Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Driver Kernel Windows Berbahaya yang Digunakan Dalam Serangan Ransomware BlackCat

by

Grup ransomware ALPHV alias BlackCat diamati menggunakan driver kernel Windows berbahaya yang ditandatangani untuk menghindari deteksi oleh perangkat lunak keamanan selama serangan.

Trend Micro melihat penggerak versi perbaikan dari malware ‘POORTRY’ yang ditemukan Microsoft, Mandiant, Sophos, dan SentinelOne dalam serangan ransomware akhir tahun lalu.

Malware POORTRY adalah driver kernel Windows yang ditandatangani menggunakan kunci curian milik akun yang sah di Program Pengembang Perangkat Keras Windows Microsoft.

Driver jahat ini digunakan oleh grup peretasan UNC3944 atau 0ktapus dan Scattered Spider, untuk menghentikan perangkat lunak keamanan yang berjalan di perangkat Windows agar terhindar dari deteksi.

Hacker menyebarkan versi terbaru dari driver kernel POORTRY yang ditandatangani menggunakan sertifikat tanda tangan silang yang dicuri atau bocor.

Driver baru yang digunakan oleh operasi ransomware BlackCat membantu mereka meningkatkan hak istimewa mereka pada mesin yang dikompromikan dan kemudian menghentikan proses yang berkaitan dengan agen keamanan.

Hal ini juga dapat memberikan tautan longgar antara geng ransomware dan grup peretasan UNC3944/Scattered Spider.

Driver bertanda tangan yang dilihat oleh Trend Micro pada Februari 2023 Serangan BlackCat adalah ‘ktgn.sys,’ dimasukkan ke sistem file korban di folder %Temp% dan kemudian dimuat oleh program mode pengguna bernama ‘tjr.exe.’

Administrator sistem disarankan untuk menggunakan indikator penyusupan yang dibagikan oleh Trend Micro dan menambahkan driver jahat yang digunakan oleh pelaku ransomware ke daftar blokir driver Windows.

Kemudian Admin Windows harus memastikan bahwa ‘Driver Signature Enforcement’ diaktifkan, yang memblokir penginstalan driver apa pun yang tidak memiliki tanda tangan digital yang valid.

Selengkapnya: BleepingComputer

Ancaman Ransomware Semakin Meningkat, dan Semakin Banyak Menargetkan Perangkat Microsoft

by

Peretas mengeksploitasi ribuan kelemahan. Serangan ransomware tidak pernah sepopuler ini, laporan baru dari peneliti keamanan siber Securin, Ivanti, dan Cyware menyatakan.

Grup ransomware baru muncul terus-menerus dan kerentanan baru yang dieksploitasi ditemukan hampir setiap hari. Produk Microsoft adalah yang paling diminati untuk menjadi sasaran.

Secara umum, penyerang kini menargetkan lebih dari 7.000 produk yang dibuat oleh 121 vendor, semuanya digunakan oleh bisnis dalam operasi sehari-hari mereka. Sebagian besar milik Microsoft, yang memiliki 135 kerentanan terkait dengan ransomware, klaim para peneliti.

Sebanyak 59 kerentanan ada rantai pembunuh MITRE ATT&CK lengkap, mencakup dua kelemahan baru. Sementara 18 kelemahan tidak ditandai oleh program antivirus.

Jumlah kerentanan yang ditemukan dalam perangkat lunak open source (OSS) juga terus bertambah. Saat ini terdapat 119 kelemahan yang terkait dengan serangan ransomware. Karena OSS digunakan oleh semakin banyak perusahaan, para peneliti menyimpulkan bahwa ini adalah kekhawatiran yang sangat mendesak.

Selengkapnya: techradar.pro

3 Akun Vektor Serangan Awal Umum untuk Sebagian Besar Kampanye Ransomware

by

Sebagian besar penyerang ransomware menggunakan salah satu dari tiga vektor utama untuk menyusupi jaringan dan mendapatkan akses ke sistem dan data penting organisasi.

Vektor paling signifikan dalam serangan ransomware yang berhasil pada tahun 2022, misalnya, melibatkan eksploitasi aplikasi publik, yang menyumbang 43% dari semua pelanggaran, diikuti oleh penggunaan akun yang dikompromikan (24%) dan email berbahaya (12%). , menurut laporan Kaspersky yang baru dirilis, “The Nature of Cyber Incidents.”

