman ransomware baru yang menamakan dirinya Epsilon Red telah terlihat memanfaatkan kerentanan server Microsoft Exchange untuk mengenkripsi mesin di seluruh jaringan.

Serangan ransomware Epsilon Red mengandalkan lebih dari selusin skrip sebelum mencapai tahap enkripsi dan juga menggunakan utilitas desktop jarak jauh komersial.

Penanggap insiden di perusahaan keamanan siber Sophos menemukan ransomware Epsilon Red baru selama seminggu terakhir saat menyelidiki serangan di perusahaan AS yang cukup besar di sektor perhotelan.

Para peneliti menemukan bahwa pelaku ancaman melanggar jaringan perusahaan dengan mengeksploitasi kerentanan yang belum ditambal di server Microsoft Exchange lokal.

Andrew Brandt, peneliti utama di Sophos, mengatakan dalam sebuah laporan hari ini bahwa penyerang mungkin telah memanfaatkan rangkaian kerentanan ProxyLogon untuk menjangkau mesin di jaringan.

Epsilon Red ditulis dalam Golang (Go) dan didahului oleh serangkaian skrip PowerShell unik yang mempersiapkan dasar untuk rutinitas enkripsi file, masing-masing memiliki tujuan tertentu:

menghentikan proses dan layanan untuk alat keamanan, database, program cadangan, aplikasi Office, klien email
menghapus Volume Shadow Copies
mencuri file Pengelola Akun Keamanan (SAM) yang berisi potongan sandi
menghapus Windows Event Logs
menonaktifkan Windows Defender
menangguhkan proses
menghapus instalan alat keamanan (Sophos, Trend Micro, Cylance, MalwareBytes, Sentinel One, Vipre, Webroot)
memperluas izin pada sistem

Selengkapnya: Bleeping Computer

Bug chip Apple M1 yang tidak dapat diperbaiki memungkinkan obrolan lintas proses, merusak model keamanan OS

May 27, 2021 by Winnie the Pooh

Chip M1 berbasis Arm milik Apple, yang banyak dipuji karena kinerjanya, mengandung cacat desain yang dapat dimanfaatkan untuk memungkinkan berbagai proses berkomunikasi secara diam-diam satu sama lain, yang melanggar prinsip keamanan sistem operasi.

M1RACLES, sebutan untuk bug, tidak menimbulkan risiko keamanan yang besar karena kebocoran informasi sudah dimungkinkan melalui berbagai saluran sampingan lainnya. Namun, itu menambahkan cara lain untuk malware yang ada pada perangkat keras yang terpengaruh untuk melakukan komunikasi rahasia.

Cacat muncul dari fakta bahwa register sistem Arm yang dikodekan sebagai s3_5_c15_c10_1 berisi dua bit yang dapat dibaca dan ditulis pada EL0 (Tingkat Pengecualian 0, hak istimewa tingkat aplikasi) dari semua inti secara bersamaan. Dalam sistem yang aman, obrolan lintas proses dibatasi untuk menjaga rahasia agar tidak terungkap.

“Sepasang berbahaya dari proses kerja sama dapat membangun saluran yang kuat dari status dua-bit ini, dengan menggunakan protokol clock-and-data (misalnya satu sisi menulis 1x untuk mengirim data, sisi lain menulis 00 untuk meminta bit berikutnya),” jelas Hector Martin, pendiri dan pimpinan proyek Ashai Linux.

Martin telah menerbitkan skrip bukti konsep untuk mendemonstrasikan cara membaca dan menulis data ke register sistem yang terlalu banyak bicara dan skrip bukti konsep untuk menyiapkan saluran rahasia pada sistem M1.

Selengkapnya: The Register

Itu ransomware, atau mungkin disk wiper, dan itu menyerang target di Israel

May 27, 2021 by Winnie the Pooh

Para peneliti mengatakan mereka telah menemukan malware disk wiper yang belum pernah terlihat sebelumnya yang menyamar sebagai ransomware saat meluncurkan serangan destruktif terhadap target Israel.

Apostle, seperti para peneliti di firma keamanan SentinelOne menyebut malware tersebut, pada awalnya digunakan dalam upaya untuk menghapus data tetapi gagal melakukannya, kemungkinan karena kesalahan logika dalam kodenya.

Nama internal yang diberikan oleh pengembangnya adalah “wiper-action.” Dalam versi yang lebih baru, bug telah diperbaiki dan malware mendapatkan perilaku ransomware lengkap, termasuk kemampuan untuk meninggalkan catatan yang menuntut korban membayar tebusan sebagai ganti kunci dekripsi.

Dalam sebuah posting yang diterbitkan hari Selasa, peneliti SentinelOne mengatakan mereka menilai dengan keyakinan tinggi bahwa berdasarkan kode dan server yang dilaporkan Apostle, malware itu digunakan oleh kelompok yang baru ditemukan yang memiliki hubungan dengan pemerintah Iran.

