CISA

Ransomware ESXiArgs Mencapai Lebih Dari 3.800 Server Saat Hacker Terus Meningkatkan Malware

February 10, 2023 by Flamango

Lebih dari 3.800 server di seluruh dunia telah disusupi dalam serangan ransomware ESXiArgs baru-baru ini, mencakup proses yang ditingkatkan.

Beberapa perkembangan baru dalam kasus serangan tersebut termasuk terkait dengan metode enkripsi yang digunakan oleh malware, korban, dan kerentanan yang dieksploitasi oleh para hacker.

Setelah CISA mengumumkan ketersediaan alat open source tersebut, FBI dan CISA merilis dokumen yang memberikan panduan pemulihan.

Saat ini, mesin pencari Shodan dan Censys menunjukkan 1.600-1.800 server yang diretas dan terdapat indikasi bahwa banyak organisasi yang terkena dampak telah mulai menanggapi serangan tersebut dan membersihkan sistem mereka.

Analisis Reuters menetapkan bahwa para korban termasuk Mahkamah Agung Florida dan universitas di Amerika Serikat dan Eropa.

Analisis malware enkripsi file yang digunakan dalam serangan itu menunjukkan bahwa malware tersebut menargetkan file yang terkait dengan mesin virtual (VM). Para ahli memperhatikan bahwa ransomware lebih menargetkan file konfigurasi VM, tetapi tidak mengenkripsi file datar yang menyimpan data, memungkinkan beberapa pengguna memulihkan data mereka.

Hingga saat ini, ransomware tidak mengenkripsi sebagian besar data dalam file besar, tetapi versi baru malware mengenkripsi data dalam jumlah yang jauh lebih signifikan dalam file besar. Para peneliti juga belum menemukan kekurangan dalam enkripsi yang sebenarnya.

Diasumsikan bahwa serangan ESXiArgs memanfaatkan CVE-2021-21974 untuk akses awal, sebuah kerentanan eksekusi koderemote dengan tingkat keparahan tinggi di VMware ESXi yang ditambal oleh VMware pada Februari 2021.

VMware belum mengonfirmasi eksploitasi itu, tetapi dikatakan bahwa tidak ada bukti kerentanan zero-day yang dimanfaatkan dalam serangan tersebut.

Namun, GreyNoise menunjukkan bahwa beberapa kerentanan terkait OpenSLP telah ditemukan di ESXi dalam beberapa tahun terakhir, dan salah satunya dapat dieksploitasi dalam serangan ESXiArgs, termasuk CVE-2020-3992 dan CVE-2019-5544.

Selengkapnya: Security Week

Panduan Pemulihan Mesin Virtual Menggunakan ESXiArgs-Recover

February 9, 2023 by Flamango

ESXiArgs-Recover merupakan alat untuk memungkinkan organisasi mencoba memulihkan mesin virtual yang terkena serangan ransomware ESXiArgs.

Beberapa organisasi telah melaporkan keberhasilan pemulihan file tanpa membayar uang tebusan. Mengetahui hal tersebut, CISA menyusun alat berdasarkan sumber daya yang tersedia untuk umum, termasuk tutorial oleh Enes Sonmez dan Ahmet Aykac.

ESXiArgs-Recover bekerja dengan merekonstruksi metadata mesin virtual dari disk virtual yang tidak dienkripsi oleh malware.

Berikut Panduan Pemulihan Mesin Virtual ESXiArgs Ransomware CISA.

Peringatan
Skrip ESXiArgs CISA didasarkan pada temuan yang diterbitkan oleh peneliti pihak ketiga. Setiap organisasi harus berhati-hati jika menggunakan skrip pemulihan ESXiArgs CISA.

CISA tidak mendukung produk atau layanan komersial apa pun, termasuk subjek analisis apa pun dan tidak bertanggung jawab atas kerusakan yang disebabkan oleh skrip ini.

