Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Ransomware: Bagaimana Penyerang Melanggar Jaringan Perusahaan

by

Symantec, sebuah divisi dari Broadcom Software, melacak berbagai ancaman ransomware; namun, tiga kelompok ransomware berikut diamati di sebagian besar serangan baru-baru ini yaitu: Hive, Conti, dan Avoslocker.

Mirip dengan banyak keluarga ransomware lainnya, Hive, Conti, dan Avoslocker mengikuti model bisnis ransomware-as-a-service (RaaS). Dalam model RaaS, operator ransomware mempekerjakan afiliasi yang bertanggung jawab meluncurkan serangan ransomware atas nama mereka. Dalam kebanyakan kasus, afiliasi tetap berpegang pada buku pedoman yang berisi langkah-langkah serangan terperinci yang ditetapkan oleh operator ransomware.

Afiliasi untuk operator ransomware Hive, Conti, dan Avoslocker menggunakan berbagai teknik untuk mendapatkan pijakan awal di jaringan korban. Beberapa teknik tersebut antara lain: spear phishing, kredensial RDP yang lemah, dan eksploitasi kelemahan.

Setelah mendapatkan akses awal, Symantec telah mengamati afiliasi untuk ketiga keluarga ransomware menggunakan perangkat lunak pihak ketiga seperti AnyDesk dan ConnectWise Control (sebelumnya dikenal sebagai ScreenConnect) untuk mempertahankan akses ke jaringan korban.

Selama fase penemuan, pelaku ransomware mencoba menyapu jaringan korban untuk mengidentifikasi target potensial.

Mimikatz adalah alat masuk untuk sebagian besar grup ransomware dan Hive, Conti, dan Avoslocker tidak terkecuali. Peneliti telah mengamati mereka menggunakan versi PowerShell dari Mimikatz serta versi PE dari alat tersebut. Ada juga contoh di mana aktor ancaman secara langsung memuat versi PowerShell dari Mimikatz dari repositori GitHub.

Penyerang menggunakan alat seperti PsExec, WMI, dan BITSAdmin untuk menyebarkan dan mengeksekusi ransomware secara lateral di jaringan korban. Kami juga telah mengamati penyerang menggunakan beberapa teknik lain untuk bergerak secara lateral melintasi jaringan.

Untuk menghindar deteksi keamanan campur tangan dengan layanan keamanan menggunakan perintah net, taskkill, dan sc untuk menonaktifkan atau menghentikannya.

Musuh cenderung menonaktifkan atau mengutak-atik pengaturan sistem operasi untuk mempersulit administrator memulihkan data. Menghapus salinan bayangan adalah taktik umum yang dilakukan aktor ancaman sebelum memulai proses enkripsi. Mereka melakukan tugas ini dengan menggunakan alat seperti Vssadmin atau WMIC

Penyerang biasanya mengekstrak data penting dari lingkungan korban sebelum mengenkripsinya.

TTP yang diuraikan dalam blog ini adalah cuplikan lanskap ancaman ransomware saat ini. TTP yang digunakan oleh pelaku ancaman ini terus berkembang, dengan kelompok yang terus-menerus mengubah metode mereka dalam upaya untuk mengungguli pertahanan keamanan target mereka. Dengan demikian, organisasi perlu waspada dan menggunakan pendekatan keamanan berlapis-lapis.

Selengkapnya: Symantec

Anonim meretas Bank Komersial PSCB Rusia dan perusahaan di sektor energi

by

Dilansir dari unggahan akun twitter @YourAnonTV pada 26 April 2022, Grup tertaut Anonymous ‘NB 65’ (@xxNB65) meretas 229.000 email dan 630.000 file dari Petersburg Social Commercial Bank (JSC Bank “PSCB”), salah satu dari 100 bank Rusia teratas dalam hal aset bersih. Dokumen hasil peretasan terebut kemudian diunggah dan tersedia di situs DDoSecrets.

