Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

ICO Dipukul 2650% Peningkatan Serangan Email

by

Kantor Komisaris Informasi (ICO) Inggris mengalami peningkatan serangan email sebesar 2650% selama tahun 2021, menurut angka resmi yang diperoleh oleh think tank Parliament Street setelah permintaan Kebebasan Informasi.

Angka-angka tersebut mengungkapkan bahwa serangan email yang menargetkan regulator perlindungan data dan privasi Inggris melonjak dari 150.317 pada Januari menjadi 4.135.075 pada Desember yang luar biasa. Data tersebut terkait dengan volume email phishing yang terdeteksi, malware yang terdeteksi dan diblokir, serta spam yang terdeteksi dan diblokir oleh ICO untuk setiap bulan tahun lalu.

Email spam mewakili sebagian besar serangan, dengan kasus melonjak 2775% dari Januari hingga Desember. Email phishing juga meningkat secara signifikan selama periode ini, sebesar 20%, sementara malware melonjak sebesar 423%.

Data menunjukkan lonjakan yang sangat besar dalam serangan email pada bulan Desember, dengan 4.125.992 pesan spam, 7886 email phishing, dan 1.197 malware. Lonjakan ini diperkirakan terkait dengan penyebaran cepat varian Omicron di Inggris pada akhir tahun lalu, dengan pelaku ancaman dapat memanfaatkan topik seperti pengujian dan vaksin sebagai daya tarik.

“Keamanan siber bukan hanya tentang melindungi titik akhir melalui solusi keamanan siber anti-malware atau email. Meskipun ini penting, sekarang ada berbagai titik akses bagi penjahat dunia maya untuk dimanfaatkan yang perlu diperhatikan oleh para pemimpin TI. Ini termasuk aplikasi rentan yang belum ditambal dan kerentanan jaringan, kredensial masuk yang dicuri atau dibeli secara ilegal atau bahkan dengan meretas perangkat pintar yang tidak dilindungi.”

Steven Peake, manajer Barracuda Networks berkomentar: “Pandemi terus menjadi katalisator bagi penjahat cyber oportunistik untuk mencoba dan memangsa orang-orang yang tidak curiga dan rentan. Penelitian kami baru-baru ini menunjukkan lonjakan 521% dalam serangan phishing terkait tes COVID-19, jadi tidak mengherankan jika melihat organisasi besar, seperti ICO, terkena ancaman dalam jumlah besar karena mewakili target yang menguntungkan. Email phishing, malware, dan spam, khususnya, merupakan sebagian besar ancaman yang dihadapi organisasi ini, sehingga mereka perlu menerapkan langkah-langkah untuk melindungi diri mereka sendiri. Para penyerang siber ini tidak akan pergi ke mana pun dalam waktu dekat.”

Tahun lalu, pemerintah Inggris mengumumkan rencana untuk mengubah struktur ICO sebagai bagian dari rencana untuk mereformasi sektor data negara.

Sumber : Info Security

Regulator Eropa dan AS Memberi Tahu Bank Untuk Bersiap Menghadapi Ancaman Serangan Siber Rusia

by

Dilansir dari Reuters, Bank Sentral Eropa (ECB) sedang mempersiapkan bank-bank untuk adanya kemungkinan serangan siber yang datang dari Rusia ketika ketegangan dengan Ukraina meningkat, dua orang yang mengetahui masalah tersebut mengatakan, saat kawasan itu bersiap menghadapi dampak finansial dari setiap konflik.

Kebuntuan antara Rusia dan Ukraina telah mengguncang para pemimpin politik dan bisnis Eropa, yang takut akan invasi yang akan menimbulkan kerusakan di seluruh wilayah.

Sementara regulator selama ini fokus pada penipuan biasa yang berkembang pesat selama pandemi, krisis Ukraina telah mengalihkan perhatiannya ke serangan siber yang diluncurkan dari Rusia, kata salah satu sumber, menambahkan bahwa ECB telah menanyai bank tentang pertahanan mereka.

Kekhawatiran ini tercermin di seluruh dunia.

