Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

AS, Inggris memberikan sanksi kepada peretas Rusia dalam serangan ransomware

by

Amerika Serikat dan Inggris pada hari Kamis bersama-sama memberikan sanksi kepada tujuh peretas yang terkait dengan pemerintah Rusia yang terkait dengan serangan ransomware terhadap infrastruktur penting di AS, Inggris, dan Ukraina.

Sanksi tersebut merupakan upaya terbaru oleh negara-negara Barat untuk menindak operasi peretasan Rusia, yang melonjak dalam setahun terakhir sebagai akibat dari invasi Rusia ke Ukraina dan meningkatnya ketegangan dengan Barat.

Ketujuh orang Rusia yang dijatuhi sanksi — Vitaly Kovalev, Maksim Mikhailov, Valentin Karyagin, Mikhail Iskritskiy, Dmitry Pleshevskiy, Ivan Vakhromeyev, dan Valery Sedletski — semuanya diduga oleh Departemen Keuangan AS sebagai anggota kelompok penjahat dunia maya Trickbot yang berbasis di Rusia. Mereka diduga berada di balik serangan terhadap infrastruktur kritis, termasuk rumah sakit di AS dan Inggris selama pandemi Covid-19, dan terkait dengan dinas intelijen Rusia.

Selain itu, Trickbot dikaitkan oleh IBM tahun lalu dengan serangan dunia maya pada tahun 2022 terkait dengan perang yang ditujukan pada pemerintah Ukraina dan kelompok sektor swasta dan, menurut Departemen Keuangan, juga diduga menargetkan pemerintah AS dan perusahaan AS.

“Amerika Serikat dan Inggris adalah pemimpin dalam perang global melawan kejahatan dunia maya dan berkomitmen untuk menggunakan semua alat yang tersedia untuk mempertahankan diri dari ancaman dunia maya,” kata Menteri Luar Negeri Antony Blinken dalam sebuah pernyataan Kamis. “Saat perang ilegal Rusia melawan Ukraina berlanjut, kerja sama dengan sekutu dan mitra kami menjadi lebih penting dari sebelumnya untuk melindungi keamanan nasional kami.”

Selengkapnya: POLITICO

Screentime: Terkadang Rasanya Seperti Seseorang Mengawasi Saya

by

Sejak Oktober 2022 dan berlanjut hingga Januari 2023, Proofpoint telah mengamati sekelompok aktivitas yang termotivasi secara finansial yang berkembang yang kami sebut sebagai “Screentime”.

Rantai serangan dimulai dengan email yang berisi lampiran atau URL berbahaya dan mengarah ke malware yang dijuluki Proofpoint WasabiSeed dan Screenshotter. Dalam beberapa kasus, Proofpoint mengamati aktivitas pasca eksploitasi yang melibatkan AHK Bot dan Rhadamanthys Stealer.

Proofpoint sedang melacak aktivitas ini di bawah penunjukan aktor ancaman TA866. Proofpoint menilai bahwa TA866 adalah aktor terorganisir yang mampu melakukan serangan yang dipikirkan dengan baik dalam skala besar berdasarkan ketersediaan alat khusus; kemampuan dan koneksi untuk membeli alat dan layanan dari vendor lain; dan meningkatkan volume aktivitas.

Pada tanggal 23-24 Januari 2023, Proofpoint mengamati puluhan ribu pesan email yang menargetkan lebih dari seribu organisasi. Pesan menargetkan organisasi di AS dan Jerman. Email tersebut tampaknya menggunakan pembajakan utas, iming-iming “periksa presentasi saya”, dan berisi URL jahat yang memulai rantai serangan multi-langkah.

Selengkapnya: proofpoint

Panduan Pemulihan Mesin Virtual Menggunakan ESXiArgs-Recover

by

ESXiArgs-Recover merupakan alat untuk memungkinkan organisasi mencoba memulihkan mesin virtual yang terkena serangan ransomware ESXiArgs.

Beberapa organisasi telah melaporkan keberhasilan pemulihan file tanpa membayar uang tebusan. Mengetahui hal tersebut, CISA menyusun alat berdasarkan sumber daya yang tersedia untuk umum, termasuk tutorial oleh Enes Sonmez dan Ahmet Aykac.

