News 268 - Naga Cyber Defense

Ransomware N3TW0RM muncul dalam gelombang serangan dunia maya di Israel

May 4, 2021 by Mally

Geng ransomware baru yang dikenal sebagai ‘N3TW0RM’ menargetkan perusahaan Israel dalam gelombang serangan siber yang dimulai minggu lalu.

Media Israel Haaretz melaporkan bahwa setidaknya empat perusahaan Israel dan satu organisasi nirlaba telah berhasil dibobol dalam gelombang serangan ini.

Seperti geng ransomware lainnya, N3TW0RM telah membuat situs kebocoran data di mana mereka mengancam akan membocorkan file curian sebagai cara untuk menakut-nakuti korbannya agar membayar tebusan.

Dua dari bisnis Israel, H&M Israel dan jaringan Veritas Logistic, telah terdaftar dalam kebocoran data geng ransomware, dengan pelaku ancaman telah membocorkan data yang diduga dicuri selama serangan terhadap Veritas.

Serangan N3TW0RM belum dikaitkan dengan grup peretasan mana pun saat ini.

Saat mengenkripsi jaringan, pelaku ancaman biasanya akan mendistribusikan ransomware mandiri yang dapat dieksekusi ke setiap perangkat yang ingin mereka enkripsi.

N3TW0RM melakukannya sedikit berbeda dengan menggunakan model klien-server sebagai gantinya.

Dari sampel [VirusTotal] ransomware yang dilihat oleh BleepingComputer dan diskusi dengan Arik Nachmias, CEO dari firma tanggapan insiden Honey Badger Security, pelaku ancaman N3TW0RM menginstal program di server korban yang akan mendengarkan koneksi dari workstation.

Nachmias menyatakan bahwa pelaku ancaman kemudian menggunakan PAExec untuk menyebarkan dan mengeksekusi klien ‘slave.exe’ yang dapat dieksekusi di setiap perangkat yang akan dienkripsi oleh ransomware. Saat mengenkripsi file, file akan memiliki ekstensi ‘.n3tw0rm’ yang ditambahkan ke namanya.

Selengkapnya: Bleeping Computer

Pulse Secure memperbaiki VPN zero-day yang digunakan untuk meretas target bernilai tinggi

May 4, 2021 by Mally

Pulse Secure telah memperbaiki kerentanan zero-day dalam perangkat SSL VPN Pulse Connect Secure (PCS) yang secara aktif dieksploitasi untuk membahayakan jaringan internal perusahaan pertahanan dan lembaga pemerintah.

Minggu lalu, firma keamanan siber FireEye mengungkapkan bahwa pelaku ancaman secara aktif mengeksploitasi kerentanan zero-day, dilacak sebagai CVE-2021-22893, untuk menyebarkan malware pada perangkat Pulse Secure untuk mencuri kredensial dan menyediakan akses pintu belakang ke jaringan yang disusupi.

Sehari kemudian, Cybersecurity and Infrastructure Security Agency (CISA) AS mengeluarkan arahan darurat yang memerintahkan lembaga federal untuk mengurangi kerentanan dalam dua hari dengan menonaktifkan fitur Windows File Share Browser dan Pulse Secure Collaboration.

Pulse Secure juga merilis Pulse Connect Secure Integrity Tool untuk memeriksa apakah peretas mengubah file apa pun pada peralatan Pulse Secure mereka.

Hari ini, Pulse Secure telah merilis pembaruan keamanan untuk kerentanan CVE-2021-22893 dan merekomendasikan semua pengguna untuk segera menginstal tambalan.

Organisasi yang menjalankan Pulse Connect Secure 9.0RX & 9.1RX harus segera memperbarui ke Pulse Connect Secure 9.1R11.4.

Sebelum menginstal pembaruan, disarankan agar organisasi menjalankan Pulse Secure Integrity Tool terlebih dahulu untuk menentukan apakah perangkat mereka dilanggar dan untuk menanggapinya.

