Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Kelompok Ransomware Vice Society Beralih ke Enkripsi Baru

by

Operasi ransomware Vice Society telah beralih menggunakan enkripsi ransomware khusus yang mengimplementasikan skema enkripsi hibrid yang kuat berdasarkan NTRUEncrypt dan ChaCha20-Poly1305.

Vice Society pertama kali muncul pada musim panas 2021, ketika mereka mulai mencuri data dari jaringan perusahaan dan mengenkripsi perangkat. Pelaku ancaman kemudian akan melakukan serangan pemerasan ganda, mengancam akan mempublikasikan data jika uang tebusan tidak dibayarkan.

Encyrptor “PolyVice” Baru
Strain PolyVice baru, begaimanapun, memberikan serangan Vice Society tabda tangan unik, menambahkan ekstensi “.ViceSociety” ke file yang terkunci dan menjatuhkan catatan tebusan bernama AllYFilesAE’.

Vice Society ransom note
Sumber: BleepingComputer

Analisis SentinelOne mengungkapkan bahwa PolyVice memiliki kesamaan kode yang luas dengan rensomware Chilly dan ransomware SunnyDay, engan kecocokan 100% pada fungsi

Similarity between Chilly and PolyVice (SentinelOne)

Perbedaannya terletak pada detail khusus kampanye seperti ekstensi file, nama catatan tebusan, kunci master hardcode, wallpaper, dll., yang mendukung hipotesis vendor umum.

“Ini memungkinkan pembeli untuk menyesuaikan ransomware mereka tanpa mengungkapkan kode sumber apa pun. Tidak seperti pembuat RaaS lain yang dikenal, pembeli dapat membuat muatan bermerek, memungkinkan mereka menjalankan program RaaS mereka sendiri.”

Enkripsi Hybrid
PolyVice menggunakan skema enkripsi hibrid yang menggabungkan enkripsi asimetris dengan algoritme NTRUEncrypt dan enkripsi simetris dengan algoritme ChaCha20-Poly1305.

Saat peluncuran, payload mengimpor kunci publik NTRU 192-bit yang dibuat sebelumnya dan kemudian menghasilkan pasangan kunci pribadi NTRU 112-bit acak pada sistem yang disusupi, yang unik untuk setiap korban.

Enkripsi pasangan kunci privat NTRU (SentinelOne)

PolyVice ransomware adalah biner 64-bit yang menggunakan multi-threading untuk enkripsi data simetris paralel, memanfaatkan prosesor korban secara penuh untuk mempercepat proses enkripsi.

Selain itu, setiap pekerja PolyVice membaca konten file untuk menentukan pengoptimalan kecepatan apa yang dapat diterapkan di setiap kasus. Pengoptimalan ini bergantung pada ukuran file, dengan PolyVice menerapkan enkripsi intermiten secara selektif.

  • File yang lebih kecil dari 5MB sepenuhnya dienkripsi
  • File antara 5MG dan 100MB dienkripsi sbegaian, memecahnya menjadi potongan kedua.
  • File yang lebih bedsar dari 100MB dipecah menjadi sepuluh potongan yang terdistribusi secara merata, dan 2,5MB dari setiap potongan dienkripsi

Kesimpulannya, temuan SentinelOne lebih lanjut menggarisbawahu tren outsourcing di ruang angkasa, dengan geng ransomware membayar spesialis untuk menciptakan alat yang canggih dan berkinerja tinggi.

sumber : BleepingComputer

FTC Mendenda Pembuat Fortnite Epic Games $520 Juta Atas Privasi Anak-Anak dan Biaya Toko Barang

by

Komisi Perdagangan Federal (FTC) mengumumkan pada Senin pagi bahwa mereka akan menagih Epic Games dengan penyelesaian $520 juta atas tuduhan terkait privasi anak-anak. Epic Games, yang membuat game segala usia yang populer seperti “Fortnite” dan “Fall Guys,” diduga melanggar Undang-Undang Perlindungan Privasi Daring Anak (COPPA) dengan menerapkan trik desain, yang dikenal sebagai pola gelap untuk menipu jutaan pemain agar melakukan pembelian yang tidak disengaja, menurut FTC dalam siaran pers.

Denda yang dibayarkan terbagi menjadi dua, yaitu denda COPPA $275 juta dan FTC denda Epic $245 juta untuk mengembalikan uang pelanggan atas apa yang disebutnya pola gelap dan praktik penagihan.

FTC juga mempermasalahkan Epic terkait fitur teks langsung dan komunikasi suara default mereka. Hal ini diklaim FTC bahwa anak-anak terkena pelecehan, terpapar pada intimidasi, ancaman, pelecehan, dan masalah trauma psikologis saat bermain game.

