Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Transaksi blockchain mengonfirmasi pemandangan ransomware yang suram dan saling berhubungan

by

Sebuah laporan yang diterbitkan oleh firma investigasi blockchain Chainalysis mengonfirmasi bahwa kelompok kejahatan siber yang terlibat dalam serangan ransomware tidak beroperasi dalam gelembung mereka sendiri tetapi sering mengganti pemasok ransomware (layanan RaaS) untuk mencari keuntungan yang lebih baik.

Laporan tersebut menganalisis bagaimana dana Bitcoin ditransfer dari korban ke kelompok kriminal, dan bagaimana uang itu dibagi di antara berbagai pihak yang terlibat dalam serangan ransomware, dan bagaimana uang itu akhirnya dicuci.

Lanskap ransomware telah berevolusi dari tahun-tahun sebelumnya dan sekarang menjadi kumpulan dari berbagai kelompok kriminal, masing-masing menyediakan layanannya sendiri yang sangat terspesialisasi satu sama lain, seringkali di berbagai penyedia RaaS (Ransomware-as-a-Service) yang berbeda.

Laporan Chainalysis mengkonfirmasi teori informal ini dengan bukti kriptografi yang tak terbantahkan yang ditinggalkan oleh transaksi Bitcoin yang telah terjadi di antara beberapa kelompok ini.

Misalnya, berdasarkan grafik di bawah ini, Chainalysis mengatakan menemukan bukti yang menunjukkan bahwa afiliasi untuk Maze RaaS yang sekarang sudah tidak berfungsi juga terlibat dengan SunCrypt RaaS.

Sumber: Chainalysis

Temuan serupa juga menunjukkan hubungan antara operasi Egregor dan DoppelPaymer.

Sumber: Chainalysis

Dan yang tak kalah pentingnya, peneliti Chainalysis juga menemukan bukti bahwa operator operasi Maze dan Egregor juga menggunakan layanan pencucian uang dan broker over-the-counter yang sama untuk mengubah dana curian menjadi mata uang fiat.

Sumber: Chainalysis

Sumber: ZDNet

Bentuk ransomware lama ini telah kembali dengan trik dan target baru

by

Suatu bentuk ransomware yang pernah menjadi pilihan paling populer di kalangan penjahat siber telah kembali dan digunakan untuk menargetkan perawatan kesehatan.

Kembali pada tahun 2017, Cerber adalah keluarga ransomware yang paling dominan, pada satu titik terhitung 90% dari semua serangan ransomware yang menargetkan sistem Windows.

Apa yang membuatnya begitu produktif adalah model ‘as-a-service’, di mana penulis Cerber mengizinkan penjahat siber lainnya untuk menggunakan kode mereka – lengkap dengan portal layanan yang mudah digunakan – dengan imbalan persentase bitcoin apa pun yang dibuat di pembayaran tebusan.

Pada tahun 2018, tampaknya Cerber telah menghilang, digantikan oleh bentuk lain dari ransomware karena model bisnis penjahat siber berubah dan penyerang mengejar seluruh jaringan perusahaan dan mulai menuntut jumlah yang jauh lebih tinggi untuk kunci dekripsi.

Tetapi Cerber kembali dengan peneliti keamanan siber di perusahaan keamanan VMware Carbon Black yang mengidentifikasinya sebagai ransomware paling umum yang menargetkan perawatan kesehatan selama tahun 2020.

Analisis terhadap 239 juta percobaan serangan siber yang menargetkan pelanggan Carbon Black di bidang perawatan kesehatan menemukan Cerber sebagai bentuk ransomware yang paling umum, terhitung 58% dari serangan ransomware yang mencoba menargetkan sektor tersebut.

Selengkapnya: ZDNet

Extension Great Suspender telah dihapus dari Toko Web Chrome karena mengandung malware

by

Kemarin, Google telah menghapus extension populer The Great Suspender karena mengandung malware dan secara proaktif menonaktifkan extension tersebut bagi mereka yang memilikinya.

The Great Suspender adalah – atau mungkin dulu – extension yang memaksa tab berlebih Anda untuk “tidur”, membantu mencegah Chrome menggunakan terlalu banyak RAM dan sumber daya lainnya.

Tahun lalu, seperti yang dijelaskan secara mendalam oleh TheMageKing, pengembangan The Great Suspender berpindah tangan dan kemudian dijual kepada pihak ketiga yang tidak dikenal.