Departemen Layanan Keuangan New York mengeluarkan peringatan kepada lembaga keuangan pada akhir Januari, peringatan serangan siber pembalasan jika Rusia menyerang Ukraina dan memicu sanksi AS, menurut Regulatory Intelligence Thomson Reuters.

Awal tahun ini, beberapa situs web Ukraina terkena serangan dunia maya yang meninggalkan peringatan untuk “takut dan mengharapkan yang terburuk”, karena Rusia telah mengumpulkan pasukan di dekat perbatasan Ukraina.

Para pejabat Rusia mengatakan Barat dicengkeram oleh Russophobia dan tidak memiliki hak untuk menceramahi Moskow untuk bertindak setelah negara itu memperluas aliansi militer NATO ke arah timur sejak jatuhnya Uni Soviet pada 1991.

Kremlin juga berulang kali membantah bahwa negara Rusia ada hubungannya dengan peretasan di seluruh dunia dan mengatakan siap bekerja sama dengan Amerika Serikat dan negara lain untuk menindak kejahatan dunia maya.

Meskipun demikian, regulator di Eropa sangat waspada akan adanya serangan siber dari Rusia.

Sumber: Reuters

Kelemahan PHP Everywhere RCE mengancam ribuan situs WordPress

by

Para peneliti menemukan tiga kerentanan eksekusi kode jarak jauh (RCE) kritis di plugin ‘PHP Everywhere’ untuk WordPress, yang digunakan oleh lebih dari 30.000 situs web di seluruh dunia.

PHP Everywhere adalah plugin yang memungkinkan admin WordPress untuk memasukkan kode PHP di halaman, posting, bilah sisi, atau blok Gutenberg apa pun, dan menggunakannya untuk menampilkan konten dinamis berdasarkan ekspresi PHP yang dievaluasi.

Tiga kerentanan ditemukan oleh analis keamanan di Wordfence dan dapat dieksploitasi oleh kontributor atau pelanggan, memengaruhi semua versi WordPress dari 2.0.3 dan di bawahnya.

Berikut adalah deskripsi singkat tentang kekurangannya:

  • CVE-2022-24663 – Cacat eksekusi kode jarak jauh yang dapat dieksploitasi oleh pelanggan mana pun dengan mengizinkan mereka mengirim permintaan dengan parameter ‘kode pendek’ yang disetel ke PHP Everywhere, dan mengeksekusi kode PHP sewenang-wenang di situs. (Skor CVSS v3: 9,9)
  • CVE-2022-24664 – Kerentanan RCE yang dapat dieksploitasi oleh kontributor melalui metabox plugin. Penyerang akan membuat postingan, menambahkan metabox kode PHP, dan kemudian mempratinjaunya. (Skor CVSS v3: 9,9)
  • CVE-2022-24665 – Cacat RCE dapat dieksploitasi oleh kontributor yang memiliki kemampuan ‘edit_posts’ dan dapat menambahkan blok PHP Everywhere Gutenberg. Pengaturan keamanan default pada versi plugin yang rentan tidak pada ‘hanya admin’ sebagaimana mestinya. (Skor CVSS v3: 9,9)

Sementara dua kelemahan terakhir tidak mudah dieksploitasi karena memerlukan izin tingkat kontributor, kerentanan pertama jauh lebih terbuka untuk eksploitasi yang lebih luas karena dapat dieksploitasi hanya dengan menjadi pelanggan di situs.

Dalam semua kasus, mengeksekusi kode arbitrer di situs dapat menyebabkan pengambilalihan situs secara lengkap, yang merupakan skenario terburuk dalam keamanan situs web.

Vendor merilis pembaruan keamanan pada 10 Januari 2022, dengan versi 3.0.0, yang mengalami peningkatan nomor versi utama karena memerlukan penulisan ulang kode yang substansial.

Sementara pengembang memperbaiki pembaruan bulan lalu, tidak jarang admin tidak memperbarui situs dan plugin WordPress mereka secara teratur. Menurut statistik unduhan di WordPress.org, hanya 15.000 pemasangan dari 30.000 yang telah memperbarui plugin sejak bug diperbaiki.

