Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Obrolan internal Conti ransomware bocor setelah berpihak pada Rusia

by

Seorang peneliti keamanan Ukraina telah membocorkan lebih dari 60.000 pesan internal milik operasi ransomware Conti setelah geng tersebut memihak Rusia atas invasi ke Ukraina.

CEO AdvIntel Vitali Kremez, yang telah melacak operasi Conti/TrickBot selama beberapa tahun terakhir, juga mengkonfirmasi kepada bahwa pesan yang bocor itu valid dan diambil dari server log untuk sistem komunikasi Jabber yang digunakan oleh geng ransomware.

Kremez mengatakan bahwa data tersebut dibocorkan oleh seorang peneliti yang memiliki akses ke backend “database ejabberd” untuk server obrolan XMPP Conti. Ini juga dikonfirmasi oleh perusahaan keamanan siber Hold Security.

Total ada 393 file JSON bocor yang berisi total 60.694 pesan sejak 21 Januari 2021 hingga hari ini.

Percakapan Conti yang bocor

Percakapan ini berisi berbagai informasi tentang aktivitas geng, termasuk korban yang sebelumnya tidak dilaporkan, URL kebocoran data pribadi, alamat bitcoin, dan diskusi tentang operasi mereka.

Misalnya, percakapan di bawah ini adalah anggota Conti bertanya-tanya bagaimana BleepingComputer mengetahui serangan mereka terhadap Shutterfly pada bulan Desember.

Percakapan yang dibagikan dengan BleepingComputer tentang Shutterfly

Kremez juga membagikan cuplikan percakapan yang dia temukan membahas bagaimana operasi TrickBot ditutup.

Diskusi tentang penutupan TrickBot

Ada juga percakapan tentang operasi ransomware Diavol Conti/TrickBot dan 239 alamat bitcoin yang berisi pembayaran $13 juta, yang ditambahkan ke situs Ransomwhere.

Kebocoran pesan-pesan ini merupakan pukulan telak bagi operasi ransomware, yang memberikan intelijen sensitif kepada para peneliti dan penegak hukum tentang proses internal mereka.

Awal pekan ini, operasi ransomware Conti menerbitkan sebuah posting blog yang mengumumkan dukungan penuh mereka untuk serangan pemerintah Rusia di Ukraina. Mereka juga memperingatkan bahwa jika ada yang mengorganisir serangan siber terhadap Rusia, geng Conti akan menyerang kembali infrastruktur penting.

Setelah afiliasi Conti Ukraina menjadi marah karena berpihak pada Rusia, geng Conti mengganti pesan mereka dengan yang lain, menyatakan bahwa mereka “tidak bersekutu dengan pemerintah mana pun” dan bahwa mereka “mengutuk perang yang sedang berlangsung.”

Namun, perubahan hati mereka datang terlambat, dan seorang peneliti keamanan Ukraina yang dilaporkan memiliki akses ke server XMPP backend Conti mengirim email ke BleepingComputer dan jurnalis lain malam ini dengan tautan ke data yang bocor.

Di sisi lain, Ukraina telah meminta peneliti sukarelawan dan peretas untuk bergabung dengan “Tentara TI” mereka untuk melakukan serangan siber terhadap target Rusia, dengan banyak yang mendukung seruan tersebut.

Adapun Conti, meskipun kebocoran ini memalukan dan memberikan wawasan luas tentang operasi mereka, kami tidak akan melihat mereka pergi dalam waktu dekat. Dengan mereka baru-baru ini mengambil alih malware BazarBackdoor yang tersembunyi dan menjadi sindikat kejahatan yang sebenarnya, sayangnya, mereka akan terus menjadi ancaman.

Sumber :

Aplikasi Android gratis memungkinkan pengguna mendeteksi pelacakan Apple AirTag

by

Peneliti di Universitas Darmstadt di Jerman menerbitkan sebuah laporan yang menggambarkan bagaimana aplikasi AirGuard mereka untuk Android memberikan perlindungan yang lebih baik dari pengintaian AirTag yang tersembunyi daripada aplikasi lain.