Langkah Pemulihan Mesin Virtual
1. Unduh skrip ESXiArgs dan simpan sebagai “/tmp/recover.sh”
2. Beri izin eksekusi skrip “chmod +x /tmp/recover.sh”
3. Arahkan ke folder mesin virtual yang ingin di decrypt
4. Jalankan “ls”, lihat file, dan catat nama VMnya
5. Jalankan skrip pemulihan dengan “/tmp/recover.sh [nama vm]”. Jalankan “/tmp/recover.sh [nama] thin” jika mesin virtual berformat tipis
6. Jika berhasil, skrip decryptor akan menampilkan tanda berhasil dijalankan. Jika, mungkin mesin virtual tidak dapat dipulihkan.
7. Jika skrip berhasil, mendaftarkan ulang mesin virtual.
8. Mendaftarkan ulang mesin virtual.
9. Lakukan langkah berikut jika web ESXi tidak dapat diakses.
– “cd /usr/lib/vmware/hostd/docroot/ui/ && mv index.html ransom.html && mv index1.html index.html”
– “cd /usr/lib/vmware/hostd/docroot && mv index.html ransom.html && rm index.html & mv index1.html index.html”
– Reboot server ESXi.
10. Klik kanan pada VM dan pilih “Batalkan Pendaftaran” jika VM yang dipulihkan sudah ada.
11. Pilih “Buat / Daftarkan VM”.
12. Pilih “Daftarkan mesin virtual yang ada”.
13. Klik “Pilih satu atau lebih mesin virtual, penyimpanan data, atau direktori” untuk menavigasi ke folder VM yang di pulihkan. Pilih file vmx di folder.
14. Pilih “Selanjutnya” dan “Selesai”.

Proyek ini berada dalam domain publik di Amerika Serikat, dan hak cipta serta hak terkait dalam karya di seluruh dunia dibebaskan melalui dedikasi domain publik Universal CC0 1.0.

Selengkapnya: GitHub

CISA: Agen federal diretas menggunakan alat desktop jarak jauh yang sah

January 27, 2023 by Søren

CISA, NSA, dan MS-ISAC memperingatkan hari ini dalam peringatan bersama bahwa penyerang semakin sering menggunakan perangkat lunak pemantauan dan manajemen jarak jauh (RMM) yang sah untuk tujuan berbahaya.

Yang lebih mengkhawatirkan, CISA menemukan aktivitas jahat dalam jaringan beberapa lembaga cabang eksekutif sipil federal (FCEB) menggunakan sistem deteksi intrusi EINSTEIN setelah rilis laporan Silent Push pada pertengahan Oktober 2022.

Aktivitas ini terkait dengan “kampanye phishing yang tersebar luas dan termotivasi secara finansial” yang dilaporkan oleh Silent Push dan terdeteksi di “banyak jaringan FCEB lainnya” setelah pertama kali terlihat di satu jaringan FCEB pada pertengahan September 2022.

Penyerang di balik kampanye ini mulai mengirim email phishing bertema help desk ke pemerintah staf federal dan alamat email pribadi setidaknya sejak pertengahan Juni 2022.

“Organisasi penulis menilai bahwa setidaknya sejak Juni 2022, pelaku kejahatan dunia maya telah mengirim email phishing bertema meja bantuan ke alamat email pribadi staf federal FCEB dan pemerintah,” bunyi penasihat itu.

“Email tersebut berisi tautan ke domain jahat ‘tahap pertama’ atau meminta penerima untuk memanggil penjahat dunia maya, yang kemudian mencoba meyakinkan penerima untuk mengunjungi domain berbahaya tahap pertama.”

Serangan callback phishing seperti yang menargetkan staf FCEB dalam kampanye ini telah mengalami pertumbuhan besar-besaran sebesar 625% sejak Q1 2021 dan juga telah diadopsi oleh geng ransomware.

Grup ini termasuk grup yang terpisah dari operasi kejahatan dunia maya Conti, seperti Silent Ransom Group, Quantum (sekarang Dagon Locker), dan Royal.

