Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Trik Baru Berbahaya Ransomware Mengenkripsi Ganda Data Anda

by

KELOMPOK RANSOMWARE selalu mengambil pendekatan lebih. Jika korban membayar tebusan dan kemudian kembali ke bisnis seperti biasa — serang mereka lagi. Eskalasi terbaru? Peretas ransomware yang mengenkripsi data korban dua kali pada waktu yang bersamaan.

Serangan enkripsi ganda pernah terjadi sebelumnya, biasanya berasal dari dua geng ransomware terpisah yang membahayakan korban yang sama pada waktu yang sama. Tetapi perusahaan antivirus Emsisoft mengatakan mereka mengetahui lusinan insiden di mana aktor atau grup yang sama secara sengaja melapisi dua jenis ransomware di atas satu sama lain.

“Kelompok-kelompok itu terus-menerus mencoba mencari strategi mana yang terbaik, yang memberi mereka uang paling banyak untuk usaha yang paling sedikit,” kata analis ancaman Emsisoft, Brett Callow.

Beberapa korban mendapatkan dua catatan tebusan sekaligus, kata Callow, yang berarti bahwa peretas ingin korbannya mengetahui tentang serangan enkripsi ganda. Namun, dalam kasus lain, korban hanya melihat satu catatan tebusan dan hanya mengetahui tentang enkripsi lapis kedua setelah mereka membayar untuk menghilangkan yang pertama.

Emsisoft telah mengidentifikasi dua taktik berbeda. Yang pertama, peretas mengenkripsi data dengan ransomware A dan kemudian mengenkripsi ulang data tersebut dengan ransomware B. Jalur lain melibatkan apa yang disebut Emsisoft sebagai serangan “side-by-side encryption”, di mana serangan mengenkripsi beberapa sistem organisasi dengan ransomware A dan lainnya dengan ransomware B.

Para peneliti juga mencatat bahwa dalam skenario side-by-side ini, penyerang mengambil langkah untuk membuat dua jenis ransomware yang berbeda terlihat semirip mungkin, jadi lebih sulit bagi incident responders untuk memilah apa yang terjadi.

Selengkapnya: Wired

Kode Sumber Rapid7 Bocor dalam Serangan Rantai Pasokan Codecov

by

Perusahaan cybersecurity Rapid7 pada hari Kamis mengungkapkan bahwa aktor tak dikenal secara tidak benar berhasil mendapatkan sebagian kecil dari repositori kode sumbernya setelah kompromi rantai pasokan perangkat lunak yang menargetkan Codecov awal tahun ini.

“Sebagian kecil dari repositori kode sumber kami untuk perkakas internal untuk layanan [Deteksi dan Respons yang Dikelola] kami diakses oleh pihak yang tidak berwenang di luar Rapid7,” kata perusahaan yang berbasis di Boston dalam sebuah pengungkapan. “Repositori ini berisi beberapa kredensial internal, yang semuanya telah dirotasi, dan data terkait peringatan untuk sebagian pelanggan MDR kami.”

Pada 15 April, startup audit perangkat lunak Codecov memberi tahu pelanggan bahwa utilitas Bash Uploader-nya telah terinfeksi dengan pintu belakang pada 31 Januari oleh pihak yang tidak dikenal untuk mendapatkan akses ke token otentikasi untuk berbagai akun perangkat lunak internal yang digunakan oleh pengembang. Insiden itu tidak terungkap sampai 1 April.

Rapid7 menegaskan bahwa tidak ada bukti bahwa sistem perusahaan atau lingkungan produksi lain diakses, atau bahwa ada perubahan berbahaya yang dilakukan pada repositori tersebut.

Perusahaan juga menambahkan penggunaan skrip Pengunggah terbatas pada satu server CI yang digunakan untuk menguji dan membangun beberapa alat internal untuk layanan MDR-nya.

Sebagai bagian dari penyelidikan tanggapan insidennya, perusahaan keamanan mengatakan telah memberi tahu sejumlah pelanggan tertentu yang mungkin terkena dampak pelanggaran tersebut.

