Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Raksasa asuransi CNA terkena ransomware Phoenix CryptoLocker baru

by

Raksasa asuransi CNA telah mengalami serangan ransomware menggunakan varian baru bernama Phoenix CryptoLocker yang mungkin terkait dengan grup peretasan Evil Corp.

Minggu ini, BleepingComputer melaporkan bahwa CNA telah mengalami serangan siber yang memengaruhi layanan online dan operasi bisnis mereka.

Segera setelah mereka melaporkan serangan itu, CNA mengeluarkan pernyataan yang mengonfirmasi bahwa mereka telah mengalami serangan siber akhir pekan lalu.

“Pada 21 Maret 2021, CNA menetapkan bahwa kami mengalami serangan keamanan siber yang canggih. Serangan tersebut menyebabkan gangguan jaringan dan memengaruhi sistem CNA tertentu, termasuk email perusahaan,” ungkap CNA dalam sebuah pernyataan.

Sejak pelaporan pertama BleepingComputer, mereka telah mengonfirmasi bahwa CNA mengalami serangan oleh ransomware baru yang dikenal sebagai ‘Phoenix CryptoLocker.’

Sumber yang akrab dengan serangan itu mengatakan kepada BleepingComputer bahwa pelaku ancaman menyebarkan ransomware di jaringan CNA pada 21 Maret, di mana ia melanjutkan untuk mengenkripsi lebih dari 15.000 perangkat di jaringan mereka.

Dilaporkan oleh BleepingComputer bahwa itu juga mengenkripsi komputer karyawan yang bekerja dari jarak jauh yang masuk ke VPN perusahaan pada saat serangan terjadi.

Saat mengenkripsi perangkat, ransomware menambahkan ekstensi .phoenix ke file yang dienkripsi dan membuat catatan tebusan bernama PHOENIX-HELP.txt, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Sebuah sumber mengatakan kepada BleepingComputer bahwa Phoenix Locker diyakini sebagai keluarga ransomware baru yang dirilis oleh Evil Corp berdasarkan kesamaan dalam kodenya.

Selengkapnya: Bleeping Computer

Evil Corp beralih ke ransomware Hades untuk menghindari sanksi

by

Ransomware Hades telah dikaitkan dengan geng kejahatan siber Evil Corp yang menggunakannya untuk menghindari sanksi yang dijatuhkan oleh Kantor Pengawasan Aset Luar Negeri (OFAC) Departemen Keuangan.

Evil Corp (alias geng Dridex atau INDRIK SPIDER) telah aktif setidaknya sejak 2007 dan dikenal karena mendistribusikan malware Dridex.

Mereka kemudian beralih ke “bisnis” ransomware, pertama menggunakan ransomware Locky dan kemudian jenis ransomware mereka sendiri yang dikenal sebagai BitPaymer, diterapkan dalam serangan hingga 2019.

Departemen Keuangan AS memberi sanksi kepada anggota geng Evil Corp pada Desember 2019 setelah didakwa karena menggunakan Dridex untuk menyebabkan kerugian finansial lebih dari $ 100 juta.

Karena itu, korban mereka menghadapi situasi sulit jika mereka ingin membayar uang tebusan Evil Corp karena mereka juga akan melanggar sanksi.

Mulai Juni 2020, Evil Corp memperbarui taktiknya untuk menghindari sanksi, menyebarkan ransomware WastedLocker baru dalam serangan yang menargetkan organisasi perusahaan.

CrowdStrike sekarang menghubungkan geng kejahatan siber tersebut ke ransomware Hades berdasarkan “significant code overlap”. Alat malware baru yang sebelumnya tidak memiliki atribut ini membantu Evil Corp melewati sanksi untuk menghasilkan uang dari serangan mereka.

Hades ransomware adalah varian WastedLocker yang dikompilasi 64-bit yang ditingkatkan dengan obfuscation kode tambahan dan beberapa perubahan fitur kecil.

