Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Ransomware ESXiArgs Mencapai Lebih Dari 3.800 Server Saat Hacker Terus Meningkatkan Malware

by

Lebih dari 3.800 server di seluruh dunia telah disusupi dalam serangan ransomware ESXiArgs baru-baru ini, mencakup proses yang ditingkatkan.

Beberapa perkembangan baru dalam kasus serangan tersebut termasuk terkait dengan metode enkripsi yang digunakan oleh malware, korban, dan kerentanan yang dieksploitasi oleh para hacker.

Setelah CISA mengumumkan ketersediaan alat open source tersebut, FBI dan CISA merilis dokumen yang memberikan panduan pemulihan.

Saat ini, mesin pencari Shodan dan Censys menunjukkan 1.600-1.800 server yang diretas dan terdapat indikasi bahwa banyak organisasi yang terkena dampak telah mulai menanggapi serangan tersebut dan membersihkan sistem mereka.

Analisis Reuters menetapkan bahwa para korban termasuk Mahkamah Agung Florida dan universitas di Amerika Serikat dan Eropa.

Analisis malware enkripsi file yang digunakan dalam serangan itu menunjukkan bahwa malware tersebut menargetkan file yang terkait dengan mesin virtual (VM). Para ahli memperhatikan bahwa ransomware lebih menargetkan file konfigurasi VM, tetapi tidak mengenkripsi file datar yang menyimpan data, memungkinkan beberapa pengguna memulihkan data mereka.

Hingga saat ini, ransomware tidak mengenkripsi sebagian besar data dalam file besar, tetapi versi baru malware mengenkripsi data dalam jumlah yang jauh lebih signifikan dalam file besar. Para peneliti juga belum menemukan kekurangan dalam enkripsi yang sebenarnya.

Diasumsikan bahwa serangan ESXiArgs memanfaatkan CVE-2021-21974 untuk akses awal, sebuah kerentanan eksekusi koderemote dengan tingkat keparahan tinggi di VMware ESXi yang ditambal oleh VMware pada Februari 2021.

VMware belum mengonfirmasi eksploitasi itu, tetapi dikatakan bahwa tidak ada bukti kerentanan zero-day yang dimanfaatkan dalam serangan tersebut.

Namun, GreyNoise menunjukkan bahwa beberapa kerentanan terkait OpenSLP telah ditemukan di ESXi dalam beberapa tahun terakhir, dan salah satunya dapat dieksploitasi dalam serangan ESXiArgs, termasuk CVE-2020-3992 dan CVE-2019-5544.

Selengkapnya: Security Week

Australia Akan Menghapus Kamera Pengintai Buatan China, Mengikuti AS

by

Departemen Pertahanan Australia akan mencopot kamera pengintai yang dibuat oleh perusahaan yang terkait dengan Partai Komunis China dari gedung-gedungnya, setelah AS dan Inggris melakukan langkah serupa.

Berdasarkan laporan Surat kabar Australia pada hari Kamis, setidaknya 913 kamera, interkom, sistem entri elektronik, dan perekam video yang dikembangkan dan diproduksi oleh perusahaan China, Hikvision dan Dahua, berada di kantor pemerintah dan lembaga Australia, termasuk Departemen Pertahanan dan Departemen Luar Negeri dan Perdagangan.

Sebagian dari Hikvision dan Dahua dimiliki oleh pemerintah yang dikuasai Partai Komunis China.

Kedutaan Besar China untuk Australia tidak segera menanggapi permintaan komentar. China kemudian memberikan tanggapan umum untuk mempertahankan perusahaan teknologi tinggi mereka sebagai warga korporat yang baik yang mengikuti semua undang-undang setempat dan tidak berperan dalam pengumpulan intelijen pemerintah atau partai.

Pada November, Pemerintah AS dan Inggris serentak melarang peralatan telekomunikasi dan pengawasan video dari beberapa merek China terkemuka termasuk Hikvision dan Dahua dalam upaya melindungi jaringan komunikasi negara.

Sebuah audit menemukan bahwa kamera dan peralatan keamanan Hikvision dan Dahua ditemukan di hampir setiap departemen kecuali Departemen Pertanian dan Departemen Perdana Menteri dan Kabinet.

Juru bicara keamanan dunia maya oposisi, James Paterson, telah mendorong audit dengan mengajukan pertanyaan selama enam bulan dari setiap agen federal, setelah Departemen Dalam Negeri tidak dapat mengatakan berapa banyak kamera, sistem kontrol akses, dan interkom dipasang di gedung-gedung pemerintah.