Selanjutnya, dengan versi 7.1.8, The Great Suspender menambahkan sebuah exploit yang dapat digunakan untuk menjalankan hampir semua jenis kode di komputer Anda tanpa sepengetahuan Anda.

Eksploit ini menyebabkan extension dihapus dari toko extension Microsoft Edge, tetapi The Great Suspender diizinkan untuk tetap berada di Toko Web Chrome karena pembaruan yang lebih baru dilaporkan menghapus eksploit tersebut.

Lalu kemarin, Google tampaknya telah memberlakukan penghapusan The Great Suspender karena mengandung malware, menghapus extension dari Toko Web Chrome dan telah menonaktifkan extension tersebut secara paksa oleh Chrome.

Tidak diketahui apakah masalah malware ini akan membuat The Great Suspender dihapus secara permanen dari Toko Web Chrome, atau apakah akan dipulihkan tepat waktu. Sementara itu, komunitas telah membuat versi terakhir The Great Suspender yang bebas malware untuk membuat The Marvelous Suspender, yang sekarang tersedia di Toko Web Chrome.

Sumber: 9to5google

Perusahaan keamanan Stormshield mengungkapkan pelanggaran data, pencurian kode sumber

by

Firma keamanan siber Prancis Stormshield, penyedia utama layanan keamanan dan perangkat keamanan jaringan untuk pemerintah Prancis, mengatakan hari ini bahwa pelaku ancaman memperoleh akses ke salah satu portal dukungan pelanggannya dan mencuri informasi beberapa pelanggannya.

Perusahaan juga melaporkan bahwa penyerang berhasil mencuri bagian dari kode sumber untuk firewall Keamanan Jaringan Stormshield (SNS), produk yang disertifikasi untuk digunakan di jaringan sensitif pemerintah Prancis, sebagai bagian dari gangguan.

Perusahaan mengatakan sedang menyelidiki insiden tersebut dengan badan keamanan siber Prancis ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), yang saat ini menilai dampak pelanggaran terhadap sistem pemerintah.

Insiden Stormshield saat ini diperlakukan sebagai pelanggaran keamanan besar di dalam pemerintahan Prancis. Dalam siaran persnya sendiri, pejabat ANSSI mengatakan mereka telah menempatkan produk SNS dan SNI Stormshield “dalam pengawasan” selama penyelidikan.

Tetapi selain meninjau kode sumber SNS, Stormshield mengatakan juga mengambil langkah lain untuk mencegah bentuk serangan lain, jika penyusup memiliki akses ke bagian lain dari infrastrukturnya.

Perusahaan Prancis itu mengatakan juga mengganti sertifikat digital yang mereka gunakan sebelum insiden untuk menandatangani pembaruan perangkat lunak SNS.

Selengkapnya: ZDNet

Chromium membersihkan tindakannya – dan kueri server root DNS harian turun hingga 60 miliar

by

Proyek Chromium yang disponsori Google telah membereskan tindakannya, dan hasilnya adalah permintaan yang menurun tajam ke server root DNS.

Seperti yang dilaporkan The Register pada Agustus 2020, browser berbasis Chromium menghasilkan banyak lalu lintas DNS saat mereka mencoba menentukan apakah masukan ke dalam omnibox mereka adalah nama domain atau kueri penelusuran.

Engineer Verisign, Matthew Thomas dan Duane Wessels memeriksa lalu lintas yang dihasilkan dan mencapai kesimpulan bahwa itu menyumbang hingga 60 miliar kueri DNS setiap hari.

Di posnya Wessels mengatakan tim Chromium mendesain ulang kodenya untuk menghentikan permintaan DNS junk, dan merilis pembaruan di Chromium 87.

Hasilnya? “Sebelum perangkat lunak dirilis, sistem server root mencapai puncak ~ 143 miliar kueri per hari,” tulisnya. “Volume lalu lintas sejak itu menurun menjadi ~ 84 miliar kueri sehari. Ini mewakili lebih dari 41 persen pengurangan volume kueri secara total.”

Selengkapnya: The Register

Perangkat Android terjerat botnet DDoS

by

Netlab, divisi keamanan jaringan dari perusahaan keamanan China Qihoo 360, mengatakan minggu ini menemukan operasi malware baru yang saat ini menginfeksi perangkat Android untuk tujuan merakit botnet DDoS.

Dinamakan Matryosh, botnet ini mengejar perangkat Android yang vendornya telah membiarkan antarmuka diagnostik dan debug yang dikenal sebagai Android Debug Bridge diaktifkan dan terbuka di internet.

