Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cyber Attack

Cyber Attack

Kampanye Malspam Memanfaatkan Ketidakpastian Pemilihan

by

Penjahat siber telah memanfaatkan ketidakpastian yang sedang berlangsung di sekitar pemilihan AS 2020 untuk meluncurkan kampanye malspam baru yang bertujuan menyebarkan trojan Qbot.
Penjahat di belakang Qbot muncul kembali sehari setelah pemilu dengan email spam yang berusaha memikat korban dengan pesan yang mengklaim memiliki informasi tentang campur tangan pemilu,

Menurut peneliti. “Pemilu AS 2020 telah menjadi subjek pengawasan dan emosi yang intens, sementara terjadi di tengah pandemi global,” para peneliti di Malwarebytes Labs melaporkan dalam posting Rabu. “Dalam kasus ini, kami mulai mengamati kampanye spam baru yang mengirimkan lampiran berbahaya yang mengeksploitasi keraguan tentang proses pemilihan.”

Email terbaru yang diamati oleh tim Lab MalwareBytes menyertakan lampiran ZIP bernama “ElectionInterference_ [8 hingga 9 digit] .zip” dan meminta penerima untuk “Baca dokumen dan beri tahu saya pendapat Anda”.
Jika mengklik pada spreadsheet Excel yang dibuat seolah-olah itu adalah file DocuSign yang aman. “Pengguna tertipu untuk mengizinkan makro untuk ‘mendekripsi’ dokumen,” kata peneliti.

Setelah makro diaktifkan, ia mengunduh muatan berbahaya yang berisi trojan Qbot dengan URL yang dikodekan dalam sel sheet bernama Sirilik “Лист3”. Setelah eksekusi, trojan menghubungi server perintah dan kontrolnya untuk meminta instruksi untuk aktivitas jahatnya. Dalam kasus ini, Qbot mencuri dan mengeksfiltrasi data korban serta mengumpulkan email yang dapat digunakan dalam kampanye malspam di masa mendatang, kata peneliti.

Para pelaku ancaman mengambil keuntungan dari ketidakpastian pemilu 2020 – hasil resmi yang masih belum diketahui – tidak mengejutkan. Peneliti keamanan sejak lama berharap hari pemilihan dan akibatnya akan diganggu oleh para pelaku ancaman siber.

Memang, skenario pemilu 2020 saat ini adalah umpan yang sempurna untuk skema rekayasa sosial yang sering digunakan oleh pelaku ancaman untuk mendistribusikan malware secara massal melalui email berbahaya.

Source : Threatpost

Capcom terkena ransomware Ragnar Locker, 1TB diduga dicuri

by

Dilaporkan oleh Bleeping Computer, pengembang game Jepang Capcom telah mengalami serangan ransomware di mana pelaku ancaman mengklaim telah mencuri 1TB data sensitif dari jaringan perusahaan mereka di AS, Jepang, dan Kanada.

Capcom terkenal dengan franchise game ikoniknya, termasuk Street Fighter, Resident Evil, Devil May Cry, Monster Hunter, dan Mega Man.

Kemarin, Capcom mengumumkan bahwa mereka telah terkena serangan siber pada tanggal 2 November 2020, yang menyebabkan penghentian sebagian jaringan perusahaan mereka untuk mencegah penyebaran serangan tersebut.

Sejak serangan itu, Capcom telah menampilkan pemberitahuan di situsnya yang memperingatkan pengunjung bahwa email dan permintaan dokumen tidak akan dijawab karena serangan tersebut memengaruhi sistem email.

Saat itu, Capcom tidak mengungkapkan detail serangan siber tersebut, tetapi dalam sampel ransomware yang ditemukan oleh peneliti keamanan Pancak3, Bleeping Computer melihat bahwa geng ransomware Ragnar Locker yang berada dibalik serangan itu.

Terlampir dalam catatan tebusan adalah tujuh print.sc URL yang menampilkan tangkapan layar dari file yang dicuri, termasuk perjanjian penghentian karyawan, paspor Jepang, laporan penjualan Steam dari Agustus, pernyataan Bank, perjanjian kontraktor, dan tangkapan layar Pengguna Active Directory dan MMC Komputer untuk Capcom Windows domain.