Selengkapnya: The Hacker News

Microsoft memperingatkan: Waspadai malware baru ini yang mencuri kata sandi, kamera web, dan data browser

by

Microsoft telah mengeluarkan peringatan atas alat akses jarak jauh (RAT) yang dijuluki RevengeRAT yang dikatakan telah digunakan untuk menargetkan sektor kedirgantaraan dan perjalanan dengan email spear-phishing.

RevengeRAT, juga dikenal sebagai AsyncRAT, didistribusikan melalui pesan email yang dibuat dengan hati-hati yang meminta karyawan untuk membuka file yang menyamar sebagai lampiran file Adobe PDF yang sebenarnya mengunduh file berbahaya visual basic (VB).

Menurut Microsoft, email phishing mendistribusikan loader yang kemudian mengirimkan RevengeRAT atau AsyncRAT. Morphisec mengatakan itu juga memberikan RAT Agent Tesla.

“Kampanye menggunakan email yang menipu organisasi yang sah, dengan umpan yang relevan dengan penerbangan, perjalanan, atau kargo. Gambar yang menyamar sebagai file PDF berisi tautan yang disematkan (biasanya menyalahgunakan layanan web yang sah) yang mengunduh VBScript berbahaya, yang menjatuhkan muatan RAT , “Kata Microsoft.

Morphisec menamai layanan cryptor “Snip3” berdasarkan nama pengguna yang diambil dari malware yang ditemukan pada varian sebelumnya.

Snip3 telah dikonfigurasi untuk tidak memuat RAT jika mendeteksi itu dijalankan dalam Windows Sandbox – fitur keamanan mesin virtual yang diperkenalkan Microsoft pada 2018. Windows Sandbox dimaksudkan untuk memungkinkan pengguna tingkat lanjut untuk menjalankan file yang berpotensi berbahaya dalam sandbox aman yang dimenangkan. tidak mempengaruhi sistem operasi host.

“Jika dikonfigurasi oleh [penyerang], PowerShell mengimplementasikan fungsi yang mencoba mendeteksi apakah skrip dijalankan dalam lingkungan Microsoft Sandbox, VMWare, VirtualBox, atau Sandboxie,” kata Morphisec.

selengkapnya : www.zdnet.com

Penyerang ransomware sekarang menggunakan taktik pemerasan tiga kali lipat

by

Penjahat dunia maya yang berspesialisasi dalam ransomware telah menggunakan taktik pemerasan ganda di mana mereka tidak hanya mendekripsi data yang dicuri tetapi juga mengancam untuk membocorkannya ke publik kecuali uang tebusan dibayarkan. Sekarang, beberapa penyerang telah mengembangkan taktik pemerasan tiga kali lipat dengan tujuan memeras lebih banyak uang dari aktivitas jahat mereka. Dalam sebuah laporan yang diterbitkan Rabu, penyedia intelijen ancaman dunia maya Check Point Research menjelaskan bagaimana taktik terbaru ini dimainkan.

Taktik pemerasan ganda telah terbukti sangat populer dan menguntungkan di antara geng ransomware. Tahun lalu, lebih dari 1.000 perusahaan menemukan bahwa data mereka telah bocor ke publik setelah mereka menolak untuk memenuhi tuntutan tebusan. Selama waktu itu, pembayaran tebusan rata-rata melonjak 171% menjadi sekitar $ 310.000.

Tapi, taktik yang dimulai menjelang akhir 2020 dan berlanjut hingga 2021, adalah pemerasan tiga kali lipat, kata Check Point. Dalam skenario ini, penjahat mengirimkan permintaan tebusan tidak hanya ke organisasi yang diserang tetapi ke pelanggan, pengguna, atau pihak ketiga lainnya yang akan dirugikan oleh data yang bocor.

Dalam satu insiden dari Oktober lalu, 40.000 pasien klinik psikoterapi Finlandia Vastaamo terkena pelanggaran yang menyebabkan pencurian data pasien dan serangan ransomware. Seperti yang diharapkan, para penyerang menuntut sejumlah uang tebusan yang sehat dari klinik. Mereka juga mengirim email kepada pasien secara langsung, menuntut sejumlah kecil uang atau mereka akan membocorkan catatan sesi terapis mereka. Karena pelanggaran dan kerugian finansial, Vastaamo terpaksa menyatakan kebangkrutan dan akhirnya menutup bisnisnya.

selengkapnya : www.techrepublic.com

Short seller mengatakan bug situs web Lemonade mengekspos data akun pelanggan asuransi

by

Short seller aktivis telah menulis surat kepada kepala eksekutif raksasa asuransi Lemonade dengan detail tentang cacat keamanan yang “ditemukan secara tidak sengaja” yang mengekspos data akun pelanggan.

Carson Block, pendiri firma riset investasi Muddy Waters Research, mengirim surat kepada salah satu pendiri dan kepala eksekutif Lemonade Daniel Schreiber pada hari Kamis, menggambarkan bug yang memungkinkan siapa pun secara tidak sengaja mengakses data identitas pribadi dari akun pelanggan sebagai “kelalaian yang tidak dapat dimaafkan.”

Surat Block berbunyi: “Dengan mengeklik hasil penelusuran dari mesin telusur publik, kami secara mengejutkan mendapati diri kami masuk dan dapat mengedit akun pelanggan Lemonade tanpa harus memberikan kredensial pengguna apa pun.”

Limun diluncurkan pada tahun 2015 dan menawarkan polis asuransi penyewa, pemilik rumah, dan hewan peliharaan di seluruh AS dan Eropa. Perusahaan go public tahun lalu dan melihat sahamnya meroket lebih dari 130% pada hari penawaran umum perdana. Limun minggu ini melaporkan kerugian kuartalan $ 49 juta, lebih dalam dari yang diperkirakan Wall Street.

Bug itu ditemukan bersama oleh Muddy Waters Research dan Wolfpack Research, kata Block. Dalam sebuah tweet, analis utama Wolfpack, Reed Sherman, mengatakan salah satu pakar keamanan Muddy Waters “dapat mengirimi saya PDF polis asuransi penyewa saya kurang dari 15 menit setelah ini pertama kali ditemukan”.

selengkapnya : techcrunch.com

Mengenal Lebih Dalam Geng DarkSide Ransomware

by

FBI mengkonfirmasi minggu ini bahwa kelompok ransomware yang relatif baru yang dikenal sebagai DarkSide bertanggung jawab atas serangan yang menyebabkan Colonial Pipeline menutup pipa sepanjang 5.550 mil, menelantarkan barel bensin, solar dan bahan bakar jet yang tak terhitung jumlahnya di Gulf Coast.

Berikut ini pengamatan lebih dekat pada geng kejahatan siber DarkSide, seperti yang terlihat melalui negosiasi mereka dengan korban baru-baru ini di AS yang menghasilkan $ 15 miliar pendapatan tahunan.

Pertama kali muncul di forum peretasan bahasa Rusia pada Agustus 2020, DarkSide adalah platform ransomware-as-a-service yang dapat digunakan oleh penjahat dunia maya untuk menginfeksi perusahaan dengan ransomware dan melakukan negosiasi serta pembayaran dengan korban.

DarkSide mengatakan mereka hanya menargetkan perusahaan besar, dan melarang afiliasi menjatuhkan ransomware pada organisasi di beberapa industri, termasuk perawatan kesehatan, layanan pemakaman, pendidikan, sektor publik dan nirlaba.

Seperti platform ransomware lainnya, DarkSide menganut praktik pemerasan ganda badguy terbaik saat ini, yang melibatkan tuntutan jumlah terpisah untuk kunci digital yang diperlukan untuk membuka kunci file dan server, dan tebusan terpisah sebagai imbalan untuk janji untuk menghancurkan data yang dicuri dari korban.

Pada peluncurannya, DarkSide berusaha merayu afiliasi dari program ransomware yang bersaing dengan mengiklankan situs kebocoran data korban yang mendapat “kunjungan stabil dan liputan media,” serta kemampuan untuk mempublikasikan data korban secara bertahap.

Selengkapnya mengenai Ransomware DarkSide: Krebs On Security

Perangkat WiFi mulai dari tahun 1997 rentan terhadap Frag Attack baru

by

Seorang peneliti keamanan Belgia telah menemukan serangkaian kerentanan yang memengaruhi standar WiFi, dengan beberapa bug yang berasal dari tahun 1997 dan memengaruhi perangkat yang dijual selama 24 tahun terakhir.

Kerentanan, yang dikenal sebagai Frag Attacks, memungkinkan penyerang dalam jangkauan radio WiFi perangkat untuk mengumpulkan informasi tentang pemilik dan menjalankan kode berbahaya untuk menyusupi perangkat, mungkin itu komputer, smartphone, atau perangkat pintar lainnya.

Perangkat juga rentan meskipun protokol keamanan standar WiFi diaktifkan, seperti WEP dan WPA.

“Tiga dari kerentanan yang ditemukan adalah kelemahan desain dalam standar WiFi dan karena itu memengaruhi sebagian besar perangkat,” kata Mathy Vanhoef, peneliti akademis dan keamanan Belgia yang menemukan Frag Attacks.

Sisanya adalah kerentanan yang disebabkan “oleh kesalahan pemrograman yang meluas [dalam penerapan standar WiFi] pada produk WiFi,” lanjut Vanhoef.

“Eksperimen menunjukkan bahwa setiap produk WiFi dipengaruhi oleh setidaknya satu kerentanan dan sebagian besar produk dipengaruhi oleh beberapa kerentanan,” kata Vanhoef, yang juga dijadwalkan untuk memberikan penjelasan mendalam tentang temuannya akhir tahun ini pada bulan Agustus di konferensi keamanan USENIX ’21.

Sama seperti dua temuan sebelumnya, Vanhoef mengatakan dia telah melaporkan temuannya ke WiFi Alliance. Selama sembilan bulan terakhir, organisasi telah bekerja untuk memperbaiki standar dan pedomannya dan bekerja dengan vendor perangkat untuk merilis patch firmware.

Pengguna dapat memeriksa apakah perangkat mereka menerima tambalan untuk satu atau lebih dari 12 Frag Attacks dengan memeriksa changelog firmware perangkat mereka dan mencari pembaruan keamanan.

Demo Frag Attack tersedia di bawah, dengan penjelasan langkah demi langkah dari Vanhoef sendiri.

Selengkapnya: The Record

Bug Microsoft Outlook mencegah pengguna melihat atau membuat email di seluruh dunia

by

Pembaruan Microsoft Outlook yang dirilis hari ini untuk klien desktop memperkenalkan bug yang mencegah pengguna membuat atau melihat email.

Hari ini, Microsoft merilis Outlook versi 2104 build 13929.20372, dan setelah menginstal pembaruan, pengguna klien desktop menemukan bahwa mereka tidak dapat lagi melihat email dengan benar atau membuat email baru.

Saat mencoba melihat email, alih-alih melihat seluruh isi pesan, mereka hanya melihat sebagian kecil atau satu baris pesan email, seperti yang diperlihatkan di bawah ini.

Sumber: Bleeping Computer

Lebih parahnya lagi, saat membuat pesan email baru, setiap kali pengguna menekan enter, semua konten yang ditulis sebelumnya akan dihapus, seperti yang ditunjukkan di bawah ini.

Sumber: Bleeping Computer

Jika Anda mengalami masalah ini di Microsoft Outlook, pengguna telah melaporkan bahwa Anda dapat memperbaiki bug dengan mengembalikan ke versi Microsoft Outlook sebelumnya.

Jika Anda tidak ingin melakukan roll back ke versi Microsoft Office sebelumnya, Anda dapat meluncurkan Microsoft Outlook dalam Safe Mode untuk memperbaiki bug hingga pembaruan dirilis.

Selengkapnya: Bleeping Computer