Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Serangan DDoS pemerasan tumbuh lebih kuat dan lebih umum

by

Akhir tahun 2021 terjadi peningkatan jumlah insiden penolakan layanan terdistribusi yang datang dengan permintaan tebusan dari penyerang untuk menghentikan serangan tersebut.

Pada kuartal keempat tahun lalu, sekitar seperempat pelanggan Cloudflare yang menjadi target serangan DDoS mengatakan bahwa mereka menerima catatan tebusan dari pelaku.

Sebagian besar serangan ini terjadi pada Desember 2021, ketika hampir sepertiga pelanggan Cloudflare melaporkan menerima surat tebusan.

Menurut perusahaan, 2021 adalah saat sebagian besar serangan ini terjadi, dengan peningkatan 29% tahun-ke-tahun yang tercatat dan lompatan kuartal-ke-kuartal 175%.

Sekitar 200Gbps dan kemudian ditekuk menjadi lebih dari 500Gbps pada pertengahan September. Pada Februari 2021, perusahaan layanan keamanan internet Akamai melihat bagiannya dari tantangan berurusan dengan RDDoS 800Gbps yang menargetkan perusahaan perjudian di Eropa.

September lalu, seorang aktor ancaman menyebarkan RDDoS terhadap penyedia voice-over-Internet VoIP.ms, mengganggu layanan telepon karena server DNS perusahaan menjadi tidak dapat dijangkau.

Melihat alamat IP, sebagian besar insiden DDoS ini berasal dari China, AS, Brasil, dan India, yang disebarkan oleh bot seperti Meris, yang muncul tahun ini dengan serangan memecahkan rekor sebanyak 21,8 juta permintaan terhadap raksasa internet Rusia Yandex.

Tidak seperti DDoS lapisan aplikasi, yang menolak akses pengguna ke layanan, serangan DDoS lapisan jaringan menargetkan seluruh infrastruktur jaringan perusahaan yang mencoba untuk menghapus router dan server.

Salah satu serangan DDoS terbesar yang dimitigasi Cloudflare berlangsung selama 60 detik dan berasal dari botnet dengan 15.000 sistem yang melemparkan hampir 2Tbps paket sampah ke pelanggan, ini dikerahkan dari jaringan perangkat IoT yang berjalan dikompromikan oleh varian botnet Mirai.

Cloudflare mencatat bahwa banjir SYN tetap menjadi metode serangan yang populer. Protokol SNMP telah mengalami lonjakan dramatis hampir 6.000% dari satu kuartal ke kuartal lainnya, meskipun serangan DDoS berbasis UDP adalah vektor kedua yang paling banyak digunakan.

“Saat kami melihat vektor serangan yang muncul — yang membantu kami memahami vektor baru yang digunakan penyerang untuk meluncurkan serangan — kami mengamati lonjakan besar dalam serangan DDoS berbasis UDP, MSSQL, dan generik” – Cloudflare

Sumber : Bleeping Computer

Pengguna Antivirus Avira 500M Dikenalkan ke Cryptomining

by

Banyak pembaca terkejut mengetahui baru-baru ini bahwa suite antivirus Norton 360 yang populer sekarang dikirimkan dengan program yang memungkinkan pelanggan menghasilkan uang dengan menambang mata uang virtual. Tetapi Norton 360 tidak sendirian dalam upaya yang meragukan ini: Antivirus Avira – yang telah membangun basis 500 juta pengguna di seluruh dunia sebagian besar dengan membuat produk gratis – baru-baru ini dibeli oleh perusahaan yang sama yang memiliki Norton 360 dan memperkenalkan pelanggannya ke layanan yang disebut Avira Crypto.

Didirikan pada tahun 2006, Avira Operations GmbH &Co. KG adalah perusahaan perangkat lunak multinasional Jerman yang terkenal dengan Avira Free Security (alias Avira Free Antivirus). Pada Januari 2021, Avira diakuisisi oleh Tempe, NortonLifeLock Inc. yang berbasis di Ariz., perusahaan yang sama yang sekarang memiliki Norton 360.

Pada 2017, perusahaan perlindungan pencurian identitas LifeLock diakuisisi oleh Symantec Corp., yang berganti nama menjadi NortonLifeLock pada 2019. LifeLock sekarang termasuk dalam layanan Norton 360; Avira menawarkan pengguna layanan serupa yang disebut Breach Monitor.