Eksploitasi aplikasi dan email jahat menurun sebagai bagian dari semua serangan dibandingkan tahun sebelumnya, sementara penggunaan akun yang disusupi meningkat dari 18% pada tahun 2021.

Intinya: Menggandakan vektor serangan yang paling umum bisa sangat membantu untuk mencegah serangan ransomware. “Banyak perusahaan bukan target awal penyerang tetapi memiliki keamanan TI yang lemah dan [memungkinkan mereka] diretas dengan mudah, jadi penjahat dunia maya mengambil kesempatan ini,” kata Konstantin Sapronov, kepala tim tanggap darurat global di Kaspersky. “Jika kita melihat tiga vektor awal teratas, yang bersama-sama menyumbang hampir 80% dari semua kasus, kita dapat menerapkan beberapa tindakan defensif untuk menguranginya, dan sangat membantu untuk mengurangi kemungkinan menjadi korban.”

selengkapnya : darkreading.com

Aplikasi Fake Steam Desktop Authenticator mendistribusikan DarkCrystal RAT

by

Baru-baru ini saya menemukan kampanye menarik yang menggunakan situs web palsu untuk mendistribusikan malware. Meski TTP ini bukan barang baru, namun sepertinya sedang naik daun. Secara anekdot, saya telah melihatnya dalam banyak kasus di tahun 2023 lebih dari sebelumnya. Sulit untuk mengukur tanpa melakukan penelitian ekstensif, setidaknya ini adalah sesuatu yang harus diperhatikan oleh analis lain.

Tersangka penjahat dunia maya yang berbasis di Rusia memutuskan untuk mengkloning situs web aplikasi desktop sumber terbuka yang sah (lihat di sini) yang disebut Steam Desktop Authenticator (SDA) yang merupakan versi desktop yang nyaman dari aplikasi autentikator seluler. Namun, untuk kenyamanan itu, ada harga – penipuan peniruan dan pembajakan akun. Repo GitHub dari aplikasi SDA juga memiliki peringatan kepada orang lain tentang versi palsu yang beredar.

Pelaku ancaman yang mendistribusikan SDA versi palsu menggunakan dua teknik yang efektif jika dipasangkan bersama: Kloning Situs dan Typosquatting.

Kloning Situs melibatkan penyalinan semua HTML, CSS, JavaScript, PHP, dll, kode dari satu situs web dan menghostingnya kembali di server web Anda sendiri. Oleh karena itu terlihat sama dan bertindak sama. Semua tombol di situs itu juga berfungsi seperti aslinya dan akan mengarahkan Anda dari situs palsu ke halaman lain di situs asli.

Typosquatting melibatkan pendaftaran domain yang mirip dengan target. Oleh karena itu, ketika pengguna mengunjungi situs atau disajikan dengan URL, mereka kemudian harus secara sadar memperhatikan domain di URL untuk mengetahui bahwa itu bukan yang asli, misalnya, github.com.

selengkapnya : blog.bushidotoken.net

Asus Meminta Maaf Atas Maintenance Error Berdampak pada Konektivitas Router

by

ASUS telah meminta maaf kepada pelanggannya atas kesalahan pemeliharaan keamanan sisi server yang telah menyebabkan berbagai model router yang terkena dampak kehilangan konektivitas jaringan.

Masalahnya telah dilaporkan secara luas di media sosial dan platform diskusi sejak 16 Mei 2023, dengan orang-orang tampak bingung dengan masalah konektivitas simultan pada beberapa router ASUS dan yang lainnya mengeluh tentang kurangnya komunikasi dari sisi vendor.

Seperti yang dijelaskan oleh pembuat perangkat keras Taiwan dalam pernyataan yang diterbitkan hari ini dan melalui buletin keamanan, masalahnya disebabkan oleh kesalahan dalam konfigurasi file pengaturan server.

“Selama pemeliharaan keamanan rutin, tim teknis kami menemukan kesalahan dalam konfigurasi file pengaturan server kami, yang berpotensi menyebabkan gangguan konektivitas jaringan pada sebagian router,” jelas ASUS dalam buletin dukungan.

