Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Ryuk ransomware sekarang menyebar sendiri ke perangkat Windows LAN lainnya

by

Varian ransomware Ryuk baru dengan kemampuan seperti worm yang memungkinkannya menyebar ke perangkat lain di jaringan lokal korban telah ditemukan oleh badan keamanan siber nasional Prancis saat menyelidiki serangan pada awal 2021.

“Melalui penggunaan tugas terjadwal, malware menyebarkan dirinya – dari mesin ke mesin – dalam domain Windows,” kata ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) dalam sebuah laporan yang diterbitkannya.

“Setelah diluncurkan, ini akan menyebar dengan sendirinya di setiap mesin yang dapat dijangkau yang memungkinkan akses Windows RPC”.

Untuk menyebarkan dirinya melalui jaringan lokal, varian Ryuk yang baru mencantumkan semua alamat IP di cache ARP lokal dan mengirimkan apa yang tampak seperti paket Wake-on-LAN (WOL) ke setiap perangkat yang ditemukan. Kemudian mounts semua sharing resources yang ditemukan untuk setiap perangkat sehingga dapat mengenkripsi konten.

Apa yang membuat sampel Ryuk baru ini berbeda adalah kemampuannya untuk menyalin dirinya sendiri ke perangkat Windows lain di jaringan lokal korban.

Selain itu, ia dapat menjalankan dirinya sendiri dari jarak jauh menggunakan tugas terjadwal yang dibuat pada setiap host jaringan yang kemudian dikompromikan dengan bantuan alat Windows schtasks.exe yang sah.

Selengkapnya: Bleeping Computer

T-Mobile mengungkapkan pelanggaran data setelah serangan SIM swapping

by

Penyedia telekomunikasi Amerika T-Mobile telah mengungkapkan pelanggaran data setelah sejumlah pelanggan yang tidak diketahui tampaknya terpengaruh oleh serangan SIM swapping.

Penipuan SIM swap (atau pembajakan SIM) memungkinkan scammer mengendalikan nomor telepon target setelah mentransfernya menggunakan manipulasi psikologis atau setelah menyuap karyawan operator seluler ke SIM yang dikendalikan oleh penipu.

Dalam pemberitahuan pelanggaran data yang dikirim ke pelanggan yang terkena dampak pada 9 Februari 2021, dan diajukan ke kantor jaksa agung AS, T-Mobile mengungkapkan bahwa penyerang yang tidak dikenal memperoleh akses ke informasi akun pelanggan, termasuk info pribadi dan nomor identifikasi pribadi (PIN).

Karena penyerang dapat mentransfer nomor, tidak jelas apakah mereka memperoleh akses ke akun karyawan atau melakukannya melalui akun pengguna yang disusupi.

Informasi yang diakses oleh peretas mungkin termasuk nama lengkap pelanggan, alamat, alamat email, nomor akun, nomor jaminan sosial (SSN), nomor identifikasi pribadi (PIN) akun, pertanyaan dan jawaban keamanan akun, tanggal lahir, informasi rencana, dan jumlah baris yang berlangganan akun mereka.

Pelanggan T-Mobile yang terkena dampak disarankan untuk mengubah kata sandi akun, PIN, serta pertanyaan dan jawaban keamanan mereka.

Sumber: Bleeping Computer

Malware Go sekarang menjadi umum dan telah diadopsi oleh APT serta kelompok kejahatan lainnya

by

Jumlah malware yang dikodekan dalam bahasa pemrograman Go telah mengalami peningkatan tajam sekitar 2.000% selama beberapa tahun terakhir, sejak 2017, kata perusahaan keamanan siber Intezer dalam sebuah laporan yang diterbitkan minggu ini.

Temuan perusahaan menyoroti dan mengkonfirmasi tren umum dalam ekosistem malware, di mana pembuat malware perlahan-lahan beralih dari C dan C ++ ke Go, bahasa pemrograman yang dikembangkan dan diluncurkan oleh Google pada tahun 2007.