Selengkapnya: Bleeping Computer

CISA Memperingatkan Bug ManageEngine RCE Kritis yang Dieksploitasi dalam Serangan

January 24, 2023 by Flamango

Cybersecurity and Infrastructure Security Agency (CISA) telah menambahkan eksekusi kode remote (RCE) yang mempengaruhi sebagian besar produk Zoho ManageEngine ke katalog bugnya yang diketahui dieksploitasi secara liar.

Cacat keamanan ini dilacak sebagai CVE-2022-47966 dan telah ditambal dalam beberapa gelombang mulai 27 Oktober 2022.

Pelaku ancaman yang tidak diautentikasi dapat mengeksploitasi jika sistem masuk tunggal (SSO) berbasis SAML diaktifkan.

Peneliti keamanan Horizon3 merilis analisis teknis dengan kode exploit proof-of-concept (PoC) dan memperingatkan serangan ‘spray and pray’ yang masuk.

Ditemukan lebih dari 8.300 instans ServiceDesk Plus dan Endpoint Central yang terpapar Internet dan sekitar 10% diantaranya diperkirakan rentan.

Berapa perusahaan keamanan siber memperingatkan bahwa instans ManageEngine yang belum ditambal yang diekspos secara online kini ditargetkan dengan eksploitasi CVE-2022-47966 dalam serangan berkelanjutan.

Dihimbau untuk Mengutamakan Patching
Berdasarkan arahan operasional yang mengikat (BOD 22-01) yang dikeluarkan pada November 2021, semua agen Federal Civilian Executive Branch Agencies (FCEB) harus menambal sistem mereka terhadap bug yang dieksploitasi secara aktif ini setelah ditambahkan ke katalog CISA’s Known Exploited Vulnerabilities (KEV).

Agensi keamanan siber juga mendesak semua organisasi dari sektor swasta dan publik untuk memprioritaskan menambal kerentanan ini.

Pada bulan September, CISA memerintahkan agen federal untuk menambal kelemahan kritis lainnya (CVE-2022-35405) di beberapa produk Zoho ManageEngine yang memungkinkan eksekusi kode remote yang tidak diautentikasi setelah eksploitasi berhasil.

Selengkapnya: BleepingComputer

FBI, FDA OCI, dan USDA Merilis Penasihat Keamanan Siber Bersama Mengenai Skema Kompromi Email Bisnis yang Digunakan untuk Mencuri Makanan

December 17, 2022 by Søren

Biro Investigasi Federal (FBI), Kantor Investigasi Kriminal Administrasi Makanan dan Obat-obatan (FDA OCI), dan Departemen Pertanian AS (USDA) telah merilis Cybersecurity Advisory (CSA) bersama yang merinci insiden yang baru-baru ini diamati dari pelaku kriminal yang menggunakan bisnis email kompromi (BEC) untuk mencuri kiriman produk makanan dan bahan-bahan senilai ratusan ribu dolar.

CSA bersama menganalisis taktik, teknik, dan prosedur umum (TTP) yang digunakan oleh pelaku kriminal untuk memalsukan email dan domain untuk menyamar sebagai karyawan yang sah dan memesan barang yang tidak dibayar dan mungkin dijual kembali dengan harga yang didevaluasi dengan pelabelan yang tidak memiliki standar industri “kebutuhan- yang tahu” (yaitu, informasi yang diperlukan tentang bahan, alergen, atau tanggal kedaluwarsa).

Untuk informasi lebih lanjut, CISA mendorong organisasi untuk meninjau panduan yang diberikan oleh FBI, FDA OCI, dan USDA bersama Pelaku Kriminal CSA Menggunakan Kompromi Email Bisnis untuk Mencuri Kiriman Besar Produk dan Bahan Makanan—di mana bisnis didesak “untuk menggunakan risiko- analisis informasi untuk mempersiapkan, memitigasi, dan menanggapi insiden dunia maya dan kejahatan yang dimungkinkan oleh dunia maya.”

Selengkapnya: CISA

Hive ransomware memeras $100 juta dari lebih dari 1.300 korban

November 18, 2022 by Eevee

Biro Investigasi Federal (FBI) mengatakan bahwa geng ransomware Hive yang terkenal telah berhasil memeras sekitar $100 juta dari lebih dari seribu perusahaan sejak Juni 2021.