Pernyataan masalah konektivitas router ASUS

Sementara pernyataan perusahaan tidak secara eksplisit menyatakan jenis kesalahan apa yang terjadi dan bagaimana tepatnya hal itu berdampak pada router jarak jauh, seorang pengguna di Reddit menjelaskan bahwa masalah konektivitas disebabkan oleh file definisi yang rusak untuk ASD (ASUS AiProtection).

Namun, komponen ini diperbarui terlepas dari apakah pengguna mengaktifkan pembaruan keamanan (firmware) otomatis di perangkat mereka atau tidak.

Dilaporkan, file definisi yang rusak untuk ASD secara otomatis didorong ke semua router yang terkena dampak, menyebabkan mereka kehabisan ruang dan memori sistem file dan akhirnya macet.

selengkapnya : bleepingcomputer.com

Ransomware MalasLocker menargetkan server Zimbra, menuntut sumbangan amal

by

Catatan tebusan berisi alamat email untuk menghubungi pelaku ancaman atau URL TOR yang menyertakan alamat email terbaru untuk grup tersebut. Catatan itu juga memiliki bagian teks yang disandikan Base64 di bagian bawah yang diperlukan untuk menerima dekripsi, yang akan kita bahas lebih detail nanti di artikel.

Meskipun catatan tebusan tidak berisi tautan ke situs kebocoran data geng ransomware, analis ancaman Emsisoft Brett Callow menemukan tautan ke situs kebocoran data mereka, dengan judul, “Somos malas… podemos ser peores,” diterjemahkan menjadi, ” Kami buruk… kami bisa lebih buruk.”

Situs kebocoran data MalasLocker saat ini mendistribusikan data yang dicuri untuk tiga perusahaan dan konfigurasi Zimbra untuk 169 korban lainnya.

Halaman utama situs kebocoran data itu juga berisi pesan panjang berisi emoji yang menjelaskan apa yang mereka perjuangkan dan uang tebusan yang mereka butuhkan.

“Kami adalah grup ransomware baru yang telah mengenkripsi komputer perusahaan untuk meminta mereka menyumbangkan uang kepada siapa pun yang mereka inginkan,” demikian bunyi situs kebocoran data MalasLocker.

“Kami meminta mereka memberikan donasi ke organisasi nirlaba pilihan mereka, lalu menyimpan email yang mereka terima untuk mengonfirmasi donasi dan mengirimkannya kepada kami sehingga kami dapat memeriksa tanda tangan DKIM untuk memastikan email tersebut asli.”

Tuntutan tebusan ini sangat tidak biasa dan, jika jujur, menempatkan operasi lebih ke ranah hacktivisme.

Namun, BleepingComputer belum menentukan apakah pelaku ancaman menepati janjinya ketika korban menyumbangkan uang untuk amal bagi dekripsi.

selengkapnya : bleepingcomputer.com

Pertarungan A.I. Selesai, Meta Memutuskan untuk Memberikan Permata Mahkotanya

by Leave a Comment

Pada bulan Februari, Meta membuat langkah yang tidak biasa di dunia kecerdasan buatan yang berkembang pesat: Meta memutuskan untuk memberikan A.I. permata mahkota.

Raksasa Lembah Silikon, yang memiliki Facebook, Instagram, dan WhatsApp, telah menciptakan A.I. teknologi, yang disebut LLaMA, yang dapat mendukung chatbot online. Tapi alih-alih menyimpan teknologi itu sendiri, Meta merilis kode komputer yang mendasari sistem ke alam liar. Akademisi, peneliti pemerintah, dan lainnya yang memberikan alamat email mereka ke Meta dapat mengunduh kode setelah perusahaan memeriksa individu tersebut.

Intinya, Meta memberikan A.I. teknologi sebagai perangkat lunak sumber terbuka — kode komputer yang dapat disalin, dimodifikasi, dan digunakan kembali secara bebas — menyediakan semua yang dibutuhkan pihak luar untuk membuat chatbot mereka sendiri dengan cepat.
“Platform yang akan menang adalah yang terbuka,” Yann LeCun, kepala Meta A.I. ilmuwan, kata dalam sebuah wawancara.