Epic menanggapi berbagai tudingan dengan menunjuk ke fitur baru yang diluncurkan awal bulan ini yang disebut Cabined Accounts. Jika seorang pemain yang mendaftar masih dibawah batas usia persetujuan digital negara mereka, maka fitur obrolan dan pembelian akan dinonaktifkan. Orang tua mereka akan diberitahu melalui email dan dapat menyesuaikan pengaturan anak mereka jika mereka mau, apabila seorang anak mendaftar.

Dalam dua tahun terakhir, Epic telah mengumpulkan modal ventura lebih dari $3 miliar, terakhir dengan valuasi $31,5 miliar. Bersama dengan Lego, yang perusahaan induknya menginvestasikan $1 miliar, Epic sedang berupaya membangun metaverse ramah anak.

Epic juga terlibat dalam gugatan dengan Apple, mereka menentang kebijakan Apple yang dapat menghapus produk dari iOS App Store jika aplikasi mengalihkan pelanggan untuk membayar di dalam aplikasi, yang memberi Apple potongan 30%.

Selengkapnya: TechCrunch+

Malware Android GodFather Menargetkan 400 Bank, Pertukaran Crypto

by

Malware perbankan Android bernama ‘Godfather’ telah menargetkan pengguna di 16 negara, mencoba mencuri kredensial akun untuk lebih dari 400 situs perbankan online dan pertukaran cryptocurrency.

Malware Godfather muncul di atas formulir masuk aplikasi perbankan dan crypto exchange ketika korban mencoba masuk ke situs, menipu pengguna untuk memasukkan kredensial mereka di halaman phishing HTML yang dibuat sebaik mungkin tanpa mencurigakan.

Analis Group-IB menemukan Trojan Godfather, yang dipercaya sebagai penerus Anubis, sebuah trojan perbankan yang kini tak lagi banyak digunakan karena ketidakmampuannya untuk melewati pertahanan Android yang lebih baru.

Menargetkan Bank di Seluruh Dunia
Group-IB telah menemukan distribusi malware yang terbatas pada aplikasi di Google Play Store, Namun belum berhasil menemukan saluran distribusi utama, sehingga metode infeksi awal sebagian besar tidak diketahui.

Sejumlah 215 aplikasi ditargetkan oleh Godfather adalah aplikasi perbankan, kemudian 110 adalah platform pertukaran cryptocurrency, dan 94 aplikasi dompet cryptocurrency.

Ikhtisar Penargetan Godfather (Group-IB)

Penulis Godfather diperkirakan berbahasa Rusia yang tinggal di wilayah CIS (Commonwealth of Independent States) karena jika trojan dikonfigurasi untuk memeriksa bahasa sistem dan diubah ke Rusia, Azerbaijan, Armenia, Belarusia, Kazakh, Kyrgyz, Moldovan, Uzbek, atau Tajik, ia menghentikan operasinya.

Godfather
Godfather meniru ‘Google Protect’ layaknya alat keamanan standar perangkat Android. Setelah memiliki hak Layanan Aksesibilitas yang disetujui korban, malware dapat mengeluarkan sendiri semua izin yang diperlukan untuk melakukan perilaku jahat.

Akses yang diperoleh adalah teks dan notifikasi SMS, perekaman layar, kontak, melakukan panggilan, menulis ke penyimpanan eksternal, membaca status perangkat, mencegah pengguna menghapus trojan, mengekstrak OTP Google Authenticator, memproses perintah, dan mencuri konten bidang PIN dan kata sandi.

Malware juga dapat menghasilkan notifikasi palsu dari aplikasi yang dipasang di perangkat korban untuk membawa korban ke halaman phishing.

Contoh overlay palsu yang menargetkan pengguna Turki (Group-IB)


Koneksi ke Anubis
Godfather kemungkinan merupakan proyek baru dari penulis Anubis atau malware baru yang dibuat oleh grup ancaman baru. Persamaannya terlihat dari metode menerima alamat C2, pemrosesan, dan implementasi perintah C2, modul pemalsuan web, modul proxy, dan modul tangkapan layar.

Secara keseluruhan, Godfather adalah trojan berbahaya yang menargetkan daftar ekstensif aplikasi dan pengguna Android dari seluruh dunia. Tetaplah unduh aplikasi hanya dari Google Play, perbarui perangkat, gunakan alat, pastikan Play Protect aktif, dan pertahankan jumlah aplikasi yang terpasang seminimal mungkin untuk melindungi diri dari ancaman.

Selengkapnya: BLEEPINGCOMPUTER

Peretas Pencuri Data Memeras Nio Jutaan Bitcoin

by

Peretas telah mencuri data pengguna dan penjualan mobil Nio Inc. dan sekarang memeras pembuat kendaraan listrik China.

