Threat

Serangan Emotet baru menggunakan umpan Pembaruan Windows palsu

October 16, 2020 by Winnie the Pooh

Dalam lanskap keamanan siber saat ini, botnet Emotet adalah salah satu sumber malspam terbesar – istilah yang digunakan untuk mendeskripsikan email yang mengirimkan lampiran file yang mengandung malware.

Kampanye malspam ini sangat penting bagi operator Emotet. Mereka adalah basis yang menopang botnet, memberikan banyak korban baru ke mesin Emotet – operasi kejahatan siber Malware-as-a-Service (MaaS) yang disewakan ke kelompok kriminal lain.

Untuk mencegah perusahaan keamanan mengejar dan menandai email mereka sebagai “email jahat” atau “spam”, grup Emotet secara teratur mengubah cara email ini dikirim dan tampilan lampiran file.

Operator emotet mengubah baris subjek email, teks di badan email, jenis lampiran file, tetapi juga konten lampiran file, yang sama pentingnya dengan email lainnya.

Tapi minggu ini, Emotet datang dari liburan baru-baru ini dengan membawa dokumen baru.

Lampiran file yang dikirim dalam kampanye Emotet baru-baru ini memperlihatkan pesan yang mengaku dari layanan Pembaruan Windows, memberi tahu pengguna bahwa aplikasi Office perlu diperbarui. Tentu saja, ini harus dilakukan dengan mengklik tombol Enable Editing (jangan tekan).

Menurut update dari grup Cryptolaemus, sejak kemarin iming-iming Emotet ini telah di-spam dalam jumlah besar ke pengguna yang berada di seluruh dunia.

Berdasarkan laporan ini, pada beberapa host yang terinfeksi, Emotet menginstal trojan TrickBot, mengkonfirmasikan laporan ZDNet dari awal pekan ini bahwa botnet TrickBot selamat dari upaya penghapusan baru-baru ini dari Microsoft dan mitranya.

Selain itu, Emotet sering kali menggunakan teknik yang disebut pembajakan percakapan, di mana ia mencuri utas email dari host yang terinfeksi, memasukkan dirinya ke dalam utas dengan balasan palsu salah satu peserta, dan menambahkan dokumen Office yang dibuat secara khusus sebagai lampiran.

Dalam kasus ini, pelatihan dan kesadaran adalah cara terbaik untuk mencegah serangan Emotet. Pengguna yang bekerja dengan email secara teratur harus diberi tahu tentang bahaya mengaktifkan makro di dalam dokumen, fitur yang sangat jarang digunakan untuk tujuan yang sah.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

800.000 SonicWall VPN rentan terhadap bug eksekusi kode jarak jauh baru

October 16, 2020 by Winnie the Pooh

Hampir 800.000 peralatan VPN SonicWall yang dapat diakses internet perlu diperbarui dan ditambal untuk kerentanan baru yang diungkapkan pada hari Rabu kemarin.

Ditemukan oleh tim keamanan Tripwire VERT, CVE-2020-5135 memengaruhi SonicOS, sistem operasi yang berjalan pada perangkat SonicWall Network Security Appliance (NSA).

SonicWall NSA digunakan sebagai firewall dan portal SSL VPN untuk memfilter, mengontrol, dan mengizinkan karyawan mengakses jaringan internal dan pribadi.

Peneliti Tripwire mengatakan SonicOS mengandung bug dalam komponen yang menangani protokol khusus.

Komponen terekspos pada interface WAN (internet publik), yang berarti penyerang mana pun dapat mengeksploitasinya, selama mereka mengetahui alamat IP perangkat.

Tripwire mengatakan mengeksploitasi bug tersebut mudah dilakukan bahkan untuk penyerang yang tidak terampil. Dalam bentuknya yang paling sederhana, bug dapat menyebabkan denial of service dan perangkat crash, tetapi “eksploitasi eksekusi kode kemungkinan besar dapat dilakukan”.

Perusahaan keamanan mengatakan telah melaporkan bug tersebut ke tim SonicWall, yang merilis patch pada hari Senin.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Menjamin Kelangsungan Bisnis dengan Mengurangi Malware Dwell Time

October 15, 2020 by Winnie the Pooh

Inilah cara CISO dan tim operasi keamanan TI dapat mengatasi beberapa tantangan utama pemantauan jaringan yang mengancam untuk meningkatkan malware dwell time.

1. Visibilitas lalu lintas timur-barat

Lalu lintas timur-barat (yaitu, dalam pusat data) telah meningkat selama beberapa tahun terakhir. Pergeseran ini membuat pemantauan menjadi lebih sulit.

Tetapi mendapatkan akses ke lalu lintas ini penting karena memungkinkan alat keamanan mendeteksi perilaku jaringan yang tidak biasa yang dapat menunjukkan pelanggaran keamanan.