Sumber: BleepingComputer

Pancak3 mengatakan kepada BleepingComputer bahwa Ragnar Locker mengklaim telah mengenkripsi 2.000 perangkat di jaringan Capcom dan menuntut $11.000.000 dalam bentuk bitcoin untuk sebuah decryptor. Tebusan ini juga termasuk janji untuk menghapus data yang dicuri dan laporan keamanan penetrasi jaringan.

Perlu dicatat bahwa layanan negosiasi ransomware Coveware telah melihat operasi ransomware semakin tidak menepati janji mereka untuk menghapus data yang dicuri setelah uang tebusan dibayarkan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Vendor minuman Italia Campari offline setelah serangan ransomware

by

Seperti yang pertama kali dilaporkan oleh ZDNet, Campari merilis pernyataan pers pada hari Senin di mana mereka menyatakan bahwa mereka mengalami serangan siber selama akhir pekan, yang menyebabkan mereka menutup layanan dan jaringan TI mereka.

Serangan itu telah dikaitkan dengan geng ransomware RagnarLocker, menurut salinan catatan tebusan yang dibagikan dengan ZDNet oleh seorang peneliti malware bernama Pancak3.

sumber: ZDNet

Geng RagnarLocker sekarang mencoba memeras perusahaan agar membayar permintaan tebusan untuk mendekripsi file-nya.

Grup ransomware tersebut juga mengancam akan merilis file yang dicurinya dari jaringan Campari jika perusahaan tidak membayar permintaan tebusan dalam seminggu setelah gangguan awal.

Namun, perusahaan Italia tersebut tampaknya telah memilih untuk memulihkan sistem mereka daripada membayar permintaan tebusan, menurut siaran pers singkat yang diterbitkan pada hari Selasa.

Dalam siaran pers yang sama, Campari juga mengatakan pihaknya mendeteksi intrusi segera setelah terjadi dan segera pindah untuk mengisolasi sistem yang terkena dampak, dan bahwa insiden tersebut diperkirakan tidak akan berdampak signifikan pada hasil keuangannya.

Berita selengkapnya:
Source: ZDNet

Keamanan siber: Satu dari tiga serangan ada hubungannya dengan virus corona

by

Pusat Keamanan Siber Nasional (NCSC) Inggris ‘meningkatkan dukungan’ bagi Layanan Kesehatan Nasional untuk membantu melindungi rumah sakit Inggris dan organisasi perawatan kesehatan lainnya dari serangan siber.

Review Tahunan NCSC 2020 mengungkapkan bahwa cyber arm GCHQ telah menangani lebih dari 200 insiden siber terkait dengan virus korona selama tahun ini – hampir sepertiga dari jumlah total insiden yang diminta untuk dibantu selama periode itu.

Dan karena urgensi pengamanan perawatan kesehatan selama pandemi virus corona, NCSC telah membantu NHS untuk mengamankan dirinya dari serangan siber.

Lebih dari 160 kasus kerentanan berisiko tinggi telah dibagikan dengan NHS Trusts selama tahun ini, sementara NCSC juga harus menangani lebih dari 200 insiden terkait dengan respons virus corona Inggris – termasuk spionase siber Rusia yang menargetkan pengembangan vaksin virus corona.

200 insiden terkait virus corona merupakan bagian yang signifikan dari jumlah total 723 serangan siber yang melibatkan hampir 1.200 korban yang telah dibantu oleh NCSC selama setahun terakhir, naik dari 658 pada tahun sebelumnya – dan yang tertinggi jumlah insiden sejak NCSC didirikan.

Tinjauan tersebut juga mencatat bahwa NCSC telah menangani serangan ransomware tiga kali lebih banyak daripada yang dilakukannya tahun lalu karena serangan menjadi lebih bertarget dan lebih agresif.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Serangan Bypass NAT/Firewall Baru Memungkinkan Peretas Mengakses Layanan TCP/UDP

by

Sumber: Samy Kamkar

Sebuah penelitian baru telah mendemonstrasikan teknik yang memungkinkan penyerang untuk melewati perlindungan firewall dan mengakses layanan TCP/UDP dari jarak jauh pada mesin korban.

