Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Decryptor gratis dirilis untuk korban HermeticRansom di Ukraina

by

Avast telah merilis decryptor untuk jenis ransomware HermeticRansom yang digunakan dalam serangan yang ditargetkan terhadap sistem Ukraina selama sepuluh hari terakhir.

Decryptor ditawarkan sebagai alat unduh gratis dari situs web Avast dan dapat membantu orang Ukraina memulihkan data mereka dengan cepat dan andal.

Tanda-tanda pertama distribusi HermeticRansom diamati oleh para peneliti ESET pada 23 Februari, hanya beberapa jam sebelum invasi pasukan Rusia terjadi di Ukraina.

Jenis ransomware dikirimkan bersama dengan worm komputer bernama HermeticWizard dan lebih berfungsi sebagai umpan dalam serangan penghapus daripada alat untuk mendukung pemerasan finansial. Namun, infeksinya telah mengganggu sistem vital Ukraina.

Crowdstrike dengan cepat menemukan kelemahan dalam skema kriptografi dari strain yang ditulis GO dan menawarkan skrip untuk mendekripsi file yang dienkripsi oleh HermeticRansom (alias PartyTicket).

HermeticRansom berisi banyak nama string berorientasi politik dalam biner ransomware, catatan tebusan, dan email kontak (vote2024forjb@protonmail.com dan stephanie.jones2024@protonmail.com).

HermeticRansom tidak pernah dimaksudkan untuk berfungsi sebagai jenis ransomware modern yang akan menjadi dasar bagi pemerasan ganda, yang menimbulkan kerusakan finansial dan reputasi.

Di atas tidak berarti bahwa infeksi HermeticRansom tidak berdampak pada mesin yang ditargetkan.

Sebaliknya, jenis ini masih dapat mengenkripsi file berharga di luar File Program dan folder Windows, menggunakan kunci RSA-2048.

Catatan tebusan yang dilihat oleh para korban memiliki bentuk dan isi yang khas, meminta mereka untuk menghubungi alamat ProtonMail untuk mendapatkan decryptor.

Catatan tebusan HermeticRansom/PartyTicket

Meskipun skrip Crowdstrike dapat diandalkan, tidak mudah bagi semua orang untuk menggunakannya dalam situasi ini. Untuk mempermudahnya, Avast telah merilis GUI decryptor yang memudahkan untuk mendekripsi file yang dienkripsi oleh HermeticRansom.

Selain itu, alat ini menawarkan opsi untuk mencadangkan file yang dienkripsi untuk menghindari berakhirnya file yang rusak secara permanen jika terjadi kesalahan dengan proses enkripsi.

Dekripsi grafis Avast

Sumber : Bleeping Computer

Rusia meminta Google untuk mengakhiri “informasi yang salah” pada “operasi khusus” di Ukraina

by

Roskomnadzor, pengawas telekomunikasi Rusia, meminta Google untuk menghentikan kampanye iklan yang menyebarkan informasi yang salah tentang invasi Rusia ke Ukraina di video YouTube.

Seperti yang diklaim oleh pengawas telekomunikasi Rusia, iklan online dengan konten yang tidak akurat dan tanpa label usia digunakan untuk menanamkan “suasana protes” dan mendorong info palsu tentang “operasi khusus” Angkatan Darat Rusia di Ukraina.

“Roskomnadzor mengirim surat ke Google LLC (bertanggung jawab atas aktivitas periklanan Google di Rusia) dengan permintaan untuk segera menghentikan penyebaran informasi palsu yang bersifat politik tentang operasi khusus Angkatan Bersenjata Rusia di Ukraina di wilayah Rusia,” internet pengawas menjelaskan.

“Pesan iklan tersebut ditampilkan kepada pengguna Rusia dari situs hosting video YouTube dan berisi informasi yang salah yang bertujuan untuk membentuk persepsi yang menyimpang dari peristiwa yang terjadi dan menciptakan sentimen protes di antara penonton Internet Rusia.”

Roskomnadzor juga memberi tahu media independen Rusia pada 26 Februari (misalnya, Ekho Moskvy, InoSMI, Mediazona, New Times, Dozhd, Svobodnaya Pressa, Krym. Realii, Novaya Gazeta, Jurnalis, dan Lenizdatnot) untuk tidak menyebarkan informasi palsu tentang penembakan kota-kota Ukraina, serta menyebut “operasi yang sedang berlangsung” sebagai serangan, invasi, atau deklarasi perang.

Rusia ingin memperkenalkan undang-undang baru yang akan menghukum penyebaran berita palsu tentang operasi militer angkatan bersenjata Rusia di Ukraina dengan hukuman hingga 15 tahun penjara.