Peretas mengirim email kepada Nio, meminta $2,25 juta Bitcoin sebagai imbalan karena tidak merilis data. Investigasi internal mengungkapkan bahwa sebagian dari informasi pengguna dan penjualan kendaraan Nio sebelum Agustus 2021 telah disusupi.

Peretas mencuri sekitar 40 terabyte data dari pembuat suku cadang mobil Jerman Continental AG selama serangan dunia maya pada bulan Agustus. Kemungkinan informasi penjarahan berhubungan dengan pelanggan Volkswagen AG, Mercedes-Benz AG dan BMW AG, Handelsblatt Jerman melaporkan bulan lalu.

China menunjukkan keprihatinan yang meningkat atas masalah keamanan informasi terkait dengan kendaraan cerdas, sebagai bagian dari pengawasan yang lebih luas pada ekspor data. Menurut Kementerian Perindustrian dan Teknologi Informasi China, informasi pribadi dan data penting yang dikumpulkan dan dihasilkan di China harus disimpan di dalam negeri.

Selengkapnya: Bloomberg

Tagged With: Nio, Blackmailed, Bitcoin, Data-Stealing, Hackers

Security Flaw Windows Kritis Dapat Menyaingi WannaCry

by

Kerentanan yang lebih serius daripada EternalBlue telah ada di Windows selama beberapa waktu, sebelum akhirnya ditemukan dan ditambal, ungkap para ahli.

Beritanya tidak ada orang tahu persis betapa berbahayanya itu. Pada kenyataannya, ini memungkinkan pelaku ancaman untuk menjalankan kode berbahaya tanpa memerlukan otentikasi. Lebih jauh lagi, ini dapat menyebar, memungkinkan pelaku ancaman untuk memicu reaksi berantai dari eksploitasi yang menggandakan diri pada titik akhir rentan lainnya. Dengan kata lain, malware yang menyalahgunakan cacat tersebut dapat menyebar ke seluruh perangkat seperti api.
Bagi mereka yang memiliki memori lebih pendek, EternalBlue adalah zero-day buatan NSA untuk Windows yang melahirkan WannaCry, mungkin ancaman ransomware global paling dahsyat yang pernah muncul.

Ketika Microsoft pertama kali menambalnya tiga bulan lalu, diyakini bahwa cacat tersebut hanya memungkinkan pelaku ancaman untuk mengambil beberapa informasi sensitif dari perangkat, dan dengan demikian, memberi label sebagai “penting”. Sekarang, perusahaan mengubah peringkat tersebut, melabelinya sebagai “kritis”, dengan skor keparahan 8,1.

Tidak seperti EternalBlue, yang merupakan zero-day dan meninggalkan pakar keamanan dan pembuat perangkat lunak yang berebut untuk membuat perbaikan, tambalan untuk kelemahan ini telah tersedia selama tiga bulan sekarang, jadi efeknya seharusnya agak terbatas.

Bersekongkol Dengan Rusia Untuk Meretas Sistem Taksi JFK, Dua Pria New York Ditangkap

by

Dua pria New York ditangkap karena bersekongkol dengan warga negara Rusia untuk meretas sistem pengiriman taksi di Bandara Internasional John F. Kennedy sehingga mereka dapat memanipulasi antrean dan mengenakan biaya kepada pengemudi untuk akses ke depan antrian, kata jaksa federal Selasa.

Menurut jaksa di Distrik Selatan New York, Daniel Abayev dan Peter Leyman, keduanya berusia 48 tahun, ditangkap di Queens dan didakwa dengan dua tuduhan konspirasi untuk melakukan intrusi komputer.

Keduanya diduga bekerja dengan peretas dari Rusia sejak tahun 2019 untuk menyusup ke sistem pengiriman taksi JFK dengan menyuap seseorang untuk memasang malware di komputer sistem, mencuri tablet komputer, dan menggunakan Wi-Fi untuk masuk.

Jaksa penuntut mengatakan bahwa peretas berusaha untuk mendapatkan akses ke sistem pengiriman, kemudian Abayev dan Leyman memindahkan taksi tertentu ke garis depan dan menarik biaya $10 bagi pengemudi untuk melewati antrian.

Pengemudi taksi yang ingin menjemput penumpang di JFK menunggu di tempat penampungan terlebih dahulu sebelum dikirim ke terminal tertentu sesuai urutan kedatangan mereka. Proses ini memakan waktu berjam-jam, dan waktu tunggu bisa berdampak signifikan pada berapa banyak uang yang bisa diperoleh seorang sopir taksi dalam sehari.

