Threat

Ransomware Ini Menyamar Sebagai Decryptor STOP Djvu Ransomware

June 10, 2020 by Winnie the Pooh

Seorang peneliti keamanan menemukan strain ransomware baru yang disebut “Zorab” yang menyamar sebagai decryptor untuk STOP Djvu ransomware.

Michael Gillespie, kreator layanan ID Ransomware, melihat Zorab didistribusikan sebagai dekripsi untuk keluarga ransomware STOP Djvu.

Strain ransomware yang relatif umum, STOP Djvu terlibat dalam berbagai serangan digital selama sekitar setahun terakhir. Kembali pada Januari 2019, STOP menggunakan installer adware sebagai penyamarannya sebagai metode baru untuk mendistribusikan dirinya kepada pengguna yang tidak menaruh curiga. Itu hanya beberapa bulan sebelum para peneliti melihat varian dari keluarga ransomware STOP yang mengunduh infostealer Azorult ke mesin korban sebagai bagian dari proses infeksi.

Serangan dimulai ketika para korban memasukkan informasi mereka ke dekripsi Djvu STOP palsu dan mengklik tombol “Mulai Pindai”. Dalam prosesnya, program tersebut mengekstrak proses lain yang disebut “crab.exe” dan menyimpannya ke folder% Temp%.

Melansir Bleeping Computer, Crab.exe adalah ransomware lain yang disebut Zorab, yang akan mulai mengenkripsi data di komputer. Saat mengenkripsi file, ransomware akan menambahkan ekstensi .ZRB ke nama file. Ransomware juga akan membuat catatan tebusan bernama ‘–DECRYPT – ZORAB.txt.ZRB’ di setiap folder tempat file dienkripsi. Catatan ini berisi instruksi tentang cara menghubungi operator ransomware untuk melakukan pembayaran.

Zorab Ransomware — Pesan tebusan Zorab (Sumber: Bleeping Computer)

Ransomware ini sedang dianalisis, dan pengguna tidak boleh membayar uang tebusan sampai dipastikan tidak ada kelemahan yang dapat digunakan untuk memulihkan file terenkripsi Zorab secara gratis.

Tidak adanya jaminan untuk memulihkan file pada serangan Ransomware sebenarnya menjadi pendorong bagi seluruh perusahaan untuk melakukan langkah-langkah pencegahan sebelum ransomware menyerang jaringan perusahaan. Salah satunya dengan melakukan pencadangan (back up) data secara teratur dan menyimpannya di suatu tempat yang aman.

Berita selengkapnya dapat dibaca pada tautan di bawah ini:
Source: Tripwire

Honda Telah Mengonfirmasikan Bahwa Jaringannya Dilanda Serangan Cyber

June 10, 2020 by Winnie the Pooh

Honda, sebuah produsen kendaraan asal Jepang, telah mengkonfirmasi adanya serangan cyber yang menyerang jaringan perusahaan mereka, termasuk sistem produksi di luar Jepang.

Dalam sebuah pernyataan, juru bicara Honda mengatakan “Honda dapat mengkonfirmasi bahwa serangan cyber telah terjadi di jaringan Honda, Kami juga dapat mengonfirmasi bahwa tidak ada pelanggaran data pada saat ini.”

Mereka menambahkan, “Pekerjaan sedang dilakukan untuk meminimalkan dampak dan mengembalikan fungsionalitas kegiatan produksi, penjualan dan pengembangan secara menyeluruh. Pada titik ini, kami melihat dampak bisnis yang rendah”.

Perusahaan mengatakan telah mengalami kesulitan untuk mengakses server, email dan sistem internal dan ada juga dampak pada sistem produksi di luar Jepang. Dikatakan bahwa “server internal” telah diserang secara eksternal dan “virus” telah menyebar – namun mereka tidak akan mengungkap rincian lebih lanjut untuk alasan keamanan.

Perusahaan telah mengkonfirmasi bahwa pekerjaan di pabrik Inggris telah dihentikan bersamaan dengan penangguhan operasi lain di Amerika Utara, Turki, Italia dan Jepang. Namun, ia menambahkan bahwa pihaknya berharap beberapa situs yang terkena dampak akan kembali online hari ini atau akhir minggu ini.