Temuan ini diungkapkan oleh peneliti privasi dan keamanan Samy Kamkar pada akhir pekan lalu.

Disebut NAT Slipstreaming, metode ini melibatkan mengirimkan kepada target sebuah tautan ke situs berbahaya (atau situs sah yang dimuat dengan iklan berbahaya) yang, ketika dikunjungi, pada akhirnya memicu gateway untuk membuka port TCP/UDP pada korban, dengan demikian menghindari pembatasan port berbasis browser.

Teknik ini dilakukan dengan menggunakan router NetGear Nighthawk R7000 yang menjalankan kernel Linux versi 2.6.36.4.

Network address translation (NAT) adalah proses di mana perangkat jaringan, seperti firewall, memetakan kembali ruang alamat IP ke yang lain dengan mengubah informasi alamat jaringan di header IP paket saat mereka transit.

Keuntungan utamanya adalah membatasi jumlah alamat IP publik yang digunakan di jaringan internal organisasi dan meningkatkan keamanan dengan membiarkan satu alamat IP publik dibagikan di antara banyak sistem.

NAT Slipstreaming bekerja dengan memanfaatkan segmentasi paket TCP dan IP untuk menyesuaikan batas paket dari jarak jauh dan menggunakannya untuk membuat paket TCP/UDP dimulai dengan metode SIP (Session Initiation Protocol) seperti REGISTER atau INVITE.

Dengan kata lain, campuran segmentasi paket dan permintaan SIP di HTTP dapat digunakan untuk mengelabui NAT ALG agar membuka port untuk koneksi masuk ke klien.

Seluruh kode proof-of-concept untuk NAT Slipstreaming dapat ditemukan di sini.

Berita selengkapnya dapat di baca pada tautan di bawah ini;
Source: The Hacker News

Grup peretas menggunakan Solaris zero-day untuk menerobos jaringan perusahaan

by

Mandiant, unit investigasi firma keamanan FireEye, telah menerbitkan rincian tentang aktor ancaman baru yang mereka sebut UNC1945. Perusahaan keamanan tersebut mengatakan menggunakan kerentanan zero-day dalam sistem operasi Oracle Solaris sebagai bagian dari intrusi ke jaringan perusahaan.

Target reguler serangan UNC1945 termasuk perusahaan telekomunikasi, keuangan, dan konsultasi, kata tim Mandiant dalam sebuah laporan yang diterbitkan tanggal 2 November 2020.

Dilacak sebagai CVE-2020-14871, zero-day ini adalah kerentanan dalam Solaris Pluggable Authentication Module (PAM) yang memungkinkan UNC1945 untuk melewati prosedur otentikasi dan memasang backdoor bernama SLAPSTICK di server Solaris yang terpapar internet.

Mandiant mengatakan para peretas kemudian menggunakan backdoor ini sebagai titik masuk untuk meluncurkan operasi pengintaian di dalam jaringan perusahaan dan berpindah secara lateral ke sistem lain.

Untuk menghindari deteksi, Mandiant mengatakan kelompok itu mengunduh dan menginstal mesin virtual QEMU yang menjalankan versi Tiny Core Linux OS.

Sumber: FireEye

Mandiant mengatakan pihaknya mengamati kelompok tersebut menggunakan bermacam-macam pengujian penetrasi sumber terbuka dan alat keamanan, tetapi juga jenis malware khusus. Perusahaan juga percaya bahwa UNC1945 membeli EVILSUN (alat yang memungkinkan mereka untuk mengeksploitasi zero-day Solaris dan menanam backdoor SLAPSTICK) dari forum peretasan publik seharga $3.000 (Rp 43 juta).

Zero-day (CVE-2020-14871) telah di-patch bulan lalu di patch keamanan Oracle Oktober 2020.