Sumber: Bleeping Computer

Microsoft mengungkapkan rencana terakhir untuk menghapus Flash Player di Windows 10

May 4, 2021 by Mally

Microsoft diam-diam mengungkapkan rencananya untuk menghapus plugin Adobe Flash dari Windows 10, dengan penghapusan wajib mulai Juli 2021.

Pada tanggal 1 Januari 2021, Adobe Flash secara resmi mencapai akhir masa pakainya (EoL) setelah dianggap sebagai risiko keamanan yang signifikan saat menjelajahi web karena eksploitasi oleh pelaku ancaman.

Menanggapi hal tersebut, Microsoft merilis pembaruan opsional KB4577586 yang menghapus plugin Adobe Flash 32-bit dari Windows dan mencegahnya agar tidak diinstal lagi.

Saat ini, pembaruan KB4577586 harus diinstal secara manual dari Katalog Microsoft. Namun, Microsoft sebelumnya menyatakan bahwa mereka akan mendistribusikannya melalui WSUS dan Pembaruan Windows di masa mendatang.

Dalam pembaruan diam-diam untuk mengakhiri dukungan mereka untuk Adobe Flash, Microsoft telah menguraikan rencana lebih lanjut tentang bagaimana mereka akan mulai mendistribusikan pembaruan Windows 10 KB4577586 melalui blog mereka.

Mulai Juni 2021, Microsoft akan memasukkannya ke dalam pembaruan kumulatif pratinjau Windows 10 opsional mereka untuk Windows 10 1809 dan yang lebih baru.

Bagi mereka yang menginstal Windows 21H1, yang akan memulai pratinjau publik bulan ini, pembaruan KB4577586 akan diinstal secara otomatis dan plugin Adobe Flash Player akan dihapus.

Sumber: Bleeping Computer

ISC mendesak pembaruan server DNS untuk menghapus kerentanan BIND baru

May 3, 2021 by Mally

Internet Systems Consortium (ISC) telah merilis sebuah advisory yang menguraikan trio kerentanan yang dapat memengaruhi keamanan sistem DNS.

Minggu ini, organisasi tersebut mengatakan kerentanan berdampak pada ISC Berkeley Internet Name Domain (BIND) 9, yang banyak digunakan sebagai sistem DNS dan dipertahankan sebagai proyek open source.

Kerentanan pertama dilacak sebagai CVE-2021-25216 dan telah dikeluarkan skor keparahan CVSS 8.1 (32-bit) atau 7.4 (64-bit). Pelaku ancaman dapat memicu kesalahan dari jarak jauh dengan melakukan serangan buffer overflow terhadap mekanisme negosiasi kebijakan keamanan GSSAPI BIND untuk protokol GSS-TSIG, yang berpotensi menyebabkan eksploitasi yang lebih luas termasuk error dan eksekusi kode jarak jauh.

Namun, dalam konfigurasi yang menggunakan setelan BIND default, jalur kode yang rentan tidak akan ditampilkan – kecuali nilai server (tkey-gssapi-keytab/tkey-gssapi-credential) disetel sebaliknya.

Cacat keamanan kedua, CVE-2021-25215, telah mendapatkan skor CVSS 7,5. CVE-2021-25215 adalah cacat yang dapat dieksploitasi dari jarak jauh yang ditemukan dalam cara pemrosesan data DNAME dan dapat menyebabkan proses crash karena pernyataan yang gagal.

Bug paling tidak berbahaya, dilacak sebagai CVE-2021-25214, telah mendapat skor CVSS 6,5. Masalah ini ditemukan di transfer zona inkremental (IXFR) dan jika named server menerima IXFR yang salah, ini menyebabkan named process lumpuh karena pernyataan yang gagal.

Kerentanan di BIND diperlakukan dengan serius karena hanya dengan satu bug, yang berhasil dieksploitasi, untuk menyebabkan gangguan yang meluas pada layanan.

BIND 9.11.31, 9.16.15, dan 9.17.12 semuanya berisi tambalan dan pembaruan yang harus diterapkan.