Seperti Norton 360, Avira hadir dengan cryptominer yang sudah diinstal, tetapi pelanggan harus memilih untuk menggunakan layanan yang memberi daya padanya. FAQ Avira pada layanan cryptomining-nya agak jarang. Misalnya, itu tidak menentukan berapa banyak NortonLifeLock keluar dari kesepakatan (NortonLifeLock menyimpan 15 persen dari cryptocurrency yang ditambang oleh Norton Crypto).

“Avira Crypto memungkinkan Anda menggunakan waktu idle komputer Anda untuk menambang cryptocurrency Ethereum (ETH),” FAQ menjelaskan. “Karena cryptomining membutuhkan tingkat kekuatan pemrosesan yang tinggi, itu tidak cocok untuk pengguna dengan komputer rata-rata. Bahkan dengan perangkat keras yang kompatibel, menambang cryptocurrency sendiri bisa kurang bermanfaat. Pilihan terbaik Anda adalah bergabung dengan kolam penambangan yang berbagi kekuatan komputer mereka untuk meningkatkan peluang mereka menambang cryptocurrency. Hadiahnya kemudian didistribusikan secara merata kepada semua anggota di kolam renang.”

Tangkapan layar di atas diambil pada Virustotal.com, layanan milik Google yang memindai file yang dikirimkan terhadap puluhan produk antivirus. Laporan deteksi yang digambarkan ditemukan dengan mencari Virustotal untuk “ANvOptimusEnablementCuda,” sebuah fungsi yang termasuk dalam komponen penambangan Norton Crypto “Ncrypt.exe.”

Beberapa pelanggan Norton lama turun ke forum online NortonLifeLock untuk mengekspresikan kengerian pada prospek produk antivirus mereka menginstal perangkat lunak penambangan koin, terlepas dari apakah layanan penambangan dimatikan secara default.

“Norton harus MENDETEKSI dan membunuh pembajakan penambangan crypto, bukan menginstalnya sendiri,” bunyi utas 28 Desember di forum Norton berjudul “Benar-benar marah.”

Yang lain telah menuduh bahwa penawaran crypto akan berakhir dengan biaya pelanggan lebih banyak dalam tagihan listrik daripada yang dapat mereka harapkan dari membiarkan tambang antivirus mereka ETH. Terlebih lagi, ada biaya besar dan kuat yang terlibat dalam memindahkan ETH yang ditambang oleh Norton atau Avira Crypto ke akun yang dapat diuangkan pengguna, dan banyak pengguna tampaknya tidak mengerti bahwa mereka tidak dapat menguangkan sampai mereka setidaknya mendapatkan cukup ETH untuk menutupi biaya.

Sumber: Kresbon Security

Ransomware AvosLocker versi Linux menargetkan server VMware ESXi

by

AvosLocker adalah geng ransomware terbaru yang telah menambahkan dukungan untuk mengenkripsi sistem Linux ke varian malware terbaru, yang secara khusus menargetkan mesin virtual VMware ESXi.

Beberapa bulan yang lalu, geng AvosLocker juga terlihat mengiklankan varian ransomware terbarunya, Windows Avos2 dan AvosLinux, sambil memperingatkan afiliasi untuk tidak menyerang target pasca-soviet/CIS.

VM ESXi dihentikan sebelum enkripsi
Setelah diluncurkan pada sistem Linux, AvosLocker akan menghentikan semua mesin ESXi di server menggunakan perintah berikut:

esxcli –formatter=csv –format-param=fields==”WorldID,DisplayName” daftar proses vm | ekor -n +2 | awk -F $’,’ ‘{system(“esxcli vm process kill –type=force –world-id=” $1)}’

Setelah mulai beroperasi pada sistem yang disusupi, ransomware akan menambahkan ekstensi .avoslinux ke semua file terenkripsi.

Itu juga menjatuhkan catatan tebusan yang meminta para korban untuk tidak mematikan komputer mereka untuk menghindari korupsi file dan mengunjungi situs bawang untuk rincian lebih lanjut tentang cara membayar uang tebusan.