Berita selengkapnya serta IoC dapat dibaca pada tautan di bawah ini;
Source: ZDNet | Fire Eye

Pengguna Zoom Telanjang Ditargetkan Oleh Kampanye Kejahatan Siber Baru

by

Kampanye kejahatan siber yang sedang berlangsung menargetkan pengguna Zoom yang mungkin sedang telanjang atau intim di depan kamera.

Dalam beberapa hari setelah laporan bahwa seorang reporter terkenal dan analis TV ketahuan mengekspos dirinya selama obrolan Zoom, penjahat siber mulai mengeksploitasi berita itu. Reporter tersebut memberi tahu Motherboard bahwa dia pikir dia berada di luar kamera, karena telah mematikan video Zoom, dan tidak ada seorang pun yang sedang menelepon yang dapat melihatnya.

Penjahat siber di balik kampanye “sextortion” terbaru, yang telah menargetkan setidaknya 250.000 orang sejak 20 Oktober, memanfaatkan ketakutan bahwa seseorang mungkin secara tidak sengaja direkam dalam keadaan telanjang atau dalam keadaan intim.

Pertama kali ditemukan oleh para peneliti di Bitdefender Antispam Lab, upaya pemerasan menggunakan semua emosi dan psikologis yang biasa, belum lagi petunjuk teknologi untuk meyakinkan target bahwa mereka telah tertangkap.

Kampanye sextortion, sementara menargetkan pengguna Zoom, dijalankan melalui email. Mayoritas email yang dikirim dalam kampanye khusus ini telah sampai ke penerima di seluruh AS menurut Bitdefender.

Menyusul lebih banyak upaya untuk memahami calon korban, termasuk mencoba membuat mereka merasa kasihan kepada penyerang yang mengatakan mereka hanya melakukan ini karena mereka terlilit utang setelah tertular COVID, kesimpulan kriminal terungkap. “Bayar $2.000 (£ 1.500) dalam bentuk bitcoin,” dan video nya tidak akan dipublikasikan.

Ada banyak hal yang salah dengan hal ini sehingga sulit untuk mengetahui dari mana harus memulai. Tetapi bagaimana dengan sementara mungkin saja seorang peretas dapat mengakses webcam, komputer atau ponsel cerdas Anda, melalui kerentanan atau malware, itu juga sangat tidak mungkin terjadi. Jika itu masalahnya, maka untuk memastikan peluang terbaik untuk mendapatkan bayaran, klip pendek dari rekaman tersebut akan dilampirkan ke email sebagai bukti. Penipu bahkan menginstruksikan penerima untuk tidak membalas email, petunjuk besar lainnya bahwa tidak ada video yang sebenarnya telah direkam.

Ini adalah tipuan sextortion tipikal yang mengandalkan rasa takut, pada cara orang bereaksi terhadap rasa takut itu, dan memungkinkan proses berpikir yang biasa dilemahkan. Mereka memberi batas tiga hari, menumpuk tekanan untuk membayar dengan cepat sebelum video yang diduga dipublikasikan secara online.

Jika Anda telanjang, atau sibuk, di dekat komputer atau smartphone, selalu pastikan kamera menghadap ke arah lain, penutup laptop tertutup, atau Anda telah menutup lensa webcam. Banyak kamera mandiri yang memiliki penutup jendela saat ini, dan Anda dapat membeli slider tempel untuk laptop Anda.

Berita selengkapnya dapat dibaca pada tautan berikut;
Source: Forbes

Hacker menjual 34 juta data rpibadi pengguna yang dicuri dari 17 perusahaan

by

Seorang pelaku ancaman menjual database akun yang berisi total keseluruhan 34 juta catatan pengguna yang mereka klaim dicuri dari tujuh belas perusahaan selama pembobolan data.
Pada 28 Oktober, seorang broker data breach membuat topik baru di forum peretas untuk menjual database pengguna yang dicuri untuk tujuh belas perusahaan.