Beberapa pakar keamanan cyber mengatakan serangan cyber yang menimpa Honda seperti serangan ransomware, yang berarti peretas mungkin telah mengenkripsi data atau mengunci Honda dari beberapa sistem TI-nya.

“Sepertinya kasus ransomware Ekans digunakan,” kata Morgan Wright, kepala penasihat keamanan di perusahaan keamanan Sentinel One. ‘Ekans, atau Snake ransomware, dirancang untuk menyerang jaringan sistem kontrol industri. Fakta bahwa Honda menahan produksi dan mengirim pekerja pabrik pulang dapat mengacu pada adanya gangguan sistem manufaktur mereka.’

Tidak diketahui bagaimana para pelaku cyber menyusup ke sistem komputer Honda, tetapi penelitian menunjukkan bahwa serangan ransomware sedang meningkat dengan para peretas yang menggunakan umpan terkait Covid-19 untuk mengelabui para korban agar mengunduh dokumen-dokumen dan file-file yang berbahaya.

Berita selengkapnya dapat dibaca pada tautan di bawah;
Source: BBC

Eksploitasi Kritis Pada Windows 10 Telah Dikonfirmasi, Beberapa Bulan Setelah Pembaruan Darurat Microsoft

June 8, 2020 by Winnie the Pooh

Badan keamanan siber pemerintah AS memperingatkan para actor cyber sedang menargetkan sistem Windows 10 yang masih rentan terhadap celah keamanan kritis yang telah 3 bulan diungkapkan.

CVE-2020-0796, yang lebih dikenal hari ini sebagai SMBGhost, dianggap sangat berbahaya jika digunakan sebagai senjata untuk menyerang, sehingga layak mendapat peringkat sistem penilaian kerentanan (CVSS) “sempurna” (10). Microsoft cepat bertindak. Mereka mengeluarkan pemberitahuan darurat dalam beberapa hari.

SMBGhost adalah sebuah kerentanan wormable yang dapat mengaktifkan eksekusi sembarang kode dari jarak jauh, kemudian pada akhirnya, mengendalikan sistem yang ditargetkan jika serangan berhasil diluncurkan.

Serangan seperti itu akan membutuhkan mesin Windows 10 atau Windows Server Core yang tidak ditambal dan rentan serta, yang terpenting, kode eksploit yang berfungsi dan tersedia.

Dalam sebuah pemberitahuan, CISA baru saja mengkonfirmasi bahwa mereka mengetahui kode proof of concept (PoC) yang tersedia untuk umum dan fungsional. Selain itu, CISA juga memperingatkan, “pelaku cyber jahat menargetkan sistem yang belum ditambal dengan PoC baru, menurut laporan sumber terbuka baru-baru ini.”

CISA telah mengatakan bahwa “sangat merekomendasikan menggunakan firewall untuk memblokir port SMB dari internet,” dan bahwa aplikasi tambalan dan pembaruan untuk kerentanan kritis tersebut harus diterapkan sesegera mungkin.

Pembaruan keamanan Microsoft yang menangani SMBGhost di Windows 10 versi 1909 dan 1903 dan Server Core untuk versi yang sama, dapat ditemukan di sini.

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Forbes

Ransomware Baru Ini Menargetkan PC Windows dan Linux Dengan Serangan ‘Unik’

June 8, 2020 by Winnie the Pooh

Sebuah bentuk ransomware yang baru terungkap sedang mengejar sistem Windows dan Linux dalam kampanye yang ditargetkan.

Dinamai Tycoon, ransomware ini telah aktif sejak Desember 2019 dan terlihat sebagai ciptaan penjahat cyber yang sangat selektif dalam penargetan mereka. Malware ini juga menggunakan teknik penyebaran yang tidak biasa yang membantu tetap tersembunyi di jaringan yang dikompromikan.

Target utama Tycoon adalah organisasi dalam industri pendidikan dan perangkat lunak.