FBI juga mengatakan bahwa geng Hive akan menyebarkan muatan ransomware tambahan pada jaringan korban yang menolak membayar uang tebusan.

“Hive November 2022, aktor ransomware Hive telah menjadi korban lebih dari 1.300 perusahaan di seluruh dunia, menerima sekitar US$100 juta sebagai pembayaran uang tebusan, menurut informasi FBI,” ungkap FBI.

Daftar korban termasuk organisasi dari berbagai industri dan sektor infrastruktur penting seperti fasilitas pemerintah, komunikasi, dan teknologi informasi, dengan fokus pada entitas Kesehatan dan Kesehatan Masyarakat (HPH).

Ini terungkap dalam penasehat bersama yang diterbitkan hari ini dengan Cybersecurity and Infrastructure Security Agency (CISA) dan Departemen Kesehatan dan Layanan Kemanusiaan (HHS).

Penasihat hari ini dikeluarkan untuk membagikan indikator kompromi Hive (IOC) dan taktik, teknik, dan prosedur (TTP) yang ditemukan oleh FBI saat menyelidiki serangan ransomware Hive.

Meskipun pengiriman ke platform ID Ransomware tidak menyertakan semua serangan ransomware Hive, para korban telah mengirimkan lebih dari 850 sampel sejak awal tahun, banyak di antaranya didorong menyusul lonjakan besar aktivitas antara akhir Maret dan pertengahan April.

Sementara tiga agen federal di belakang penasehat tidak mendorong pembayaran uang tebusan karena kemungkinan besar akan mendorong pelaku ancaman lain untuk bergabung dengan serangan ransomware, para korban didesak untuk melaporkan serangan Hive ke kantor lapangan FBI lokal mereka atau ke CISA di report@cisa. gov terlepas dari apakah mereka membayar uang tebusan atau tidak.

Ini akan membantu penegak hukum mengumpulkan informasi penting yang diperlukan untuk melacak aktivitas operasi ransomware, mencegah serangan tambahan, atau meminta pertanggungjawaban penyerang atas tindakan mereka.

FBI juga merilis indikator tambahan kompromi dan detail teknis yang terkait dengan serangan ransomware Hive pada Agustus 2021.

Hive adalah operasi Ransomware-as-a-Service (RaaS) yang aktif setidaknya sejak Juni 2021, dengan beberapa anggotanya diketahui telah bekerja untuk Hive dan geng kejahatan dunia maya Conti secara bersamaan setidaknya selama enam bulan, mulai November 2021.

Sumber: Bleeping Computer

CISA memerintahkan agensi untuk menambal Windows zero-day baru yang digunakan dalam serangan

July 13, 2022 by Eevee Leave a Comment

CISA telah menambahkan kerentanan eskalasi hak istimewa lokal yang dieksploitasi secara aktif di Windows Client/Server Runtime Subsystem (CSRSS) ke daftar bug yang disalahgunakan di alam liar.

Kelemahan keamanan tingkat tinggi ini (dilacak sebagai CVE-2022-22047) berdampak pada platform Windows server dan klien, termasuk rilis Windows 11 dan Windows Server 2022 terbaru.

Microsoft telah menambalnya sebagai bagian dari Patch Juli 2022 Selasa, dan mengklasifikasikannya sebagai zero-day karena disalahgunakan dalam serangan sebelum perbaikan tersedia.

Redmond mengatakan kerentanan itu ditemukan secara internal oleh Microsoft Threat Intelligence Center (MSTIC) dan Microsoft Security Response Center (MSRC).

CISA telah memberikan waktu tiga minggu kepada agensi, hingga 2 Agustus, untuk menambal kerentanan CVE-2022-22047 yang dieksploitasi secara aktif dan memblokir serangan yang sedang berlangsung yang dapat menargetkan sistem mereka.

Menurut arahan operasional yang mengikat (BOD 22-01) yang dikeluarkan pada bulan November, semua lembaga Federal Civilian Executive Branch Agencies (FCEB) diharuskan untuk mengamankan jaringan mereka dari kelemahan keamanan yang ditambahkan ke katalog CISA tentang Kerentanan yang Diketahui Tereksploitasi (KEV).

