Brute Force

Windows 11 Sekarang Memblokir Serangan Brute-force RDP Secara Default

July 23, 2022 by Eevee

Build Windows 11 terbaru hadir dengan kebijakan Kebijakan Penguncian Akun yang diaktifkan secara default yang secara otomatis akan mengunci akun pengguna (termasuk akun Administrator) setelah 10 upaya masuk yang gagal selama 10 menit.

Proses brute-force akun biasanya membutuhkan menebak kata sandi menggunakan alat otomatis. Taktik ini sekarang diblokir secara default pada versi Windows 11 terbaru (Pratinjau Orang Dalam 22528.1000 dan yang lebih baru) setelah gagal memasukkan kata sandi yang benar 10 kali berturut-turut.

“Win11 build sekarang memiliki kebijakan penguncian akun DEFAULT untuk mengurangi RDP dan vektor kata sandi brute force lainnya,” David Weston, VP Microsoft untuk Perusahaan dan Keamanan OS, tweeted Kamis.

“Teknik ini sangat umum digunakan dalam Ransomware yang Dioperasikan Manusia dan serangan lainnya – kontrol ini akan membuat brute-force jauh lebih sulit yang luar biasa!”

Kebijakan Penguncian Akun juga tersedia di sistem Windows 10. Namun, sayangnya, itu tidak diaktifkan secara default, memungkinkan penyerang untuk memaksa masuk ke sistem Windows dengan layanan Remote Desktop Protocol (RDP) yang terbuka.

Admin dapat mengonfigurasi kebijakan ini di Windows 10 di Konsol Manajemen Kebijakan Grup dari Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Account Lockout Policy.

Ini adalah peningkatan keamanan yang penting karena banyak server RDP, terutama yang digunakan untuk membantu pekerja jarak jauh mengakses aset perusahaan, secara langsung terpapar ke Internet, membuat jaringan organisasi terkena serangan ketika dikonfigurasi dengan buruk.

Untuk menempatkan segala sesuatunya dalam perspektif, serangan yang menargetkan layanan RDP telah mengalami peningkatan tajam setidaknya sejak pertengahan akhir 2016, dimulai dengan meningkatnya popularitas pasar web gelap yang menjual akses RDP ke jaringan yang disusupi, menurut laporan FBI IC3 dari 2018.

Satu catatan penting adalah UAS, pasar peretas terbesar untuk kredensial RDP yang dicuri pada satu titik, yang membocorkan nama login dan kata sandi untuk 1,3 juta server Windows Remote Desktop saat ini dan secara historis dikompromikan.

Sumber: BleepingComputer

Sistem Ini Menghadapi Miliaran Serangan Setiap Bulan Karena Peretas Mencoba Menebak Kata Sandi

October 2, 2021 by Søren

Peneliti keamanan siber di ESET mendeteksi 55 miliar upaya baru serangan brute force antara Mei dan Agustus 2021 saja – lebih dari dua kali lipat 27 miliar serangan yang terdeteksi antara Januari dan April.

Dengan berhasil menebak kata sandi dapat memberi penjahat dunia maya rute yang mudah ke jaringan dan jalan yang dapat mereka gunakan untuk meluncurkan serangan lebih lanjut, termasuk mengirimkan ransomware atau malware lainnya.

Setelah berada di jaringan, mereka akan mencoba menggunakan akses tersebut untuk mendapatkan izin tambahan dan memanipulasi jaringan, melakukan tindakan seperti mematikan layanan keamanan sehingga mereka dapat melakukan aktivitas dengan lebih mudah.

Salah satu target paling populer untuk serangan tebak kata sandi brute force adalah layanan RDP. Meningkatnya pekerjaan jarak jauh telah menyebabkan peningkatan kebutuhan orang untuk menggunakan layanan desktop jarak jauh. Banyak di antaranya adalah layanan yang menghadap publik, memberikan peluang bagi penjahat dunia maya untuk membobol jaringan – dan ini adalah peluang yang ingin mereka manfaatkan.

Banyaknya serangan berarti sebagian besar akan diotomatisasi, tetapi jika akun diamankan dengan kata sandi yang mudah ditebak atau umum – dan banyak lagi – maka mereka dapat dengan mudah mengambil penyerang. Setelah kata sandi berhasil dilanggar, kemungkinan penyerang akan mengambil pendekatan yang lebih langsung untuk mencapai tujuan akhir mereka.