Tycoon ditemukan dan dirinci oleh para peneliti di BlackBerry yang bekerjasama dengan analis keamanan di KPMG. Ini adalah bentuk ransomware yang tidak biasa karena ditulis menggunakan bahasa pemograman Java, disebarkan sebagai trojanized Java Runtime Environment dan disusun dalam file gambar Java (Imagej) untuk menyembunyikan niat jahatnya.

Para peneliti berpendapat bahwa Tycoon berpotensi dikaitkan dengan bentuk ransomware lain, Dharma – juga dikenal sebagai Crysis – karena kesamaan dalam alamat email, nama file yang dienkripsi, dan teks catatan tebusan.

Tahap pertama serangan ransomware Tycoon adalah dengan intrusi awal yang datang melalui server internet-facing RDP yang tidak aman. Karena RDP adalah salah satu cara yang umum untuk melakukan serangan cyber, organisasi dapat memastikan bahwa satu-satunya port yang menghadap ke luar ke internet adalah yang benar-benar dibutuhkan saja.

Menerapkan patch keamanan saat dirilis juga dapat mencegah banyak serangan ransomware, karena dapat menghentikan penjahat yang mencoba mengeksploitasi kerentanan yang diketahui. Organisasi juga harus memastikan bahwa mereka secara teratur membuat cadangan jaringan mereka – dan bahwa cadangan itu dapat diandalkan – sehingga jika yang terburuk terjadi, jaringan tersebut dapat dipulihkan tanpa menuruti tuntutan para penjahat dunia maya.

Artikel selengkapnya dapat dibaca pada tautan di bawah:
Source: ZDNet

Stalkerware: Apa yang harus dilakukan jika Anda adalah targetnya

June 5, 2020 by Winnie the Pooh

Sangat mudah bagi seseorang untuk membeli dan menginstal aplikasi yang mengganggu, yang dikenal sebagai stalkerware, pada perangkat orang lain. Aplikasinya berlimpah, menurut perusahaan perangkat lunak antivirus yang melacak prevalensinya.

Sebuah pemungutan suara Harris baru-baru ini dilakukan dengan perusahaan antivirus NortonLifeLock menemukan bahwa satu dari 10 orang mengakui menggunakan stalkerware untuk melacak pasangan atau mantan mereka. Aplikasi ini sangat sederhana sehingga beberapa orang di TikTok telah memposting tutorial 60 detik tentang cara menggunakannya.

Perangkat lunak ini bekerja pada komputer tetapi telah menjadi sangat kuat untuk digunakan pada ponsel, mengubah gadget menjadi perangkat pengawasan yang mengungkapkan data lokasi serta email, riwayat penelusuran web, dan banyak lagi. Mungkin ada alasan yang sah untuk menggunakan aplikasi pelacakan, seperti memantau telepon anak-anak, atau memantau karyawan (dengan persetujuan mereka). Namun, kenyataannya adalah bahwa aplikasi ini disalahgunakan oleh orang-orang yang memata-matai orang dewasa tanpa persetujuan mereka, menurut pejabat penegak hukum dan kekerasan dalam rumah tangga dan ahli hukum.

Tidak mudah untuk memutuskan apa yang harus dilakukan tentang hal itu, kata pakar kekerasan dalam rumah tangga, karena pasangan atau mantan Anda mungkin menjadi lebih berbahaya jika Anda menghapus software tersebut pada perangkat Anda. Tetapi ada beberapa langkah yang dapat Anda ambil untuk mempelajari lebih lanjut tentang software ini dan apakah itu ada di perangkat Anda.

Apa itu stalkerware?

Stalkerware mengacu pada sekelompok besar aplikasi yang orang lain dapat instal pada perangkat Anda untuk mencegat teks dan panggilan telepon, mengakses lokasi Anda, mencatat aktivitas penjelajahan web Anda dan menyalakan kamera atau mikrofon Anda. Informasi yang dikumpulkan oleh aplikasi seperti itu biasanya dikirim ke portal atau aplikasi pendamping yang diakses oleh orang yang memasang stalkerware. Orang yang memasang stalkerware biasanya harus mendapatkan akses fisik ke telepon pengguna untuk menginstal aplikasi.