Akses ke lalu lintas timur-barat mengungkapkan alamat IP mana yang berbicara satu sama lain, kapan koneksi ini terjadi, dll. Informasi ini memungkinkan analis atau alat keamanan berbasis perilaku untuk meningkatkan peringatan untuk menyelidiki dan memulihkan peristiwa jaringan yang tidak biasa (baik secara otomatis atau manual).

2. Kemampuan untuk menangkap dan menyimpan data jaringan untuk forensik

Memiliki akses ke paket terperinci dan data aliran dari sebelum, selama, dan setelah pelanggaran keamanan terjadi diperlukan bagi analis keamanan untuk secara akurat menentukan tingkat pelanggaran, menganalisis kerusakan, dan mencari cara untuk mencegahnya di masa mendatang.

Semakin mudah mengakses, mengindeks, dan memahami data ini, semakin banyak nilai yang akan diberikannya.

Meskipun lebih kompleks dan sulit untuk mendapatkan informasi ini dari segmen jaringan berbasis cloud atau virtual, hal itu penting untuk menjaga keamanan organisasi.

3. Mengolah kembali kebijakan keamanan untuk pekerja jarak jauh

Banyak pekerja berpengetahuan masih bekerja dari rumah berkat COVID-19, dan ini telah mengubah postur keamanan secara signifikan untuk sebagian besar organisasi. Karenanya, sebagian besar pengguna mengakses aplikasi di cloud atau di pusat data melalui Internet publik. Perusahaan telah bereaksi dengan melonggarkan batasan keamanan untuk mengakomodasi gelombang akses jarak jauh dengan lebih baik. Namun, itu melunakkan keamanan perimeter, sehingga meningkatkan kebutuhan untuk dengan cepat menemukan dan mengurangi malware apa pun yang mungkin menyelinap masuk.

4. Mendapatkan visibilitas ke cloud publik

Banyak organisasi telah memindahkan aplikasi ke cloud publik untuk memanfaatkan skalabilitas dan fleksibilitas mereka, tetapi mungkin ada biaya karena kurangnya visibilitas. Sampai saat ini, platform cloud publik utama seperti kotak hitam; mungkin untuk melihat lalu lintas masuk dan keluar dari cloud, tetapi hanya sedikit visibilitas untuk apa yang terjadi di dalam.

Untungnya, itu berubah, dengan beberapa penyedia cloud utama menambahkan fitur yang mencerminkan lalu lintas jaringan ke dan dari aplikasi klien. Kemudian broker paket virtual dapat digunakan untuk meneruskan lalu lintas tersebut ke alat pemantauan keamanan cloud-native. Feed nya dapat diarahkan ke perangkat penangkap paket virtual serta untuk mengarsipkan packet data ke penyimpanan cloud untuk kepatuhan dan forensik.

Singkatnya, mendeteksi dan mengurangi malware dwell time di lingkungan hybrid memerlukan akses ke lalu lintas jaringan penuh untuk semua segmen jaringan – baik itu di tempat, di dalam pusat data, di dalam cloud publik, atau untuk akses pekerja jarak jauh.

Selengkapnya:
Source: Dark Reading

Grup peretas kriminal besar ini baru saja beralih ke serangan ransomware

October 15, 2020 by Winnie the Pooh

Operasi peretasan yang tersebar luas yang telah menargetkan organisasi di seluruh dunia dalam kampanye phishing dan malware yang telah aktif sejak 2016 kini telah beralih ke serangan ransomware, yang mencerminkan betapa suksesnya ransomware telah menjadi alat penghasil uang bagi penjahat siber.

Dijuluki FIN11, kampanye tersebut telah dirinci oleh para peneliti keamanan siber di FireEye Mandiant, yang menggambarkan para peretas sebagai ‘kelompok kejahatan keuangan mapan’ yang telah melakukan beberapa kampanye peretasan yang paling lama berjalan.

Grup ini mulai dengan memfokuskan serangan pada bank, pengecer, dan restoran, tetapi telah berkembang dengan menargetkan berbagai sektor di berbagai lokasi di seluruh dunia tanpa pandang bulu, mengirimkan ribuan email phishing dan secara bersamaan melakukan serangan terhadap beberapa organisasi pada satu waktu.

Dengan keuangan menjadi fokus grup, kemungkinan FIN11 menjual informasi ini kepada penjahat siber lainnya di dark web, atau hanya mengeksploitasi detailnya untuk keuntungan mereka sendiri.

Namun sekarang FIN11 menggunakan jaringannya yang luas sebagai sarana untuk mengirimkan ransomware ke jaringan yang dikompromikan, dengan para penyerang lebih menyukai Clop ransomware dan menuntut bitcoin untuk memulihkan jaringan.