Apple AirTag adalah pencari perangkat berbasis Bluetooth yang dirilis pada April 2021 yang memungkinkan pemilik melacak perangkat menggunakan layanan ‘Temukan Saya’ Apple.

Sayangnya, AirTag memiliki potensi penyalahgunaan yang besar karena ukurannya yang kecil karena orang dapat memasukkannya ke dalam jaket, koper, atau bahkan mobil orang untuk melacaknya tanpa izin.

Fitur-fitur ini bergantung pada pengidentifikasian pola penyalahgunaan, seperti memiliki AirTag di dekatnya yang dimiliki oleh akun Apple yang berbeda dan memberikan peringatan di iPhone korban.

Dalam kasus pengguna Android, masalahnya diperbesar karena Apple membiarkan mereka tanpa cara resmi untuk menemukan AirTags hingga Desember 2021, ketika merilis Tracker Detect di Play Store.

Tracker Detect, bagaimanapun, tidak ada artinya dibandingkan dengan rekan iOS-nya, karena hanya akan memberi tahu korban bahwa mereka dilacak jika diperintahkan untuk melakukan pemindaian manual, dan bahkan kemudian, sering kali melewatkan AirTags terdekat tanpa alasan yang jelas.

Para peneliti universitas memutuskan untuk melakukan sesuatu tentang masalah privasi Apple AirTag di dunia Android dan merekayasa balik deteksi pelacakan iOS untuk memahami cara kerja bagian dalamnya dengan lebih baik.

Mereka kemudian merancang aplikasi AirGuard, solusi anti-pelacakan deteksi otomatis dan pasif yang bekerja melawan semua aksesori Temukan Saya dan perangkat pelacak lainnya.

AirGuard menyajikan peringatan kepada pengguna yang dilacak (Arxiv.org)

Aplikasi ini dirilis pada Agustus 2021, dan sejak itu, telah mengumpulkan basis pengguna 120.000 orang. Itu dapat mendeteksi semua perangkat Temukan Saya, termasuk yang dibuat sendiri seperti AirTags yang dikloning atau dimodifikasi, sebagai alat pelacak paling tersembunyi.

Para peneliti sekarang telah mempublikasikan hasil tes dunia nyata mereka yang diambil dari eksperimen mereka dan diambil dari data komunitas dari mereka yang menggunakan aplikasi.

Perbandingan waktu penayangan lansiran (Arxiv.org)

Selain melayani peringatan pelacakan lebih cepat, AirGuard juga dapat mendeteksi pelacak yang ditempatkan di mobil, yang merupakan solusi paling sulit untuk digali, dan opsi penempatan pelacak terbaik untuk pelaku kejahatan.

Aplikasi AirGuard adalah perangkat lunak sumber terbuka yang tersedia secara gratis melalui Google Play Store, sehingga kodenya terbuka untuk diteliti, dan kemungkinan aplikasi tersebut dicampur dengan malware sangat kecil.

Namun, Anda harus mencatat bahwa aplikasi ini meminta beberapa izin berisiko untuk berfungsi pada ponsel cerdas Anda, yang merupakan bagian integral dari penyediaan layanan yang dijanjikan.

Sumber : Bleeping Computer

Operasi malware TrickBot dimatikan, pengembang pindah ke malware yang lebih tersembunyi

by

Operasi malware TrickBot telah ditutup setelah pengembang intinya pindah ke kelompok ransomware Conti untuk memfokuskan pengembangan pada keluarga malware BazarBackdoor dan Anchor yang tersembunyi.

TrickBot adalah infeksi malware Windows terkenal yang telah mendominasi lanskap ancaman sejak 2016.

Malware biasanya diinstal melalui email phishing berbahaya atau malware lainnya, dan diam-diam akan berjalan di komputer korban saat mendownload modul untuk melakukan tugas yang berbeda.

Modul-modul ini melakukan berbagai aktivitas berbahaya, termasuk mencuri database Layanan Direktori Aktif domain, menyebar secara lateral di jaringan, mengunci layar, mencuri cookie dan kata sandi browser, dan mencuri kunci OpenSSH.