Selengkapnya: npr

Temui kru spionase Rusia yang produktif yang meretas spymaster dan anggota parlemen

by

Kelompok peretas terkenal yang diduga memiliki hubungan dengan dinas intelijen Rusia telah mengklaim korban terbarunya: anggota parlemen Inggris Stewart McDonald.

McDonald, anggota Parlemen untuk daerah pemilihannya di Glasgow South, mengatakan kepada BBC News bahwa dia khawatir telah menjadi korban kampanye “disinformasi” setelah akun email pribadinya “diretas oleh Rusia”.

McDonald mengatakan para peretas mengirim dokumen yang mengaku menyertakan pembaruan militer di Ukraina, tetapi ketika dibuka berisi halaman phishing yang menipunya untuk memasukkan alamat email dan kata sandinya.

Intrusi tersebut diyakini terkait dengan kelompok peretasan “Seaborgium” yang produktif, juga disebut sebagai “Cold River” dan “Calisto.”

Seaborgium mungkin tidak setenar peretas Fancy Bear atau Sandworm Rusia, tetapi ia dengan cepat membuat nama untuk dirinya sendiri.

Pemerintah Inggris telah memperingatkan upaya “kejam” kelompok itu untuk mengejar korbannya, dan peneliti keamanan mengatakan daftar target geng yang terus bertambah – termasuk politisi, organisasi pertahanan dan pemerintah – menunjukkan bahwa Seaborgium terkait erat dengan negara Rusia.

Kelompok peretasan Seaborgium telah aktif setidaknya sejak 2017 dan dikenal melakukan kampanye spionase dunia maya jangka panjang terhadap negara-negara NATO, khususnya AS dan Inggris, tetapi juga lebih jauh seperti Baltik, Nordik, dan Eropa Timur.

Pusat Intelijen Ancaman Microsoft, atau MSTIC, yang telah melacak grup tersebut sejak awal, menilai bahwa Seaborgium adalah grup yang berbasis di Rusia dengan “tujuan dan viktimologi” yang sejalan erat dengan kepentingan negara Rusia.

Selengkapnya: TechCrunch

Sekarang Setelah Hydra Hilang, Perdagangan Narkoba Jaring Gelap Berbasis Kripto Masih Mencoba untuk Kembali

by

Sebuah laporan Kamis baru oleh perusahaan analisis blockchain Chainalysis mengatakan bahwa pendapatan tahun-ke-tahun dari pasar jaringan gelap dipotong setengahnya.

Pada tahun 2021, aktor jahat dan pengedar narkoba internasional ini menghasilkan $3,1 miliar dalam crypto melalui sumber web gelap ini, tetapi pada tahun 2022, mereka hanya menghasilkan sekitar $1,5 miliar. Dari jumlah itu, $1,3 miliar berasal dari perdagangan narkoba.

Pada bulan April tahun lalu, polisi Jerman mengumumkan bahwa mereka telah bekerja sama dengan badan-badan Departemen Kehakiman AS, termasuk FBI dan Badan Penegakan Narkoba, untuk menjatuhkan jaringan gelap pasar obat-obatan Hydra.

Toko serba berbahasa Rusia untuk obat-obatan terlarang dan alat peretasan sejauh ini merupakan sumber obat-obatan terlarang online terbesar.

Itu sudah ada sejak 2015, dan sejak itu telah terhubung ke proyek crypto lain yang diduga ilegal. Dengan ketinggiannya, ia memiliki 93% cengkeraman pada semua nilai dari ekosistem jaring gelap.

Polisi mengatakan bahwa layanan dark net bertanggung jawab atas penjualan narkoba senilai $1,3 miliar pada tahun 2020 saja.

Laporan Chainalysis mencatat bahwa Hydra Marketplace masih menjadi pasar dengan pendapatan kotor tertinggi pada tahun 2022, meskipun sudah mati lebih awal.

Terlepas dari anggukan situs mati untuk binatang mitos Yunani, bahwa jika Anda memotong satu kepala, dua tumbuh di tempatnya, tidak ada pasar obat lain yang mengalahkan pendapatan empat bulan Hydra yang memimpin sepanjang tahun.

Selengkapnya: GIZMODO

AS, Inggris memberikan sanksi kepada peretas Rusia dalam serangan ransomware

by

Amerika Serikat dan Inggris pada hari Kamis bersama-sama memberikan sanksi kepada tujuh peretas yang terkait dengan pemerintah Rusia yang terkait dengan serangan ransomware terhadap infrastruktur penting di AS, Inggris, dan Ukraina.