“JSC Bank PSCB, Anda sekarang dikendalikan oleh Network Battalion 65. Kami sangat bersyukur bahwa Anda menyimpan begitu banyak kredensial di Chrome. Sudah selesai dilakukan dengan baik. Jelas bahwa respon insiden telah dimulai. Semoga berhasil mendapatkan data Anda kembali tanpa kami. Beritahu pemerintah Anda untuk meninggalkan Ukraina” tulis kelompok Network Battalion 65 atau NB 65. dalam unggahan asli di halaman twitter mereka pada 18 April 2022.

Kemudian, kelompok NB 65 membuat utas terkait aktivitas mereka di dalam jaringan bank yang terkompromi dengan nada seolah-olah mempermainkan.

Selain peretasan pada bank PSCB, pada 27 April 2022, kelompok Anonymous mengklaim bahwa mereka telah meretas 1,23 juta email (1.7TB data) dari Elektrocentromontazh (ECM), organisasi kekuatan utama Rusia. ECM merancang, membangun, memasang, dan memelihara peralatan listrik di fasilitas pembangkit listrik dan transmisi.

Mereka juga memberikan informasi klien domestik ECM terdiri dari pembangkit listrik tenaga nuklir Novovoronezh, Kursk dan Smolensk, Russian Railways JSC, perusahaan negara Direktorat Tenaga Moskow, departemen Energi Pemerintah Moskow, cabang JSC jaringan listrik Moskow bersatu, dan Baltic Oil Pipelines LLC.

Selengkapnya: Security Affairs

Google Documents memperluas peringatan tentang file dan tautan yang cerdik

by

Alat kolaborasi kantor Google, Dokumen, Spreadsheet, Slide, dan Gambar sekarang akan menampilkan spanduk peringatan saat Anda membuka file yang berpotensi berbahaya dari web, raksasa pencarian telah mengumumkan.

Spanduk ini sudah muncul saat file cerdik diakses dari dalam Drive, serta dari tautan mencurigakan dalam file Dokumen, Spreadsheet, Slide, dan Gambar yang terpisah. Peluncuran yang lebih luas akan membantu melindungi pengguna dalam situasi yang lebih luas.

Yang membingungkan, postingan pengumuman Google pada 20 Januari mengatakan bahwa spanduk sudah muncul saat membuka tautan Google Documents, Spreadsheet, Slide, dan Gambar. Namun, perusahaan memberi tahu kami bahwa ini salah ketik, dan seharusnya spanduk tersebut muncul di file “tautan dari Google Documents, Spreadsheet, Slide, dan Gambar”.

Spanduk peringatan tampaknya merupakan upaya untuk memerangi penipuan yang menggunakan perangkat lunak produktivitas kantor Google untuk menciptakan lapisan keaslian di sekitar tautan cerdik dan upaya phishing.

Pada tahun 2020, Wired melaporkan gelombang penipuan yang menggunakan berbagai fitur berbagi dan kolaborasi Google untuk mendapatkan file berbahaya mereka di depan pengguna yang tidak menaruh curiga.

Mengklik tautan di salah satu dokumen ini mengarahkan pengguna ke situs yang dipenuhi dengan iklan cerdik, atau situs phishing biasa yang meminta mereka memasukkan detail bank atau akun lainnya.

Pengumuman Google mengatakan bahwa spanduk peringatan baru akan diluncurkan selama beberapa minggu ke depan untuk semua akun, bisnis dan pribadi.

Selengkapnya: The Verge

Microsoft menambahkan VPN built-in gratis ke browser Edge-nya

by

Microsoft menambahkan layanan jaringan pribadi virtual (VPN) built-in gratis ke browser Edge-nya dalam upaya untuk meningkatkan keamanan dan privasi, sebuah halaman dukungan Microsoft mengungkapkan.

Disebut “Edge Secure Network,” Microsoft saat ini sedang menguji layanan VPN yang didukung Cloudflare dan mengatakan akan meluncurkannya ke publik sebagai bagian dari peningkatan keamanan.

Saat diaktifkan, Edge Secure Network harus mengenkripsi lalu lintas web pengguna sehingga penyedia layanan internet tidak dapat mengumpulkan informasi penelusuran yang Anda lebih suka merahasiakannya, seperti, katakanlah, penelusuran terkait kesehatan atau sekadar pertanyaan aneh.