Sebagai perlombaan untuk memimpin A.I. memanas di Silicon Valley, Meta berdiri keluar dari para pesaingnya dengan mengambil pendekatan yang berbeda untuk teknologi. Didorong oleh pendiri dan kepala eksekutifnya, Mark Zuckerberg, Meta percaya bahwa hal paling cerdas untuk dilakukan adalah membagikan A.I. mesin sebagai cara untuk menyebarkan pengaruhnya dan akhirnya bergerak lebih cepat menuju masa depan.

Tindakannya kontras dengan tindakan Google dan OpenAI, dua perusahaan yang memimpin A.I. perlombaan senjata. Khawatir bahwa A.I. alat seperti chatbots akan digunakan untuk menyebarkan disinformasi, ujaran kebencian, dan konten beracun lainnya, perusahaan tersebut menjadi semakin tertutup tentang metode dan perangkat lunak yang mendukung A.I. produk.

Google, OpenAI, dan lainnya mengkritik Meta, mengatakan bahwa pendekatan sumber terbuka yang tidak terkekang itu berbahaya. Peningkatan pesat AI dalam beberapa bulan terakhir telah menimbulkan peringatan tentang risiko teknologi, termasuk bagaimana hal itu dapat menjungkirbalikkan pasar kerja jika tidak digunakan dengan benar. Dan dalam beberapa hari setelah rilis LLaMA, sistem bocor ke 4chan, papan pesan online yang dikenal menyebarkan informasi palsu dan menyesatkan.

selengkapnya : archive.is

Mayoritas Negara Uni Eropa Mendukung Pemindaian Komunikasi Audio

by

Mayoritas Dewan Menteri Uni Eropa tampaknya mendukung perluasan pemindaian pesan pribadi ke komunikasi audio untuk mendeteksi materi pelecehan seksual anak, menurut dokumen baru tertanggal 12 Mei.

Pekan lalu, EURACTIV mengungkapkan pendapat hukum dari pengacara internal Dewan UE yang mengkritik proposal UE untuk memerangi materi pelecehan seksual terhadap anak (CSAM).

Kepresidenan Swedia meminta posisi negara-negara UE dalam empat masalah utama: perintah deteksi, deteksi sukarela, enkripsi ujung-ke-ujung, dan ruang lingkup proposal, yaitu apakah rancangan undang-undang juga harus mencakup komunikasi audio.

Semua kecuali tiga negara anggota memberikan masukan mereka, dan ada mayoritas yang jelas, yang mendukung penyertaan komunikasi audio dalam ruang lingkup peraturan.

Proposal legislatif akan memberdayakan otoritas kehakiman untuk mengeluarkan perintah pendeteksian pada layanan komunikasi seperti email atau aplikasi perpesanan yang dianggap berisiko tinggi digunakan untuk menyebarkan CSAM.

Menurut sumber dari sektor telekomunikasi, dengan syarat anonimitas, termasuk komunikasi audio akan menjadi sangat negatif, tidak hanya untuk privasi percakapan tetapi juga untuk keamanan seluruh jaringan.

Dokumen tersebut tidak membedakan antara layanan komunikasi nomor independen, seperti aplikasi pesan instan dan layanan berbasis nomor, di mana pengguna dapat menghubungi nomor internasional dan nasional.

Negara-negara UE juga telah membahas aspek paling kontroversial dari proposal legislatif: perintah deteksi bertentangan dengan enkripsi end-to-end. Teknologi ini memungkinkan hanya penerima komunikasi untuk mendekripsi kontennya.

Menurut catatan presiden, duta besar UE memiliki tiga keputusan untuk dibuat. Para diplomat UE diharapkan untuk memberikan panduan politik tentang perintah pendeteksian terkait komunikasi antarpribadi, termasuk implikasi untuk enkripsi end-to-end.

Pada saat yang sama, dokumen tersebut mencatat bahwa beberapa negara memasuki reservasi pengawasan parsial atau umum, artinya bahwa mereka tidak dapat menyetujui teks secara formal sampai mereka menerima instruksi lebih lanjut dari pemerintah mereka.

Selengkapnya: EURACTIV