Bagaimana saya tahu jika ponsel saya memiliki stalkerware?

Ini bisa saja sulit. Perangkat lunak ini sering menyamar, baik dengan menampilkan ikon yang tidak berbahaya (seperti monitor baterai), atau dengan tidak menampilkan ikon sama sekali, kata Kevin Roundy, direktur teknis di kelompok riset NortonLifeLock.

Sekalipun ikon aplikasi tersembunyi di ponsel Anda, ikon itu akan muncul di pengaturan Anda sebagai item dalam daftar aplikasi yang berjalan di perangkat Anda. Aplikasi ini mungkin masih tidak memiliki label yang dapat teridentifikasi sebagai stalkerware, kata Roundy, jadi carilah aplikasi yang tidak Anda kenal. Anda dapat mencari aplikasi yang tampak tidak biasa secara online di perangkat lain untuk melihat apakah Anda dapat menemukan informasi lebih lanjut tentang itu.

Langkah tambahan adalah menggunakan perangkat lunak antivirus di ponsel Anda.

Haruskah saya menghapus stalkerware?

Menghapus aplikasi adalah opsi yang harus dipertimbangkan, tetapi Anda harus membuat keputusan dengan hati-hati. Menghapus aplikasi pengintai mungkin membuat Anda dalam bahaya yang lebih besar jika itu mendorong pasangan atau mantan Anda untuk terlibat dalam perilaku yang bahkan lebih menakutkan. Kekhawatiran ini adalah mengapa banyak perusahaan antivirus tidak secara otomatis menghapus stalkerware dari ponsel penggunanya.

Cara menghapus, menghancurkan, atau mengganti

Pertama, Anda dapat menghapus akses aplikasi ke hal-hal seperti kamera dan mikrofon Anda, dan kemudian menghapusnya dari telepon Anda. Proses ini dapat bervariasi, dan panduan untuk menghapus aplikasi tertentu dapat dicari secara online, kadang-kadang bahkan di situs web pembuat aplikasi. Penghapusan adalah rute yang paling tidak mengganggu yang bisa Anda ambil, tetapi bisa membuat Anda bertanya-tanya apakah ada sesuatu yang tersisa di ponsel Anda yang dapat memata-matai Anda.

Jika Anda masih merasa tidak nyaman bahwa perangkat Anda aman, Anda dapat melakukan reset pabrik. Melakukan ini dapat mengembalikan ponsel Anda ke keadaan seperti saat Anda membelinya. Anda akan dikeluarkan dari semua akun Anda, dan semua aplikasi tambahan yang diinstal pada ponsel Anda setelah pembelian akan hilang. Sebelum Anda melakukan reset pabrik, penting untuk membuat cadangan foto atau file yang belum Anda simpan di tempat lain.

Terakhir, Anda bisa mendapatkan perangkat baru. Ini adalah nasihat yang sulit bagi siapa pun untuk didengar, terutama jika keadaan keuangan Anda sulit atau pasangan Anda mengendalikan pengeluaran Anda.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: CNET

Waspadalah — Jutaan Pengguna Android Harus Menghapus Aplikasi Video ‘Berbahaya’ ini Sekarang

June 5, 2020 by Winnie the Pooh

Penyebaran malware berbahaya dalam aplikasi Android populer terus menjadi perhatian serius. Google telah berjanji untuk membersihkan rumahnya, meluncurkan App Defense Alliance “untuk memastikan keamanan Play Store,” namun malware berbahaya masih lolos dari jaring keamanan, membuat ratusan juta pengguna dalam bahaya.

Dalam sebuah laporan baru dari Upstream, tim keamanan mengatakan bahwa pada kuartal pertama tahun ini, jumlah aplikasi Android yang diidentifikasi sebagai aplikasi “Berbahaya” terus meningkat dari tahun ke tahun, dengan transaksi penipuan naik 55%. Yang lebih mengkhawatirkan lagi, adanya aplikasi paling berbahaya yang terdeteksi adalah ancaman yang diketahui yang telah diperingatkan tahun lalu dan kini telah diinstal oleh lebih dari 40 juta pengguna Android.