“Dengan jumlah serangan yang mencapai miliaran, ini tidak mungkin dilakukan secara manual – jadi upaya serangan ini dilakukan secara otomatis. Tentu saja, selalu ada aspek manual ketika penjahat dunia maya menyiapkan atau menyesuaikan infrastruktur serangan dan menentukan jenis target apa. berada di garis bidik mereka,” Ondrej Kubovi, spesialis kesadaran keamanan di ESET, mengatakan kepada ZDNet.

Selengkapnya: ZDNet

Perbarui Kata Sandi Anda Sekarang Juga

March 1, 2021 by Winnie the Pooh

Aktor jahat membobol lebih banyak sistem daripada yang Anda pikirkan hanya dengan menebak kode. Ada beberapa insiden yang benar-benar tidak masuk akal selama bertahun-tahun di mana entitas besar dan terkemuka diretas karena kecanggihan kata sandinya buruk.

Misalnya, firma keamanan global Gunnebo baru-baru ini menjadi korban pencurian data, dan diduga bahwa sandi salah satu karyawan yang sangat tidak dapat ditembus (“password01”) berperan dalam kejadian tersebut.

Selama bertahun-tahun, peretas telah mengembangkan metode canggih untuk mengidentifikasi detail pribadi yang Anda gabungkan untuk membuat benteng kriptografi tersebut (masukkan nama hewan peliharaan ditambah angka ulang tahun, misalnya).

Mereka biasanya memanfaatkan seluruh rangkaian perangkat lunak otomatis untuk melakukan hal ini, menerapkannya dalam apa yang disebut serangan siber “brute force” di mana mereka berulang kali mencoba untuk menerobos sistem melalui tebakan otomatis.

Jadi, perbarui kata sandi Anda sekarang! Dan coba ingat untuk memperbaruinya dengan frekuensi tertentu! Pasti ada beberapa perdebatan tentang seberapa sering Anda harus melakukannya, tetapi kebijaksanaan umumnya adalah Anda harus memperbarui setiap 60 hingga 90 hari — jadi setiap dua hingga tiga bulan.

Tentu saja, ada banyak langkah keamanan kata sandi lain yang dapat Anda lakukan, bersama dengan pembaruan yang konsisten. Autentikasi dua faktor, tentu saja, selalu merupakan ide yang bagus juga — karena memerlukan banyak bukti bahwa penggunanya adalah seperti yang mereka katakan.

Sumber: Gizmodo

519 pemberitahuan pelanggaran data termasuk 33 dari entitas pemerintah Australia

January 29, 2021 by Winnie the Pooh

Entitas Australia yang dicakup oleh Privacy Act melaporkan 519 kasus pelanggaran data dalam enam bulan hingga Desember 2020, meningkat 5% dari paruh pertama tahun ini.

Pemberitahuan pelanggaran data ke Kantor Komisaris Informasi Australia (OAIC) menjadi wajib di bawah skema Notifiable Data Breaches (NDB) pada Februari 2018.

Sejak mandat tersebut, kesehatan telah menjadi sektor yang paling terpengaruh; Laporan terbaru tidak menunjukkan perubahan, dengan perhitungan kesehatan sebanyak 123 pemberitahuan, diikuti oleh bagian keuangan dengan 83 pemberitahuan. Pemerintah Australia memasuki lima sektor teratas untuk pertama kalinya, terhitung 6% dari total, dengan 33 pemberitahuan.

Menggali lebih dalam tentang kecerobohan pemerintah, kesalahan manusia adalah penyebab dari 29 dari total pemberitahuan sektor, dua berasal dari serangan jahat atau kriminal, satu dikaitkan dengan “insiden siber”, dan yang lainnya disebabkan rekayasa sosial/peniruan identitas.

“Insiden siber” dikonfirmasi sebagai serangan brute force pada entitas yang tidak disebutkan namanya.

Jenis kesalahan manusia yang paling umum disalahkan atas pemberitahuan pemerintah adalah informasi pribadi yang dikirim ke penerima yang salah. Kegagalan untuk menyunting adalah penyebab lima pemberitahuan.