Oleh karena itu, karena parahnya kerentanan ini, semua pengguna PHP Everywhere sangat disarankan untuk memastikan bahwa mereka telah mengupgrade ke PHP Everywhere versi 3.0.0 yang merupakan versi terbaru yang tersedia saat ini.

Sumber : Bleeping Computer

Pemasang pemutakhiran Windows 11 palsu menginfeksi Anda dengan malware RedLine

by

Pelaku ancaman telah mulai mendistribusikan penginstal pemutakhiran Windows 11 palsu kepada pengguna Windows 10, menipu mereka agar mengunduh dan menjalankan malware pencuri RedLine.

Waktu serangan bertepatan dengan saat Microsoft mengumumkan fase penyebaran luas Windows 11, sehingga penyerang sangat siap untuk langkah ini dan menunggu saat yang tepat untuk memaksimalkan keberhasilan operasi mereka.

Pelaku mencuri kata sandi, cookie browser, kartu kredit, dan pengambil info dompet cryptocurrency yang paling banyak digunakan, sehingga infeksinya dapat memiliki konsekuensi yang mengerikan bagi para korban.

Menurut peneliti di HP, para pelaku menggunakan domain “windows-upgraded.com” yang tampaknya sah untuk bagian distribusi malware dari kampanye mereka.

Situs tersebut tampak seperti situs Microsoft asli dan, jika pengunjung mengeklik tombol ‘Unduh Sekarang’, mereka menerima arsip ZIP 1,5 MB bernama “Windows11InstallationAssistant.zip,” diambil langsung dari CDN Discord.

Situs web palsu yang digunakan untuk penyebaran malware (HP)

Dekompresi file menghasilkan folder berukuran 753MB, menampilkan rasio kompresi 99,8% yang mengesankan, dicapai berkat adanya padding dalam file yang dapat dieksekusi.

Ketika korban meluncurkan executable di folder, proses PowerShell dengan argumen yang disandikan dimulai.

Selanjutnya, proses cmd.exe diluncurkan dengan batas waktu 21 detik, dan setelah itu berakhir, file .jpg diambil dari server web jarak jauh.

Akhirnya, proses awal memuat DLL dan mengganti konteks utas saat ini dengannya. DLL itu adalah payload pencuri RedLine yang terhubung ke server perintah-dan-kontrol melalui TCP untuk mendapatkan instruksi tentang tugas jahat apa yang harus dijalankan selanjutnya pada sistem yang baru dikompromikan.

Eksekusi RedLine dan rantai pemuatan (HP)

Windows 11 adalah peningkatan besar yang tidak dapat diperoleh banyak pengguna Windows 10 dari saluran distribusi resmi karena ketidakcocokan perangkat keras, sesuatu yang dilihat oleh operator malware sebagai peluang bagus untuk menemukan korban baru.

Pelaku ancaman juga memanfaatkan klien pembaruan Windows yang sah untuk mengeksekusi kode berbahaya pada sistem Windows yang disusupi, sehingga taktik yang dilaporkan oleh HP hampir tidak mengejutkan saat ini.

Sumber : Bleeping Computer

Pengembang Ransomware merilis Egregor, kunci dekripsi master Maze

by

Ransomware Maze mulai beroperasi pada Mei 2019 dan dengan cepat menjadi terkenal karena mereka bertanggung jawab atas penggunaan pencurian data dan taktik pemerasan ganda yang sekarang digunakan oleh banyak operasi ransomware.

Setelah Maze mengumumkan penutupannya pada Oktober 2020, mereka berganti nama pada September sebagai Egregor, yang kemudian menghilang setelah anggotanya ditangkap di Ukraina.

Maju cepat 14 bulan kemudian, dan kunci dekripsi untuk operasi ini sekarang telah bocor di forum BleepingComputer oleh pengguna bernama ‘Topleak’ yang mengaku sebagai pengembang untuk ketiga operasi tersebut.

Poster tersebut mengatakan bahwa ini adalah kebocoran yang direncanakan dan tidak terkait dengan operasi penegakan hukum baru-baru ini yang telah menyebabkan penyitaan server dan penangkapan afiliasi ransomware.

Mereka lebih lanjut menyatakan bahwa tidak ada anggota tim mereka yang akan kembali ke ransomware dan bahwa mereka menghancurkan semua kode sumber untuk ransomware mereka.

Forum post leaking Maze, Egregor, and Sekhmet decryption keys
Source: BleepingComputer

Postingan tersebut menyertakan tautan unduhan untuk file 7zip dengan empat arsip yang berisi kunci dekripsi Maze, Egregor, dan Sekhmet, dan kode sumber untuk malware ‘M0yv’ yang digunakan oleh geng ransomware.

Arsip yang berisi kunci dekripsi yang bocor
Sumber: BleepingComputer

Masing-masing arsip ini berisi kunci enkripsi master publik dan kunci dekripsi master pribadi yang terkait dengan “iklan” tertentu, atau afiliasi dari operasi ransomware.

Michael Gillespie dan Fabian Wosar dari Emsisoft telah meninjau kunci dekripsi dan mengonfirmasi ke BleepingComputer bahwa kunci tersebut sah dan dapat digunakan untuk mendekripsi file yang dienkripsi oleh tiga keluarga ransomware.

Gillespie memberi tahu kami bahwa kunci tersebut digunakan untuk mendekripsi kunci terenkripsi korban yang disematkan dalam catatan tebusan.

Encrypted key in Maze ransom note
Source: BleepingComputer

Emsisoft telah merilis decryptor untuk memungkinkan korban Maze, Egregor, dan Sekhmet yang telah menunggu untuk memulihkan file mereka secara gratis.

Emsisoft decryptor for Maze, Egregor, and Sekhmet

Untuk menggunakan dekripsi, korban akan memerlukan catatan tebusan yang dibuat selama serangan karena berisi kunci dekripsi terenkripsi.

Arsip juga menyertakan kode sumber untuk ‘modular x86/x64 file infector’ M0yv yang dikembangkan oleh operasi ransomware Maze dan digunakan sebelumnya dalam serangan.

“Juga ada sedikit kode sumber yang tidak berbahaya dari file infector file EPO polimorfik x86/x64 modular m0yv yang terdeteksi di alam liar sebagai virus Win64/Expiro, tetapi sebenarnya bukan expiro, tetapi mesin AV mendeteksinya seperti ini, jadi tidak ada satu hal pun di dalamnya. sama dengan gazavat,” kata pengembang ransomware dalam posting forum.

Cuplikan kode sumber untuk malware M0yv
Sumber: BleepingComputer

File todo.txt menunjukkan kode sumber untuk malware ini terakhir diperbarui pada 19 Januari 2022.

Selengkapnya : Bleeping Computer

Gelombang serangan MageCart menargetkan ratusan situs Magento yang sudah ketinggalan zaman

by

Analis telah menemukan sumber pelanggaran massal lebih dari 500 toko e-niaga yang menjalankan platform Magento 1 dan melibatkan satu domain yang memuat skimmer kartu kredit pada semuanya.

Menurut Sansec, serangan itu menjadi jelas akhir bulan lalu ketika crawler mereka menemukan 374 infeksi pada hari yang sama, semuanya menggunakan malware yang sama.

Domain tempat pelaku ancaman memuat malware adalah naturalfreshmall[.]com, saat ini offline, dan tujuan pelaku ancaman adalah mencuri informasi kartu kredit pelanggan di toko online yang ditargetkan.

Investigasi Sansec selanjutnya mengungkap bahwa penyerang menyalahgunakan kerentanan yang diketahui di plugin Quickview untuk menyuntikkan pengguna admin Magento jahat yang kemudian dapat menjalankan kode dengan hak istimewa tertinggi.

Penyalahgunaan terjadi melalui penambahan aturan validasi ke tabel customer_eav_attribute. Ini menipu aplikasi host untuk membuat objek jahat, yang kemudian digunakan untuk membuat pintu belakang sederhana (api_1.php).