Pada tahun 2019, TrickBot Group bermitra dengan operasi ransomware Ryuk untuk menyediakan akses awal geng ransomware ke jaringan. Pada tahun 2020, grup ransomware Conti, yang diyakini sebagai rebranding Ryuk, juga bermitra dengan TrickBot untuk akses awal.

Pada tahun 2021, TrickBot berusaha meluncurkan operasi ransomware mereka sendiri yang disebut Diavol, yang tidak pernah benar-benar berkembang, mungkin karena salah satu pengembangnya ditangkap.

Meskipun banyak upaya pencopotan oleh penegak hukum, TrickBot telah berhasil membangun kembali botnetnya dan terus meneror jaringan Windows. Pada Desember 2021, ketika kampanye distribusi TrickBot tiba-tiba berhenti.

Selama setahun terakhir, Conti telah menjadi salah satu operasi ransomware yang paling tangguh dan menguntungkan, bertanggung jawab atas banyak serangan terhadap korban terkenal dan mengumpulkan ratusan juta dolar dalam pembayaran tebusan.

Namun, Conti tidak merekrut “pengembang dan manajer elit” ini untuk bekerja pada malware TrickBot, melainkan untuk bekerja pada keluarga malware BazarBackdoor dan Anchor yang lebih tersembunyi seperti yang terlihat dari percakapan internal.

AdvIntel menjelaskan minggu lalu bahwa pergeseran dalam pengembangan ini karena malware TrickBot terlalu mudah dideteksi oleh perangkat lunak keamanan dan bahwa operasinya akan segera dihentikan.

Kremez menjelaskan bahwa jaringan kejahatan TrickBot, yang awalnya diluncurkan untuk mengejar penipuan, sekarang berfokus hampir seluruhnya pada ransomware dan pembobolan jaringan.

Sebuah laporan yang dirilis kemarin oleh perusahaan intelijen siber Intel471 juga mengkonfirmasi bahwa operasi itu dihentikan demi platform yang lebih menguntungkan.

Meskipun selalu baik untuk melihat operasi malware ditutup, kenyataannya adalah bahwa geng ransomware telah beralih ke keluarga BazarBackdoor yang lebih tersembunyi.

BazarBackdoor telah melihat peningkatan distribusi melalui email selama enam bulan terakhir, tetapi dengan penutupan TrickBot, kita mungkin akan melihatnya menjadi lebih umum dalam pelanggaran jaringan entitas perusahaan.

Sumber : Bleeping Computer

Nvidia mengonfirmasi sedang menyelidiki ‘insiden’, yang dilaporkan merupakan serangan siber

by

Nvidia mengonfirmasi kepada The Verge, Bloomberg, Reuters, dan lainnya bahwa mereka sedang menyelidiki sebuah “insiden” — beberapa jam setelah The Telegraph melaporkan bahwa raksasa pembuat chip grafis itu mengalami serangan siber yang menghancurkan yang “benar-benar membahayakan” sistem internal perusahaan selama dua hari terakhir. .

“Kami sedang menyelidiki sebuah insiden. Kegiatan bisnis dan komersial kami terus berlanjut tanpa gangguan. Kami masih bekerja untuk mengevaluasi sifat dan ruang lingkup acara tersebut dan tidak memiliki informasi tambahan untuk dibagikan saat ini,” bunyi pernyataan melalui juru bicara Nvidia Hector Marinez.

Bahkan sumber The Telegraph tidak menyarankan bahwa Nvidia memiliki data yang dicuri atau dihapus, dan tidak ada saran saat ini bahwa “insiden” itu mungkin terkait dengan invasi Rusia ke Ukraina, meskipun serangan siber telah menjadi bagian dari ofensif, dan infrastruktur internet juga menjadi sasaran di sana.

Bloomberg sekarang melaporkan itu adalah serangan ransomware kecil, mengutip “orang yang akrab dengan insiden itu.”

Namun, jika perusahaan yang berbasis di AS seperti Nvidia menjadi sasaran, hal itu dapat memicu pembalasan dari Amerika Serikat. “Jika Rusia mengejar serangan siber terhadap perusahaan kami, infrastruktur penting kami, kami siap untuk meresponsnya,” kata Presiden Biden dalam pidatonya pada hari Kamis.