Selengkapnya: ZDNet

Ransomware Babuk menyiapkan posting ‘matikan’, berencana untuk membuka malware sumber

May 2, 2021 by Mally

Setelah beberapa bulan beraktivitas, para operator ransomware Babuk secara singkat memposting pesan singkat tentang niat mereka untuk keluar dari bisnis pemerasan setelah mencapai tujuan mereka.

Tidak seperti geng lain yang memilih untuk melepaskan kunci dekripsi atau bahkan mengembalikan uang tebusan yang dikumpulkan, gerakan terakhir Babuk adalah memberikan obor kepada orang lain.

Sebelumnya hari ini, geng ransomware Babuk mengatakan dalam sebuah pesan berjudul “Hello World 2” di situs kebocoran mereka bahwa mereka telah mencapai tujuan mereka dan memutuskan untuk menghentikan operasi tersebut.

Namun, mereka tidak akan meninggalkan panggung tanpa warisan: kode sumber untuk malware pengenkripsi file Babuk akan tersedia untuk umum setelah mereka menghentikan “proyek”.

Pesan tersebut mengalami modifikasi dan terlihat sebentar di halaman utama situs. Dalam satu versi yang ditangkap oleh Dmitry Smilyanets dari Recorded Future, penjahat dunia maya mengatakan bahwa melanggar “PD adalah tujuan terakhir kami,” referensi yang jelas untuk korban terbaru mereka, Departemen Kepolisian Metropolitan (MPD). Seperti yang terlihat pada gambar di bawah, “PD” juga ada di judulnya.

Varian lain dari pesan tersebut, ditangkap oleh BleepingComputer, sama sekali tidak menyebutkan “PD”, yang berpotensi menunjukkan bahwa geng tersebut sedang bersiap untuk mengakhiri operasinya di masa mendatang, setelah mengkompromikan korban yang berbeda.

Namun demikian, satu bagian dari pesan tersebut jelas di kedua versi pesan tersebut. Kapan pun geng ransomware Babuk memutuskan untuk berhenti, setidaknya dengan nama Babuk, mereka akan “melakukan sesuatu seperti RaaS Sumber Terbuka, setiap orang dapat membuat produk mereka sendiri berdasarkan produk kami dan menyelesaikannya dengan RaaS lainnya.”

selengkapnya : www.bleepingcomputer.com

Cara Opt out dari Google FLoC di Chrome

May 1, 2021 by Mally

Ada beberapa opsi yang tersedia untuk menonaktifkan atau menyisih dari FLoC:

Buka menu setelan Google Chrome dan pilih tidak ikut secara manual.
Instal ekstensi browser yang dibuat untuk memblokir FLoC.
Beralihlah dari Chrome dan gunakan browser lain.

-Untuk menyisih secara manual di Chrome, masuk ke pengaturan browser dan nonaktifkan cookie pihak ketiga. Ini juga akan menonaktifkan FLoC.

-Anda akan menemukan opsi ini di layar Pengaturan Chrome. Klik menu> Pengaturan untuk membukanya di Windows. Di Mac, klik Chrome> Preferensi.

-Pilih “Privasi dan Keamanan” di panel kiri. Klik “Cookie dan data situs lainnya” di panel kanan.

-Pilih “Blokir Cookie Pihak Ketiga” di bawah Pengaturan Umum di sini. Anda sekarang dapat menutup tab Setttings.

Sebagai alternatif, Anda dapat menggunakan ekstensi browser Chrome yang dirancang oleh pembuat DuckDuckGo. DuckDuckGo dikenal dengan peramban yang berpusat pada privasi dan mengatakan bahwa pencarian dari situs webnya akan menonaktifkan FLoC secara default terlepas dari apakah Anda memasang ekstensi.