Sementara malware berbasis Go pertama terdeteksi pada tahun 2012, bagaimanapun, butuh beberapa tahun bagi Golang untuk menguasai dunia malware.

Malware berbasis Go digunakan oleh kelompok peretasan negara-bangsa (juga dikenal sebagai APT), operator kejahatan siber, dan bahkan tim keamanan, yang sering menggunakannya untuk membuat perangkat pengujian penetrasi.

Ada tiga alasan utama mengapa popularitas Golang mengalami peningkatan tajam yang tiba-tiba ini. Yang pertama adalah Go mendukung proses yang mudah untuk kompilasi lintas platform.

Alasan kedua adalah bahwa binari berbasis Go masih sulit untuk dianalisis dan di-reverse engineer oleh peneliti keamanan, yang membuat tingkat deteksi untuk malware berbasis Go sangat rendah. Alasan ketiga terkait dengan dukungan Go untuk bekerja dengan paket dan permintaan jaringan.

Go menyediakan malware dengan semua alat yang mereka butuhkan di satu tempat, dan mudah untuk melihat mengapa banyak pembuat kode malware meninggalkan C dan C ++ karenanya. Ketiga alasan ini adalah mengapa kita melihat lebih banyak malware Golang di tahun 2020 daripada sebelumnya.

Selengkapnya: ZDNet

Cyberspies Cina menargetkan warga Tibet dengan add-on Firefox yang berbahaya

by Leave a Comment

Peretas yang disponsori negara Cina telah mengejar organisasi Tibet di seluruh dunia menggunakan add-on Firefox berbahaya yang dikonfigurasi untuk mencuri data browser Gmail dan Firefox dan kemudian mengunduh malware pada sistem yang terinfeksi.

Serangan tersebut, yang ditemukan oleh perusahaan keamanan siber Proofpoint bulan ini, telah dikaitkan dengan grup yang dilacak perusahaan dengan nama kode TA413.

Proofpoint mengatakan para penyerang menargetkan organisasi Tibet dengan email spear-phishing yang memikat anggotanya di situs web tempat mereka akan diminta memasang pembaruan Flash untuk melihat konten situs.

Situs web ini berisi kode yang memisahkan pengguna. Hanya pengguna Firefox dengan sesi Gmail aktif yang diminta untuk menginstal add-on berbahaya tersebut.

Tim Proofpoint mengatakan bahwa meskipun ekstensi itu bernama “Komponen pembaruan Flash”, itu sebenarnya adalah versi dari add-on “Gmail notifier (restartless)” yang sah, dengan kode berbahaya tambahan.

Proofpoint mengatakan ekstensi tersebut juga mengunduh dan menginstal malware ScanBox pada sistem yang terinfeksi.

Kerangka kerja pengintaian berbasis PHP dan JavaScript, malware ini adalah alat lama yang terlihat pada serangan sebelumnya yang dilakukan oleh kelompok spionase siber Cina.

Dalam kampanye khusus ini, yang diberi nama kode FriarFox oleh Proofpoint, serangan dimulai pada Januari 2021 dan berlanjut sepanjang Februari.

Sumber: ZDNet

Bagan ini menunjukkan hubungan antara kelompok kejahatan siber

by

Grup kejahatan dunia maya sering kali memiliki rantai pasokan yang kompleks dan mereka secara teratur mengembangkan hubungan di dalam ekosistem kejahatan elektronik lainnya untuk memperoleh akses ke teknologi penting yang memungkinkan operasi mereka atau memaksimalkan keuntungan mereka.

Menurut firma keamanan siber CrowdStrike, teknologi pihak ketiga ini dapat diklasifikasikan ke dalam tiga kategori: layanan, distribusi, dan monetisasi.

Sumber: Crowdstrike

Dalam Laporan Ancaman Global 2021, yang dirilis pada hari Senin, perusahaan keamanan CrowdStrike untuk pertama kalinya telah merangkum beberapa koneksi yang saat ini ada di bawah tanah kejahatan siber antara berbagai operator kejahatan elektronik.