ESXiArgs-Recover bekerja dengan merekonstruksi metadata mesin virtual dari disk virtual yang tidak dienkripsi oleh malware.

Berikut Panduan Pemulihan Mesin Virtual ESXiArgs Ransomware CISA.

Peringatan
Skrip ESXiArgs CISA didasarkan pada temuan yang diterbitkan oleh peneliti pihak ketiga. Setiap organisasi harus berhati-hati jika menggunakan skrip pemulihan ESXiArgs CISA.

CISA tidak mendukung produk atau layanan komersial apa pun, termasuk subjek analisis apa pun dan tidak bertanggung jawab atas kerusakan yang disebabkan oleh skrip ini.

Langkah Pemulihan Mesin Virtual
1. Unduh skrip ESXiArgs dan simpan sebagai “/tmp/recover.sh”
2. Beri izin eksekusi skrip “chmod +x /tmp/recover.sh”
3. Arahkan ke folder mesin virtual yang ingin di decrypt
4. Jalankan “ls”, lihat file, dan catat nama VMnya
5. Jalankan skrip pemulihan dengan “/tmp/recover.sh [nama vm]”. Jalankan “/tmp/recover.sh [nama] thin” jika mesin virtual berformat tipis
6. Jika berhasil, skrip decryptor akan menampilkan tanda berhasil dijalankan. Jika, mungkin mesin virtual tidak dapat dipulihkan.
7. Jika skrip berhasil, mendaftarkan ulang mesin virtual.
8. Mendaftarkan ulang mesin virtual.
9. Lakukan langkah berikut jika web ESXi tidak dapat diakses.
– “cd /usr/lib/vmware/hostd/docroot/ui/ && mv index.html ransom.html && mv index1.html index.html”
– “cd /usr/lib/vmware/hostd/docroot && mv index.html ransom.html && rm index.html & mv index1.html index.html”
– Reboot server ESXi.
10. Klik kanan pada VM dan pilih “Batalkan Pendaftaran” jika VM yang dipulihkan sudah ada.
11. Pilih “Buat / Daftarkan VM”.
12. Pilih “Daftarkan mesin virtual yang ada”.
13. Klik “Pilih satu atau lebih mesin virtual, penyimpanan data, atau direktori” untuk menavigasi ke folder VM yang di pulihkan. Pilih file vmx di folder.
14. Pilih “Selanjutnya” dan “Selesai”.

Proyek ini berada dalam domain publik di Amerika Serikat, dan hak cipta serta hak terkait dalam karya di seluruh dunia dibebaskan melalui dedikasi domain publik Universal CC0 1.0.

Selengkapnya: GitHub

QNAP Mundur Pada Cakupan Bug NAS Kritis

by

Dampak dari bug kritis yang awalnya diyakini dapat membuka 30.000 perangkat QNAP network-attached storage (NAS) untuk menyerang, kemungkinan besar dilebih-lebihkan. Para peneliti sekarang mengatakan bug injeksi kode arbitrer QNAP, dengan skor CVSS 9,8, menimbulkan sedikit ancaman bagi pengguna QNAP.

Para peneliti di Censys, yang melaporkan minggu lalu bahwa 98% perangkat QNAP (QTS 5.0.1 dan QuTS hero h5.0.1), mewakili lebih dari 30.000 instans yang sedang digunakan, tidak ditambal dan rentan terhadap serangan melalui internet. Censys sekarang memberi tahu SC Media bahwa karena QNAP kemungkinan gagal mengidentifikasi kisaran model NAS yang terpengaruh dengan benar, tidak ada perangkat perusahaan yang tampak rentan terhadap serangan melalui bug kritis (CVE-2022-27596).

Marc Light, wakil presiden ilmu data dan penelitian di Censys, mengatakan para peneliti membangun pengamatan mereka pada apa yang diposting QNAP di lampiran yang dikodekan JSON, bersama dengan penasehat NVD dari NIST.

Parkin menambahkan apapun yang terjadi dalam kasus ini, solusinya tidak berubah. Dia setuju dengan Censys bahwa perusahaan harus mengaktifkan fitur pembaruan otomatis. Parkin juga mengatakan perusahaan harus melakukan pemindaian kerentanan secara teratur, melakukan tes pena jika mereka mampu membayar biaya beberapa ribu dolar, dan mengikuti praktik terbaik.