Jika Anda tidak ingin repot dengan salah satu hal di atas, Anda dapat mengunduh browser yang benar-benar baru untuk menjelajahi FLoC. Brave dan Vivaldi, keduanya dibangun di atas Chromium, telah berjanji untuk menonaktifkan FLoC secara default. Safari dibuat di Webkit, bukan Chromium, jadi FLoC tidak ada masalah di sana. Pembuat Firefox juga mengatakan bahwa mereka tidak akan berpartisipasi. Microsoft juga telah menonaktifkan FLoC di browser Microsoft Edge berbasis Chromium.

selengkapnya : www.howtogeek.com

Grup ransomware baru menggunakan SonicWall zero-day untuk menerobos jaringan

May 1, 2021 by Mally

Aktor ancaman bermotivasi finansial mengeksploitasi bug zero-day di peralatan VPN Seri SonicWall SMA 100 untuk menyebarkan ransomware baru yang dikenal sebagai FiveHands di jaringan target Amerika Utara dan Eropa.

Grup tersebut, dilacak oleh analis ancaman Mandiant sebagai UNC2447, mengeksploitasi kerentanan CVE-2021-20016 SonicWall untuk menerobos jaringan dan menyebarkan muatan ransomware FiveHands sebelum patch dirilis pada akhir Februari 2021.

Sebelum menerapkan muatan ransomware, UNC2447 juga diamati menggunakan implan Cobalt Strike untuk mendapatkan ketekunan dan memasang varian pintu belakang SombRAT, malware yang pertama kali terlihat dalam kampanye CostaRicto yang dikoordinasikan oleh sekelompok peretas bayaran.

Zero-day juga dimanfaatkan dalam serangan yang menargetkan sistem internal SonicWall pada bulan Januari dan kemudian disalahgunakan tanpa pandang bulu di alam liar.

selengkapnya : www.bleepingcomputer.com

Teknologi AS mendorong ransomware untuk dianggap sebagai ancaman keamanan nasional

May 1, 2021 by Mally

Perusahaan dan pejabat teknologi besar AS mendesak pemerintah untuk menetapkan ransomware sebagai ancaman keamanan nasional dalam upaya memerangi epidemi peretasan yang merugikan bisnis puluhan juta dolar.

Kelompok teknologi termasuk Microsoft, Cisco dan Amazon, perusahaan keamanan dunia maya seperti FireEye dan pejabat dari FBI dan Departemen Kehakiman AS telah menerbitkan laporan yang menyerukan sejumlah langkah untuk menangani perusahaan kriminal yang menguntungkan tersebut.

Ransomware melibatkan peretas yang mengambil kendali atas sistem komputer atau data organisasi dengan memasang perangkat lunak terlarang, dan mengembalikan aset hanya setelah uang tebusan dibayarkan.

Gugus Tugas Ransomware publik-swasta berpendapat bahwa serangan semacam itu harus dianggap sebagai ancaman keamanan nasional, merujuk pada risiko warga dari serangan tanpa henti terhadap rumah sakit, otoritas lokal, dan infrastruktur penting.

Ini meminta pemerintah untuk menciptakan koalisi internasional untuk mengatasi masalah dan untuk “memberikan tekanan pada negara-negara yang terlibat atau menolak untuk mengambil tindakan”, misalnya melalui sanksi atau dengan menahan bantuan atau visa.

Seruan itu datang dua minggu setelah Departemen Keuangan AS menuduh salah satu badan intelijen Rusia, FSB, “mengembangkan dan mengkooptasi” EvilCorp, salah satu grup ransomware paling terkenal. Banyak penjahat dunia maya beroperasi di luar yurisdiksi otoritas AS.

“Ransomware, khususnya, adalah masalah tindakan kolektif yang luar biasa karena banyak alasan,” kata Michael Phillips, kepala bagian klaim di grup asuransi cyber Resilience dan salah satu ketua gugus tugas.

Dia mengutip “persaingan negara-bangsa yang meningkat di ruang digital, dan negara-negara yang tidak mampu atau tidak mau menegakkan hukum yang mencegah penjahat dunia maya canggih meluncurkan serangan ini atau menciptakan ekosistem yang mendukung mereka”.

selengkapnya : www.ft.com

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings