Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Egregor Ransomware Mengancam Akan Merilis Data Perusahaan ke Media Massa

by

Sebuah keluarga ransomware yang baru ditemukan bernama Egregor telah ditemukan, menggunakan taktik mencuri informasi perusahaan dan mengancam akan merilisnya ke “media massa” sebelum mengenkripsi semua file.

Menurut analisis dari Appgate, kode tersebut tampaknya merupakan spin-off dari Sekhmet ransomware – sebuah tautan yang juga dicatat oleh peneliti lain.

“Sampel yang kami analisis memiliki banyak teknik anti-analisis, seperti obfuscation code dan muatan yang dikemas,” menurut penelitian perusahaan, yang diumumkan hari Jumat.

“Selain itu, dalam salah satu tahapan eksekusi, muatan Egregor hanya dapat didekripsi jika kunci yang benar diberikan dalam baris perintah proses, yang berarti bahwa file tidak dapat dianalisis, baik secara manual atau menggunakan sandbox, jika sama persis baris perintah yang digunakan penyerang untuk menjalankan ransomware tidak tersedia.”

“Kami telah menemukan bahwa Egregor dapat menerima parameter tambahan melalui baris perintah, seperti ‘nomimikatz,’ ‘killrdp,’ ‘norename,’ antara lain,” kata Gustavo Palazolo, peneliti keamanan di Appgate.

“Saat ini, tim kami masih merekayasa balik malware untuk mendapatkan gambaran keseluruhan.”

Peneliti Appgate juga menemukan bahwa catatan tebusan menuntut pembayaran dalam waktu tiga hari – jika tidak, data sensitif akan bocor.

“Pada saat perilisan advisory, setidaknya ada 13 perusahaan berbeda yang terdaftar di ‘hall of shame’ mereka, termasuk perusahaan logistik global GEFCO, yang mengalami serangan cyber minggu lalu,” menurut perusahaan tersebut.

“Apa artinya? Artinya, segera setelah bocor di media massa, mitra dan klien Anda AKAN TAHU MASALAH Anda.”

“Sayangnya, tidak ada rincian tentang [jumlah pembayaran tebusan] dalam catatan tebusan atau di situs web Egregor,” kata peneliti tersebut kepada Threatpost.

“Untuk mendapatkan detail pembayaran, korban perlu membuka tautan yang menuju ke deep web yang disediakan Egregor dan mendapatkan instruksi dari penyerang melalui obrolan langsung.”

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post

Dua merchant perhotelan Amerika Utara diretas pada bulan Mei dan Juni

by

Dalam peringatan keamanan yang diterbitkan pada hari Kamis, Visa mengungkapkan bahwa dua merchant perhotelan Amerika Utara diretas dan sistem mereka terinfeksi malware point-of-sale (POS) awal tahun ini.

Malware POS dirancang untuk menginfeksi sistem Windows, mencari aplikasi POS, kemudian mencari dan memantau memori komputer untuk detail kartu pembayaran yang sedang diproses di dalam aplikasi pembayaran POS.

PERETASAN BULAN JUNI: HACKERS MENGGUNAKAN TIGA STRAIN POS MALWARE YANG BERBEDA

Dari kedua insiden tersebut, insiden kedua yang terjadi pada bulan Juni adalah yang paling menarik dilihat dari sudut pandang insiden respon (IR).

Visa mengatakan telah menemukan tiga jenis malware POS di jaringan korban – yaitu RtPOS, MMon (alias Kaptoxa), dan PwnPOS. Alasan mengapa geng malware menyebarkan tiga jenis malware tidak diketahui, tetapi bisa jadi penyerang ingin memastikan mereka mendapatkan semua data pembayaran dari berbagai sistem.

PERETASAN BULAN MEI: MENGGUNAKAN EMAIL PHISHING SEBAGAI TITIK MASUK

Malware POS yang digunakan dalam insiden ini diidentifikasi sebagai versi strain TinyPOS.