“Yang saya maksud di sini adalah untuk perusahaan yang melakukan layanan media dan menjalankan transfer file agar tidak membuka fungsi admin ke internet publik,” kata Parkin. “Uji pena bisa bagus, tetapi sebagian besar bisnis kecil tidak memiliki sumber daya untuk membelinya.”

Penyimpanan yang terhubung ke jaringan QNAP cenderung digunakan oleh profesional TI dan pembuat konten serta profesional media di perusahaan dengan karyawan di bawah 1.000. Profesional TI menggunakan QNAP NAS untuk menambahkan lebih banyak penyimpanan atau mencadangkan server, dan profesional media menggunakan QNAP NAS untuk menyimpan dan memproses file video dan audio berukuran besar.

selengkapnya : scmagazine

Kegunaan ESXiArgs-Recover untuk memulihkan Virtual Machine Terserang Ransomware

by

ESXiArgs-Recover adalah alat untuk memungkinkan organisasi mencoba memulihkan virtual machine yang terkena serangan ransomware ESXiArgs.

CISA mengetahui bahwa beberapa organisasi telah melaporkan keberhasilan memulihkan file tanpa membayar uang tebusan. CISA menyusun alat ini berdasarkan sumber daya yang tersedia untuk umum, termasuk tutorial oleh Enes Sonmez dan Ahmet Aykac. Alat ini bekerja dengan merekonstruksi metadata virtual machine dari disk virtual yang tidak dienkripsi oleh malware. Untuk informasi selengkapnya, lihat Panduan Pemulihan virtual machine ESXiArgs Ransomware CISA.

disclaimer
Skrip ESXiArgs CISA didasarkan pada temuan yang diterbitkan oleh peneliti pihak ketiga yang disebutkan di atas. Setiap organisasi yang ingin menggunakan skrip pemulihan ESXiArgs CISA harus meninjau skrip dengan hati-hati untuk menentukan apakah skrip tersebut sesuai untuk lingkungan mereka sebelum menerapkannya. Skrip ini tidak berusaha untuk menghapus file konfigurasi terenkripsi, melainkan berusaha membuat file konfigurasi baru yang memungkinkan akses ke VM. Meskipun CISA bekerja untuk memastikan bahwa skrip seperti ini aman dan efektif, skrip ini dikirimkan tanpa jaminan, baik implisit maupun eksplisit. Jangan gunakan skrip ini tanpa memahami bagaimana hal itu dapat memengaruhi sistem Anda. CISA tidak bertanggung jawab atas kerusakan yang disebabkan oleh skrip ini.

Skrip ini disediakan “sebagaimana adanya” hanya untuk tujuan informasi. CISA tidak mendukung produk atau layanan komersial apa pun, termasuk subjek analisis apa pun. Referensi apa pun untuk produk, proses, atau layanan komersial tertentu oleh merek layanan, merek dagang, pabrikan, atau lainnya, bukan merupakan atau menyiratkan dukungan, rekomendasi, atau dukungan oleh CISA.

selengkapnya : github

Siswa Virginia Barat Kembali ke Kelas Setelah Pemadaman Selama Berhari-hari Setelah CyberAttack

by Leave a Comment

Hampir 20.000 siswa di Virginia Barat terpaksa bolos pada hari Senin karena serangan siber yang melumpuhkan sekolah mereka.

Berkeley County Schools mengatakan pada hari Jumat pihaknya mengalami pemadaman internet dan telepon pada hari Jumat dan menghabiskan akhir pekan untuk mengatasi masalah yang terkait dengan serangan dunia maya.

Inspektur Ronald Stephens menulis catatan kepada siswa dan orang tua yang mengatakan operasi TI di seluruh distrik dibatasi karena serangan dunia maya dan mencatat bahwa lembaga penegak hukum telah dihubungi.

Pada hari Minggu, Stephens mengonfirmasi bahwa kelas-kelas dibatalkan dan semua kegiatan sekolah akan ditunda.