Sanksi tersebut merupakan upaya terbaru oleh negara-negara Barat untuk menindak operasi peretasan Rusia, yang melonjak dalam setahun terakhir sebagai akibat dari invasi Rusia ke Ukraina dan meningkatnya ketegangan dengan Barat.

Ketujuh orang Rusia yang dijatuhi sanksi — Vitaly Kovalev, Maksim Mikhailov, Valentin Karyagin, Mikhail Iskritskiy, Dmitry Pleshevskiy, Ivan Vakhromeyev, dan Valery Sedletski — semuanya diduga oleh Departemen Keuangan AS sebagai anggota kelompok penjahat dunia maya Trickbot yang berbasis di Rusia. Mereka diduga berada di balik serangan terhadap infrastruktur kritis, termasuk rumah sakit di AS dan Inggris selama pandemi Covid-19, dan terkait dengan dinas intelijen Rusia.

Selain itu, Trickbot dikaitkan oleh IBM tahun lalu dengan serangan dunia maya pada tahun 2022 terkait dengan perang yang ditujukan pada pemerintah Ukraina dan kelompok sektor swasta dan, menurut Departemen Keuangan, juga diduga menargetkan pemerintah AS dan perusahaan AS.

“Amerika Serikat dan Inggris adalah pemimpin dalam perang global melawan kejahatan dunia maya dan berkomitmen untuk menggunakan semua alat yang tersedia untuk mempertahankan diri dari ancaman dunia maya,” kata Menteri Luar Negeri Antony Blinken dalam sebuah pernyataan Kamis. “Saat perang ilegal Rusia melawan Ukraina berlanjut, kerja sama dengan sekutu dan mitra kami menjadi lebih penting dari sebelumnya untuk melindungi keamanan nasional kami.”

Selengkapnya: POLITICO

Screentime: Terkadang Rasanya Seperti Seseorang Mengawasi Saya

by

Sejak Oktober 2022 dan berlanjut hingga Januari 2023, Proofpoint telah mengamati sekelompok aktivitas yang termotivasi secara finansial yang berkembang yang kami sebut sebagai “Screentime”.

Rantai serangan dimulai dengan email yang berisi lampiran atau URL berbahaya dan mengarah ke malware yang dijuluki Proofpoint WasabiSeed dan Screenshotter. Dalam beberapa kasus, Proofpoint mengamati aktivitas pasca eksploitasi yang melibatkan AHK Bot dan Rhadamanthys Stealer.

Proofpoint sedang melacak aktivitas ini di bawah penunjukan aktor ancaman TA866. Proofpoint menilai bahwa TA866 adalah aktor terorganisir yang mampu melakukan serangan yang dipikirkan dengan baik dalam skala besar berdasarkan ketersediaan alat khusus; kemampuan dan koneksi untuk membeli alat dan layanan dari vendor lain; dan meningkatkan volume aktivitas.

Pada tanggal 23-24 Januari 2023, Proofpoint mengamati puluhan ribu pesan email yang menargetkan lebih dari seribu organisasi. Pesan menargetkan organisasi di AS dan Jerman. Email tersebut tampaknya menggunakan pembajakan utas, iming-iming “periksa presentasi saya”, dan berisi URL jahat yang memulai rantai serangan multi-langkah.

Selengkapnya: proofpoint

Panduan Pemulihan Mesin Virtual Menggunakan ESXiArgs-Recover

by

ESXiArgs-Recover merupakan alat untuk memungkinkan organisasi mencoba memulihkan mesin virtual yang terkena serangan ransomware ESXiArgs.

Beberapa organisasi telah melaporkan keberhasilan pemulihan file tanpa membayar uang tebusan. Mengetahui hal tersebut, CISA menyusun alat berdasarkan sumber daya yang tersedia untuk umum, termasuk tutorial oleh Enes Sonmez dan Ahmet Aykac.

ESXiArgs-Recover bekerja dengan merekonstruksi metadata mesin virtual dari disk virtual yang tidak dienkripsi oleh malware.

Berikut Panduan Pemulihan Mesin Virtual ESXiArgs Ransomware CISA.

Peringatan
Skrip ESXiArgs CISA didasarkan pada temuan yang diterbitkan oleh peneliti pihak ketiga. Setiap organisasi harus berhati-hati jika menggunakan skrip pemulihan ESXiArgs CISA.

CISA tidak mendukung produk atau layanan komersial apa pun, termasuk subjek analisis apa pun dan tidak bertanggung jawab atas kerusakan yang disebabkan oleh skrip ini.