Perusahaan menggunakan nomenklaturnya sendiri untuk grup e-crime, jadi beberapa nama grup mungkin terdengar berbeda dari yang pernah kita lihat sebelumnya. Namun, CrowdStrike juga menyediakan indeks interaktif sehingga siapa pun dapat mempelajari lebih lanjut tentang setiap grup dan menautkannya ke nama yang digunakan oleh perusahaan lain.

Sumber: Crowdstrike

Apa yang ditunjukkan bagan di atas adalah bahwa enabler memainkan peran yang sama pentingnya dalam intrusi siber seperti kelompok yang melaksanakan intrusi tersebut.

Selengkapnya: ZDNet

Peretas LazyScripter menargetkan maskapai penerbangan dengan trojan akses jarak jauh

by

Peneliti keamanan yang menganalisis beberapa set email berbahaya yakin mereka menemukan aktivitas milik aktor yang sebelumnya tidak dikenal yang sesuai dengan deskripsi Advanced Persistent Ancaman (APT).

Aktor tersebut menerima nama LazyScripter dan telah aktif sejak 2018, menggunakan phishing untuk menargetkan individu yang mencari imigrasi ke Kanada untuk mendapatkan pekerjaan, maskapai penerbangan, dan Asosiasi Transportasi Udara Internasional (IATA).

Infrastruktur yang mendukung kampanye jangka panjang ini masih aktif dan pelaku terus berkembang dengan memperbaharui perangkatnya.

Aktivitas terbaru LazyScripter melibatkan penggunaan malware Octopus dan Koadic yang tersedia secara gratis. Keduanya dikirim melalui dokumen berbahaya dan arsip ZIP yang berisi objek yang disematkan (VBScript atau file batch) dan bukan kode makro yang biasa terlihat dalam serangan phishing.

Dengan menggunakan alat pasca-eksploitasi open-source dan malware yang banyak digunakan dalam aktivitas peretasan oleh banyak aktor, LazyScripter meninggalkan sedikit petunjuk tentang atribusi.

Namun, Malwarebytes mencatat bahwa penelitian publik hanya menunjukkan dua aktor ancaman yang telah menggunakan alat pengujian penetrasi Koadic dalam kampanye mereka: MuddyWater yang terkait dengan Iran dan APT28 Rusia (Fancy Bear / Sofacy / Strontium / Sednit).

Perusahaan tersebut mengatakan bahwa mereka tidak menemukan koneksi dengan APT28 tetapi melihat kemiripan dengan MuddyWater di mana kampanye mereka sebelumnya menggunakan Koadic dan PowerShell Empire, dan mengandalkan GitHub untuk menghosting perangkat jahat mereka.

selengkapnya : BleepingComputer

Ancaman ransomware yang harus diperhatikan pada tahun 2021 termasuk crimeware-as-a-service

by

Ransomware telah menjadi ancaman yang semakin ganas yang menargetkan bisnis, lembaga pemerintah, sekolah, dan bahkan individu. Karena serangan ransomware mendapatkan daya tarik dan variasi yang lebih besar pada tahun 2020, demikian juga akan membawa lebih banyak perkembangan pada tahun 2021. Sebuah laporan yang dirilis hari Rabu oleh BlackBerry menyoroti beberapa tren yang harus diperhatikan di tahun mendatang.

Untuk “Laporan Ancaman 2021” BlackBerry, peneliti dan profesional keamanan di perusahaan diminta untuk menawarkan prediksi keamanan siber mereka untuk tahun mendatang. Sebagai tanggapan, mereka menyarankan organisasi dan pengguna untuk tetap waspada terhadap ancaman berikut seiring berjalannya 2021.

