Cyber Attack

Ransomware Vice Society menggunakan alat pencurian data PowerShell baru dalam serangan

April 16, 2023 by Coffee Bean

Alat pencurian data baru ditemukan oleh Palo Alto Networks Unit 42 selama respons insiden pada awal 2023, saat responden memulihkan file bernama “w1.ps1” dari jaringan korban dan, lebih khusus lagi, direferensikan dalam ID Peristiwa 4104: Script Blokir acara Logging.

Skrip menggunakan PowerShell untuk mengotomatiskan eksfiltrasi data dan terdiri dari beberapa fungsi, termasuk Work(), Show(), CreateJobLocal(), dan fill().

Keempat fungsi ini digunakan untuk mengidentifikasi direktori potensial untuk eksfiltrasi, memproses grup direktori, dan akhirnya mengekstraksi data melalui permintaan HTTP POST ke server Vice Society.

Meskipun tampaknya ada beberapa fungsi otomatis dalam skrip untuk menentukan file apa yang dicuri, masih ada daftar pengecualian dan penyertaan master untuk membantu menyempurnakan file apa yang dicuri.

Misalnya, skrip tidak akan mencuri data dari folder yang namanya menyertakan string umum untuk cadangan, folder instalasi program, dan folder sistem operasi Windows.

Namun, ini secara khusus akan menargetkan folder yang berisi lebih dari 433 string dalam bahasa Inggris, Ceko, Jerman, Lituania, Luksemburg, Portugis, dan Polandia, menekankan bahasa Jerman dan Inggris.

Pada bulan Desember 2022, SentinelOne memperingatkan tentnag VIce Society yang telah beralih ke enkripsi file baru yang canggih yang dijuluki “PolyVice”, yang mungkin dipasok oleh pengembang kontrak yang juga menjual malware-nya ke ransomware Chilly dan SunnyDay.

Sayangnya,dengan pengadopsian alat yang canggih, Vice Society telah menjadi ancaman yang lebih besar bagi organisasi di seluruh dunia, memberikan lebih sedikit kesempatan bagi para pembela HAM untuk mendeteksi dan menghentikan serangan.

selengkapnya : bleepingcomputer.com

NSA, A.S., dan Mitra Internasional Menerbitkan Panduan tentang Mengamankan Teknologi Berdasarkan Rancangan dan Kelalaian

April 14, 2023 by Coffee Bean

Badan Keamanan Siber dan Infrastruktur (CISA), Badan Keamanan Nasional (NSA), dan Biro Investigasi Federal (FBI) bermitra dengan badan keamanan siber mitra internasional untuk mendorong produsen teknologi menciptakan produk yang dirancang dengan aman dan aman secara default.

Kelompok sembilan lembaga tersebut telah menerbitkan Lembar Informasi Keamanan Siber, “Menggeser Keseimbangan Risiko Keamanan Siber: Prinsip dan Pendekatan untuk Keamanan-oleh-Desain dan Default,” untuk meningkatkan kesadaran dan memfasilitasi percakapan internasional tentang prioritas utama, investasi, dan keputusan yang diperlukan untuk memproduksi teknologi yang aman, terjamin, dan tangguh.

Dalam laporan baru, agensi menyoroti pentingnya memprioritaskan keamanan di seluruh siklus hidup produk untuk mengurangi kemungkinan insiden keamanan. Prinsip-prinsip tersebut memastikan produk teknologi dibuat dan dikonfigurasi dengan cara yang melindungi terhadap pelaku dunia maya jahat yang mendapatkan akses ke perangkat, data, dan infrastruktur yang terhubung.

NSA dan mitranya merekomendasikan produsen teknologi dan eksekutif organisasi untuk memprioritaskan penerapan prinsip-prinsip yang dirancang dengan aman dan standar yang diuraikan dalam laporan tersebut.