Dua serangan baru-baru ini menunjukkan bahwa terlepas dari peningkatan dan perhatian baru-baru ini bahwa insiden skimming web (magecart) dan ransomware semakin meningkat di media, geng-geng kejahatan siber tidak melupakan penargetan sistem POS.

“Serangan baru-baru ini menunjukkan minat terus-menerus pelaku ancaman dalam menargetkan sistem POS merchant untuk mengambil data rekening pembayaran saat ini,” kata Visa.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Botnet IoT Ttint baru tertangkap basah mengeksploitasi dua zero-day di router Tenda

by

Dinamakan Ttint, botnet ini pertama kali dirinci dalam sebuah laporan yang diterbitkan pada hari Jumat oleh Netlab, divisi keamanan jaringan dari raksasa teknologi China Qihoo 360.

Tidak hanya menginfeksi perangkat untuk melakukan serangan DDoS, tetapi juga menerapkan 12 metode akses jarak jauh yang berbeda ke router yang terinfeksi, menggunakan router sebagai proxy untuk menyampaikan lalu lintas, merusak firewall router dan pengaturan DNS, dan bahkan memberi penyerang kemampuan untuk menjalankan perintah jarak jauh pada perangkat yang terinfeksi.

Menurut laporan perusahaan, botnet tampaknya telah digunakan tahun lalu, pada November 2019, ketika Netlab mengatakan mendeteksi Ttint menyalahgunakan Tenda zero-day pertamanya untuk mengambil alih router yang rentan.

Botnet terus mengeksploitasi zero-day ini (dilacak sebagai CVE-2020-10987) hingga Juli 2020, ketika Sanjana Sarda, Analis Keamanan Junior di Penilai Keamanan Independen, menerbitkan laporan terperinci tentang kerentanan tersebut dan empat lainnya.

Tenda tidak merilis patch firmware untuk menangani temuan Sarda, tetapi operator Ttint tidak menunggu untuk mengetahui apakah vendor akan memperbaiki bugnya nanti.

Netlab mengatakan bahwa router Tenda yang menjalankan versi firmware antara AC9 hingga AC18 dianggap rentan.

Karena Ttint terlihat mengubah pengaturan DNS pada router yang terinfeksi, kemungkinan besar mengarahkan pengguna ke situs jahat, menggunakan salah satu dari router ini tidak disarankan.

Pemilik router Tenda yang ingin mengetahui apakah mereka menggunakan router yang rentan dapat menemukan informasi versi firmware di panel administrasi router.

Setelah dianalisis, Ttint dibangun di atas Mirai, keluarga malware IoT yang kodenya bocor secara online pada 2016. Sejak bocor secara online, ada banyak botnet yang merupakan cabang dari basis kode asli ini.

Setiap operator botnet mencoba berinovasi dan menambahkan sesuatu yang berbeda, tetapi Ttint tampaknya telah mengguanakan sesuatu dari masing-masing botnet untuk membangun versi Mirai yang lebih kompleks daripada sebelumnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Seseorang meninggal karena ransomware: Saatnya memberi rumah sakit keamanan IT

by

Teori kini telah menjadi nyata. Ketika perangkat yang terhubung terpotong di seluruh rumah sakit selama beberapa tahun terakhir, para ahli khawatir tentang kemungkinan serangan siber pada jaringan rumah sakit yang merugikan pasien. Itu sekarang telah terjadi. Seorang pasien Jerman meninggal setelah dialihkan dari sebuah rumah sakit di Duesseldorf yang tidak dapat memberikan layanan menyusul serangan ransomware pada jaringannya pada 10 September. Pasien, yang membutuhkan perawatan medis segera, dikirim ke rumah sakit yang berjarak hampir 20 mil. di kota lain, di mana dia meninggal.