Selengkapnya: ZDNet

Worm baru mengubah server Windows, Linux menjadi penambang Monero

December 31, 2020 by Winnie the Pooh

Sebuah Malware berbasis Golang yang baru ditemukan dan menyebar sendiri telah secara aktif menjatuhkan penambang cryptocurrency XMRig di server Windows dan Linux sejak awal Desember.

Malware multi-platform ini juga memiliki kemampuan worm yang memungkinkannya menyebar ke sistem lain dengan melakukan brute-forcing pada layanan publik (mis., MySQL, Tomcat, Jenkins, dan WebLogic) dengan sandi yang lemah seperti yang diungkapkan oleh peneliti keamanan Intezer Avigayil Mechtinger.

Para penyerang di balik kampanye ini telah secara aktif memperbarui kemampuan worm melalui server command-and-control (C2) sejak pertama kali terlihat yang mengisyaratkan malware yang dipelihara secara aktif.

Server C2 digunakan untuk meng-host skrip bash atau PowerShell dropper (tergantung pada platform yang ditargetkan), worm berbasis Golang, dan penambang XMRig dikerahkan untuk secara diam-diam menambang cryptocurrency Monero yang tidak dapat dilacak pada perangkat yang terinfeksi.

Malware secara otomatis akan mati sendiri jika mendeteksi bahwa sistem yang terinfeksi mendengarkan pada port 52013. Jika port tersebut tidak digunakan, worm akan membuka soket jaringannya sendiri.

Untuk bertahan dari serangan brute force yang diluncurkan oleh worm multi-platform baru ini, Anda harus membatasi login dan menggunakan sandi yang sulit ditebak pada semua layanan yang terpapar Internet, serta otentikasi dua faktor jika memungkinkan.

Sumber: Bleeping Computer

Serangan baru oleh grup UltraRank

December 26, 2020 by Winnie the Pooh

Pada bulan Agustus 2020, Group-IB menerbitkan laporan “UltraRank: twist tak terduga dari ancaman 3 rangkap JS-sniffer”. Laporan tersebut menggambarkan operasi kelompok penjahat dunia maya UltraRank, yang dalam lima tahun aktivitasnya telah berhasil menyerang 691 toko eCommerce dan 13 penyedia layanan situs web.

Pada November 2020, pakar Grup-IB menemukan gelombang baru serangan UltraRank. Meskipun serangan baru terdeteksi pada saat itu, sebagian dari infrastruktur grup tetap aktif dan beberapa situs masih terinfeksi. Penjahat dunia maya tidak menggunakan domain yang ada untuk serangan baru tetapi beralih ke infrastruktur baru untuk menyimpan kode berbahaya dan mengumpulkan data pembayaran yang dicegat.

Sebagai bagian dari kampanye baru UltraRank, tim Group-IB Threat Intelligence dan Attribution menemukan 12 situs web eCommerce yang terinfeksi dengan JavaScript-sniffer. Delapan dari mereka tetap terinfeksi pada saat publikasi. Group-IB telah mengirimkan pemberitahuan ke situs web yang terinfeksi.

Kali ini kode sniffer JS dikaburkan menggunakan obfuscation Radix. Pola kebingungan ini telah digunakan hanya oleh beberapa kelompok penjahat dunia maya, salah satunya adalah kelompok UltraRank. Setelah menyederhanakan kode, Grup-IB menemukan bahwa serangan tersebut menggunakan sniffer dari keluarga SnifLite, yang sudah diketahui oleh para ahli Grup-IB dan digunakan oleh aktor ancaman UltraRank. Karena jumlah situs web yang terinfeksi relatif kecil, penyerang kemungkinan besar menggunakan kredensial di panel administratif CMS, yang, pada gilirannya, dapat disusupi menggunakan malware atau sebagai akibat dari serangan brute force.

Selama rangkaian serangan terbaru mereka, UltraRank menyimpan kode berbahaya mereka di situs web yang meniru domain Google Tag Manager yang sah. Analisis infrastruktur aktor ancaman mengungkapkan bahwa server utama dihosting oleh Media Land LLC, yang terhubung dengan perusahaan hosting antipeluru.

sumber : UltraRank

Botnet PgMiner menyerang database PostgreSQL yang tidak diamankan dengan benar

December 14, 2020 by Winnie the Pooh

Minggu ini, peneliti keamanan telah menemukan operasi botnet yang menargetkan database PostgreSQL untuk menginstal penambang cryptocurrency.