Namun, Google telah mengambil tindakan untuk menghentikan misinformasi, menghapus kampanye disinformasi terkait invasi Rusia, dan memblokir saluran YouTube milik Russia Today (RT) dan Sputnik di seluruh Eropa atas permintaan otoritas Uni Eropa.

Roskomnadzor memprotes keputusan YouTube, menuntut penghapusan segera semua pembatasan akses ke akun resmi media Rusia (termasuk RT dan Sputnik) di Eropa.

Sebelumnya, Google juga mendemonstrasikan media yang didanai pemerintah Rusia di semua platformnya, sebuah tindakan yang juga memblokir mereka dari menjalankan kampanye iklan.

YouTube juga telah menghapus ratusan saluran dengan ribuan video yang melanggar Pedoman Komunitasnya, termasuk saluran yang terlibat dalam praktik penipuan terkoordinasi.

“Ketika orang-orang di seluruh dunia menelusuri topik yang terkait dengan perang di Ukraina di Penelusuran atau YouTube, sistem kami secara mencolok menampilkan informasi, video, dan konteks penting lainnya dari sumber berita resmi,” kata Google.

Untuk saat ini, Google mengatakan bahwa sebagian besar layanannya, termasuk Penelusuran, YouTube, dan Maps, masih tersedia di Rusia untuk memberi orang Rusia akses ke informasi dan perspektif global.

Sumber : Bleeping Computer

Pelanggaran data NVIDIA mengekspos kredensial lebih dari 71.000 karyawan

by

Lebih dari 71.000 kredensial karyawan dicuri dan bocor secara online menyusul pelanggaran data yang diderita oleh raksasa pembuat chip AS Nvidia bulan lalu.

Layanan pemberitahuan pelanggaran data Have I Been Pwned telah menambahkan data milik 71.335 akun yang disusupi ke databasenya pada hari Rabu.

Have I Been Pwned mengatakan data yang dicuri berisi “alamat email dan hash kata sandi NTLM, banyak di antaranya kemudian diretas dan diedarkan dalam komunitas peretasan.”

Nvidia mengkonfirmasi pada 1 Maret bahwa jaringannya dibobol bulan lalu, dengan penyerang mendapatkan akses ke data login karyawan dan informasi kepemilikan.

Nvidia mengatakan sedang menyelidiki “insiden” yang dilaporkan berdampak pada beberapa sistemnya, menyebabkan pemadaman dua hari setelah berita tentang insiden itu pertama kali terungkap hampir seminggu yang lalu.

Pada hari yang sama, kelompok pemerasan data yang dijuluki Lapsus$ mengklaim serangan tersebut dan memberikan rincian mengenai insiden tersebut, termasuk bahwa mereka mencuri 1TB data dari jaringan Nvidia.

Selama akhir pekan, Lapsus$ membagikan lebih banyak detail tentang intrusi dan kebocoran arsip 20GB yang berisi data yang dicuri dari sistem Nvidia, serta hash kata sandi karyawan perusahaan,

Grup tersebut mengancam akan membocorkan info spesifikasi perangkat keras kecuali batasan lite hash rate (LHR) dari firmware GeForce RTX 30 Series tidak dihapus.

Lapsus$ juga meminta Nvidia untuk berkomitmen membuka sumber driver GPU mereka untuk perangkat Windows, macOS, dan Linux hingga Jumat, 4 Maret, untuk menghindari pencurian informasi di semua GPU terbaru, termasuk RTX 3090Ti, bocor secara online.

Lapsus$ mengklaim serangan terhadap Nvidia (BleepingComputer)

Setelah menolak untuk mengkonfirmasi klaim pemeras, Nvidia mengatakan bahwa mereka mendeteksi “insiden keamanan siber yang berdampak pada sumber daya TI” pada 23 Februari.

Perusahaan menambahkan bahwa mereka tidak menemukan bukti serangan ransomware, meskipun pelaku ancaman masih berhasil mencuri kredensial karyawan dan data kepemilikan, membenarkan klaim Lapsus$.

“Kami tidak mengantisipasi gangguan apa pun pada bisnis kami atau kemampuan kami untuk melayani pelanggan kami sebagai akibat dari insiden tersebut.”

Sumber : Bleeping Computer

Eksploitasi Log4shell sekarang sebagian besar digunakan untuk botnet DDoS, cryptominers

by

Kerentanan Log4Shell dalam perangkat lunak Log4j yang banyak digunakan masih dimanfaatkan oleh aktor ancaman saat ini untuk menyebarkan berbagai muatan malware, termasuk merekrut perangkat sebagai botnet DDoS dan untuk menanam cryptominers.