AvosLocker adalah geng baru yang pertama kali muncul selama musim panas 2021, menyerukan afiliasi ransomware di forum bawah tanah untuk bergabung dengan operasi Ransomware-as-a-Service (RaaS) mereka yang baru diluncurkan.

Langkah untuk menargetkan mesin virtual ESXi sejalan dengan target perusahaan mereka, yang baru-baru ini bermigrasi ke mesin virtual untuk pengelolaan perangkat yang lebih mudah dan penggunaan sumber daya yang lebih efisien.

Dengan menargetkan VM, operator ransomware juga memanfaatkan enkripsi beberapa server yang lebih mudah dan lebih cepat dengan satu perintah.

Sejak Oktober, ransomware Hive mulai mengenkripsi sistem Linux dan FreeBSD menggunakan varian malware baru, dalam beberapa bulan setelah peneliti melihat encryptor Linux REvil ransomware menargetkan VMware ESXi VM.

Emsisoft CTO Fabian Wosar mengatakan bahwa geng ransomware lain, termasuk Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide, dan Hellokitty, juga telah membuat dan menggunakan enkripsi Linux mereka sendiri.

Varian Linux ransomware HelloKitty dan BlackMatter juga ditemukan di alam liar oleh peneliti keamanan pada bulan Juli dan Agustus, yang lebih lanjut mengkonfirmasi pernyataan Wosar. Operasi ransomware Snatch dan PureLocker juga telah diamati menggunakan enkripsi Linux di masa lalu.

Sumber : Bleeping Computer

Cacat RCE-Log4J dalam Database H2 Mendapatkan Peringkat Kritis

by

Para peneliti menemukan bug yang terkait dengan kerentanan perpustakaan penebangan Log4J, yang dalam hal ini membuka pintu bagi musuh untuk mengeksekusi kode jarak jauh pada sistem yang rentan. Namun, cacat ini tidak menimbulkan risiko yang sama dengan yang diidentifikasi sebelumnya di Log4Shell, kata mereka.

Keamanan JFrog menemukan cacat dan dinilai penting dalam konteks konsol database H2 Java, database open-source yang populer, menurut posting blog Kamis oleh para peneliti.

H2 menarik bagi pengembang untuk solusi dalam memori yang ringan – yang menghalangi kebutuhan data untuk disimpan di disk – dan digunakan dalam platform web seperti Spring Boot dan platform IoT seperti ThingWorks.

Namun, cacat (CVE-2021-42392) mirip dengan Log4Shell. “[Saya] seharusnya tidak tersebar luas” karena beberapa kondisi dan faktor, peneliti JFrog Andrey Polkovnychenko dan Shachar Menashe menulis dalam posting mereka.

Log4Shell (CVE-2021-44228) diikat ke perpustakaan penebangan Apache Log4j pada awal Desember dan segera dieksploitasi oleh penyerang. Ini melahirkan 60 varian dari eksploitasi asli yang dibuat untuk cacat dalam periode 24 jam serta perbaikan yang salah yang dapat menyebabkan serangan DoS ketika pertama kali dirilis.

Bagaimana Bug H2 Mirip dengan Log4J?

Akar penyebab cacat H2 didasarkan pada pemuatan kelas jarak jauh JNDI, sehingga mirip dengan Log4Shell karena memungkinkan beberapa jalur kode dalam kerangka database H2 melewati URL yang dikendalikan penyerang tanpa filter ke fungsi javax.naming.Context.lookup. Hal ini memungkinkan untuk pemuatan basis kode jarak jauh, juga dikenal sebagai injeksi kode Java atau eksekusi kode jarak jauh, kata para peneliti.

“Secara khusus, metode org.h2.util.JdbcUtils.getConnection mengambil nama kelas driver dan URL database sebagai parameter,” mereka menjelaskan dalam posting. “Jika kelas pengemudi ditugaskan ke javax.naming.Context class, metode instantiates objek dari itu dan memanggil metode pencariannya.”

Alasan untuk Waspada, tetapi Tidak Panik

Namun, tidak seperti Log4Shell, kelemahan H2 memiliki ruang lingkup dampak “langsung”, yang berarti bahwa biasanya server yang memproses permintaan awal — yaitu, konsol H2 — akan merasakan beban langsung dari bug eksekusi kode jarak jauh (RCE), tulis para peneliti dalam sebuah posting yang diterbitkan Kamis.