Meskipun arahan BOD 22-01 hanya berlaku untuk agen federal AS, CISA juga sangat mendesak semua organisasi di seluruh AS untuk memperbaiki peningkatan bug hak istimewa CSRSS Windows ini untuk menggagalkan upaya penyerang untuk meningkatkan hak istimewa pada sistem Windows yang belum ditambal.

Sejak BOD 22-01 diterbitkan, CISA telah menambahkan ratusan kerentanan keamanan ke daftar bug yang dieksploitasi dalam serangan, memerintahkan agen federal AS untuk menambal sistem mereka sesegera mungkin untuk mencegah pelanggaran.

Sumber: Bleeping Computer

CISA memperingatkan peretas yang mengeksploitasi kerentanan PwnKit Linux

June 30, 2022 by Eevee

Cybersecurity and Infrastructure Security Agency (CISA) telah menambahkan kerentanan Linux dengan tingkat keparahan tinggi yang dikenal sebagai PwnKit ke daftar bug yang dieksploitasi di alam liar.

Kelemahan keamanan, yang diidentifikasi sebagai CVE-2021-4034, ditemukan di komponen pkexec Polkit yang digunakan oleh semua distribusi utama (termasuk Ubuntu, Debian, Fedora, dan CentOS).

PwnKit adalah bug kerusakan memori yang dapat dimanfaatkan oleh pengguna yang tidak memiliki hak istimewa untuk mendapatkan hak akses root penuh pada sistem Linux dengan konfigurasi default.

Peneliti di keamanan informasi Qualys yang menemukannya juga menemukan bahwa asalnya kembali ke komitmen awal pkexec, yang berarti memengaruhi semua versi Polkit. Itu juga telah bersembunyi di depan mata selama lebih dari 12 tahun sejak rilis pertama pkexec pada Mei 2009.

Kode eksploitasi proof-of-concept (PoC) yang andal telah dibagikan secara online kurang dari tiga jam setelah Qualys menerbitkan detail teknis untuk PwnKit.

Qualys mendesak admin Linux untuk mempercepat pengamanan server yang rentan menggunakan patch yang dirilis oleh tim pengembangan Polkit di repositori GitLab mereka.

Ini bahkan lebih mendesak karena, menurut nasihat Qualys, eksploitasi bug eskalasi hak istimewa PwnKit dimungkinkan tanpa meninggalkan jejak pada sistem yang disusupi.

Badan keamanan siber AS juga memberi semua lembaga Federal Civilian Executive Branch Agencies (FCEB) tiga minggu, hingga 18 Juli, untuk menambal server Linux mereka terhadap PwnKit dan memblokir upaya eksploitasi.

Menurut arahan operasional yang mengikat (BOD 22-01) yang dikeluarkan oleh CISA pada bulan November untuk mengurangi risiko bug yang diketahui dieksploitasi di seluruh jaringan federal AS, lembaga FCEB harus mengamankan sistem mereka dari bug yang ditambahkan ke Katalog Kerentanan yang Diketahui Tereksploitasi (KEV).

Meskipun arahan ini hanya berlaku untuk agen federal, CISA juga sangat mendesak semua organisasi AS dari sektor swasta dan publik untuk memprioritaskan perbaikan bug ini.

Mengikuti saran agensi harus mengurangi serangan yang dapat ditargetkan oleh aktor ancaman dalam serangan yang dirancang untuk membahayakan server yang belum ditambal dan menembus jaringan yang rentan.

CISA juga telah mendesak lembaga pemerintah dan organisasi sektor swasta yang menggunakan Microsoft Exchange untuk mempercepat peralihan dari metode otentikasi warisan Basic Auth ke alternatif Auth Modern.

Agen FCEB juga disarankan untuk memblokir Basic auth setelah bermigrasi ke Modern Auth karena mempersulit pelaku ancaman untuk melakukan serangan password spray dan credential stuffing.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

CISA

Cookies Settings