Dalam percakapan dengan BleepingComputer, penjual memberi tahu kami bahwa mereka tidak bertanggung jawab untuk meretas ke tujuh belas perusahaan dan bertindak sebagai perantara untuk basis data.
Ketika ditanya bagaimana peretas memperoleh akses ke berbagai situs, penjual menyatakan, “Tidak yakin apakah dia ingin mengungkapkannya.”

Basis data yang dicuri biasanya dijual pertama kali dalam penjualan pribadi, seperti yang tercantum di atas, dengan kisaran sebelumnya dari $ 500, seperti yang terlihat dalam pelanggaran data Zoosk, hingga $ 100.000 untuk basis data Wattpad.
Setelah beberapa waktu, biasanya database yang dicuri dirilis secara gratis di forum peretas untuk meningkatkan ‘kredibilitas jalanan’ aktor ancaman.

Perusahaan diduga melanggar pada tahun 2020
Menurut pelanggaran data yang pecah, semua dari tujuh belas database yang dijual diperoleh pada tahun 2020, dengan pelanggaran terbesar adalah Geekie.com.br dengan 8,1 juta catatan. Perusahaan yang terkena dampak paling terkenal adalah RedMart Singapura yang mengekspos 1,1 juta rek

Penjual memberi tahu BleepingComputer bahwa mereka menjual database RedMart seharga $ 1.500.
Tak satu pun dari perusahaan ini sebelumnya melaporkan pelanggaran data terbaru sebelum minggu ini.

Setelah BleepingComputer menghubungi semua perusahaan yang terpengaruh, hanya RedMart yang mengungkapkan pelanggaran data kemarin, dan Wongnai.com mengatakan kepada BleepingComputer bahwa mereka sedang menyelidiki insiden tersebut.

“Terima kasih atas pertanyaan Anda, kami mengetahui insiden ini tadi malam (waktu Bangkok) dan tim teknis kami telah menyelidiki masalah ini,” Wongnai mengirim email kepada BleepingComputer.com.

Tujuh belas database yang dijual ditampilkan di bawah ini:

Redmart.lazada.sg: emails, SHA1 hashed passwords, mailing and billing addresses, full name, phone numbers, partial credit cards numbers and exp dates
Everything5pounds.com: emails, hashed passwords, name, gender, phone number
Geekie.com.br: emails, bcrypt-sha256/sha512 hashed passwords, usernames, names, DoB, gender, mobile phone number, Brazilian CPF numbers
Cermati.com: emails, password bcrypt, name, address, phone, revenue, bank, tax number, id number, gender, job, company, mothers maiden name
Clip.mx: email, phone
Katapult.com: email, password pbkdf2-sha256/unknown, name
Eatigo.com: email, password md5, name, phone, gender, facebook id & token
Wongnai.com: email, password md5, ip, facebook & twitter id, names, birthdate, phone, zip
Toddycafe.com: email, password unknown, name, phone, address
Game24h.vn: email, password md5, username, birthdate, name
Wedmegood.com: email, password sha512, phone, facebook id
W3layouts.com: – email, password bcrypt, ip, country, city, state, phone, name
Apps-builder.com: email, password md5crypt, ip, name, country
Invideo.io: email, password bcrypt, name, phone
Coupontools.com: email, password bcrypt, name, phone, gender, birthdate
Athletico.com.br: email, password md5, name, cpf, birthdate
Fantasycruncher.com: email, password bcrypt/sha1, username, ip

Amankan Akun Anda
Jika Anda adalah pengguna salah satu situs ini, Anda harus menganggap bahwa situs tersebut telah dilanggar dan segera ubah sandi Anda.\
Jika Anda menggunakan sandi yang sama di situs lain, Anda juga harus mengubah sandi di situs tersebut menjadi sandi yang unik dan kuat yang hanya Anda gunakan untuk situs tersebut.

Menggunakan kata sandi unik di setiap situs Anda memiliki akun mencegah pelanggaran data di satu situs agar tidak memengaruhi Anda di situs web lain yang Anda gunakan.
Disarankan agar Anda menggunakan pengelola kata sandi untuk membantu Anda melacak kata sandi yang unik dan kuat di setiap situs.

Source : Bleepingcomputer