“Ini kurang parah dibandingkan dengan Log4Shell karena server yang rentan harus lebih mudah ditemukan,” tulis para peneliti.

Kedua, secara default pada distribusi vanila dari database H2, konsol H2 hanya mendengarkan koneksi localhost, sehingga membuat pengaturan default aman, mereka menekankan.

“Ini tidak seperti Log4Shell yang dapat dieksploitasi dalam konfigurasi default Log4j,” tulis para peneliti. Namun, konsol H2 dapat dengan mudah dimodifikasi untuk mendengarkan koneksi jarak jauh juga, yang akan memperluas risiko, para peneliti menambahkan.

Memang, aspek eksekusi cacat ini pasti mengurangi keparahannya dibandingkan dengan masalah Log4j, catat seorang profesional keamanan.

“Log4j unik karena sejumlah string yang dimanipulasi serangan, dari header ke jalur URL, dapat mengakibatkan eksploitasi korban tergantung pada bagaimana aplikasi didirikan untuk memanfaatkan penebangan dengan Log4j,” Matthew Warner, CTO dan co-founder di deteksi ancaman otomatis dan penyedia teknologi respons Blumira, menulis dalam email ke Threatpost. “Dalam hal ini, konsol database H2 harus sengaja terkena internet dengan mengubah konfigurasi.”

Ketiga, sementara banyak vendor mungkin menjalankan database H2, mereka mungkin tidak menjalankan konsol H2 dengan itu, kata para peneliti JFrog. Ada vektor serangan lain yang dapat mengeksploitasi cacat H2; Namun, mereka “tergantung konteks dan kecil kemungkinannya terkena penyerang jarak jauh,” para peneliti mengamati.

Siapa yang berisiko?

Jika cacat H2 tidak layak mendapatkan alarm yang sama dengan Log4Shell, mengapa perlu dicatat, orang mungkin bertanya. Tim JFrog mengatakan bahwa itu bisa sangat penting dan memungkinkan RCE yang tidak diautistik bagi mereka yang menjalankan konsol H2 yang terkena jaringan area lokal (LAN) atau, bahkan lebih buruk lagi, jaringan area luas (WAN). Memang, menyerang konsol H2 secara langsung adalah vektor serangan yang paling parah, kata para peneliti.

Warner Blumira mengatakan bahwa menurut open-source intelligence (OSINT), kemungkinan ada kurang dari 100 server di internet yang terkena dampak cacat H2, “jadi hanya sejumlah organisasi yang sangat terbatas” yang terkena dampak langsung, katanya.

“Kerentanan ini adalah pengingat yang baik bahwa penting untuk memastikan bahwa layanan sensitif hanya terpapar secara internal untuk mengurangi potensi risiko di masa depan,” tambah Warner.

Namun, peneliti JFrog mengatakan bahwa banyak alat pengembang bergantung pada database H2 dan secara khusus mengekspos konsol H2. Hal ini mengkhawatirkan karena “tren serangan rantai pasokan baru-baru ini yang menargetkan pengembang, seperti paket berbahaya di repositori populer.”

Serangan-serangan ini menekankan “pentingnya alat pengembang yang dibuat aman untuk semua kasus penggunaan yang wajar,” tulis para peneliti, itulah sebabnya mereka berharap banyak alat yang bergantung pada H2 akan lebih aman setelah menerapkan perbaikan yang direkomendasikan.

Pada saat itu, tim JFrog merekomendasikan agar semua pengguna database H2 untuk meng-upgrade ke versi 2.0.206, yang memperbaiki CVE-2021-42392 dengan membatasi URL JNDI untuk menggunakan protokol java lokal saja, menolak kueri LDAP / RMI jarak jauh, para peneliti menjelaskan.

“Ini mirip dengan perbaikan yang diterapkan di Log4j 2.17.0,” tulis mereka.

Bahkan mereka yang tidak secara langsung menggunakan konsol H2 harus memperbarui “karena fakta bahwa vektor serangan lain ada, dan eksploitasi mereka mungkin sulit untuk dipastikan,” tambah para peneliti.

Sumber: Threat Post

Ups: Cyberspies menginfeksi diri mereka sendiri dengan malware mereka sendiri

by

Setelah menginfeksi diri mereka sendiri dengan trojan akses jarak jauh (RAT), sebuah kelompok spionase dunia maya yang terkait dengan India secara tidak sengaja memaparkan operasinya kepada peneliti keamanan.