Sementara catatan ransomware yang ditemukan para peneliti menunjukkan bahwa Apostle telah digunakan terhadap fasilitas penting di Uni Emirat Arab, target utamanya adalah Israel.

Para peneliti telah menjuluki kelompok peretasan baru tersebut Agrius. SentinelOne melihat grup pertama kali menggunakan Apostle sebagai disk wiper, meskipun cacat pada malware mencegahnya melakukannya, kemungkinan besar karena kesalahan logika dalam kodenya. Agrius kemudian menggunakan Deadwood, wiper yang telah digunakan terhadap target di Arab Saudi pada tahun 2019.

Selengkapnya: Ars Technica

Kerentanan dalam produk VMware memiliki tingkat keparahan 9.8 dari 10

May 27, 2021 by Winnie the Pooh

Pusat data di seluruh dunia memiliki masalah baru yang harus dihadapi — kerentanan kode jarak jauh dalam produk VMware yang banyak digunakan.

Cacat keamanan, yang diungkapkan dan diperbaiki VMware pada hari Selasa, berada di vCenter Server, alat yang digunakan untuk mengelola virtualisasi di pusat data besar.

Server vCenter digunakan untuk mengelola produk host vSphere dan ESXi VMware, yang menurut beberapa peringkat merupakan solusi virtualisasi terpopuler pertama dan kedua di pasar. Enlyft, situs yang menyediakan kecerdasan bisnis, menunjukkan bahwa lebih dari 43.000 organisasi menggunakan vSphere.

Penasihat VMware mengatakan bahwa mesin vCenter yang menggunakan konfigurasi default memiliki bug yang, di banyak jaringan, memungkinkan eksekusi kode berbahaya saat mesin dapat dijangkau pada port yang terpapar ke Internet. Kerentanan dilacak sebagai CVE-2021-21985 dan memiliki skor keparahan 9,8 dari 10.

Shodan, layanan yang membuat katalog situs yang tersedia di Internet, menunjukkan bahwa ada hampir 5.600 mesin vCenter yang dapat diakses publik. Sebagian besar atau semua dari mereka berada di pusat data besar yang berpotensi menampung terabyte data sensitif.

Shodan menunjukkan bahwa pengguna teratas dengan server vCenter yang terekspos di Internet adalah Amazon, Hetzner Online GmbH, OVH SAS, dan Google.

vCenter versi 6.5, 6.7, dan 7.0 semuanya terpengaruh. Organisasi dengan mesin yang rentan harus memprioritaskan tambalan ini. Mereka yang tidak dapat langsung menginstal harus mengikuti saran solusi Beaumont. VMware memiliki lebih banyak panduan solusi di sini.

Selengkapnya : Ars Technica

Bisnis Asia Tenggara terkena tingkat pelanggaran data tertinggi secara global

May 27, 2021 by Winnie the Pooh

Di Asia Tenggara (SEA) – dianggap sebagai kawasan dengan pertumbuhan tercepat di dunia dengan ekonomi yang berkembang seperti Indonesia, Singapura, Vietnam, Malaysia, Thailand, dan Filipina – insiden pelanggaran data yang dilaporkan telah melonjak secara eksponensial dalam satu tahun terakhir, menandai wilayah tersebut untuk peningkatan terbesar dalam pelanggaran data yang dilaporkan di seluruh dunia.

Allianz Risk Barometer 2020 melaporkan bahwa insiden dunia maya, termasuk pelanggaran data, menempati peringkat sebagai risiko bisnis paling serius secara global.

Dan tidak ada risiko dunia maya akhir-akhir ini yang tampak lebih mahal daripada di bisnis Asia Tenggara, dengan Laporan Biaya Pelanggaran Data 2020 dari IBM Security yang menunjukkan bahwa rata-rata pelanggaran keamanan sekarang menelan biaya US $ 2,71 juta per organisasi di seluruh Asia Tenggara.

Di samping kesalahan konfigurasi cloud, laporan tersebut mencantumkan kredensial yang dicuri atau disusupi sebagai penyebab paling umum dari pelanggaran berbahaya bagi perusahaan, yang mewakili hampir 40% insiden.

Insiden semacam itu telah meningkat tajam di seluruh wilayah selama setahun terakhir, karena bisnis regional bergulat dengan laju digitalisasi yang lebih cepat yang disebabkan oleh kebutuhan, kembali bekerja dari rumah dan mengadopsi cloud dan alat kolaborasi digital lainnya.

Selengkapnya: Tech Wire Asia

Toyota berakhir dengan serangan siber kembar yang meninggalkan penyok berbentuk ransomware

May 26, 2021 by Winnie the Pooh

Toyota telah mengakui sepasang serangan dunia maya.

Yang pertama menghantam operasi Eropa anak perusahaannya Daihatsu Diesel Company, entitas perusahaan milik Toyota yang merancang mesin. Dalam pernyataan tertanggal 16 Mei, Daihatsu mengatakan “mengalami masalah dalam mengakses server filenya di sistem internal pada 14 Mei 2021.”

“Setelah penyelidikan singkat, serangan dunia maya oleh akses tidak sah dari pihak ketiga dikonfirmasi sebagai penyebab masalah ini,” tambah pernyataan itu. Daihatsu menghentikan apa pun yang menyebar ke kantor lain, memulai penyelidikan dan menjanjikan pembaruan. Tidak ada yang keluar pada saat penulisan.

Toyota Jepang telah meminta maaf atas masalah produksi, tetapi juga menunjukkan bahwa mereka memiliki 29 lini produksi di 14 pabrik, jadi perlambatan ini bukanlah pengurangan besar dalam produksi.

Selengkapnya: The Register

Evolusi ransomware JSWorm

May 26, 2021 by Winnie the Pooh

Keluarga JSWorm telah berkembang selama dua tahun dan selama waktu ini telah mengubah model distribusi dan Trojan telah mengalami beberapa pengembangan ulang lengkap.

Sejak kemunculan awal pada tahun 2019, ini telah berubah dari ancaman ransomware skala massal yang memengaruhi sebagian besar pengguna individu menjadi ancaman ransomware pemburu game besar yang menyerang target profil tinggi dan menuntut pembayaran tebusan besar-besaran.

Seperti ancaman ransomware bertarget lainnya saat ini, kunci untuk mencegah insiden infeksi JSWorm adalah pendekatan kompleks untuk mengamankan jaringan organisasi. Kelemahan apa pun dapat menjadi titik masuk bagi pelaku ancaman, baik itu versi perangkat lunak sisi server yang rentan, karyawan yang mengklik tautan berbahaya, kata sandi yang lemah untuk sistem kendali jarak jauh, dan sebagainya.

Untuk meningkatkan pertahanan terhadap ransomware pemburu game besar, sebaiknya lakukan audit keamanan jaringan Anda untuk menemukan dan secara proaktif memperbaiki kelemahan keamanan apa pun.

Rekomendasi lain untuk memaksimalkan keamanan organisasi Anda:

Jangan memaparkan layanan desktop jarak jauh (seperti RDP) ke jaringan publik kecuali benar-benar diperlukan dan selalu gunakan kata sandi yang kuat untuk mereka.
Pastikan solusi VPN komersial dan perangkat lunak sisi server lainnya selalu diperbarui karena eksploitasi perangkat lunak jenis ini adalah vektor infeksi umum untuk ransomware. Selalu perbarui aplikasi sisi klien.
Fokuskan strategi pertahanan Anda untuk mendeteksi pergerakan lateral dan eksfiltrasi data ke internet. Berikan perhatian khusus pada lalu lintas keluar untuk mendeteksi koneksi penjahat dunia maya. Cadangkan data secara teratur. Pastikan Anda dapat mengaksesnya dengan cepat dalam keadaan darurat saat dibutuhkan. Gunakan informasi Threat Intelligence terbaru untuk tetap mengetahui TTP aktual yang digunakan oleh pelaku ancaman.

Selengkapnya : Secure List Kaspersky

Komputer quantum dapat memecahkan pesan terenkripsi saat ini. Itu adalah sebuah masalah

May 26, 2021 by Winnie the Pooh

Komputer quantum, jika cukup matang, akan dapat memecahkan banyak enkripsi saat ini. Itu akan mengungkap komunikasi pribadi, data perusahaan, dan rahasia militer.

Komputer quantum saat ini terlalu primitif untuk melakukannya. Tetapi data yang dikumpulkan secara diam-diam sekarang masih bisa menjadi sensitif ketika komputer quantum yang lebih kuat online dalam beberapa tahun.

Industri komputasi sangat menyadari potensi kerentanan ini. Beberapa perusahaan telah memulai upaya untuk membuat, menguji, dan mengadopsi algoritme enkripsi baru yang tahan terhadap komputer quantum. Beberapa dari perusahaan tersebut, termasuk IBM dan Thales, telah mulai menawarkan produk yang dilindungi oleh apa yang disebut kriptografi pasca-quantum.

Enkripsi quantum-safe akan hadir dalam hidup Anda melalui laptop, ponsel, browser, dan produk lainnya yang telah diupgrade. Tetapi sebagian besar beban untuk enkripsi aman quantum berada di pundak bisnis, pemerintah, dan layanan komputasi awan yang harus merancang dan menginstal teknologi tersebut. Ini adalah perubahan yang luar biasa kompleks yang setara dengan memperbaiki bug Y2K atau meningkatkan komunikasi internet dari IPv4 ke IPv6.

Ini upaya yang sangat besar, tetapi harus dilakukan. Tidak hanya komunikasi saat ini yang rentan, tetapi komputer quantum nantinya dapat memecahkan tanda tangan digital yang memastikan integritas pembaruan untuk aplikasi, browser, sistem operasi, dan perangkat lunak lainnya, membuka jalur untuk malware.

Selengkapnya: Cnet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings