Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Alat pencurian data Ransomware mungkin menunjukkan pergeseran dalam taktik pemerasan

by

Malware pemusnahan data yang dikenal sebagai Exmatter dan sebelumnya ditautkan dengan grup ransomware BlackMatter kini ditingkatkan dengan fungsionalitas korupsi data yang mungkin mengindikasikan taktik baru yang mungkin digunakan oleh afiliasi ransomware di masa mendatang.

Sampel baru ditemukan oleh analis malware dengan tim Operasi Khusus Cyderes selama respons insiden baru-baru ini setelah serangan ransomware BlackCat dan kemudian dibagikan dengan tim Stairwell Threat Research untuk analisis lebih lanjut (Symantec melihat sampel serupa digunakan dalam serangan ransomware Noberus).

Sementara Exmatter telah digunakan oleh afiliasi BlackMatter setidaknya sejak Oktober 2021, ini adalah pertama kalinya alat berbahaya itu terlihat menggunakan modul yang merusak.

Taktik menggunakan data dari satu file yang dieksfiltrasi untuk merusak file lain mungkin merupakan bagian dari upaya untuk menghindari ransomware atau deteksi berbasis heuristik penghapus yang dapat memicu saat menggunakan data yang dibuat secara acak.

Seperti yang ditemukan oleh peneliti ancaman Stairwell, kemampuan penghancuran data yang diimplementasikan sebagian dari Exmatter kemungkinan masih dalam pengembangan mengingat bahwa:

Tidak ada mekanisme untuk menghapus file dari antrian korupsi, yang berarti bahwa beberapa file dapat ditimpa berkali-kali sebelum program dihentikan, sementara yang lain mungkin tidak pernah dipilih.

Fungsi yang membuat instance kelas Eraser, bernama Erase, tampaknya tidak sepenuhnya diimplementasikan dan tidak didekompilasi dengan benar.

Panjang potongan file kedua, yang digunakan untuk menimpa file pertama, ditentukan secara acak dan bisa sesingkat satu byte.

Fitur korupsi data ini merupakan perkembangan yang menarik, dan meskipun juga dapat digunakan untuk menghindari perangkat lunak keamanan, peneliti di Stairwell dan Cyderes berpikir ini mungkin bagian dari perubahan strategi yang digunakan oleh afiliasi ransomware.

Banyak operasi ransomware berjalan sebagai Ransomware-as-a-Service, di mana operator/pengembang bertanggung jawab mengembangkan ransomware, situs pembayaran, dan menangani negosiasi, sementara afiliasi bergabung untuk menembus jaringan perusahaan, mencuri data, menghapus cadangan, dan mengenkripsi perangkat .

Sebagai bagian dari pengaturan ini, operator ransomware menerima antara 15-30% dari setiap pembayaran tebusan, dan afiliasi menerima sisanya.

Namun, operasi ransomware telah dikenal di masa lalu untuk memperkenalkan bug yang memungkinkan peneliti keamanan membuat dekripsi yang membantu korban memulihkan file secara gratis.

Ketika ini terjadi, afiliasi kehilangan potensi pendapatan yang akan mereka terima sebagai bagian dari pembayaran tebusan.

Karena itu, para peneliti percaya bahwa fitur korupsi data baru ini bisa menjadi perubahan baru dari serangan ransomware tradisional, di mana data dicuri dan kemudian dienkripsi, ke serangan di mana data dicuri dan kemudian dihapus atau rusak.

Di bawah metode ini, afiliasi dapat menyimpan semua pendapatan yang dihasilkan dari serangan, karena mereka tidak perlu berbagi persentase dengan pengembang encryptor.

“Afiliasi juga kehilangan keuntungan dari penyusupan yang berhasil karena kelemahan yang dapat dieksploitasi dalam ransomware yang disebarkan, seperti halnya dengan BlackMatter, ransomware yang terkait dengan penampilan sebelumnya dari alat eksfiltrasi berbasis .NET ini,” tambah Cyderes.

Menghancurkan data sensitif setelah mengekstraknya ke server mereka akan mencegah hal ini terjadi dan kemungkinan besar juga akan bertindak sebagai insentif tambahan bagi korban untuk membayar permintaan tebusan.

Ini mungkin mengapa kami melihat alat eksfiltrasi dalam proses ditingkatkan dengan kemampuan korupsi data dalam pengembangan yang kemungkinan akan memungkinkan afiliasi RaaS untuk menghapus bagian penyebaran ransomware dalam serangan mereka untuk menyimpan semua uang untuk diri mereka sendiri.

Sumber: Bleeping Computer

Situs palsu menipu pengguna Zoom agar mengunduh kode mematikan

by

Waspadalah terhadap situs Zoom yang tidak Anda kenal, karena geng kriminal membuat beberapa versi palsu yang bertujuan memikat pengguna untuk mengunduh malware yang dapat mencuri data perbankan, alamat IP, dan informasi lainnya.

Peneliti ancaman di perusahaan cybersecurity Cyble menemukan enam situs Zoom palsu yang menawarkan aplikasi yang, jika diklik, akan mengunduh malware Vidar Stealer, yang juga mengambil banyak barang lainnya. Situs Zoom palsu adalah bagian dari upaya mencuri informasi yang lebih luas, menurut Cyble Research and Intelligence Lab (CRIL).

Perusahaan seperti Zoom memberi penyerang kelompok pengguna yang luas untuk dimangsa. Basis pengguna perusahaan telah meroket selama tiga tahun terakhir karena pandemi COVID-19, dan itu menjadikannya target yang sangat menarik.

Pada kuartal kedua, Zoom melaporkan 204.100 pelanggan perusahaan, meningkat 18 persen dari tahun ke tahun. Itu juga menghasilkan pendapatan hampir $ 1,1 miliar, melonjak 8 persen dibandingkan periode yang sama tahun lalu.

Mereka kemudian menemukan enam situs yang masih beroperasi: zoom-download[.]host; zoom-download[.]space, zoom-download[.]menyenangkan, zoomus[.]host, zoomus[.]tech, dan zoomus[.]website.

Situs-situs tersebut mengarahkan pengguna ke URL GitHub di backend yang menunjukkan aplikasi yang dapat diunduh. Jika pengguna mengunduh aplikasi berbahaya, itu menjatuhkan dua binari ZOOMIN-1.EXE dan Decoder.exe ke dalam folder sementara.

Malware disuntikkan ke MSBuild.exe dan kemudian mengekstrak alamat IP yang menampung DLL dan data konfigurasi, menempatkannya pada posisi untuk mencuri lebih banyak informasi. Itu juga dapat menyembunyikan alamat IP dari server command-and-control (C&C).

“Kami menemukan bahwa malware ini memiliki Tactics, Techniques, and Procedures (TTPs) yang tumpang tindih dengan Vidar Stealer,” tulis para peneliti, menambahkan bahwa, seperti Vidar Stealer, “payload malware ini menyembunyikan alamat IP C&C dalam deskripsi Telegram. teknik infeksi tampaknya serupa.”

Cyble menulis laporan mendalam tentang Vidar Stealer setahun yang lalu, mengatakan bahwa malware tersebut telah ada sejak 2018. Malware tersebut juga memiliki tautan ke ancaman serupa, Arkei Stealer.

Biz keamanan menguraikan langkah-langkah yang dapat diambil perusahaan dan pengguna untuk menghindari malware semacam itu, termasuk tidak mengunduh perangkat lunak bajakan, menggunakan kata sandi yang kuat dan otentikasi multi-faktor, memastikan pembaruan sistem secara otomatis, dan melatih karyawan untuk tidak membuka tautan yang tidak tepercaya.

Organisasi juga harus memantau suar jaringan untuk mendeteksi dan memblokir data yang dieksfiltrasi oleh malware atau kelompok ancaman, tambahnya.

Sumber: The Register

Optus, perusahaan telekomunikasi terbesar kedua di Australia, mengatakan data pelanggan terekspos dalam pelanggaran data

by

Raksasa telekomunikasi Australia Optus mengatakan data pelanggan saat ini dan sebelumnya diakses setelah serangan siber pada sistemnya.

Optus mengatakan dalam siaran pers pada hari Kamis bahwa sejumlah nama pelanggan, tanggal lahir, nomor telepon, alamat email, dan alamat dan nomor dokumen identitas yang tidak ditentukan, seperti SIM atau nomor paspor, diambil dalam pelanggaran tersebut.

Perusahaan telekomunikasi itu tidak mengatakan kapan pelanggaran itu terjadi, tetapi mereka yakin insiden itu telah berakhir.

Optus adalah anak perusahaan Singtel milik Singapura dan merupakan perusahaan telekomunikasi terbesar kedua di Australia, dengan sekitar 10 juta pelanggan.

Direktorat Sinyal Australia, yang setara dengan Badan Keamanan Nasional AS, diberitahu tentang insiden tersebut.

Raksasa telekomunikasi, telepon, dan seluler sering menjadi target karena peran mereka dalam infrastruktur penting negara mana pun. Peretas yang didukung negara diketahui membobol perusahaan telekomunikasi mencari catatan telepon untuk memata-matai kritik dan melakukan spionase, sementara peretas kriminal, seperti penukar SIM, sering mengandalkan data yang dilanggar dan akses orang dalam untuk melakukan serangan rekayasa sosial yang meyakinkan dukungan pelanggan atau karyawan untuk menyerahkan akses ke sistem mereka.

Sumber: TechCrunch

Rekam Serangan DDoS dengan 25,3 Miliar Permintaan Penyalahgunaan HTTP/2 Multiplexing

by

Perusahaan keamanan siber Imperva telah mengungkapkan bahwa mereka telah mengurangi serangan penolakan layanan (DDoS) terdistribusi dengan total lebih dari 25,3 miliar permintaan pada 27 Juni 2022.

“Serangan kuat,” yang menargetkan perusahaan telekomunikasi China yang tidak disebutkan namanya, dikatakan telah berlangsung selama empat jam dan mencapai puncaknya pada 3,9 juta permintaan per detik (RPS).

“Penyerang menggunakan multiplexing HTTP/2, atau menggabungkan beberapa paket menjadi satu, untuk mengirim beberapa permintaan sekaligus melalui koneksi individu,” kata Imperva dalam sebuah laporan yang diterbitkan pada 19 September.

Serangan itu diluncurkan dari botnet yang terdiri dari hampir 170.000 alamat IP berbeda yang mencakup router, kamera keamanan, dan server yang disusupi yang berlokasi di lebih dari 180 negara, terutama AS, Indonesia, dan Brasil.

Pengungkapan itu juga muncul saat penyedia infrastruktur web Akamai mengatakan pihaknya menerjunkan serangan DDoS baru yang ditujukan untuk pelanggan yang berbasis di Eropa Timur pada 12 September, dengan lalu lintas serangan melonjak pada 704,8 juta paket per detik (pps).

Korban yang sama sebelumnya ditargetkan pada 21 Juli 2022, dengan cara yang sama di mana volume serangan meningkat hingga 853,7 gigabit per detik (Gbps) dan 659,6 juta pps selama 14 jam.

Craig Sparling dari Akamai mengatakan perusahaan telah “dibombardir tanpa henti dengan serangan penolakan layanan (DDoS) terdistribusi yang canggih,” menunjukkan bahwa serangan tersebut dapat bermotivasi politik dalam menghadapi perang berkelanjutan Rusia melawan Ukraina.

Kedua upaya mengganggu adalah serangan banjir UDP di mana penyerang menargetkan dan membanjiri port sewenang-wenang pada host target dengan paket User Datagram Protocol (UDP).

UDP, karena tanpa koneksi dan tanpa sesi, menjadikannya protokol jaringan yang ideal untuk menangani lalu lintas VoIP. Tetapi sifat-sifat yang sama ini juga dapat membuatnya lebih rentan terhadap eksploitasi.

Sumber: The Hackernews

AS menambahkan dua operator China lagi ke daftar ‘ancaman keamanan nasional’

by

Komisi Komunikasi Federal AS (FCC) telah menambahkan dua perusahaan China ke dalam daftar pemasok peralatan komunikasi yang dinilai mengancam keamanan nasional: Pacific Network Corp, anak perusahaannya yang sepenuhnya dimiliki ComNet (USA) LLC, dan China Unicom (Amerika).

Sekarang, bekerja sama dengan mitra keamanan nasional kami, kami mengambil tindakan tambahan untuk menutup pintu bagi perusahaan-perusahaan ini dengan menambahkan mereka ke Daftar Tercakup FCC, ”kata Ketua Jessica Rosenworcel.

Penambahan terbaru bergabung dengan Huawei, ZTE Corporation, vendor komunikasi radio Hytera, sistem pengawasan video Hikvision dan Dahua, serta perusahaan keamanan siber yang berbasis di Rusia Kaspersky, ditambah perusahaan telekomunikasi China Mobile dan China Telecom, yang sudah ada dalam daftar.

Perusahaan-perusahaan baru itu mendapat tempat di daftar sepuluh kuat sekarang karena mereka diyakini “tunduk pada eksploitasi, pengaruh dan kontrol pemerintah China, dan risiko keamanan nasional yang terkait dengan eksploitasi, pengaruh, dan kontrol semacam itu.” Oleh karena itu, mereka menimbulkan “risiko yang tidak dapat diterima terhadap keamanan nasional Amerika Serikat.”

FCC pada dasarnya percaya bahwa perusahaan tidak akan dapat menolak permintaan dari Beijing yang dapat mencakup spionase atau pengumpulan intelijen.

ComNet juga mendapatkan tempatnya dalam daftar karena FCC percaya interkoneksinya ke jaringan telekomunikasi AS dan pelanggan dapat memfasilitasi spionase ekonomi, pengumpulan intelijen, “atau sebaliknya memberikan kemampuan strategis untuk menargetkan, mengumpulkan, mengubah, memblokir, dan merutekan ulang lalu lintas jaringan. .”

ComNet dan China Unicom telah dilarang beroperasi di AS dan, dengan melabeli mereka sebagai ancaman keamanan, FCC telah menjelaskan bahwa berbisnis dengan keduanya berbahaya bagi perusahaan AS.

Pada tingkat yang lebih praktis, daftar tersebut juga berarti pembeli AS yang berbelanja menggunakan subsidi federal seperti Dana Layanan Universal FCC senilai $5 miliar sekarang dilarang berurusan dengan kedua perusahaan tersebut.

Sumber: The Register

2K Memperingatkan Pengguna yang Terkena Dampak untuk Mengubah Semua Kata Sandi yang Tersimpan

by

Penerbit 2K telah memperingatkan pengguna agar tidak membuka email atau mengklik tautan dari halaman support setelah mengonfirmasi bahwa mereka telah diretas.

Lebih dari sekadar akun palsu yang mengirim email palsu, Dukungan 2K sendiri telah disusupi, dengan peretas mengirim email yang tampaknya sah yang berisi tautan berbahaya. Akibatnya, situs web dukungan 2K menjadi offline.

Jika pengguna telah mengeklik tautan tersebut, 2K merekomendasikan agar mereka segera mengubah kata sandi yang disimpan di browser web (seperti pengisian otomatis Chrome), memasang perangkat lunak anti-virus, mengaktifkan autentikasi multi-faktor, dan memeriksa bahwa tidak ada setelan penerusan akun email telah diubah.

2K mengatakan “Sebelumnya hari ini kami mengetahui bahwa pihak ketiga yang tidak sah secara ilegal mengakses kredensial salah satu vendor kami ke platform meja bantuan yang digunakan 2K untuk memberikan dukungan kepada pelanggan kami,”

“Pihak yang tidak berwenang mengirim komunikasi ke pemain tertentu yang berisi tautan berbahaya. Tolong jangan buka email apa pun atau klik tautan apa pun yang Anda terima dari akun dukungan 2K Games.”

Penerbit juga mengingatkan pengguna bahwa mereka tidak akan pernah meminta kata sandi atau informasi pribadi lainnya, dan akan mengumumkan kapan situs web dan emailnya aman untuk digunakan lagi.

Beberapa hari terakhir telah menjadi waktu yang sangat aktif untuk serangan cyber. Rockstar Games memiliki sekitar 90 video gameplay Grand Theft Auto 6 yang bocor setelah menjadi korban peretasan, dan meskipun itu dan 2K berbagi perusahaan induk yang sama dari Take-Two Interactive, saat ini tidak ada yang menunjukkan bahwa kedua serangan tersebut terkait.

Sumber: IGN Southeast Asia

Fitur baru google memungkinkan prngguna untuk dapat menghapus hasil penelusuran yang berisi data pribadi anda

by

Google telah merilis alat yang memudahkan pengguna untuk mengirim permintaan penghapusan hasil pencarian yang berisi alamat, nomor telepon, dan informasi pribadi lainnya.

Pengguna dapat mengirim permintaan penghapusan data pribadi mereka dengan mengklik menu titik tiga di kanan atas. Setelah itu akan muncul panel “Tentang hasil ini” kemudian pilih “Hapus hasil” di bagian bawah layar.

Pengguna juga dapat memantau permintaan di item menu “Hasil tentang Anda”, yang tersedia dengan mengetuk profil pengguna di kanan atas.

Setelah itu pengguna kemudian dapat memantau kemajuan permintaan melalui filter “Semua permintaan”, “Sedang berlangsung” dan “Disetujui”.

Halaman yang sama juga memungkinkan pengguna membuat permintaan baru dengan langkah “Mengapa Anda ingin menghapus hasil ini”. Opsi di sana termasuk “Ini menunjukkan info kontak pribadi saya,” “Ini menunjukkan kontak saya dengan maksud untuk menyakiti saya,” “Ini menunjukkan info pribadi lainnya,” “Ini berisi info ilegal” dan “Ini sudah ketinggalan zaman.” Namun sebelumnya, Google telah mengatakan bahwa tidak semua permintaan dapat dikabulkan:

Penting untuk diperhatikan bahwa ketika kami menerima permintaan penghapusan, kami akan mengevaluasi semua konten di halaman web untuk memastikan bahwa kami tidak membatasi ketersediaan informasi lain yang berguna secara luas, misalnya dalam artikel berita.

Dan tentu saja, menghapus informasi kontak dari Google Penelusuran tidak menghapusnya dari web, itulah sebabnya pengguna mungkin harus menghubungi situs hosting secara langsung.

Sumber: Engadget

VMware, Microsoft memperingatkan serangan malware Chromeloader yang meluas

by

VMware dan Microsoft memperingatkan kampanye malware Chromeloader yang sedang berlangsung dan meluas yang telah berkembang menjadi ancaman yang lebih berbahaya, terlihat menjatuhkan ekstensi browser berbahaya, malware node-WebKit, dan bahkan ransomware dalam beberapa kasus.

Infeksi Chromeloader melonjak pada Q1 2022, dengan para peneliti di Red Canary memperingatkan tentang bahaya pembajak peramban yang digunakan untuk afiliasi pemasaran dan penipuan iklan.

Saat itu, malware menginfeksi Chrome dengan ekstensi berbahaya yang mengarahkan lalu lintas pengguna ke situs iklan untuk melakukan penipuan klik dan menghasilkan pendapatan bagi pelaku ancaman.

Beberapa bulan kemudian, Unit 42 Jaringan Palo Alto memperhatikan bahwa Chromeloader berkembang menjadi pencuri info, mencoba mengambil data yang disimpan di browser sambil mempertahankan fungsi adwarenya.

Pada Jumat malam, Microsoft memperingatkan tentang “kampanye penipuan klik luas yang sedang berlangsung” yang dikaitkan dengan aktor ancaman yang dilacak sebagai DEV-0796 menggunakan Chromeloader untuk menginfeksi korban dengan berbagai malware.

Alur serangan Chromeloader
Sumber: Microsoft

Hari ini, analis di VMware menerbitkan laporan teknis yang menjelaskan berbagai varian Chromeloader yang digunakan pada bulan Agustus dan bulan ini, beberapa di antaranya menurunkan muatan yang jauh lebih kuat.

Malware ChromeLoader dikirimkan dalam file ISO yang didistribusikan melalui iklan berbahaya, pengalihan browser, dan komentar video YouTube.

File ISO telah menjadi metode populer untuk mendistribusikan malware sejak Microsoft mulai memblokir makro Office secara default. Selanjutnya, ketika mengklik dua kali pada ISO di Windows 10 dan yang lebih baru, mereka secara otomatis dipasang sebagai CDROM di bawah huruf drive baru, menjadikannya cara yang efisien untuk mendistribusikan beberapa file malware sekaligus.

File yang terdapat dalam arsip ISO ChromeLoader

ISO ChromeLoader biasanya berisi empat file, arsip ZIP yang berisi malware, file ICON, file batch (biasanya bernama Resources.bat) yang menginstal malware, dan pintasan Windows yang meluncurkan file batch.

Sebagai bagian dari penelitian mereka, VMware mengambil sampel setidaknya sepuluh varian Chromeloader sejak awal tahun, dengan yang paling menarik muncul setelah Agustus.

Contoh pertama adalah program yang meniru OpenSubtitles, sebuah utilitas yang membantu pengguna menemukan subtitle untuk film dan acara TV. Dalam kampanye ini, pelaku ancaman pindah dari file “Resources.bat” mereka yang biasa dan beralih ke file bernama “properties.bat,” yang digunakan untuk menginstal malware dan membangun kegigihan dengan menambahkan kunci Registry.

Kasus penting lainnya adalah “Flbmusic.exe,” meniru pemutar Musik FLB, menampilkan runtime Electron dan memungkinkan malware memuat modul tambahan untuk komunikasi jaringan dan pengintaian port.

Untuk beberapa varian, serangan berubah menjadi sedikit destruktif, mengekstraksi ZipBombs yang membebani sistem dengan operasi pembongkaran besar-besaran.

Yang lebih memprihatinkan, varian Chromeloader terbaru terlihat menyebarkan ransomware Enigma dalam file HTML.

Enigma adalah jenis ransomware lama yang menggunakan penginstal berbasis JavaScript dan executable tertanam sehingga dapat diluncurkan langsung dari browser default.

Setelah enkripsi selesai, ekstensi nama file “.enigma” ditambahkan ke file, sementara ransomware menjatuhkan file “readme.txt” yang berisi instruksi untuk korban.

Karena adware tidak menyebabkan kerusakan signifikan pada sistem korban, selain memakan bandwidth, biasanya adware merupakan ancaman yang diabaikan atau diremehkan oleh analis.

Namun, setiap perangkat lunak yang bersarang ke dalam sistem tanpa terdeteksi adalah kandidat untuk masalah yang lebih signifikan, karena pembuatnya mungkin menerapkan modifikasi yang memfasilitasi opsi monetisasi yang lebih agresif.

Sumber: Bleeping Computer