Dalam upaya untuk memeras korban agar membayar tebusan, beberapa geng ransomware telah menggunakan akses mereka ke jaringan untuk mencuri data sensitif atau pribadi dan mengancam akan membocorkannya jika mereka tidak menerima pembayaran untuk kunci dekripsi – FIN11 telah mengadopsi taktik ini, mempublikasikan data dari korban yang tidak membayar.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Ransomware berkembang: Berikut adalah empat cara penyerang masuk ke sistem Anda

October 13, 2020 by Winnie the Pooh

Dampak ransomware terus berkembang. Menurut data dari firma penyelidikan global Kroll, ransomware adalah masalah keamanan paling umum yang harus ditangani pada tahun 2020, sementara serangan ransomware menyumbang lebih dari sepertiga dari semua kasus hingga September.

Dan inilah cara penyerang masuk: di hampir setengah (47%) dari kasus ransomware yang telah diselidiki Kroll, geng Ransomware menggunakan protokol desktop jarak jauh (RDP) yang tidak diamankan.

Lebih dari seperempat (26%) kasus datang melalui email phishing, dan sejumlah kecil menggunakan eksploitasi kerentanan tertentu (17%). Dan diikuti oleh pengambilalihan akun, di 10%

Kroll mengatakan telah melihat tiga sektor terpukul sangat keras tahun ini: layanan profesional, perawatan kesehatan, serta teknologi dan telekomunikasi. Itu berbeda dengan data terbaru dari IBM, yang menunjukkan bahwa manufaktur, sektor layanan profesional, dan pemerintah adalah yang paling mungkin terkena dampaknya

Dalam beberapa kasus, geng ransomware telah mengingkari janji untuk menghapus data setelah tebusan pertama dibayarkan dan menuntut pembayaran kedua, ia memperingatkan.

Geng Ransomware juga dapat meningkatkan tekanan dengan berbagai cara: Maze mengklaim bahwa kredensial yang diambil dari korban yang tidak membayar akan digunakan untuk serangan terhadap mitra dan klien korban, sementara salah satu klien perawatan kesehatan Kroll menemukan bahwa geng tersebut telah mengirim email langsung ke pasien mereka. mengancam untuk mengungkap data kesehatan pribadi mereka.

Mempersulit geng ransomware untuk mendapatkan akses awal tersebut mungkin merupakan cara terbaik untuk melindungi organisasi Anda dari serangan, yang berarti memastikan bahwa langkah-langkah keamanan penting telah diambil. Ini termasuk memblokir akses RDP yang tidak perlu, mengamankan semua akses jarak jauh dengan otentikasi dua faktor yang kuat, memastikan bahwa semua perangkat lunak ditambal dan mutakhir, serta memastikan bahwa staf dilatih untuk mengenali email phishing.

Perlu dicatat, Ransomware juga meningkat pesat aktivitasnya di Indonesia. Dan dengan berlangganan layanan kami Anda dapat terhindar dari serangan Ransomware.

Untuk berlangganan, Anda dapat menghubungi tim Sales kami di +62 811-2652-249 atau mengisi form melalui website kami nagacyberdefense.net/programs

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

BazarLoader digunakan untuk menyebarkan ransomware Ryuk pada target bernilai tinggi

October 13, 2020 by Winnie the Pooh

Operator geng TrickBot semakin menargetkan target bernilai tinggi dengan trojan BazarLoader siluman baru sebelum menyebarkan ransomware Ryuk.

Selama bertahun-tahun, geng TrickBot telah menggunakan trojan mereka untuk menyusupi jaringan perusahaan dengan mengunduh modul perangkat lunak berbeda yang digunakan untuk perilaku tertentu seperti mencuri kata sandi, menyebarkan ke komputer lain, atau bahkan mencuri domain database Active Directory.

Karena modul-modul ini telah banyak dianalisis dari waktu ke waktu, solusi keamanan menjadi lebih baik dalam mendeteksi modul-modul ini sebelum digunakan.

Dalam laporan baru, peneliti keamanan Advanced Intel menjelaskan bahwa alih-alih menyerang korban dengan trojan TrickBot yang sangat tinggi potensinya untuk terdeteksi, pelaku ancaman sekarang lebih memilih BazarBackdoor sebagai alat pilihan mereka untuk target perusahaan bernilai tinggi.

Penyusupan BazarLoader dimulai dengan serangan phishing yang ditargetkan, seperti yang ditunjukkan oleh email phishing yang diterima oleh BleepingComputer pada bulan April.

Setelah menginfeksi komputer, BazarLoader akan menggunakan proses hollowing untuk menyuntikkan komponen BazarBackdoor ke dalam proses Windows yang sah seperti cmd.exe, explorer.exe, dan svchost.exe. Sebuah scheduled task dibuat untuk memuat BazarLoader setiap kali pengguna masuk ke sistem.