Menambahkan aturan di database situs web.
Sumber: Sansec

Selain menyuntikkan skimmer kartu kredit, peretas juga dapat menggunakan pintu belakang api_1.php untuk menjalankan perintah di server jarak jauh, yang mengarah ke pengambilalihan situs secara menyeluruh.

Sansec menunjukkan bahwa dalam kasus ekstrim, musuh menyuntikkan sebanyak 19 backdoors pada satu platform e-commerce, mungkin bereksperimen untuk mencari tahu apa yang terbaik untuk tujuan mereka atau hanya menjadi sangat serius tentang redundansinya.

Adobe telah berhenti mendukung cabang Magento 1 dari platform e-niaga populer sejak 30 Juni 2020, tetapi ribuan situs masih menggunakan perangkat lunak usang.

Hal ini membuat situs rentan terhadap berbagai serangan peretas, dan dengan ekstensi, menempatkan detail sensitif pelanggan mereka dalam risiko.

Rincian ini biasanya mencakup nomor kartu kredit, alamat pengiriman, nama, nomor telepon, alamat email, dan umumnya semua yang diperlukan untuk melakukan pemesanan online.

Sangat disarankan agar semua admin Magento mengonfirmasi bahwa mereka menggunakan platform versi terbaru dan memutakhirkan jika menggunakan versi lama yang tidak didukung.

Sumber : Bleeping Computer

Puma terkena pelanggaran data setelah serangan ransomware Kronos

by

Pabrikan pakaian olahraga Puma terkena pelanggaran data menyusul serangan ransomware yang menghantam Kronos, salah satu penyedia layanan manajemen tenaga kerja Amerika Utara, pada Desember 2021.

Pemberitahuan pelanggaran data yang diajukan ke beberapa kantor jaksa agung awal bulan ini mengatakan penyerang juga mencuri informasi pribadi milik karyawan Puma dan tanggungan mereka dari lingkungan cloud Kronos Private Cloud (KPC) sebelum mengenkripsi data.

Kronos menggambarkan KPC sebagai penyimpanan aman yang dilindungi dari serangan menggunakan firewall, otentikasi multi-faktor, dan transmisi terenkripsi.

Ini digunakan sebagai fasilitas server untuk meng-hosting Workforce Central, Workforce TeleStaff, Enterprise Archive, TeleTime IP, Extensions for Healthcare (EHC), dan lingkungan FMSI.

“Pada 7 Januari 2022, Kronos mengonfirmasi bahwa beberapa informasi pribadi Anda termasuk di antara data yang dicuri. Kami memberi tahu PUMA tentang insiden ini pada 10 Januari 2022.”

Meskipun pemberitahuan pelanggaran tidak menyebutkan berapa banyak karyawan Puma yang informasinya dicuri selama serangan itu, informasi yang diberikan kepada Kantor Kejaksaan Agung Maine mengungkapkan bahwa operator ransomware mendapatkan data milik 6.632 orang.

Puma juga mengatakan bahwa dokumen yang dicuri selama serangan ransomware Kronos termasuk Nomor Jaminan Sosial dalam pengajuan dengan kantor yang sama.

Orang-orang yang terkena dampak pelanggaran data ini juga ditawarkan dua tahun keanggotaan Experian IdentityWorks gratis, yang dilengkapi dengan pemantauan kredit, pemulihan identitas, dan asuransi pencurian identitas.

Peretas juga mencuri kode sumber untuk aplikasi internal Puma pada bulan Agustus dan menjualnya di portal kebocoran data Marketo. Serangan itu dikonfirmasi oleh kepala komunikasi korporat Puma, Robert-Jan Bartunek.

Pembaruan 08 Februari, 04:41 EST: Kepala Komunikasi Senior Puma Kerstin Neuber mengatakan bahwa tidak ada data pelanggan Puma yang terpengaruh dalam pernyataan tindak lanjut yang dikirim setelah kami menerbitkan:

Pada 10 Januari 2022, PUMA Amerika Utara diberi tahu bahwa UKG/ Kronos, salah satu vendor PUMA, sedang mengurangi dampak insiden ransomware. Pelanggaran hanya terjadi di dalam sistem UKG/Kronos. Tidak ada sistem di jaringan PUMA yang dilanggar dan tidak ada data pelanggan PUMA yang terpengaruh. Insiden itu terbatas pada Private Cloud Kronos.