Sementara dugaan serangan dilaporkan melumpuhkan email Nvidia, kami menerima pernyataan Nvidia hari ini dari alamat email Nvidia.

Nvidia juga secara misterius meminta pers Rabu malam untuk mendorong kembali pengumuman kecil yang akan tiba pada hari Kamis, tanpa memberikan penjelasan. Waktu itu sejalan dengan ketika The Telegraph melaporkan bahwa sistem Nvidia telah disusupi.

Selengkapnya: The Verge

IBM Security X-Force Research Advisory: Malware Destruktif Baru yang Digunakan Dalam Serangan Cyber di Ukraina

by

Pada 23 Februari 2022, sumber intelijen open-source mulai melaporkan deteksi malware penghapus — keluarga malware perusak yang dirancang untuk menghancurkan data target secara permanen — yang dijalankan pada sistem milik organisasi Ukraina.

IBM Security X-Force memperoleh sampel penghapus bernama HermeticWiper. Ini menggunakan driver manajer partisi jinak (salinan empntdrv.sys) untuk melakukan kemampuan menghapusnya merusak semua drive fisik yang tersedia Master Boot Record (MBR), partisi, dan sistem file (FAT atau NTFS).

Ini bukan malware penghapus pertama yang menargetkan organisasi Ukraina yang dianalisis X-Force. Pada Januari 2022, X-Force menganalisis malware WhisperGate dan tidak mengidentifikasi kode yang tumpang tindih antara WhisperGate dan HermeticWiper.

Pada Januari 2022, X-Force menganalisis malware WhisperGate. HermeticWIper adalah keluarga malware destruktif kedua yang baru terlihat yang diamati dalam dua bulan terakhir yang menargetkan organisasi di Ukraina, dan dilaporkan negara-negara lain di Eropa Timur. Tidak ada kode yang tumpang tindih yang diidentifikasi antara WhisperGate dan HermeticWiper.

Kecepatan penyebaran dan penemuan keluarga malware baru yang merusak ini belum pernah terjadi sebelumnya, dan selanjutnya menyoroti kebutuhan organisasi untuk memiliki strategi pertahanan yang aktif dan terinformasi yang melampaui pertahanan berbasis tanda tangan.

Karena konflik di kawasan terus berkembang dan mengingat kemampuan destruktif dari WhisperGate dan HermeticWiper, IBM Security X-Force merekomendasikan organisasi infrastruktur penting dalam kawasan yang ditargetkan untuk membentengi pertahanan. Organisasi tersebut harus fokus pada persiapan untuk serangan potensial yang dapat menghancurkan atau mengenkripsi data atau berdampak signifikan pada operasi.

Selengkapnya: Security Intelligence

Serangan siber menyerang bank Ukraina dan situs web pemerintah

by

Beberapa situs web pemerintah Ukraina offline pada hari Rabu sebagai akibat dari serangan penolakan layanan yang didistribusikan secara massal, Mykhailo Fedorov, kepala Kementerian Transformasi Digital Ukraina, mengatakan di saluran Telegramnya.

Serangan, yang juga berdampak pada beberapa bank, dimulai sekitar pukul 4 sore. waktu setempat, menurut Fedorov. Dia tidak mengatakan bank mana yang diserang atau seberapa parah kerusakannya.

Situs web untuk Kementerian Luar Negeri Ukraina, Kabinet Menteri dan Rada, parlemen negara itu, termasuk di antara yang tidak aktif pada Rabu pagi waktu Timur. Situs-situs pemerintah sedang offline ketika para pejabat berusaha untuk mengalihkan lalu lintas di tempat lain untuk meminimalkan kerusakan, katanya.

Serangan DDoS adalah ketika seorang peretas membanjiri jaringan atau server korban dengan lalu lintas sehingga orang lain tidak dapat mengaksesnya.

Sumber serangan belum dikonfirmasi tetapi pemadaman terjadi karena Rusia terus menempatkan pasukan di sekitar perbatasan Ukraina. Pada hari Selasa, Presiden Joe Biden mengatakan Rusia telah memulai “invasi,” setelah Presiden Rusia Vladimir Putin memerintahkan pasukan ke dua wilayah memisahkan diri pro-Rusia di Ukraina timur, dan mengumumkan sanksi terhadap bank-bank Rusia, utang negara dan beberapa individu yang dekat dengan Rusia. pemerintah Rusia.