Taktik yang berkembang di antara penjahat dunia maya adalah serangan ransomware pemerasan ganda. Dalam kasus ini, para penyerang menuntut uang tebusan tidak hanya untuk mendekripsi data yang dicuri, tetapi juga menahan diri untuk tidak merilisnya ke publik. Jika tebusan tidak dibayarkan dalam waktu tertentu, para penjahat berjanji untuk menerbitkannya agar semua orang dapat melihat atau mengungkapkannya kepada pesaing yang mungkin.

Bahkan jika organisasi yang menjadi korban dapat memulihkan data dari cadangan, mereka mungkin masih dipaksa untuk membayar uang tebusan untuk mencegah data terungkap.

selengkapnya : TechRepublic

Semua yang Perlu Anda Ketahui Tentang Perkembangan Ancaman Ransomware

by

Apa itu ransomware?

Ransomware adalah program jahat yang memperoleh kendali atas perangkat yang terinfeksi, mengenkripsi file, dan memblokir akses pengguna ke data atau sistem hingga sejumlah uang, atau tebusan, dibayarkan.

Skema penjahat termasuk catatan tebusan — dengan jumlah dan instruksi tentang bagaimana membayar tebusan sebagai imbalan untuk kunci dekripsi — atau komunikasi langsung dengan korban.

Serangan ransomware mulai meningkat pada tahun 2012, dan sejak saat itu, serangan tersebut menjadi serangan siber yang paling luas di seluruh dunia.

Detail Serangan

  • Deployment: Pada langkah pertama, penyerang mendistribusikan komponen penting yang digunakan untuk menginfeksi, mengenkripsi, atau mengunci sistem, diunduh tanpa sepengetahuan pengguna, menggunakan phishing, atau setelah mengeksploitasi kelemahan sistem yang ditargetkan.
  • Instalasi: Saat payload diunduh, langkah selanjutnya adalah infeksi. Malware menjatuhkan file kecil yang seringkali mampu menghindari pertahanan. Ransomware dijalankan dan mencoba untuk mendapatkan persistence pada sistem yang terinfeksi dengan menempatkan dirinya untuk menjalankan kunci registri secara otomatis, memungkinkan penyerang jarak jauh untuk mengontrol sistem.
  • Command-and-Control: Malware kemudian terhubung ke server command and control (C2) penyerang untuk menerima instruksi dan, terutama, untuk menyimpan kunci enkripsi pribadi asimetris dari jangkauan korban.
  • Destruction: Setelah file dienkripsi, malware menghapus salinan asli di sistem, dan satu-satunya cara untuk memulihkannya adalah dengan mendekripsi file yang disandikan.
  • Extortion: Penyerang menampilkan catatan tebusan dan memeras korban. Untuk membingungkan dan menakut-nakuti korban, penyerang dapat menghapus beberapa file dari komputer. Namun, jika pengguna membayar uang tebusan, ini bukan jaminan bahwa informasi tersebut akan dipulihkan atau ransomware itu sendiri akan dihapus.
Target serangan ransomware

Ada beberapa alasan penyerang pertama kali memilih jenis organisasi apa yang ingin mereka targetkan dengan ransomware:

  • Mudah menghindari pertahanan. Universitas, perusahaan kecil yang memiliki tim keamanan kecil adalah sasaran empuk. Berbagi file dan database yang luas membuat penetrasi mudah bagi penyerang.
  • Kemungkinan pembayaran cepat. Beberapa organisasi terpaksa membayar tebusan dengan cepat. Instansi pemerintah atau fasilitas medis seringkali membutuhkan akses langsung ke datanya. Firma hukum dan organisasi lain dengan data sensitif biasanya ingin merahasiakan serangan.
Tindakan pencegahan

Untuk melindungi dari ransomware, perusahaan harus memiliki rencana yang rumit terhadap malware, termasuk data cadangan. Karena ransomware sangat sulit untuk dideteksi dan diperangi, mekanisme perlindungan yang berbeda harus digunakan.

Selengkapnya dapat dibaca di The Hacker News