Menurut sebuah laporan oleh Barracuda, beberapa bulan terakhir ditandai dengan penurunan dan lonjakan penargetan Log4Shell, tetapi volume upaya eksploitasi tetap relatif konstan.

Setelah menganalisis serangan ini, Barracuda menetapkan bahwa sebagian besar upaya eksploitasi berasal dari alamat IP yang berbasis di AS, diikuti oleh Jepang, Eropa tengah, dan Rusia.

Peneliti Barracuda telah melihat berbagai muatan yang menargetkan penyebaran Log4j yang rentan, tetapi turunan botnet Mirai tampaknya mengambil bagian terbesar saat ini.

Pada Desember 2021, para peneliti menemukan Log4j versi 2.14.1 dan semua versi sebelumnya rentan terhadap CVE-2021-44228, dijuluki “Log4Shell,” kesalahan eksekusi kode jarak jauh nol hari yang kritis.

Apache, pengembang Log4j, mencoba menyelesaikan masalah dengan merilis versi 2.15.0. Namun, penemuan kerentanan dan celah keamanan berikutnya memperpanjang perlombaan penambalan hingga akhir tahun, ketika versi 2.17.1 akhirnya mengatasi semua masalah.

Namun, menurut Barracuda, banyak sistem terus menjalankan versi lama Log4j dan dengan demikian rentan terhadap eksploitasi.

Cara paling sederhana untuk melindungi dari jenis serangan ini adalah dengan memperbarui Log4j ke versi 2.17.1 atau yang lebih baru dan selalu memperbarui semua aplikasi web Anda secara umum.

Selengkapnya: Bleeping Computer

Malware TeaBot menyelinap kembali ke Google Play Store untuk menargetkan pengguna AS

by

Trojan perbankan TeaBot terlihat sekali lagi di Google Play Store di mana ia menyamar sebagai aplikasi kode QR dan menyebar ke lebih dari 10.000 perangkat.

Ini adalah trik yang digunakan distributor sebelumnya, pada bulan Januari, dan meskipun Google menghapus entri ini, tampaknya malware masih dapat menemukan jalan ke repositori aplikasi Android resmi.

Menurut laporan dari Cleafy, sebuah perusahaan manajemen dan pencegahan penipuan online, aplikasi ini bertindak sebagai dropper. Mereka dikirimkan tanpa kode berbahaya dan meminta izin minimal, yang menyulitkan pengulas Google untuk menemukan sesuatu yang mencurigakan.

Selain itu, aplikasi ini menyertakan fungsionalitas yang dijanjikan, sehingga ulasan pengguna di Play Store bersifat positif.

Dalam versi yang beredar di Play Store pada Januari 2021, dianalisis oleh Bitdefender, TeaBot tidak akan muncul jika mendeteksi lokasi korban di Amerika Serikat.

Sekarang, TeaBot secara aktif menargetkan pengguna di AS dan juga menambahkan bahasa Rusia, Slovakia, dan Cina, yang menunjukkan bahwa malware mengincar kumpulan korban global.

Untuk meminimalkan kemungkinan infeksi dari trojan perbankan bahkan saat menggunakan Play Store sebagai sumber aplikasi eksklusif Anda, pertahankan jumlah aplikasi yang diinstal pada perangkat Anda seminimal mungkin.

Juga, setiap kali Anda menginstal aplikasi baru di perangkat Anda, pantau konsumsi baterai dan volume lalu lintas jaringannya selama beberapa hari pertama untuk menemukan pola yang mencurigakan.

Selengkapnya: Bleeping Computer

Taktik Cyber Rusia Mendorong FCC untuk Mengatasi Keamanan Internet Routing

by

Komisi Komunikasi Federal (FCC) mengutip agresi Rusia terhadap Ukraina dalam mengumumkan persetujuan bulatnya atas pemberitahuan penyelidikan untuk penggunaan yang aman dari Border Gateway Protocol, sistem perutean internet.

“Pekan lalu, Departemen Keamanan Dalam Negeri memperingatkan organisasi AS di semua tingkatan bahwa mereka dapat menghadapi ancaman dunia maya yang berasal dari konflik Rusia-Ukraina,” bunyi siaran pers dari FCC, Senin.

“Pemberitahuan ini akan memulai penyelidikan atas kerentanan sistem perutean global internet. Penyelidikan juga akan memeriksa dampak dari kerentanan ini pada transmisi data melalui email, e-commerce, transaksi bank, Voice-over Internet Protocol yang saling berhubungan dan panggilan 911—dan cara terbaik untuk mengatasi tantangan ini.”