Akhirnya, BazarBackdoor akan menyebarkan suar Cobalt Strike, yang menyediakan akses jarak jauh ke pelaku ancaman yang memasang alat pasca-eksploitasi seperti BloodHound dan Lasagne untuk memetakan domain Windows dan mengekstrak kredensial.

Pada akhirnya, serangan tersebut mengarah pada pelaku ancaman yang menyebarkan ransomware Ryuk di seluruh jaringan dan menuntut tebusan besar-besaran.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Microsoft menghentikan operasi peretasan besar-besaran yang dapat memengaruhi pemilu

October 13, 2020 by Winnie the Pooh

Microsoft telah mengganggu operasi peretasan besar-besaran yang dikatakannya secara tidak langsung dapat memengaruhi infrastruktur pemilu jika dibiarkan berlanjut.

Perusahaan itu mengatakan pada hari Senin bahwa mereka menghentikan server di belakang Trickbot, jaringan malware besar yang digunakan penjahat untuk meluncurkan serangan siber lainnya, termasuk serangkaian ransomware yang sangat kuat.

Microsoft mengatakan memperoleh perintah pengadilan federal untuk menonaktifkan alamat IP yang terkait dengan server Trickbot, dan bekerja dengan penyedia telekomunikasi di seluruh dunia untuk membasmi jaringan.

Trickbot mengizinkan peretas untuk menjual apa yang dikatakan Microsoft sebagai layanan kepada peretas lain – menawarkan mereka kemampuan untuk menyuntikkan komputer, router, dan perangkat lain yang rentan dengan malware lain.

Itu termasuk ransomware, yang telah diperingatkan oleh Microsoft dan pejabat AS dapat menimbulkan risiko bagi situs web yang menampilkan informasi pemilu atau vendor perangkat lunak pihak ketiga yang menyediakan layanan kepada pejabat pemilu.

Baca berita selengkapnya pada tautan di bawah ini;
Source: CNN

Bug Wormable Apple iCloud Memungkinkan Pencurian Foto Otomatis

October 12, 2020 by Winnie the Pooh

Sekelompok ethical hackers membongkar infrastruktur dan sistem Apple dan, selama tiga bulan, menemukan 55 kerentanan, beberapa di antaranya akan memberi penyerang kendali penuh atas aplikasi pelanggan dan karyawan.

Sebagai catatan, bug wormable pengambilalihan akun iCloud yang penting akan memungkinkan penyerang mencuri semua dokumen, foto, video korban, dan lainnya secara otomatis.

Penemuan oleh peretas Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb dan Tanner Barnes menunjukkan kelemahan utama dalam infrastruktur “besar” perusahaan sementara itu juga memberi penghasilan tim hampir $300.000 hingga saat ini sebagai penghargaan atas upaya mereka, Curry menulis dalam postingan blog yang panjang yang merinci temuan tim.

Di antara kekurangan yang ditemukan di bagian inti infrastruktur Apple termasuk yang memungkinkan penyerang untuk: “sepenuhnya membahayakan aplikasi pelanggan dan karyawan; meluncurkan worm yang mampu secara otomatis mengambil alih akun iCloud korban; mengambil kode sumber untuk proyek internal Apple; sepenuhnya membahayakan perangkat lunak gudang kendali industri yang digunakan oleh Apple; dan mengambil alih sesi karyawan Apple dengan kemampuan mengakses alat manajemen dan sumber daya sensitif,” tulisnya.

Dari 55 kerentanan yang ditemukan, 11 peringkat dengan tingkat keparahan kritis, 29 dengan tingkat keparahan tinggi, 13 dengan tingkat keparahan sedang dan dua dengan tingkat keparahan rendah.

Bug wormable iCloud adalah masalah cross-site scripting (XSS), menurut artikel tersebut. iCloud menyediakan layanan seperti Mail dan Find my iPhone.

“Layanan email adalah platform email lengkap di mana pengguna dapat mengirim dan menerima email yang mirip dengan Gmail dan Yahoo,” jelas Curry. “Selain itu, ada aplikasi email di iOS dan Mac yang diinstal secara default di produk. Layanan email dihosting di www.icloud.com bersama dengan semua layanan lain seperti penyimpanan file dan dokumen.”

Dia menambahkan, “Ini berarti, dari perspektif penyerang, bahwa kerentanan cross-site scripting apa pun akan memungkinkan penyerang untuk mengambil informasi apa pun yang mereka inginkan dari layanan iCloud.”

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

1. Visibilitas lalu lintas timur-barat

2. Kemampuan untuk menangkap dan menyimpan data jaringan untuk forensik

3. Mengolah kembali kebijakan keamanan untuk pekerja jarak jauh

4. Mendapatkan visibilitas ke cloud publik

Cookies Settings