Pelaku ancaman telah aktif setidaknya sejak Desember 2015 dan dilacak sebagai PatchWork (alias Dropping Elephant, Chinastrats, atau Quilted Tiger) karena penggunaan kode copy-paste.

Malwarebytes Labs mengamati pelaku ancaman menggunakan dokumen RTF berbahaya yang meniru otoritas Pakistan untuk menginfeksi target dengan varian baru RAT BERITA BURUK, yang dikenal sebagai Ragnatela.

Ragnatela RAT memungkinkan pelaku ancaman untuk mengeksekusi perintah, mengambil snapshot layar, mencatat penekanan tombol, memanen file sensitif dan daftar aplikasi yang sedang berjalan, menyebarkan muatan tambahan, dan mengunggah file.

“Ironisnya, semua informasi yang kami kumpulkan dimungkinkan berkat aktor ancaman yang menginfeksi diri mereka sendiri dengan RAT mereka sendiri, menghasilkan penekanan tombol dan tangkapan layar yang ditangkap dari komputer dan mesin virtual mereka sendiri,” jelas Tim Intelijen Ancaman Malwarebytes Labs.

Setelah menemukan bahwa operator PatchWork menginfeksi sistem pengembangan mereka sendiri dengan RAT, para peneliti dapat memantau mereka saat menggunakan VirtualBox dan VMware untuk pengujian dan pengembangan web dan pengujian pada komputer dengan tata letak keyboard ganda (yaitu, Inggris dan India).

PatchWork menguji RAT Ragnatela (Malwarebytes LABS)

Saat mengamati operasi mereka, mereka juga memperoleh info tentang target yang dikompromikan kelompok, termasuk Kementerian Pertahanan Pakistan dan anggota fakultas dari kedokteran molekuler dan departemen ilmu biologi di beberapa universitas seperti Universitas Pertahanan Nasional Islam Abad, Fakultas Bio-Universitas UVAS. Sains, institut Penelitian HEJ Karachi, dan Universitas SHU.

Operator PatchWork sebelumnya telah menargetkan think tank AS pada Maret 2018 dalam beberapa kampanye spear-phishing menggunakan taktik yang sama dengan mendorong file RTF berbahaya untuk membahayakan sistem korban mereka dan varian malware QuasarRAT.

Dua bulan sebelumnya, pada Januari 2018, mereka diamati mendorong dokumen bersenjata yang mengirimkan malware BADNEWS dalam serangan terhadap target dari anak benua India.

Mereka juga berada di balik kampanye spear-phishing yang menargetkan karyawan organisasi pemerintah Eropa pada akhir Mei 2016.

Sumber : Bleeping Computer

Polisi China menjebak Walmart karena celah keamanan siber – media lokal

by

Polisi di kota Shenzhen, China selatan, menemukan 19 “kerentanan” dalam sistem jaringan Walmart (WMT.N) pada akhir November dan menuduhnya lambat untuk memperbaiki celah, China Quality News, yang didukung oleh regulator pasar negara itu, melaporkan pada Rabu.

Walmart diperintahkan untuk melakukan perbaikan, kata laporan itu, tanpa menyebutkan denda atau rincian kerentanan.

Ini menandai serangkaian masalah baru di China untuk Walmart, yang pada bulan lalu telah menghadapi kritik atas apa yang dikatakan media lokal sebagai penghapusan yang disengaja atas produk-produk yang bersumber dari Xinjiang dari aplikasi dan tokonya.

Xinjiang adalah titik konflik yang berkembang antara pemerintah Barat dan China, karena para ahli dan kelompok hak asasi PBB memperkirakan lebih dari satu juta orang, terutama Uyghur dan anggota minoritas Muslim lainnya, telah ditahan di kamp-kamp di sana.

China telah menolak tuduhan kerja paksa atau pelanggaran lainnya di wilayah barat jauh.

Walmart telah melihat gelombang pembatalan keanggotaan di lengannya Sam’s Club di China sejak masalah Xinjiang. Badan anti-korupsi China juga menuduh pengecer dan Klub Sam “kebodohan dan kepicikan”.