Risiko yang lebih besar untuk pengguna Android adalah opsi untuk menginstal aplikasi dari luar Play Store, sehingga Google telah melarang pemasangan semacam itu untuk pengguna dengan profil tinggi dan berisiko tinggi. Dan itulah tepatnya aplikasi video ini — SnapTube, aplikasi yang telah dipasang oleh 40 juta pengguna, menemukan jalannya ke ponsel — aplikasi ini tidak ada di Play Store.

Aplikasi ini memungkinkan pengguna memilih dan mengunduh video dari Facebook dan YouTube — tetapi di latar belakang, Upstream memperingatkan, aplikasi itu menipu pengguna dan pengiklan untuk menghasilkan financial return. Upstream juga mengklaim bahwa SnapTube menghasilkan panggilan dan teks premium, tanpa diketahui penggunanya, yang kemungkinan menghasilkan hampir $100 juta.

Tahun lalu, Upstream memperingatkan bahwa SnapTube tidak lebih dari “layar untuk aktivitas latar belakang yang mencurigakan … Kami tidak hanya menemukan penipuan klik iklan latar belakang, tetapi juga banyak contoh pengguna yang mendaftar untuk layanan atau langganan digital premium.” Terlepas dari peringatan itu, Upstream sekarang mengatakan telah memblokir lebih dari 32 juta transaksi SnapTube dari Januari hingga Mei tahun ini.

SnapTube dikembangkan oleh Mobiuspace China, yang mengklaim “100 juta pengguna per bulan di seluruh dunia,” dan menyebut Tencent dan China Growth Capital di antara para investornya.

Oktober lalu, Mobiuspace mengatakan kepada Forbes bahwa masalah “terkait kolaborasi kami dengan pihak ketiga yang dikenal sebagai Mango SDK, yang memungkinkan praktik iklan penipuan yang bertentangan dengan keyakinan dan komitmen kami dengan pengguna kami.” Perusahaan berjanji telah mengambil “tindakan segera … dan merilis pembaruan tanpa Mango SDK pada versi berikutnya, serta mengirimkan pemberitahuan kepada semua pengguna untuk memperbarui ke versi terbaru melalui dorongan dan pemberitahuan dalam aplikasi.” Masalahnya bagi pengguna, adalah bahwa mereka perlu menghapus versi lama aplikasi dan menginstal versi baru yang aman.

Upstream mengakui bahwa adanya volume yang menurun dari masalah SnapTube menunjukkan versi aplikasi yang baru kemungkinan telah diperbaiki. Namun, ia masih berada di puncak grafik Upstream untuk transaksi penipuan, yang menunjukkan bahwa puluhan juta pengguna masih perlu menghapus aplikasi lama dan menginstal yang lebih baru. Dan mereka perlu melakukannya sekarang. Versi aplikasi yang lebih lama penuh dengan malware, ini merupakan ancaman serius.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Forbes

Penipu Menyebarkan Trojan Seluler Yang Menyamar Sebagai Game Valorant

June 2, 2020 by Winnie the Pooh

Ringkasan

Dilansir dari Doctor Web, sebuah kampanye yang menggunakan video YouTube, lengkap dengan ulasan dan komentar pengguna palsu untuk mempromosikan game palsu, berupaya memasang Trojan di perangkat Android.

Jenis Ancaman

Malware, Android

Overview

Sebuah game bernama Valorant, yang saat ini sedang dalam pengembangan dan berjalan pada sistem Windows, digunakan sebagai umpan dalam kampanye yang menargetkan perangkat Android. Dalam kampanye, video YouTube digunakan untuk mempromosikan apa yang dianggap sebagai versi mobile dari game tersebut, tersedia untuk perangkat Android dan iOS. Video lengkap dengan ulasan dan komentar pengguna palsu.

Korban akan diarahkan ke situs web yang merupakan versi palsu dari situs Valorant yang sebenarnya. Dua tautan unduhan disediakan di situs palsu tersebut, satu untuk versi iOS, yang lainnya untuk versi Android. Jika tautan iOS diklik, pengguna akan diarahkan ke situs afiliasi. Jika tautan Android diklik, dan perangkat Android dikonfigurasikan untuk memungkinkan pemasangan aplikasi di luar Google Play, aplikasi palsu akan diinstal.