Meskipun tidak banyak serangan ransomware Hades yang dilaporkan oleh organisasi yang terpengaruh, korban Evil Corp telah menggunakan layanan ID-Ransomware untuk memeriksa apakah sistem mereka terkena ransomware Hades sejak grup tersebut mulai menggunakan jenis baru.

Selengkapnya: Bleeping Computer

OpenSSL memperbaiki DoS yang parah, kerentanan validasi sertifikat

by

Proyek OpenSSL telah mengeluarkan peringatan untuk dua kerentanan tingkat keparahan tinggi CVE-2021-3449 dan CVE-2021-3450 yang bersembunyi di produk OpenSSL.

OpenSSL adalah library perangkat lunak yang umum digunakan untuk membangun aplikasi jaringan dan server yang perlu membangun komunikasi yang aman.

Kerentanan ini meliputi:

  • CVE-2021-3449: Cacat Denial of Service (DoS) karena dereferensi penunjuk NULL yang hanya memengaruhi instance server OpenSSL, bukan klien.
  • CVE-2021-3450: Kerentanan validasi sertifikat Certificate Authority (CA) yang tidak tepat yang memengaruhi instance server dan klien.

Kerentanan DoS (CVE-2021-3449) di server OpenSSL TLS dapat menyebabkan server macet jika selama negosiasi ulang klien mengirim pesan ClientHello berbahaya.

Kerentanan hanya memengaruhi server OpenSSL yang menjalankan versi antara 1.1.1 dan 1.1.1j (keduanya inklusif) yang memiliki TLSv1.2 dan negosiasi ulang yang diaktifkan.

Namun, karena ini adalah konfigurasi default pada versi server OpenSSL ini, banyak server aktif yang berpotensi rentan. Klien OpenSSL tidak terpengaruh.

Untungnya, semua yang diperlukan untuk memperbaiki bug DoS ini adalah perbaikan satu baris, yang terdiri dari pengaturan peer_sigalgslen ke nol.

Kedua kerentanan diperbaiki di OpenSSL 1.1.1k dan pengguna disarankan untuk meningkatkan ke versi ini untuk melindungi instance mereka.

Sumber: Bleeping Computer

Cloudflare meluncurkan Page Shield untuk menggagalkan serangan skimming kartu Magecart

by

Cloudflare telah meluncurkan penawaran keamanan web baru untuk mencegah serangan Magecart.

Perusahaan yang tak terhitung jumlahnya telah, dan terus, menjadi mangsa serangan Magecart. Korban di masa lalu termasuk British Airways, Ticketmaster, Newegg, dan Boom! Mobile.

Untuk mengatasi masalah ini, pada hari Kamis, Cloudflare meluncurkan Page Shield, solusi keamanan klien.

Fitur Script Monitor, termasuk dalam Page Shield, memeriksa dependensi JavaScript pihak ketiga dan mencatat setiap tambahan baru dari waktu ke waktu.

Script Monitor, saat ini dalam Beta dan ditemukan di bawah bagian Firewall dasbor pelanggan, mereka juga menambahkan header Content-Security-Policy-Report-Only ke konten yang melewati jaringan Cloudflare.

Ketika JavaScript mencoba untuk mengeksekusi, browser akan mengirim laporan kembali ke perusahaan yang diperiksa untuk melihat apakah ada perubahan baru – dan kemudian pelanggan diberi tahu sehingga pelanggan dapat “menyelidiki dan menentukan apakah perubahan itu diharapkan,” kata Cloudflare.

Perusahaan juga bekerja sama dengan mitra keamanan siber untuk mendapatkan sampel JavaScript Magecart. Pada akhirnya, diharapkan Page Shield akan cukup akurat untuk memberi tahu klien saat dependensi tampak berbahaya.