Langkah Pemulihan Mesin Virtual
1. Unduh skrip ESXiArgs dan simpan sebagai “/tmp/recover.sh”
2. Beri izin eksekusi skrip “chmod +x /tmp/recover.sh”
3. Arahkan ke folder mesin virtual yang ingin di decrypt
4. Jalankan “ls”, lihat file, dan catat nama VMnya
5. Jalankan skrip pemulihan dengan “/tmp/recover.sh [nama vm]”. Jalankan “/tmp/recover.sh [nama] thin” jika mesin virtual berformat tipis
6. Jika berhasil, skrip decryptor akan menampilkan tanda berhasil dijalankan. Jika, mungkin mesin virtual tidak dapat dipulihkan.
7. Jika skrip berhasil, mendaftarkan ulang mesin virtual.
8. Mendaftarkan ulang mesin virtual.
9. Lakukan langkah berikut jika web ESXi tidak dapat diakses.
– “cd /usr/lib/vmware/hostd/docroot/ui/ && mv index.html ransom.html && mv index1.html index.html”
– “cd /usr/lib/vmware/hostd/docroot && mv index.html ransom.html && rm index.html & mv index1.html index.html”
– Reboot server ESXi.
10. Klik kanan pada VM dan pilih “Batalkan Pendaftaran” jika VM yang dipulihkan sudah ada.
11. Pilih “Buat / Daftarkan VM”.
12. Pilih “Daftarkan mesin virtual yang ada”.
13. Klik “Pilih satu atau lebih mesin virtual, penyimpanan data, atau direktori” untuk menavigasi ke folder VM yang di pulihkan. Pilih file vmx di folder.
14. Pilih “Selanjutnya” dan “Selesai”.

Proyek ini berada dalam domain publik di Amerika Serikat, dan hak cipta serta hak terkait dalam karya di seluruh dunia dibebaskan melalui dedikasi domain publik Universal CC0 1.0.

Selengkapnya: GitHub

QNAP Mundur Pada Cakupan Bug NAS Kritis

by

Dampak dari bug kritis yang awalnya diyakini dapat membuka 30.000 perangkat QNAP network-attached storage (NAS) untuk menyerang, kemungkinan besar dilebih-lebihkan. Para peneliti sekarang mengatakan bug injeksi kode arbitrer QNAP, dengan skor CVSS 9,8, menimbulkan sedikit ancaman bagi pengguna QNAP.

Para peneliti di Censys, yang melaporkan minggu lalu bahwa 98% perangkat QNAP (QTS 5.0.1 dan QuTS hero h5.0.1), mewakili lebih dari 30.000 instans yang sedang digunakan, tidak ditambal dan rentan terhadap serangan melalui internet. Censys sekarang memberi tahu SC Media bahwa karena QNAP kemungkinan gagal mengidentifikasi kisaran model NAS yang terpengaruh dengan benar, tidak ada perangkat perusahaan yang tampak rentan terhadap serangan melalui bug kritis (CVE-2022-27596).

Marc Light, wakil presiden ilmu data dan penelitian di Censys, mengatakan para peneliti membangun pengamatan mereka pada apa yang diposting QNAP di lampiran yang dikodekan JSON, bersama dengan penasehat NVD dari NIST.

Parkin menambahkan apapun yang terjadi dalam kasus ini, solusinya tidak berubah. Dia setuju dengan Censys bahwa perusahaan harus mengaktifkan fitur pembaruan otomatis. Parkin juga mengatakan perusahaan harus melakukan pemindaian kerentanan secara teratur, melakukan tes pena jika mereka mampu membayar biaya beberapa ribu dolar, dan mengikuti praktik terbaik.

“Yang saya maksud di sini adalah untuk perusahaan yang melakukan layanan media dan menjalankan transfer file agar tidak membuka fungsi admin ke internet publik,” kata Parkin. “Uji pena bisa bagus, tetapi sebagian besar bisnis kecil tidak memiliki sumber daya untuk membelinya.”

Penyimpanan yang terhubung ke jaringan QNAP cenderung digunakan oleh profesional TI dan pembuat konten serta profesional media di perusahaan dengan karyawan di bawah 1.000. Profesional TI menggunakan QNAP NAS untuk menambahkan lebih banyak penyimpanan atau mencadangkan server, dan profesional media menggunakan QNAP NAS untuk menyimpan dan memproses file video dan audio berukuran besar.

selengkapnya : scmagazine