Fitur baru ini juga memungkinkan pengguna menyembunyikan lokasi mereka dengan memungkinkan mereka menjelajahi web menggunakan alamat IP virtual. Itu juga berarti pengguna dapat mengakses konten yang diblokir di negara mereka seperti, misalnya, acara Netflix atau Hulu.

inilah tangkapan untuk layanan gratis ini. Penggunaan data dibatasi hingga 1GB per bulan, dan pengguna harus masuk ke akun Microsoft sehingga perusahaan dapat melacak penggunaan mereka secara ironis.

Microsoft menambahkan bahwa sementara Cloudflare akan mengumpulkan dukungan dan informasi diagnostik dari layanan, perusahaan akan secara permanen menghapus data itu setiap 25 jam.

Sementara fitur ini masih dalam pengembangan dan belum tersedia untuk pengujian awal, Microsoft merinci bagaimana pengguna dapat mencoba pratinjau.

Selengkapnya: The Verge

Ukraina ditargetkan oleh serangan DDoS dari situs WordPress yang disusupi

by

Tim tanggap darurat komputer Ukraina (CERT-UA) telah menerbitkan peringatan pengumuman serangan DDoS (distributed denial of service) yang sedang berlangsung yang menargetkan situs pro-Ukraina dan portal web pemerintah.

Pelaku ancaman, yang saat ini masih belum diketahui, mengkompromikan situs WordPress dan menyuntikkan kode JavaScript berbahaya untuk melakukan serangan.

Skrip ini ditempatkan dalam struktur HTML dari file utama situs web dan dikodekan base64 untuk menghindari deteksi.

Kode berjalan di komputer pengunjung situs web dan mengarahkan sumber daya komputasi yang tersedia untuk menghasilkan jumlah permintaan yang tidak normal untuk menyerang objek (URL) yang ditentukan dalam kode.

Hasilnya adalah beberapa situs web target kewalahan oleh permintaan dan, akibatnya, tidak dapat diakses oleh pengunjung reguler mereka.

Ini semua terjadi tanpa pemilik atau pengunjung situs yang disusupi pernah menyadarinya, kecuali mungkin beberapa cegukan kinerja yang hampir tidak terlihat untuk yang terakhir.

Entitas dan situs di atas telah mengambil sikap yang kuat untuk mendukung Ukraina dalam konflik militer yang sedang berlangsung dengan Rusia, sehingga mereka tidak dipilih secara acak. Namun, tidak banyak yang diketahui tentang asal-usul serangan ini.

Pada bulan Maret, kampanye DDoS serupa dilakukan menggunakan skrip yang sama tetapi terhadap situs web pro-Ukraina yang lebih kecil, serta terhadap target Rusia.

Selengkapnya: Bleeping Computer

India akan mewajibkan pelaporan insiden keamanan siber dalam waktu enam jam

by

Pemerintah India telah mengeluarkan arahan baru yang mengharuskan organisasi untuk melaporkan insiden keamanan siber ke CERT-IN dalam waktu enam jam, bahkan jika insiden tersebut adalah pemindaian port atau kerentanan sistem komputer.

Persyaratan ini dipromosikan oleh Tim Tanggap Darurat Komputer India (CERT-In), yang menyatakan telah mengidentifikasi celah tertentu yang menyebabkan kesulitan dalam analisis dan respons insiden keamanan, dan untuk mengatasinya, perlu menerapkan tindakan yang lebih agresif.

Langkah-langkah ini dan berbagai ketentuan lainnya diterbitkan melalui pemberitahuan kemarin dan diintegrasikan ke dalam bagian 70B Undang-Undang Teknologi Informasi (TI), 2000, sehingga merupakan bagian dari hukum India, yang mulai berlaku dalam 60 hari.

Persyaratan baru yang paling menonjol adalah bahwa setiap penyedia layanan internet, perantara, pusat data, atau organisasi pemerintah, harus melaporkan insiden ini ke CERT-In dalam waktu enam jam setelah mengetahuinya.