Sumber: ZDNet

Sumber: ZDNet

Perubahan merek Pulse BP Chargemaster memungkinkan penjahat mengirim trojan perbankan IcedID dari kotak surat yang sebelumnya sah

by

BP Chargemaster, pemasok soket untuk kendaraan listrik, tampaknya domain emailnya dibajak oleh penjahat yang menggunakan alamat yang sebelumnya sah untuk mengirim trojan perbankan ke pelanggan.

Email yang mengandung malware dikirim dari alamat email perusahaan awal bulan ini – dan lampirannya menyertakan malware pencuri kredensial IcedID.

Tampaknya server email perusahaan mungkin dibiarkan tanpa pengawasan setelah BP Chargemaster berganti nama menjadi BP Pulse pada awal Desember 2020. Selama pengubahan citra, situs web BP Chargemaster dan Polar digantikan oleh bppulse.co.uk, “untuk menghindari kebingungan “.

Pembaca register Matt menerima beberapa email dari BP Chargemaster yang dia yakin tidak berasal dari perusahaan.

Namun ketika dia mulai mendengar kabar dari pengirim itu lagi, email yang dia terima berisi teks seperti “Halo. Terlampir di bawah membutuhkan perhatian Anda,” mendesak Matt untuk membuka file .zip terlampir. Bacaan lainnya: “Silakan lihat file terlampir. Pasti menarik.” Kedua pesan tersebut tampaknya telah dikirim dari alamat email bpchargemaster [.] Com, dan Matt memperhitungkan pada saat mereka telah lulus validasi Sender Policy Framework (SPF).

Kami meminta F-Secure untuk melihat lampiran berbahaya yang dikirim ke Matt dan Calvin Gan perusahaan, manajer senior di Unit Pertahanan Taktis, mengatakan kepada The Register: “Email tersebut adalah kampanye malspam yang menyebarkan versi baru dari trojan perbankan IcedID . File zip berisi spreadsheet Excel berbahaya yang menggunakan fitur makro Excel 4.0 untuk menyembunyikan kodenya. ”

Dia menambahkan bahwa infosec Binary Defense memiliki catatan terbaru tentang evolusi terbaru trojan. Perusahaan menemukan bahwa ketika berhasil diterapkan, trojan tersebut menjatuhkan suar Cobalt Strike dan penjahat kemudian memetakan jaringan tempat orang jahat itu mendarat, dengan menyatakan: “IcedID adalah ancaman hebat yang membuat analisis menjadi kompleks dan menantang.”

Ini pertama kali ditemukan pada tahun 2017 oleh divisi keamanan X-Force IBM, seperti yang kami laporkan pada saat itu.

selengkapnya : www.theregister.com

Facebook Menghancurkan Kampanye Mata-mata Berbahaya yang Dilakukan oleh Peretas Tiongkok

by

Tim spionase siber Facebook mengklaim telah memecahkan kampanye jahat yang terjadi di platformnya, yang ditargetkan pada sekitar 500 pengguna.

Kampanye tersebut dikatakan dioperasikan oleh peretas Tiongkok, yang bertujuan untuk menginfeksi beberapa jurnalis, aktivis, dan pembangkang Uighur terpilih yang tinggal di berbagai negara, dan memata-matai mereka.

China diyakini melacak tidak hanya warganya sendiri dengan penuh semangat, tetapi juga orang-orang yang dicari lainnya dari seluruh dunia melalui metode terlarang. Sekarang, kampanye serupa dikatakan telah dipecah oleh tim spionase siber Facebook, setelah melacaknya beberapa saat.

Sesuai laporan mereka, mereka telah mengaitkan penulis kampanye jahat ini ke grup Earth Empusa atau Evil Eye, yang merupakan grup peretas China yang menargetkan jurnalis, aktivis, dan pembangkang.

Kampanye ini ditujukan untuk melacak semua individu dari kategori di atas yang tinggal di negara lain seperti Turki, Kazakhstan, Suriah, Australia, Kanada, dan AS. Basis target kira-kira sekitar 500 orang dan dimulai dengan memikat mereka untuk mengunjungi berbagai situs web dan aplikasi melalui Facebook dengan tujuan untuk mengumpulkan informasi sebanyak mungkin tentang orang-orang ini, dan menginfeksi perangkat mereka dengan kode pelacakan berbahaya untuk memata-matai mereka.

