Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Pemecah Rekor 71 Juta RPS DDoS Attack Dilihat oleh Cloudflare

by

Cloudflare selama akhir pekan memitigasi serangan DDoS yang memecahkan rekor yang memuncak pada 71 juta permintaan per detik (RPS).

Perusahaan perlindungan web tersebut selama akhir pekan memitigasi serangan denial-of-service (DDoS) terdistribusi yang memecahkan rekor yang memuncak pada 71 juta permintaan per detik (RPS).

Cloudflare mengidentifikasi dan memitigasi lusinan serangan DDoS pada akhir minggu lalu, yang sebagian besar memuncak antara 50-70 juta RPS.

Serangan HTTP DDoS terdiri dari sejumlah besar permintaan HTTP yang diarahkan ke situs web yang ditargetkan, menargetkan situs web perusahaan cryptocurrency, platform komputasi awan, penyedia game, dan penyedia hosting.

Jika jumlah permintaan cukup tinggi, server tidak lagi dapat memprosesnya, dan situs web menjadi tidak responsif.

Perusahaan mencatat bahwa frekuensi, ukuran, dan kecanggihan serangan DDoS terus meningkat selama beberapa tahun terakhir. Jumlah serangan HTTP DDoS yang diamati pada tahun 2022 hampir dua kali lipat dibandingkan tahun 2021.

Selengkapnya: Security Week

LockBit Merilis seluruh Riwayat Negosiasi dengan Royal Mail, Tebusan Ditetapkan £65 Juta

by

Kebocoran tersebut menawarkan wawasan yang langka dan unik tentang taktik negosiasi LockBit dan NCSC Inggris, mengungkapkan permintaan uang tebusan sebesar $80 juta (£65,7 juta).

Negosiasi berlangsung pada 12 Januari hingga 9 Februari. Transkrip lengkap negosiasi juga menawarkan jendela ke taktik negosiasi Pusat Keamanan Siber Nasional (NCSC) dan Badan Kejahatan Nasional (NCA), yang keduanya dipastikan terlibat dalam penyelidikan.

Negosiator penjahat siber menyoroti bagaimana ini delapan kali lebih murah daripada biaya denda peraturan di Inggris.

Royal Mail International sejak awal negosiasi mencoba mendapatkan LockBit untuk membuktikan bahwa decryptornya bekerja pada file besar setelah mengatakan bahwa manajemen organisasi tidak yakin akan melakukannya, dan hanya akan mendekripsi file kecil jika akhirnya membayar.

Taktik pertama yang dicobanya adalah meyakinkan LockBit untuk mendekripsi dua file yang bersama-sama akan menjadi ukuran file 6GB.

Royal Mail International mengatakan kedua file tersebut akan memungkinkan untuk melanjutkan pengiriman pasokan medis yang mendesak.

Melalui negosiasi yang panjang, pada akhirnya LockBit mengirimkan pesan terakhirnya “Apakah Anda punya penawaran untuk saya” pada 9 Februari.

Tampaknya Royal Mail International tidak membayar, atau pernah mempertimbangkan untuk membayar uang tebusan, yang ditetapkan oleh LockBit.

LockBit telah dikenal karena ‘aksi PR’ di masa lalu, sebelumnya mengklaim serangan terhadap Mandiant dan Thales, yang keduanya tidak asli.

Mengonfirmasi “insiden siber”, Royal Mail awalnya mengatakan operasi pengiriman internasionalnya sangat terganggu.

Royal Mail tidak pernah mengonfirmasi bahwa insiden siber yang dideritanya bersifat ransomware atau bahkan ‘serangan’, meskipun sumber berbicara ke beberapa outlet berita yang mengonfirmasi bahwa memang demikian.

Pusat Keamanan Siber Nasional (NCSC) dan Badan Kejahatan Nasional (NCA) mengonfirmasi bahwa mereka adalah bagian dari penyelidikan atas serangan tersebut.

Selengkapnya: ITPro.