Jaksa memperkirakan Abayev dan Leyman dapat memanipulasi sebanyak 1.000 perjalanan taksi sehari selama skema tersebut, yang berlangsung dari sekitar November 2019 hingga November 2020.

Menurut Williams, peretasan ini membuat pengemudi taksi yang jujur tidak dapat mengambil tarif di JFK sesuai urutan kedatangan mereka. Tersangka akan dijatuhi hukuman 10 tahun penjara apabila terbukti bersalah.

Selengkapnya: CNBC

Raspberry Robin Worm Menyerang Lagi, Menargetkan Sistem Telekomunikasi dan Pemerintahan

by

Worm Raspberry Robin telah digunakan dalam serangan terhadap telekomunikasi dan sistem kantor pemerintah di seluruh Amerika Latin, Australia, dan Eropa setidaknya sejak September 2022.

Microsoft melacak Raspberry Robin terkait dengan kluster aktivitas sebagai DEV-0856 yang banyak dimanfaatkan oleh penyerang sebagai mekanisme akses awal untuk mengirimkan muatan seperti LockBit dan Clop ransomware.

Malware tersebut mengandalkan drive USB yang terinfeksi sebagai sarana untuk mengunduh file pemasang MSI jahat yang menyebarkan muatan utama, yang bertanggung jawab untuk memfasilitasi pasca-eksploitasi.

Analisis Raspberry Robbin lebih lanjut mengungkapkan bahwa penggunaan teknik obfuscation untuk mencegah analisis dengan malware terdiri dari dua muatan yang disemuatkan pada sebuah pemuat muatan yang dikemas enam kali.

Tanpa sandboxing dan analisis yang diamati, muatan yang sah akan dipasang dan terhubung ke alamat .onion yang dikodekan menggunakan klien TOR khusus yang disematkan di dalamnya untuk menunggu perintah lebih lanjut.

Klien TOR menyamar sebagai proses Windows yang sah seperti dllhost.exe, regsvr32.exe, dan rundll32.exe,. Hal ini sebagai upaya besar yang dilakukan oleh aktor ancaman untuk terbang di bawah radar.

Trend Micro menemukan persamaan dalam eskalasi hak istimewa dan teknik anti-debugging yang digunakan oleh ransomware Raspberry Robin dan LockBit, yang mengisyaratkan adanya hubungan potensial antara dua aktor kriminal tersebut.

Teori perusahaan mengatakan bahwa grup di belakang Raspberry Robin adalah pembuat beberapa alat yang juga digunakan Lockbit sebagai alternatif memanfaatkan layanan afiliasi yang bertanggung jawab atas teknik yang digunakan oleh LockBit.

Selengkapnya: The Hacker News

Malware Zerobot Sekarang Menyebar dengan Mengeksploitasi Kerentanan Apache

by

Botnet Zerobot telah ditingkatkan untuk menginfeksi perangkat baru dengan mengeksploitasi kerentanan keamanan yang memengaruhi server Apache yang terbuka dan tidak terhubung ke Internet.

Tim peneliti Pertahanan Microsoft untuk IoT juga mengamati bahwa versi terbaru ini menambahkan kemampuan penolakan layanan terdistribusi (DDoS) baru.

Pembaruan yang terlihat oleh Microsoft menambahkan eksploit yang lebih baru ke toolkit malware, memungkinkannya untuk menargetkan tujuh jenis perangkat dan perangkat lunak baru, termasuk server Apache dan Apache Spark yang belum ditambal.

Daftar lengkap modul yang ditambahkan ke Zerobot 1.1 meliputi:

  • CVE-2017-17105: Zivif PR115-204-P-RS
  • CVE-2019-10655: Grandstream
  • CVE-2020-25223: WebAdmin of Sophos SG UTM
  • CVE-2021-42013: Apache
  • CVE-2022-31137: Roxy-WI
  • CVE-2022-33891: Apache Spark
  • ZSL-2022-5717: MiniDVBLinux

Terakhir tapi tidak kalah penting, malware yang diperbarui kini hadir dengan tujuh kemampuan DDoS baru, termasuk metode serangan TCP_XMAS.

Zerobot menyebar melalui serangan brute force terhadap perangkat yang tidak aman dengan kredensial default atau lemah dan mengekploitasi kerantanan di perangkat Internet of Things (IoT) dan aplikasi web.

Setelah menginfeksi sistem, ia mengunduh skrip bernama “nol” yang memungkinkannya menyebar sendiri ke perangkat yang lebih rentan yang terpapar secara online.

Botnet mendapatkan kegigihan dari perangkat yang dikompromikan, dan digunakan untuk meluncurkan serangan DDoS melalui berbagai protokol, tetapi juga dapat memberi operatornya akses awal ke jaringan korban.

sumber : bleeping computer