Disebut sebagai PgMiner oleh para peneliti, botnet ini hanyalah yang terbaru dari daftar panjang operasi kejahatan siber baru-baru ini yang menargetkan teknologi web untuk keuntungan moneter.

Menurut para peneliti di Palo Alto Networks ‘Unit 42, botnet beroperasi dengan melakukan serangan brute force terhadap database PostgreSQL yang dapat diakses internet.

Botnet secara acak memilih range jaringan publik (mis., 18.xxx.xxx.xxx) dan kemudian melakukan iterasi melalui semua bagian alamat IP dari rentang itu, mencari sistem yang port PostgreSQL (port 5432) nya terkspos secara online.

Jika PgMiner menemukan sistem PostgreSQL yang aktif, botnet berpindah dari fase pemindaian ke fase brute-force, di mana ia mengacak daftar panjang kata sandi dalam upaya untuk menebak kredensial untuk “postgres,” akun PostgreSQL default.

Jika pemilik database PostgreSQL lupa menonaktifkan user ini atau lupa mengubah kata sandinya, peretas akan mengakses database dan menggunakan fitur COPY PostgreSQL dari PROGRAM untuk meningkatkan akses mereka dari aplikasi database ke server yang mendasarinya dan mengambil alih seluruh OS.

Begitu mereka memiliki pegangan yang lebih kuat pada sistem yang terinfeksi, kru PgMiner menyebarkan aplikasi penambangan koin dan mencoba menambang cryptocurrency Monero sebanyak mungkin sebelum terdeteksi.

Menurut Unit 42, pada laporan mereka, botnet hanya memiliki kemampuan untuk menyebarkan penambang di platform Linux MIPS, ARM, dan x64. Operator Botnet PgMiner juga telah mengendalikan bot yang terinfeksi melalui server perintah dan kontrol (C2) yang dihosting di jaringan Tor dan bahwa basis kode botnet tersebut tampak menyerupai botnet SystemdMiner.

Sumber: ZDNet

Malware membuat toko online palsu di atas situs WordPress yang diretas

November 24, 2020 by Winnie the Pooh

Geng kejahatan siber baru terlihat mengambil alih situs WordPress yang rentan untuk memasang toko e-commerce tersembunyi dengan tujuan membajak peringkat dan reputasi search engine situs asli serta mempromosikan penipuan online.

Serangan tersebut ditemukan awal bulan ini dengan menargetkan honeypot WordPress yang disiapkan dan dikelola oleh Larry Cashdollar, seorang peneliti keamanan untuk tim keamanan Akamai.

Para penyerang memanfaatkan serangan brute-force untuk mendapatkan akses ke akun admin situs, setelah itu mereka menimpa file indeks utama situs WordPress dan menambahkan kode berbahaya.

Sementara kode itu sangat disamarkan, Cashdollar mengatakan peran utama malware adalah bertindak sebagai proxy dan mengarahkan semua lalu lintas masuk ke server command-and-control (C&C) jarak jauh yang dikelola oleh peretas.

Di server inilah seluruh “logika bisnis” serangan terjadi. Menurut Cashdollar, tipikal serangan adalah sebagai berikut:

Pengguna mengunjungi situs WordPress yang diretas.
Situs WordPress yang diretas mengalihkan permintaan pengguna untuk melihat situs tersebut ke server C&C malware.
Jika pengguna memenuhi kriteria tertentu, server C&C memberi tahu situs tersebut untuk membalas dengan file HTML berisi toko online yang menjajakan berbagai macam objek duniawi.
Situs yang diretas menanggapi permintaan pengguna dengan toko online palsu alih-alih situs asli yang ingin dilihat pengguna.

Cashdollar mengatakan bahwa selama peretas memiliki akses ke honeypot nya, para penyerang menampung lebih dari 7.000 toko e-commerce yang mereka maksudkan untuk melayani pengunjung yang datang.

Selain itu, para peneliti Akamai mengatakan para peretas juga membuat peta situs XML untuk situs WordPress yang diretas yang berisi entri untuk toko online palsu bersama dengan halaman asli situs tersebut. Ini berakibat meracuni kata kuncinya dengan entri yang tidak terkait dan palsu yang menurunkan peringkat halaman hasil mesin pencari (SERP) situs web.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Brute Force

Cookies Settings