Reuters melaporkan bahwa seorang eksekutif Sam’s Club mengatakan kepada analis melalui telepon bahwa masalah tersebut adalah “kesalahpahaman” dan bahwa tidak ada penghapusan produk-produk yang berasal dari Xinjiang secara sengaja.

Pada bulan Desember, Klub Sam didenda 10.000 yuan ($ 1.568) di Shanghai oleh regulator pasar kota karena melanggar undang-undang keamanan pangan setelah mereka menemukan bahwa produk sayuran beku tidak memiliki tanggal produksi atau kadaluwarsa, menurut laporan media lokal yang terpisah.

Sumber : Reuters

Tentara Swiss Melarang Semua Aplikasi Obrolan Kecuali Threema yang Dikembangkan Secara Lokal

by

Tentara Swiss telah melarang aplikasi pesan instan asing seperti Signal, Telegram, dan WhatsApp dan mengharuskan anggota militer untuk menggunakan aplikasi perpesanan Threema yang dikembangkan secara lokal sebagai gantinya.

Karena Threema adalah layanan komunikasi berlangganan berbayar, tentara Swiss berjanji untuk menutupi biaya berlangganan tahunan untuk semua tentara, yang kira-kira $ 4,40 per pengguna.

Tentara Swiss juga telah memposting rekomendasi di Facebook, mencirikan Threema sebagai alat komunikasi bebas iklan yang aman yang menampilkan enkripsi end-to-end dan tidak meninggalkan jejak digital.

Meskipun pasukan diharapkan untuk mengikuti instruksi resmi, tidak ada hukuman saat ini jika anggota tentara menggunakan aplikasi IM asing.

Mengapa beralih ke Threema?

Sementara banyak aplikasi perpesanan menjanjikan enkripsi end-to-end dan komunikasi pribadi dan aman, banyak yang menyimpan beberapa metadata pada pengguna yang dapat dipanggil oleh penegak hukum.

Dokumen FBI yang diperoleh Oleh Property of the People melalui permintaan FOIA mencantumkan berbagai data yang dapat diperoleh melalui cara hukum dari iMessage, Line, Signal, Telegram, Threema, Viber, WeChat, WhatsApp, dan Wickr.

Data bervariasi di setiap aplikasi, dengan beberapa hanya berbagi tanggal pendaftaran, sementara yang lain dapat memberikan alamat IP, alamat email, nomor telepon, konten pesan parsial, dan banyak lagi.

Juga, sementara beberapa aplikasi perpesanan adalah open source, bagian dari kode server mereka tetap buram, jadi tidak ada gambaran yang jelas tentang apa yang sebenarnya dicatat oleh semua platform.

Salah satu perbedaan utama adalah bahwa Threema tidak mengharuskan pengguna untuk memberikan nomor telepon atau alamat email pada saat pendaftaran, sehingga identitas pengguna tidak dapat ditentukan melalui data yang tersedia untuk umum.

Para pejabat Swiss menggarisbawahi perbedaan yang paling penting adalah bahwa Threema tidak tunduk pada Undang-Undang Cloud AS, yang disahkan pada 2018 “tersembunyi” di dalam tagihan pengeluaran anggaran.

Undang-undang kontroversial tersebut mengangkat kebutuhan untuk mengamankan surat perintah penggeledahan ketika agen negara BAGIAN AS perlu mengakses dan meneliti data online seseorang.

Namun, ini tidak berarti bahwa kepercayaan antara kedua negara telah terguncang, atau bahwa hubungan mereka memasuki turbulensi tiba-tiba.

Seperti martin Steiger, seorang pengacara Swiss yang mengkhususkan diri dalam hukum digital mengatakan kepada Bleeping Computer selama diskusi pribadi, langkah ini kemungkinan besar merupakan hasil dari entitas Swiss melobi lebih agresif.

“Salah satu alasan (untuk promosi Threema) bisa jadi perusahaan Swiss menjadi lebih baik dalam melobi produk mereka, sebagian didukung oleh gerakan kedaulatan data,” kata Steiger kepada BleepingComputer.

“Swiss telah menjadi sekutu dekat AS selama beberapa dekade, dan pihak berwenangnya, terutama dinas intelijen, diketahui memiliki hubungan dekat dengan rekan-rekan Amerika mereka.”