Seorang juru bicara Gedung Putih mengatakan kepada NBC News bahwa mereka “memantau dengan cermat” laporan tersebut.

Ukraina melaporkan serangan terpisah pekan lalu yang menghapus empat situs web pemerintah, menurut NBC News. Sekitar waktu yang sama, Polisi Cyber ​​Ukraina mengatakan banyak penduduk telah menerima pesan teks yang mengatakan bahwa ATM di negara itu tidak berfungsi, meskipun tidak jelas apakah ada ATM yang benar-benar terpengaruh, NBC News melaporkan.

Gedung Putih mengaitkan serangan sebelumnya dengan agen Rusia, meskipun Rusia membantah bertanggung jawab atas serangan minggu lalu di situs web pemerintah Ukraina.

Pejabat Gedung Putih pada hari Rabu mengatakan kepada NBC News, “kami menganggap insiden lebih lanjut ini konsisten dengan jenis kegiatan yang akan dilakukan Rusia dalam upaya untuk mengacaukan Ukraina. Kami sedang berkomunikasi dengan Ukraina mengenai kebutuhan terkait siber mereka, termasuk baru-baru ini.”

Seorang perwakilan untuk Kedutaan Besar Rusia di Washington, D.C., tidak segera menanggapi permintaan komentar.

Sumber : CNBC

Cadangan ‘tidak lagi efektif’ untuk menghentikan serangan ransomware

by

Pertumbuhan pemerasan ganda dan bahkan pemerasan tiga kali lipat serangan ransomware berada dalam bahaya menghadirkan metode tradisional yang umum untuk mengurangi dampak serangan ransomware, seperti pencadangan yang terpelihara dengan baik, kurang efektif, menurut laporan dari spesialis identitas mesin Venafi .

Data yang dikumpulkan dari survei dunia TI dan pembuat keputusan keamanan Venafi mengungkapkan bahwa 83% serangan ransomware yang berhasil sekarang melibatkan metode pemerasan alternatif –misalnya, menggunakan data curian untuk memeras pelanggan (38%), membocorkan data ke web gelap (35% ), dan memberi tahu pelanggan bahwa data mereka telah disusupi (32%). Hanya 17% dari serangan hanya meminta uang untuk kunci dekripsi.

Venafi mengatakan bahwa serangan ransomware sekarang bergantung pada eksfiltrasi data, strategi pencadangan yang efektif sampai batas tertentu “tidak lagi efektif” untuk mengatasi pelanggaran.

Venafi juga menemukan bahwa penjahat cyber semakin menindaklanjuti ancaman mereka apakah mereka dibayar atau tidak. Memang, 18% korban mengalami kebocoran data meskipun telah membayar, sementara lebih dari 16% yang menolak untuk membayar apa pun dan datanya bocor. Sekitar 8% menolak mentah-mentah, tetapi kemudian pelanggan mereka diperas; dan 35% dibayar, tetapi dibiarkan menggantung, tidak dapat mengambil data mereka.

Penyerang sekarang memahami bahwa korban mereka kemungkinan telah menerapkan sistem pemulihan dan pencadangan, dan menyadari bahwa taktik semacam ini adalah cara terbaik mereka untuk menang.

“Organisasi tidak siap untuk bertahan melawan ransomware yang mengekstrak data, jadi mereka membayar uang tebusan, tetapi ini hanya memotivasi penyerang untuk mencari lebih banyak. Berita buruknya adalah bahwa penyerang menindaklanjuti ancaman pemerasan, bahkan setelah uang tebusan dibayarkan. Ini berarti CISO berada di bawah tekanan yang lebih besar karena serangan yang berhasil kemungkinan besar akan menciptakan gangguan layanan skala penuh yang memengaruhi pelanggan,” kata Bocek.