Atlassian mengatakan karyawan, info perusahaan dicuri dari aplikasi pihak ketiga

by

Data yang terkait dengan $44 miliar perusahaan perangkat lunak Atlassian dicuri dari aplikasi pihak ketiga, perusahaan mengkonfirmasi pada hari Kamis, setelah peretas menerbitkan banyak informasi di Telegram.

Seorang juru bicara Atlassian mengatakan kepada The Record bahwa Envoy, sebuah aplikasi yang membantu perusahaan mengatur ruang kantor, telah disusupi dan Atlassian baru mengetahui pelanggaran tersebut pada hari Rabu.

Juru bicara itu mengatakan data pelanggan dan produk tidak dapat diakses melalui aplikasi, tetapi informasi yang dicuri tampaknya mencakup catatan karyawan, denah bangunan, dan lainnya.

Dalam sebuah pernyataan kepada The Record, juru bicara Utusan membantah bahwa pelanggaran tersebut melibatkan kompromi sistem mereka.

“Penelitian awal kami menunjukkan bahwa seorang peretas memperoleh akses ke kredensial valid karyawan Atlassian untuk melakukan pivot dan mengakses direktori karyawan Atlassian dan denah lantai kantor yang disimpan dalam aplikasi Envoy,” kata juru bicara itu.

Envoy memiliki lusinan pelanggan terkenal termasuk Slack, Pinterest, Golden State Warriors, Salvation Army, Hulu, dan Lululemon.

Peretasan terungkap pada 15 Februari ketika sebuah kelompok yang menamakan dirinya SiegedSec memposting di Telegram mengklaim telah meretas raksasa teknologi itu bersama foto-foto catatan.

SiegedSec mengejek Atlassian dengan beberapa pesan bertema Hari Valentine yang terkait dengan dokumen yang dicuri.

“Keselamatan Atlassians adalah prioritas kami, dan kami bekerja dengan cepat untuk meningkatkan keamanan fisik di seluruh kantor kami secara global. Kami secara aktif menyelidiki insiden ini dan akan terus memberikan pembaruan kepada karyawan saat kami mempelajari lebih lanjut, ”kata juru bicara Atlassian.

Selengkapnya: The Record

Peretas membuka pintu belakang server Microsoft IIS dengan malware Frebniis baru

by

Peretas menyebarkan malware baru bernama ‘Frebniss’ di Layanan Informasi Internet (IIS) Microsoft yang diam-diam mengeksekusi perintah yang dikirim melalui permintaan web.

Frebniis ditemukan oleh Tim Pemburu Ancaman Symantec, yang melaporkan bahwa aktor ancaman tak dikenal saat ini menggunakannya untuk melawan target yang berbasis di Taiwan.

Microsoft IIS adalah perangkat lunak server web yang berfungsi sebagai server web dan platform hosting aplikasi web untuk layanan seperti Outlook di Web untuk Microsoft Exchange.

Dalam serangan yang dilihat oleh Symantec, peretas menyalahgunakan fitur IIS yang disebut ‘Failed Request Event Buffering’ (FREB), yang bertanggung jawab untuk mengumpulkan metadata permintaan (alamat IP, header HTTP, cookie). Tujuannya adalah untuk membantu admin server memecahkan masalah kode status HTTP yang tidak terduga atau meminta masalah pemrosesan.

Malware menyuntikkan kode berbahaya ke dalam fungsi tertentu dari file DLL yang mengontrol FREB (“iisfreb.dll”) untuk memungkinkan penyerang mencegat dan memantau semua permintaan HTTP POST yang dikirim ke server ISS. Saat malware mendeteksi permintaan HTTP tertentu yang dikirim penyerang, ia mem-parsing permintaan untuk menentukan perintah apa yang akan dijalankan di server.

Symantec mengatakan bahwa pelaku ancaman pertama-tama harus menembus server IIS untuk mengkompromikan modul FREB, tetapi mereka tidak dapat menentukan metode yang digunakan untuk mendapatkan akses pada awalnya.