Ini dilaporkan sebagai kematian pertama yang terkait dengan serangan dunia maya, dan ini hanyalah salah satu dari banyak serangan ransomware yang menargetkan rumah sakit setiap hari. Faktanya, awal minggu ini Universal Health Services dihantam dengan apa yang tampaknya menjadi salah satu serangan dunia maya terbesar yang pernah ada pada penyedia medis di Amerika Serikat. Akibatnya, rumah sakit harus beralih ke pena dan kertas untuk mencatat informasi pasien dan memberi label obat. Dan sebuah pusat medis di Ohio terkena serangan ransomware pada hari Senin yang membuat mereka menunda operasi.

Kematian di Jerman sangat tragis karena tampaknya serangan ransomware mungkin ditujukan untuk target yang berbeda; catatan ransomware telah dialamatkan ke universitas yang berafiliasi dengan rumah sakit. Setelah mengetahui bahwa sebuah rumah sakit telah diserang, para penyerang dilaporkan menghentikan serangan tersebut dan mengirim kunci untuk mendekripsi data yang disandera – sebuah langkah yang belum pernah terjadi sebelumnya. Otoritas Jerman sedang menyelidiki kasus tersebut sebagai pembunuhan yang lalai.

Peristiwa ini harus menjadi seruan bagi industri perawatan kesehatan dan pemerintah AS untuk segera mengambil tindakan untuk mengatasi masalah serius ini. Kematian di Jerman sangat tragis karena tampaknya serangan ransomware mungkin ditujukan untuk target yang berbeda. ; catatan ransomware telah dialamatkan ke universitas yang berafiliasi dengan rumah sakit. Setelah mengetahui bahwa sebuah rumah sakit telah diserang, para penyerang dilaporkan menghentikan serangan tersebut dan mengirim kunci untuk mendekripsi data yang disandera – sebuah langkah yang belum pernah terjadi sebelumnya. Otoritas Jerman sedang menyelidiki kasus tersebut sebagai pembunuhan yang lalai.

Bahkan jika serangan ransomware itu macet, seseorang meninggal.

Peristiwa ini harus menjadi peringatan bagi industri kesehatan dan pemerintah AS untuk segera mengambil tindakan guna mengatasi masalah serius ini.

Source : Thehill

Malware NodeJS mengambil informasi IP, nama pengguna, dan nama perangkat di GitHub

by

Beberapa paket NodeJS yang sarat dengan kode berbahaya telah terlihat di registri npm.

Paket “typosquatting” ini tidak memiliki tujuan selain mengumpulkan data dari perangkat pengguna dan menyiarkannya di halaman GitHub publik.
Penemuan ini ditemukan oleh sistem deteksi malware otomatis Sonatype dan diselidiki lebih lanjut oleh tim Riset Keamanan perusahaan yang termasuk saya.
Paket yang sebelumnya ada di registry npm open source termasuk:

1. electorn (kesalahan eja yang disengaja dari paket “electron” yang sah)
2. loadyaml
3. loadyml.dll
4. lodashs (kesalahan eja yang disengaja dari paket “lodash” yang sah)

Keempat paket diterbitkan oleh pengguna yang sama “simplelive12” dan sekarang telah dihapus, dengan dua paket pertama telah dihapus oleh npm per 1 Oktober 2020. Dua paket sebelumnya tidak dipublikasikan oleh pembuatnya sendiri.

Setelah instal, electron menjalankan skrip di latar belakang setiap jam yang mengumpulkan IP pengguna yang masuk, data geolokasi, nama pengguna, jalur ke direktori home, dan informasi model CPU.

Sampai saat ini, keempat paket telah mencetak lebih dari 400 total unduhan.

Tidak jelas apa tujuan pengumpulan data ini dan mengapa itu dipublikasikan di web agar dunia dapat melihatnya, namun, insiden seperti ini menyoroti potensi serangan typosquatting pada ekosistem open-source.