Responden survei Venafi setuju dengan beberapa margin bahwa serangan pemerasan ganda dan tiga kali lipat semakin populer, dan ini membuat lebih sulit untuk menolak tuntutan tebusan, menciptakan masalah lebih lanjut bagi tim keamanan.

Responden juga cenderung setuju bahwa serangan ransomware berkembang lebih cepat daripada yang dapat diikuti oleh teknologi keamanan. Akibatnya, 76% merencanakan pengeluaran lebih lanjut untuk kontrol khusus ransomware yang melampaui dan melampaui penyimpanan dengan celah udara.

“Aktor ancaman terus mengembangkan serangan mereka untuk membuatnya lebih kuat, dan inilah saatnya bagi industri keamanan siber untuk merespons dengan cara yang sama,” kata Bocek. “Ransomware sering menghindari deteksi hanya karena berjalan tanpa identitas mesin yang tepercaya. Menggunakan manajemen identitas mesin untuk mengurangi penggunaan skrip yang tidak ditandatangani, meningkatkan penandatanganan kode, dan membatasi eksekusi makro jahat sangat penting untuk perlindungan ransomware yang menyeluruh.”

Sumber : Computer Weekly

Peringatan keamanan: Peretas menggunakan malware baru ini untuk menargetkan peralatan firewall

by

Peretas yang terkait dengan militer Rusia mengeksploitasi kerentanan keamanan di firewall untuk menyusup ke jaringan dan menginfeksi mereka dengan malware, memungkinkan mereka untuk mendapatkan akses dari jarak jauh.

Peringatan oleh Pusat Keamanan Siber Nasional Inggris (NCSC), Badan Keamanan Siber dan Infrastruktur (CISA), Badan Keamanan Nasional (NSA) dan Biro Investigasi Federal (FBI) telah merinci malware baru, Cyclops Blink, yang menghubungkannya ke Sandworm, operasi peretasan ofensif yang sebelumnya mereka tautkan ke GRU Rusia.

Analisis oleh NCSC menggambarkan Cyclops Blink sebagai “malware yang sangat canggih” yang telah “dikembangkan secara profesional”.

Cyclops Blink tampaknya menjadi pengganti VPNFilter, malware yang digunakan oleh kelompok peretas Rusia yang terkait dengan negara dalam serangan luas yang digunakan untuk mengkompromikan perangkat jaringan, terutama router, untuk mengakses jaringan.

Menurut NCSC, CISA, FBI dan NSA, Cyclops Blink telah aktif setidaknya sejak Juni 2019, dan seperti VPNFilter sebelumnya, penargetan digambarkan sebagai “tidak pandang bulu dan tersebar luas” dengan kemampuan untuk mendapatkan akses jarak jauh yang persisten ke jaringan.

Itu juga dapat mengunggah dan mengunduh file dari mesin yang terinfeksi dan bersifat modular, memungkinkan fungsionalitas baru ditambahkan ke malware yang sudah berjalan.

Serangan dunia maya terutama difokuskan pada perangkat firewall WatchGuard, tetapi agensi memperingatkan bahwa Sandworm mampu mengarahkan kembali malware untuk menyebarkannya melalui arsitektur dan firmware lain.

Cyclops Blink tetap ada saat reboot dan selama proses pembaruan firmware yang sah. Ini menargetkan perangkat WatchGuard yang dikonfigurasi ulang dari pengaturan default pabrikan untuk membuka antarmuka manajemen jarak jauh ke akses eksternal.

Infeksi tidak berarti organisasi adalah target utama, tetapi mungkin saja mesin yang terinfeksi dapat digunakan untuk melakukan serangan tambahan.

NCSC mendesak organisasi yang terkena dampak untuk mengambil langkah-langkah untuk menghapus malware, yang telah dirinci oleh WatchGuard.

NCSC memperingatkan bahwa setiap kata sandi yang ada pada perangkat yang terinfeksi oleh Cyclops Blink harus dianggap telah disusupi dan harus diubah.

Saran lain tentang melindungi jaringan dari serangan dunia maya termasuk menghindari paparan antarmuka manajemen perangkat jaringan ke internet, menjaga perangkat tetap up to date dengan patch keamanan terbaru dan menggunakan otentikasi multi-faktor.

Sumber :