Hal yang sama berlaku untuk insiden yang dilaporkan ke entitas ini oleh pihak ketiga, jadi penyedia layanan ini harus memastikan bahwa tip yang masuk tidak hilang atau diabaikan tetapi diproses dan dievaluasi tepat waktu.

Untuk koordinasi yang tepat, semua entitas yang disebutkan di atas akan diminta untuk terhubung ke server NTP dari Pusat Informatika Nasional (NIC) atau Laboratorium Fisika Nasional (NPL) dan menyinkronkan jam sistem mereka dengan mereka.

Terakhir, semua log sistem dari penyedia layanan yang disebutkan di atas harus disimpan dengan aman di dalam yurisdiksi India untuk periode bergulir 180 hari dan harus diberikan kepada CERT-In bersama dengan laporan insiden keamanan atau saat diminta oleh agensi.

Selengkapnya: Bleeping Computer

Serangan Siber Menghantam Situs Web Pemerintah Rumania

by

Pemerintah Rumania mengumumkan serangkaian serangan siber di situs web lembaga publik utama, termasuk pemerintah dan Kementerian Pertahanan, pada hari Jumat.

“Pagi ini, mengakses situs gov.ro, mapn.ro dan politiadefrontiera.ro [Polisi Perbatasan], cfrcalatori.ro [National RailRoads] dan situs lembaga keuangan dipengaruhi oleh serangkaian serangan cyber DDOS,” kata siaran pers.

Pemerintah mengatakan spesialis TI bekerja dengan para ahli dari lembaga khusus untuk memulihkan akses dan mengidentifikasi penyebabnya.

Kementerian Pertahanan mengkonfirmasi serangan siber, bersikeras bahwa serangan itu tidak membahayakan fungsi situs web, hanya memblokir akses pengguna ke sana.

Situs web Kementerian Pertahanan tidak berisi database sensitif atau rahasia, dan serangan itu tidak memengaruhi layanan dan jaringan komputer kementerian lainnya.

Menteri Pertahanan, Vasile Dincu, menyatakan bahwa serangan siber adalah “serangan simbolis”, tidak mempengaruhi database atau sistem komando dan kontrol.

“Serangan seperti itu ada di situs pemerintah bahkan tanpa perang yang berkelanjutan. Divisi keamanan siber kami sudah siap. Episode seperti ini juga dari amatir. Beberapa diatur secara kelembagaan,” kata Dincu.

Selengkapnya: Balkan Insight

Geng KelvinSecurity telah mengumumkan “PT Pertamina Gas” dalam daftar korban.

by

Dilansir dari akun twitter Dark Tracer (@darktracer_int) pada Sabtu 22 April 2022, PT Pertamina Gas telah dimasukkan geng KelvinSecurity ke dalam daftar korban.

Namun, pada unggahan tersebut tidak ada penjelasan lebih lanjut seperti kronologi, waktu dan tempat, ataupun sampel data terkait insiden tersebut.

Demikian pula dari pihak PT Pertamina Gas juga belum memberikan tanggapan sama sekali terkait insiden ini.

Menurut peneliti dari InfoArmor, KelvinSecTeam adalah kemungkinan organisasi peretasan Rusia dengan kehadiran kuat di forum Deep dan Dark Web yang populer di kalangan peretas dan penjahat dunia maya, dengan kemungkinan anggota tim di Amerika Tengah dan Selatan — dan mereka terus berkembang.

Saat ini peneliti dari InfoArmor menilai bahwa tujuan KelvinSecTeam adalah untuk menunjukkan kredibilitas peretasan mereka dan mengganggu demi gangguan, dengan sebagian besar pos berfokus pada informasi yang memalukan tentang atau tentang urusan pemerintah, militer, politik, dan bisnis AS—meningkatkan upayanya terhadap negara-negara Amerika tengah dan selatan .

Beberapa pengungkapan publik mereka berpotensi membahayakan warga AS. Atau paling tidak, informasi yang mereka paparkan berisiko memperburuk ketegangan politik dan sosial hanya untuk duduk diam dan menyaksikan kekacauan yang terjadi.

Selengkapnya: Dark Tracer InfoArmor