Kode yang disuntikkan adalah pintu belakang .NET yang mendukung proksi dan eksekusi kode C# tanpa pernah menyentuh disk, membuatnya benar-benar tersembunyi. Itu mencari permintaan yang dibuat ke halaman logon.aspx atau default.aspx dengan parameter kata sandi tertentu.

Parameter HTTP kedua, yang merupakan string yang disandikan base64, menginstruksikan Frebniis untuk berkomunikasi dan menjalankan perintah pada sistem lain melalui IIS yang disusupi, yang berpotensi menjangkau sistem internal yang dilindungi yang tidak terpapar ke internet.

Selengkapnya: Bleeping Computer

Malware ‘Beep’ Tersembunyi Baru, Berfokus pada Menghindari Deteksi

by

Ditemukan oleh analis di Minerva setelah sejumlah besar sampel diunggah ke VirusTotal, malware ‘Beep’ menampilkan banyak fitur untuk menghindari analisis dan deteksi oleh perangkat lunak keamanan.

Meskipun masih dalam pengembangan dan kehilangan beberapa fitur utama, saat ini ‘Beep’ memungkinkan pelaku ancaman untuk mengunduh dan mengeksekusi muatan lebih lanjut pada perangkat yang disusupi dari jarak jauh.

Pencuri Info Baru sedang Dibuat
Beep adalah malware pencuri informasi yang menggunakan tiga komponen terpisah yaitu penetes, injektor, dan muatan.

Penetes (“big.dll”) membuat kunci registri baru dengan nilai ‘AphroniaHaimavati’ yang berisi skrip PowerShell yang disandikan base64. Skrip PowerShell ini diluncurkan setiap 13 menit menggunakan tugas terjadwal Windows.

Langkah akhirnya adalah muatan utama mencoba mengumpulkan data dari mesin yang disusupi, mengenkripsinya, dan mengirimkannya ke C2. Selama analisis Minerva, alamat C2 yang di-hardcode sedang offline, tetapi malware mencoba melakukan koneksi bahkan setelah 120 percobaan gagal.

Mengumpulkan data dari sistem yang dilanggar (Minerva)
Mengumpulkan data dari sistem yang dilanggar (Minerva)

Meski terbatas, Minerva masih dapat mengidentifikasi fungsi-fungsi dalam sampel yang dipicu oleh perintah C2.

Selain teknik penghindaran, komponen injektor sendiri juga menerapkan teknik penghindaran.

Penyederhanaan string (Minerva)
Penyederhanaan string (Minerva)

‘Beep’ adalah contoh malware yang sangat berfokus pada penghindaran, setelah menerapkan beberapa mekanisme anti-analisis sebelum menyelesaikan kumpulan fitur lengkap untuk pencurian data dan pelaksanaan perintah.

Selengkapnya: BleepingComputer

Dragos: Serangan Ransomware pada Infrastruktur Industri Meningkat 2x Lipat pada Tahun 2022

by

Dragos melacak lebih dari 600 serangan ransomware tahun lalu yang mempengaruhi infrastruktur industri dengan hampir tiga perempatnya menargetkan sektor manufaktur.

Berbagai macam sektor yang terkena Serangan Ransomware
Berbagai macam sektor yang terkena Serangan Ransomware

Terdapat peningkatan 35% dalam upaya ransomware melawan teknologi operasional (OT) dan sistem kontrol industri (ICS) dalam serangan tersebut.

Sejumlah 437 entitas manufaktur terkena ransomware, termasuk 42 serangan terhadap perusahaan produk logam, 37 pada bisnis otomotif dan lebih dari 20 pada plastik, peralatan industri, bahan bangunan dan perusahaan elektronik atau semikonduktor.

Daftar lainnya mencakup serangan terhadap perusahaan yang bergerak di bidang kedirgantaraan, furnitur, kosmetik, bahan kimia, pakaian, peralatan medis, kertas, dan lainnya.
gambar-Serangan Ransomware?