Kelas akan dilanjutkan pada hari Selasa tetapi distrik tersebut masih bekerja untuk memulihkan sistem operasi dan menyelidiki serangan dunia maya, menurut pernyataan dari Berkeley County Schools pada Senin sore.

Berkeley County Schools adalah distrik sekolah terbesar kedua di West Virginia dan county – yang berjarak sekitar dua jam dari Washington DC – memiliki populasi sekitar 120.000.

Sekolah tidak menanggapi permintaan komentar tentang apakah mereka menderita serangan ransomware.

Orang tua mengungkapkan keprihatinannya kepada MetroNews karena sekolah membawa banyak informasi sensitif terkait perintah perlindungan anak dan data lain tentang kontak darurat.

Pihak sekolah mengatakan perangkat siswa tidak terpengaruh oleh serangan itu tetapi menjelaskan bahwa pertemuan Dewan Pendidikan yang dijadwalkan pada Senin tidak akan disiarkan lagi karena pemadaman teknologi.

CISA mengatakan jumlah insiden siber K-12 yang dilaporkan antara 2018 dan 2021 meningkat setiap tahun, dari 400 menjadi lebih dari 1.300. Pakar ransomware Emsisoft Brett Callow menjelaskan bahwa 45 distrik dengan 1.981 sekolah terkena dampak ransomware pada tahun 2022.

Serangan di Berkeley County Schools adalah insiden keenam yang dilaporkan pada tahun 2023.

selengkapnya : therecord.media

Geng Ransomware LockBit Mengklaim Serangan Cyber Royal Mail

by

Operasi ransomware LockBit telah mengklaim cyberattack pada layanan pengiriman surat terkemuka di Inggris, Royal Mail, yang memaksa perusahaan untuk menghentikan layanan pengiriman internasionalnya karena “gangguan layanan yang parah”

Ini terjadi setelah LockBitSupport, perwakilan publik geng ransomware, sebelumnya memberi tahu BleepingComputer bahwa grup cybercrime LockBit tidak menyerang Royal Mail.

Sebaliknya, mereka menyalahkan pelaku penyerabgan lain yang menggunakan pembuat ransomware LockBit 3.0 yang bocor di Twitter pada September 2022.

LockBitSupp gagal menjelaskan mengapa catatan tebusan Royal Mail yang dicetak yang dilihat oleh BleepingComputer menyertakan tautan ke situs negosiasi Tor dan kebocoran data LockBit daripada yang dioperasikan oleh aktor ancaman lain.

Lockbit Black ransom note printer during the attack on Royal Mail (Daniel Card)

Royal Mail belum mengakui bahwa itu berurusan dengan serangan ransomware yang kemungkinan dapat menyebabkan pelanggaran data karena operator ransomware LockBit dikenal mencuri data dan membocorkannya secara online jika permintaan tebusan mereka tidak dipenuhi.

Untuk saat ini, perusahaan tersebut masih menggambarkan serangan tersebut sebagai “insiden dunia maya” dan mengatakan bahwa mereka telah memulihkan beberapa layanan yang terkena dampak serangan tersebut.

sumber : bleepingcomputer

Tim Keamanan Siber, Berhati-hatilah: Dilema Pembela adalah Kebohongan

by

Hampir setiap profesional keamanan pernah mengalami “dilema pembela” dalam karir mereka. Bunyinya seperti ini: “Pembela harus benar setiap saat. Penyerang hanya perlu benar sekali.”

Hal bohong lainnya adalah gagasan bahwa penyerang memiliki semua keuntungan dan bahwa pembela harus pasif dan menunggu sesuatu untuk ditanggapi secara praktis merupakan aksioma keamanan dunia maya.

Mendasarkan strategi keamanan pada dilema pembela HAM akan membahayakan program keamanan. Berawal dari premis yang salah mengarah pada keputusan yang buruk.

Jika mempercayai kebohongan dari dilema pembela, maka ada kebohongan lain yang harus dipercayai juga karena dilema pembela bergantung padanya.

Berikut adalah beberapa kebohongan pembela, yaitu Pertahanan dan pelanggaran terpisah, Pembela harus bertugas 24/7, Pembela harus bermain adil, dan sebagainya.

Selengkapnya: Tech Chrunch+