UKG/ Kronos telah melibatkan pakar keamanan siber, memberi tahu pihak berwenang, dan berkomunikasi dengan mereka yang terkena dampak. Setiap pertanyaan media terkait dengan pelanggaran UKG/Kronos yang mendasari harus diarahkan ke UKG karena masalah tersebut sedang diselidiki.

Sumber : Bleeping Computer

Qbot hanya membutuhkan 30 menit untuk mencuri kredensial Anda

by

Malware yang tersebar luas yang dikenal sebagai Qbot (alias Qakbot atau QuakBot) baru-baru ini kembali ke serangan kecepatan ringan, dan menurut analis, hanya perlu sekitar 30 menit untuk mencuri data sensitif setelah infeksi awal.

Para analis melaporkan bahwa dibutuhkan setengah jam bagi musuh untuk mencuri data browser dan email dari Outlook dan 50 menit sebelum mereka melompat ke workstation yang berdekatan.

Seperti yang ditunjukkan pada diagram berikut, Qbot bergerak cepat untuk melakukan eskalasi hak istimewa segera setelah infeksi, sementara pemindaian pengintaian penuh berlangsung dalam sepuluh menit.

Akses awal biasanya dicapai melalui dokumen Excel (XLS) yang menggunakan makro untuk menjatuhkan loader DLL pada mesin target.

Payload ini kemudian dijalankan untuk membuat tugas terjadwal melalui proses msra.exe dan meningkatkan dirinya ke hak istimewa sistem.

Selain itu, malware menambahkan Qbot DLL ke daftar pengecualian Microsoft Defender, sehingga tidak akan terdeteksi saat injeksi ke msra.exe terjadi.

Perintah penemuan disuntikkan ke msra.exe
Sumber: DFIR

Malware mencuri email dalam waktu setengah jam setelah eksekusi awal, yang kemudian digunakan untuk serangan phishing berantai ulang dan untuk dijual ke pelaku ancaman lainnya.

Qbot mencuri kredensial Windows dari memori menggunakan injeksi LSASS (Local Security Authority Server Service) dan dari browser web. Ini dimanfaatkan untuk pergerakan lateral ke perangkat lain di jaringan, dimulai pada rata-rata lima puluh menit setelah eksekusi pertama.

Gerakan lateral Qbot
Sumber: DFIR

Qbot bergerak secara lateral ke semua workstation di lingkungan yang dipindai dengan menyalin DLL ke target berikutnya dan membuat layanan dari jarak jauh untuk menjalankannya.

Pada saat yang sama, infeksi sebelumnya dihapus, sehingga mesin yang baru saja dieksfiltrasi kredensialnya didesinfeksi dan tampak normal.

Selain itu, layanan yang dibuat pada workstation baru memiliki parameter ‘DeleteFlag’, yang menyebabkannya dihapus saat sistem di-boot ulang.

Layanan yang dibuat di stasiun kerja target
Sumber: DFIR

Pergerakan lateral berlangsung dengan cepat, jadi jika tidak ada segmentasi jaringan untuk melindungi stasiun kerja, situasinya menjadi sangat menantang bagi tim pertahanan.

Selain itu, pelaku ancaman Qbot sering kali suka menggunakan beberapa sistem yang disusupi sebagai titik proxy tingkat pertama untuk penyembunyian dan rotasi alamat yang mudah, dan menggunakan beberapa port untuk komunikasi SSL dengan server C2.

Dampak dari serangan cepat ini tidak terbatas pada kehilangan data, karena Qbot juga telah diamati menjatuhkan muatan ransomware ke jaringan perusahaan yang disusupi.

Laporan Microsoft dari Desember 2021 menangkap keserbagunaan serangan Qbot, membuatnya lebih sulit untuk mengevaluasi cakupan infeksinya secara akurat.

Sumber : Bleeping Computer