Ketika aplikasi dijalankan, ia meniru layar pemuatan game tetapi memberi tahu korban bahwa game harus ‘diunlock’ yang memerlukan pengunduhan dua aplikasi lainnya.

Jika proses infeksi selesai dan payload Android.FakeApp.176 diinstal, korban diarahkan ke situs afiliasi yang sama yang diarahkan untuk pengguna iOS. Berdasarkan parameter tertentu, perangkat Android yang terinfeksi diarahkan ke situs lain yang meminta korban menyelesaikan tugas, atau berpartisipasi dalam survei, untuk mendapatkan hadiah.

Sebelumnya, game lain seperti Call of Duty: Warzone, Fortnite, dan Apex Legends, telah digunakan sebagai umpan untuk mengirimkan muatan Android.FakeApp.176. Informasi lebih lanjut tersedia pada tautan di bagian Referensi.

IoC’s (Indicator of Compromises)

Daftar lengkap IoC dapat ditemukan di tautan Laporan Dr Web di bawah ini

Rekomendasi

1. Pastikan perangkat lunak anti-virus dan file terkait selalu diperbarui.
2. Cari tanda-tanda yang ada dari IoC di lingkungan Anda.
3. Pertimbangkan untuk memblokir dan atau mengatur deteksi untuk semua IOC berbasis URL dan IP.
4. Tetap jalankan aplikasi dan sistem operasi pada level patch yang dirilis saat ini.

Referensi

Dr Web News | Laporan Dr Web

iOS Mail Memiliki Kelemahan Keamanan ‘Kritis’ Dan Telah Diperbaiki

May 31, 2020 by Winnie the Pooh

Badan keamanan siber federal Jerman telah mengeluarkan peringatan yang mendesak semua pengguna iOS untuk menginstal pembaruan keamanan terbaru Apple yang menambal dua kerentanan keamanan tanpa klik yang berdampak pada aplikasi email default perusahaan.

Kerentanan ini pertama kali ditemukan oleh perusahaan keamanan yang berbasis di AS ZecOps yang menemukan bahwa kerentanan ini sedang dieksploitasi secara aktif dalam serangan yang menargetkan pengguna iOS sejak setidaknya Januari 2018. Apple telah mengakui kelemahan keamanan meskipun perusahaan mengatakan mereka menemukan “tidak adanya bukti bahwa kerentanan ini digunakan untuk melawan pelanggan mereka.”

Dalam peringatannya, BSI (Bundesamt für Sicherheit in der Informationstechnik) menekankan pentingnya menginstal pembaruan segera, dengan mengatakan:

“Apple telah merilis pembaruan keamanan dengan iOS 12.4.7, iOS 13.5 dan iPadOS 13.5 yang memperbaiki kerentanan untuk semua versi iOS yang terpengaruh. Karena kekritisan kerentanan, BSI merekomendasikan agar pembaruan keamanan masing-masing segera diinstal pada semua sistem yang terpengaruh.”

Kedua kelemahan keamanan yang memengaruhi aplikasi Mail Apple adalah kerentanan tanpa klik yang dihasilkan dari masalah konsumsi memori dan keduanya dapat dipicu setelah aplikasi memproses pesan yang dibuat dengan cara jahat.

Untungnya Apple mengatasi kekurangan dengan merilis iOS 13.5 dan iPadOS 13.5 yang menawarkan penanganan memori yang lebih baik dan pemeriksaan batas. Kerentanan mempengaruhi iPhone 6S dan yang lebih baru, iPad Air 2 dan yang lebih baru, iPad mini 4 dan yang lebih baru dan iPod touch generasi ke-7, menurut catatan rilis keamanan iOS 13.5.

Sangat disarankan agar semua pengguna iOS menginstal pembaruan keamanan terbaru Apple untuk menghindari korban dari setiap serangan potensial yang mengeksploitasi kedua kerentanan tersebut.

Selengkapnya dapat dibaca pada tautan di bawah ini:
Source: Tech Radar

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.