Ada Serangan Ditujukan untuk Mengganggu Botnet Trickbot

by

Pada 22 September, seseorang mengupload file konfigurasi baru ke komputer Windows yang saat ini terinfeksi Trickbot. Penjahat yang menjalankan botnet Trickbot biasanya menggunakan file konfigurasi ini untuk menyampaikan instruksi baru ke PC mereka lainnya yang terinfeksi, seperti alamat Internet di mana sistem yang diretas harus mengunduh pembaruan baru untuk malware.

Tetapi file konfigurasi baru yang diupload pada 22 September memberi tahu semua sistem yang terinfeksi Trickbot bahwa server kontrol malware baru mereka memiliki alamat 127.0.0.1, yang merupakan alamat “localhost” yang tidak dapat dijangkau melalui Internet publik, menurut analisis oleh perusahaan intelijen dunia maya Intel 471.

“Tak lama setelah konfigurasi palsu dikeluarkan, semua pengontrol Trickbot berhenti merespons dengan benar permintaan bot,” tulis Intel 471 dalam sebuah catatan kepada pelanggannya. “Ini mungkin berarti controller pusat Trickbot terganggu. Waktu penutupan kedua peristiwa tersebut menunjukkan gangguan yang disengaja pada operasi botnet Trickbot. ”

Cuplikan teks dari salah satu pembaruan konfigurasi Trickbot palsu. Sumber: Intel 471

CEO Intel 471, Mark Arena, mengatakan pada saat ini siapa pun yang bertanggung jawab.

“Jelas, seseorang mencoba menyerang Trickbot,” kata Arena. “Bisa saja seseorang di komunitas riset keamanan, pemerintah, orang dalam yang tidak puas, atau grup kejahatan dunia maya saingan. Kami hanya tidak tahu saat ini. ”

Alex Holden adalah chief technology officer dan pendiri Hold Security, sebuah firma intelijen dunia maya yang berbasis di Milwaukee yang membantu memulihkan data yang dicuri. Holden mengatakan pada akhir September Trickbot menyimpan kata sandi dan data keuangan yang dicuri dari lebih dari 2,7 juta PC Windows.

“Pemantauan kami menemukan setidaknya satu pernyataan dari salah satu kelompok ransomware yang mengandalkan Trickbot yang mengatakan ini membuat mereka kesal, dan mereka akan menggandakan tebusan yang mereka minta dari korban,” kata Holden. “Kami belum dapat mengonfirmasi apakah mereka benar-benar menindaklanjuti hal itu, tetapi serangan ini jelas mengganggu bisnis mereka.”

Intel 471’s Arena mengatakan ini bisa menjadi bagian dari kampanye yang sedang berlangsung untuk membongkar atau merebut kendali atas botnet Trickbot. Upaya seperti itu tidak akan pernah terjadi sebelumnya. Pada tahun 2014, misalnya, lembaga penegak hukum AS dan internasional bekerja sama dengan beberapa firma keamanan dan peneliti swasta untuk mengambil alih Gameover Zeus Botnet, jenis malware yang sangat agresif dan canggih yang telah menyerang hingga 1 juta PC Windows secara global.

Bagi pengguna Foxit, lakukan patch sekarang !

by

Foxit Software, perusahaan perangkat lunak China yang mengembangkan perangkat lunak dan alat Portable Document Format (PDF) yang digunakan untuk membuat, mengedit, menandatangani, dan mengamankan file dan dokumen digital. Telah merilis update kemanan pada beberapa perangkat softwarenya, diantara lain :

    • Foxit Reader 10.1 and Foxit PhantomPDF 10.1
      3D Plugin Beta 10.1.0.37494
      Foxit PhantomPDF Mac and Foxit Reader Mac 4.1

    • Meski Foxit terkena insiden Data Breach pada 30 Agustus lalu, nampaknya Foxit tetap optimis akan perkemnbangan software mereka, seperti yang dikutip adlam website nya:
    “Tanggapan yang cepat untuk kerusakan perangkat lunak dan kerentanan keamanan telah, dan akan terus menjadi, prioritas utama bagi semua orang di Foxit Software. Meskipun ancaman adalah fakta, kami bangga mendukung solusi PDF paling canggih di pasar. Berikut adalah informasi tentang beberapa penyempurnaan yang membuat perangkat lunak kami semakin kuat.” < Jadi bagi kalian pemakai aplikasi Foxit, segera lakukan Update di halaman resmi Foxit disini ya !