Menjadi pengguna Threema sendiri, Steiger menambahkan, adalah langkah tentara Swiss ke arah yang benar tetapi masi terbatas.

Solusi terdesentralisasi

Jika Anda mencari aplikasi pesan instan yang sepenuhnya (klien dan server) open-source, anonim, fitur enkripsi end-to-end yang kuat, dan terdesentralisasi, Anda bisa cek Session, Matrix, atau Briar.

Namun, beberapa layanan ini membutuhkan lebih banyak keahlian teknis untuk diatur dengan benar dan tidak banyak digunakan seperti aplikasi lainnya.

Orang cenderung menggunakan aplikasi komunikasi mereka berdasarkan fitur, kegunaan, dan bahkan kompatibilitas mereka.

Namun, aspek keamanan dan privasi, yang sering diabaikan, adalah faktor yang paling penting untuk dipertimbangkan ketika menggunakan aplikasi perpesanan.

Sumber: Bleepingcomputer

Night Sky adalah Ransomware Terbaru yang Menargetkan Jaringan Perusahaan

by

Ini adalah tahun baru, dan dengan itu datang ransomware baru untuk mengawasi disebut ‘Night Sky’ yang menargetkan jaringan perusahaan dan mencuri data dalam serangan pemerasan ganda.

Menurut MalwareHunterteam, yang pertama kali melihat ransomware baru, operasi Night Sky dimulai pada 27 Desember dan sejak itu menerbitkan data dua korban.

Salah satu korban telah menerima permintaan tebusan awal sebesar $ 800.000 untuk mendapatkan decryptor dan untuk data yang dicuri yang tidak dipublikasikan.

Bagaimana Night Sky mengenkripsi perangkat

Sampel ransomware Night Sky yang dilihat oleh BleepingComputer disesuaikan untuk berisi catatan tebusan yang dipersonalisasi dan kredensial login hardcoded untuk mengakses halaman negosiasi korban.

Ketika diluncurkan, ransomware akan mengenkripsi semua file kecuali yang diakhiri dengan ekstensi file .dll atau .exe. Ransomware juga tidak akan mengenkripsi file atau folder dalam daftar di bawah ini:

  • AppData
  • Boot
  • Windows
  • Windows.old
  • Tor Browser
  • Internet Explorer
  • Google
  • Opera
  • Opera Software
  • Mozilla
  • Mozilla Firefox
  • $Recycle.Bin
  • ProgramData
  • All Users
  • autorun.inf
  • boot.ini
  • bootfont.bin
  • bootsect.bak
  • bootmgr
  • bootmgr.efi
  • bootmgfw.efi
  • desktop.ini
  • iconcache.db
  • ntldr
  • ntuser.dat
  • ntuser.dat.log
  • ntuser.ini
  • thumbs.db
  • Program Files
  • Program Files (x86)
  • #recycle

Saat mengenkripsi file, Night Sky akan menambahkan ekstensi .nightsky ke nama file terenkripsi, seperti yang ditunjukkan pada gambar di bawah ini.

Di setiap folder, catatan tebusan bernama NightSkyReadMe.hta berisi informasi yang terkait dengan apa yang dicuri, email kontak, dan kredensial berkode keras di halaman negosiasi korban.

Alih-alih menggunakan situs Tor untuk berkomunikasi dengan korban, Night Sky menggunakan alamat email dan situs web yang jelas yang menjalankan Rocket.Chat. Kredensial digunakan untuk masuk ke URL Rocket.Chat yang disediakan dalam catatan tebusan.

Taktik pemerasan ganda

Taktik umum yang digunakan oleh operasi ransomware adalah mencuri data yang tidak terenkripsi dari korban sebelum mengenkripsi perangkat di jaringan.

Para pelaku ancaman kemudian menggunakan data curian ini dalam strategi “pemerasan ganda”, di mana mereka mengancam akan membocorkan data jika uang tebusan tidak dibayar.

Untuk membocorkan data korban, Night Sky telah membuat situs kebocoran data Tor yang saat ini mencakup dua korban, satu dari Bangladesh dan satu lagi dari Jepang.

Meskipun belum ada banyak aktivitas dengan operasi ransomware Night Sky yang baru, itu adalah salah satu yang perlu kita awasi saat kita menuju tahun baru.

Sumber: Bleepingcomputer