Digunakan bersama dengan botnet, BGP dapat dimanipulasi untuk mengeksekusi serangan distributed denial of service seperti yang baru-baru ini dialami di Ukraina. AS telah mengaitkan serangan DDoS itu dengan Rusia. Pemberitahuan FCC menjelaskan bagaimana musuh juga dapat mengeksploitasi kerentanan di BGP untuk mengarahkan lalu lintas dan mencuri data.

Pemberitahuan tersebut mencantumkan berbagai upaya selama bertahun-tahun baik di dalam maupun di luar komisi untuk menetapkan penggunaan BGP yang aman.

Institut Standar dan Teknologi Nasional, Satuan Tugas Teknik Internet, Masyarakat Internet, dan Dewan Keandalan dan Interoperabilitas Keamanan Komunikasi milik FCC memiliki semua praktik terbaik yang terdokumentasi untuk mengatasi risiko keamanan yang terkait dengan protokol. Namun hal tersebut belum diterapkan secara komprehensif oleh penyedia layanan internet.

Selengkapnya: Nextgov

Saat Perang Dimulai, Ukraina Beralih ke Telegram

by

Setiap hari selama dua tahun terakhir, ribuan orang Ukraina membuka saluran resmi Telegram Covid-19 untuk berita pandemi terbaru. Akun @COVID19_Ukraine membagikan angka kasus harian, jumlah orang yang meninggal, dan saran kesehatan terbaru dari pemerintah. Jutaan orang membaca saluran tersebut selama krisis kesehatan global.

Tetapi ketika pasukan Rusia berbaris menuju perbatasan Ukraina, saluran itu merespons. Saluran tersebut menanyakan apakah anggota menginginkan update tentang berita “sosial-politik” terbaru? Orang-orang sangat memilih untuk adanya perubahan. Sejak itu saluran Telegram telah membagikan berita perang terbaru 24 jam sehari—mengubah nama tampilannya menjadi @UkraineNOW—dan menjadi sumber penting informasi terverifikasi bagi warga Ukraina.

Pada hari-hari sejak perang dimulai, WIRED telah meninjau ratusan posting Telegram dari akun dan politisi pemerintah Ukraina yang diverifikasi. Pesan mereka membantu menjaga orang tetap aman, menghilangkan prasangka disinformasi Rusia, dan melawan ancaman yang muncul.

Dengan hampir 500.000 anggota sebelum invasi Rusia, UkrainaNOW sudah menjadi salah satu saluran Telegram terbesar di negara itu. Sekarang satu juta orang bergantung padanya untuk mendapatkan informasi terbaru tentang perang.

Selain mempromosikan pesan resmi, pemerintah Ukraina juga menggunakan Telegram untuk meminta bantuan dari warganya. Fedorov membentuk “Tentara TI” yang didukung pemerintah dari peretas sukarelawan menggunakan Telegram; lebih dari 200.000 orang telah mendaftar.

Selengkapnya: Wired

Situs Ukraina mengalami peningkatan serangan 10x saat invasi dimulai

by

Perusahaan keamanan internet telah mencatat gelombang serangan besar-besaran terhadap situs WordPress Ukraina sejak Rusia menginvasi Ukraina, yang bertujuan untuk menghapus situs web dan menyebabkan demoralisasi.

Firma keamanan siber Wordfence, yang melindungi 8.320 situs WordPress milik universitas, pemerintah, militer, dan entitas penegak hukum di Ukraina, melaporkan telah mencatat 144.000 serangan pada 25 Februari saja.

Fokus serangan tampaknya adalah bagian dari 376 situs web akademik yang menerima 209.624 serangan antara 25 dan 27 Februari.

Gelombang besar serangan terkoordinasi ini telah mengakibatkan kompromi dari 30 situs web universitas Ukraina, yang sebagian besar mengalami kerusakan total dan tidak tersedianya layanan.

Kelompok peretas di balik serangan ini adalah kelompok pro-Rusia yang disebut “theMx0nday,” yang telah memposting bukti peretasan pada agregator defacement Zone-H.

Wordfence telah menemukan bahwa pelaku ancaman berbasis di Brasil tetapi mengarahkan serangan mereka melalui alamat IP Finlandia menggunakan penyedia layanan internet anonim Njalla.

Kelompok aktor tertentu sebelumnya telah menyerang situs Brasil, Indonesia, Spanyol, Argentina, AS, dan Turki, sementara entri pertama mereka di Zone-H dimulai pada April 2019.

Untuk pertama kalinya dalam sejarahnya, Wordfence telah memutuskan untuk menyebarkan real-time threat intelligenc ke semua situs web Ukraina terlepas dari tingkat langganan mereka ke layanannya. Biasanya, fitur ini hanya tersedia untuk pelanggan Premium.

Sumber: Bleeping Computer