Dominasi LockBit
LockBit menjadi dominan karena merupakan grup RaaS terkemuka yang menyediakan software kepada operator yang meluncurkan serangan sebenarnya dengan imbalan sebagian dari uang tebusan.
gambar

Dragos menilai dengan keyakinan moderat bahwa LockBit 3.0 akan terus menargetkan organisasi industri dan akan menimbulkan ancaman bagi operasi industri hingga tahun 2023.
Grup insiden Ransomware

Terdapat peningkatan tajam dalam jumlah kerentanan dan masalah teknis yang ditemukan oleh perusahaan keamanan seperti Dragos bersamaan dengan evolusinya beberapa grup ransomware.

Menurut Dragos, kemungkinan ransomware akan terus mengganggu operasi industri, baik melalui lingkungan OT yang salah kelola yang memungkinkan ransomware menyebar atau melalui penghentian pencegahan lingkungan tersebut untuk mencegah ransomware mencapai sistem tersebut.

Selengkapnya: The Record

Tonga, Negara Kepulauan Pasifik Terbaru yang terkena Ransomware

by

Tonga Communications Corporation (TCC), salah satu perusahaan telekomunikasi di Tonga terkena Ransomware dan mereka menerbitkan pemberitahuan di Facebook bahwa itu dapat memperlambat operasi administrasi.

Perusahaan itu mengkonfirmasi bahwa serangan ini tidak mempengaruhi pengiriman layanan suara dan internet kepada pelanggan, namun dapat memperlambat proses menghubungkan pelanggan baru, pengiriman tagihan, dan mengelola pertanyaan pelanggan.

Pihaknya bekerja sama dengan perusahaan keamanan untuk mengurangi dampak negatif dari malware ini.

TCC mengontrol semua saluran telepon tetap dan memiliki 70% pangsa pasar dial up dan internet broadband. Dengan lebih dari 300 karyawan, perusahaan mengelola sekitar setengah dari layanan ponsel melalui layanan UCall.

TCC adalah organisasi pemerintah pulau kecil terbaru yang diserang oleh penjahat dunia maya. Pulau Guadeloupe Prancis diserang pada bulan November dan pemerintah Vanuatu dimatikan setelah serangan ransomware.

Serangan itu melumpuhkan operasi parlemen, polisi, dan kantor perdana menteri Vanuatu, dan mematikan hampir semua alat digital yang digunakan oleh sekolah, rumah sakit, dan layanan pemerintah negara itu.

Selengkapnya: The Record

Hacker Membuat Mode Game Dota 2 Berbahaya untuk Mengakses Sistem Pemain Secara Diam-diam

by

Seorang aktor ancaman tidak dikenal menciptakan mode permainan berbahaya untuk video game Dota 2 multiplayer online battle arena (MOBA) yang dapat dieksploitasi untuk membuat akses backdoor ke sistem pemain.

Dilacak sebagai CVE-2021-38003 (skor CVSS: 8,8), mode mengeksploitasi kelemahan tingkat tinggi di mesin JavaScript V8 yang dieksploitasi sebagai hari nol dan ditangani oleh Google pada Oktober 2021.

Penerbit game mengirimkan perbaikan pada 12 Januari 2023 dengan meningkatkan versi V8, menyusul pengungkapan bertanggung jawab kepada Valve.

Mode permainan jahat yang ditemukan oleh vendor berhasil lolos dari celah pada saat menerbitkan mode permainan khusus ke toko Steam mencakup proses pemeriksaan dari Valve.

Tertanam di dalam “ttest addon plz ignore” merupakan exploit untuk cacat V8 yang dapat dipersenjatai untuk mengeksekusi kode shell khusus.

Sementara tiga lainnya mengambil pendekatan yang lebih rahasia karena kode berbahaya dirancang untuk menjangkau server jarak jauh untuk mengambil muatan JavaScript di, yang juga kemungkinan akan mengeksploitasi CVE-2021-38003 sejak server tidak lagi dapat dijangkau.

Selengkapnya: The Hacker News