    Siapa dalang di Balik Pemadaman 911 pada14 daerah Senin lalu?

    by

    Sistem darurat 911 mati selama lebih dari satu jam pada hari Senin di 14 negara bagian AS. Pemadaman listrik menyebabkan banyak outlet berita berspekulasi bahwa masalah tersebut terkait dengan platform layanan web Azure Microsoft, yang juga sedang berjuang dengan pemadaman yang meluas pada saat itu. Namun, berbagai sumber memberi tahu KrebsOnSecurity bahwa masalah 911 berasal dari semacam snafu teknis yang melibatkan Intrado dan Lumen, dua perusahaan yang bersama-sama menangani panggilan 911 untuk wilayah Amerika Serikat yang luas.

    Pada Senin, 28 September, beberapa negara bagian termasuk Arizona, California, Colorado, Delaware, Florida, Illinois, Indiana, Minnesota, Nevada, North Carolina, North Dakota, Ohio, Pennsylvania dan Washington melaporkan pemadaman pada layanan 911 akibat pemadaman listrik di berbagai kota dan daerah.

    Beberapa laporan berita menunjukkan pemadaman mungkin terkait dengan gangguan layanan yang sedang berlangsung di Microsoft. Namun juru bicara mengatakan kepada KrebsOnSecurity, “kami tidak melihat indikasi bahwa pemadaman multi-negara 911 adalah akibat dari gangguan layanan Azure kemarin.”

    Namun menurut pejabat di Henderson County, NC, yang mengalami 911 kegagalannya sendiri kemarin, Intrado mengatakan pemadaman itu disebabkan oleh masalah dengan penyedia layanan yang tidak ditentukan.

    “Pada 28 September 2020, pukul 16.30 MT, Penyedia Layanan 911 kami mengamati kondisi internal jaringan mereka yang berdampak pada pengiriman panggilan 911,” bunyi pernyataan yang diberikan Intrado kepada pejabat daerah. “Dampaknya telah dimitigasi, dan layanan dipulihkan dan dipastikan berfungsi pada pukul 17:47 MT. Penyedia layanan kami sedang bekerja untuk mencari akar masalah. ”

    Penyedia layanan yang dirujuk dalam pernyataan Intrado tampaknya adalah Lumen, sebuah firma komunikasi dan penyedia 911 yang hingga saat ini dikenal sebagai CenturyLink Inc. Melihat halaman status perusahaan menunjukkan beberapa sistem Lumen mengalami gangguan layanan total atau parsial pada hari Senin, termasuk jaringan cloud private dan internal serta jaringan sistem kontrolnya.

    Halaman status Lumen menunjukkan cloud pribadi dan internal perusahaan serta jaringan sistem kontrol mengalami gangguan atau gangguan layanan pada hari Senin.

    Dalam pernyataan yang diberikan kepada KrebsOnSecurity, Lumen menyalahkan masalah tersebut pada Intrado.

    “Sekitar pukul 16.30. MT, beberapa pelanggan Lumen terpengaruh oleh peristiwa mitra vendor yang memengaruhi 911 layanan di AZ, CO, NC, ND, MN, SD, dan UT, ”bunyi pernyataan itu. “Layanan dipulihkan dalam waktu kurang dari satu jam dan semua lalu lintas 911 dirutekan dengan benar saat ini. Mitra vendor sedang dalam proses menyelidiki acara tersebut. ”

    Layaknya bukan suatu kebetulan kedua perusahaan ini sekarang beroperasi dengan nama baru, karena ini bukan pertama kalinya masalah di antara keduanya mengganggu akses 911 untuk sejumlah besar orang Amerika.