Aktif pada port 5555, antarmuka ini telah menjadi sumber masalah untuk perangkat Android selama bertahun-tahun, dan tidak hanya untuk smartphone tetapi juga smart TV, set-top box, dan perangkat pintar lainnya yang menjalankan OS Android.

Menurut sebuah laporan yang diterbitkan minggu ini, Netlab mengatakan Matryosh adalah yang terbaru dari botnet yang menargetkan ADB, tetapi yang hadir dengan twistnya sendiri.

Keunikan ini berasal dari penggunaan jaringan Tor untuk menyembunyikan server perintah dan kontrolnya dan penggunaan proses berlapis-lapis untuk mendapatkan alamat server ini — oleh karena itu nama botnet, terinspirasi dari boneka matryoshka klasik Rusia.

Sumber: Netlab

Tim Netlab mengatakan mereka menemukan fungsi dalam kode khusus untuk fitur yang akan menggunakan perangkat yang terinfeksi untuk meluncurkan serangan DDoS melalui protokol seperti TCP, UDP, dan ICMP.

Sumber: ZDNet

Vendor Spyware Tampaknya Membuat WhatsApp Palsu untuk Meretas Target

by

Peretas mencoba mengelabui pengguna iPhone agar memasang versi palsu WhatsApp dalam upaya potensial untuk mengumpulkan informasi tentang mereka.

Analisis teknis oleh kedua peneliti dari pengawas hak digital Citizen Lab dan Motherboard menunjukkan bahwa versi palsu WhatsApp ini memiliki kaitan dengan perusahaan pengawasan Italia, Cy4Gate.

Berita tersebut menyoroti serangan yang terkadang terabaikan pada iPhone: menipu pengguna agar menginstal file konfigurasi atau yang disebut profil Manajemen Perangkat Seluler (MDM), yang kemudian berpotensi mendorong malware ke perangkat target.

Selasa lalu, perusahaan keamanan ZecOps mengatakan dalam sebuah tweet bahwa mereka telah mendeteksi serangan terhadap pengguna WhatsApp. Perusahaan menerbitkan domain — config5-dati[.]Com — dan alamat IP yang dikatakan memiliki kaitan dengan serangan tersebut.

Kemudian Marczak dan sesama peneliti Citizen Lab Bahr Abdul Razzak melihat ke dalam domain tersebut dan menemukan sesuatu yang lain tertaut ke domain tersebut, termasuk salah satu yang menjadi host situs yang diklaim sebagai halaman untuk mengunduh WhatsApp.

Sumber: CITIZEN LAB

Marczak mengatakan file ini mengirimkan informasi ke server config1-dati, termasuk UDID, atau Pengenal Perangkat Unik yang ditetapkan ke setiap perangkat iOS oleh Apple; dan IMEI atau International Mobile Equipment Identity, kode unik lain yang mengidentifikasi sebuah ponsel.

Selengkapnya: Vice

Cisco memperbaiki bug eksekusi kode penting di router VPN SMB

by

Cisco telah mengatasi beberapa kerentanan pre-auth remote code execution (RCE) yang memengaruhi beberapa router VPN bisnis kecil dan memungkinkan penyerang mengeksekusi kode arbitrer sebagai root pada perangkat yang berhasil dieksploitasi.

Bug keamanan dengan tingkat keparahan 9.8 / 10 ditemukan di antarmuka manajemen berbasis web dari router bisnis kecil Cisco.

“Kerentanan ini muncul karena permintaan HTTP tidak divalidasi dengan benar,” Cisco menjelaskan dalam sebuah laporan.

“Penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan permintaan HTTP yang dibuat ke antarmuka pengelolaan berbasis web dari perangkat yang terpengaruh.”

Menurut Cisco, Small Business Routers berikut ini rentan terhadap serangan yang mencoba mengeksploitasi kerentanan ini jika menjalankan versi firmware yang lebih lama dari Rilis 1.0.01.02:

  • RV160 VPN Router
  • RV160W Wireless-AC VPN Router
  • RV260 VPN Router
  • RV260P VPN Router with POE
  • RV260W Wireless-AC VPN Router

Cisco mengatakan bahwa Router VPN Dual WAN Gigabit (termasuk RV340, RV340W, RV345, dan RV345P) tidak terpengaruh.

Perusahaan telah memperbaiki kerentanan dalam rilis firmware 1.0.01.02 dan yang lebih baru yang dikeluarkan untuk semua router yang terkena dampak.

Sumber: Bleeping Computer