Sumber: Techdator

Microsoft memperbaiki kerentanan peningkatan hak istimewa Windows PSExec

by

Microsoft telah memperbaiki kerentanan dalam utilitas PsExec yang memungkinkan pengguna lokal mendapatkan hak istimewa yang lebih tinggi pada perangkat Windows.

PsExec adalah utilitas Sysinternals yang dirancang untuk memungkinkan administrator melakukan berbagai aktivitas di komputer jarak jauh, seperti meluncurkan file yang dapat dieksekusi dan menampilkan output di komputer lokal atau membuat reverse shells.

Karena keserbagunaan alat tersebut, pelaku ancaman biasanya menggunakan PsExec dalam toolkit pasca eksploitasi mereka untuk menyebar secara lateral ke mesin lain di jaringan, menjalankan perintah pada sejumlah besar perangkat secara bersamaan, atau menyebarkan malware seperti ransomware.

Pada bulan Desember 2020, peneliti Tenable David Wells menemukan kerentanan dalam named pipe communications PsExec yang memungkinkan pengguna lokal untuk meningkatkan ke hak istimewa SISTEM.

Setelah melaporkan kerentanan, Wells memberi waktu sembilan puluh hari kepada Microsoft untuk memperbaiki kerentanan tersebut, dan ketika Microsoft tidak memperbaikinya, ia akan mengungkapkan kekurangannya dan merilis PoC yang berfungsi penuh.

Setelah kerentanan diungkapkan kepada publik, Microsoft merilis PsExec versi 2.30 untuk mengatasi kerentanan tersebut. Namun, Wells menyatakan bahwa sedikit penyesuaian pada PoC-nya dapat melewati perbaikan tersebut.

Kemarin, Microsoft merilis PsExec v2.33, yang menyertakan perbaikan baru untuk kerentanan peningkatan hak istimewa lokal named pipe.

Selengkapnya: Bleeping Computer

Cisco mengatasi bug kritis di klien Jabber untuk Windows, macOS dan beberapa OS lain

by

Cisco telah mengatasi kerentanan eksekusi program arbitrer kritis yang berdampak pada beberapa versi perangkat lunak klien Cisco Jabber untuk Windows, macOS, Android, dan iOS.

Cisco Jabber adalah aplikasi konferensi web dan pesan instan yang memungkinkan pengguna mengirim pesan melalui Extensible Messaging and Presence Protocol (XMPP).

Kerentanan tersebut dilaporkan oleh Olav Sortland Thoresen dari Watchcom. Tim Respons Insiden Keamanan Produk (PSIRT) Cisco mengatakan bahwa cacat tersebut saat ini tidak dieksploitasi di alam liar.

Cacat keamanan yang dilacak sebagai CVE-2021-1411 dinilai oleh Cisco dengan skor keparahan 9,9 / 10, dan itu disebabkan oleh validasi input yang tidak tepat dari konten pesan masuk.

Untungnya, untuk mengeksploitasi bug kritis ini, penyerang perlu diautentikasi ke server XMPP yang digunakan oleh perangkat lunak yang rentan untuk mengirim pesan XMPP perusak yang berbahaya ke perangkat target mereka.

Selain itu, kerentanan tidak memengaruhi perangkat lunak klien Cisco Jabber yang dikonfigurasi untuk mode Pesan Tim atau Hanya Telepon.

Namun, eksploitasi CVE-2021-1411 yang berhasil — yang tidak memerlukan interaksi pengguna — dapat mengaktifkan penyerang jarak jauh yang diautentikasi untuk mengeksekusi program sewenang-wenang di perangkat Windows, macOS, Android, atau iOS yang menjalankan perangkat lunak klien Jabber yang belum ditambal.

Selengkapnya: Bleeping Computer