Selain rekomendasi yang tercantum dalam laporan, lembaga penulis mendorong penggunaan Secure Software Development Framework (SSDF), juga dikenal sebagai SP 800-218 Institut Nasional Standar dan Teknologi (NIST). SSDF membantu produsen perangkat lunak menjadi lebih efektif dalam menemukan dan menghapus kerentanan dalam perangkat lunak yang dirilis, mengurangi dampak potensial dari eksploitasi kerentanan, dan mengatasi akar penyebab kerentanan untuk mencegah terulangnya kembali di masa mendatang.

sumber : nsa.gov

82% Pemimpin Cyber Setuju Bahwa Mereka Dapat Mengurangi Sebagian dari Semua Kerusakan

April 14, 2023 by Coffee Bean

Dalam penelitian tersebut, Forrester Consulting mengungkapkan beberapa temuan yang membuka mata dari tekanan yang dihadapi para pemimpin dunia maya saat ini hingga dampak kekurangan bakat dunia maya, antara lain:

Tim siber menghadapi tekanan yang semakin besar dari pemimpin senior: 84% responden setuju bahwa tim keamanan siber merasakan tekanan yang meningkat untuk bersiap menghadapi serangan siber berikutnya.
Ancaman dunia maya semakin sulit dihentikan: 72% setuju lanskap ancaman semakin menantang.
Pelaporan tidak konsisten: Pemimpin senior harus membagikan kesiapan pelanggaran dan hasil respons insiden ke tingkat yang lebih tinggi, tetapi kurang dari 60% melakukannya hari ini. Selain itu, lebih dari setengah (55%) setuju bahwa tim keamanan siber mereka tidak memiliki data yang diperlukan untuk menunjukkan kesiapan dalam menanggapi ancaman siber dengan tepat.
Tim tidak diperlengkapi secara strategis untuk mempertahankan ketahanan dunia maya: Kurang dari sepertiga (32%) percaya bahwa organisasi mereka memiliki strategi formal untuk memastikan ketahanan dunia maya.
Kekurangan bakat mengancam ketahanan siber: 83% responden menganggap tim keamanan siber mereka kekurangan staf, dan 94% mengalami setidaknya satu tantangan manajemen bakat dengan tim keamanan siber.
Tim keamanan siber dapat mengurangi risiko dengan mengadopsi pendekatan modern untuk meningkatkan keterampilan: 64% responden setuju bahwa metode pelatihan keamanan siber tradisional (mis., sertifikasi, kursus pelatihan video, instruksi kelas) tidak cukup untuk memastikan ketahanan siber. Memanfaatkan pendekatan yang berpusat pada orang yang efektif, seperti simulasi langsung, dan pelatihan serta peningkatan keterampilan online yang progresif dan sejalan dengan jalur karier dapat meningkatkan kemampuan tim keamanan siber dan, pada gilirannya, ketahanan siber organisasi mereka.

Studi ini merekomendasikan bahwa untuk mengurangi kekurangan staf dan kurangnya keterampilan dunia maya internal, “perusahaan harus mengevaluasi kembali praktik perekrutan untuk merekrut dan menguji karyawan berpotensi tinggi” dan “berinvestasi dalam budaya yang memanfaatkan pendekatan berpusat pada orang yang efektif, seperti simulasi langsung, dan pelatihan online yang selaras dengan jalur karier yang progresif dan peningkatan keterampilan untuk meningkatkan kemampuan tim keamanan siber mereka dan, pada gilirannya, ketahanan dunia maya organisasi mereka.”

selengkapnya : digitalisationworld.com

Serangan DDOS Masif Menargetkan Server Battle.net Blizzard

April 10, 2023 by Søren

Layanan Battle.net Blizzard mengalami gangguan signifikan akibat serangan DDOS. Serangan ini memengaruhi berbagai judul Blizzard populer, termasuk World of Warcraft dan Overwatch 2. Meskipun masalah tersebut kini telah teratasi, masalah ini menyoroti tantangan untuk mengandalkan satu layanan online untuk semua game Blizzard.

Layanan Battle.net Blizzard adalah platform game online populer yang menyediakan toko serba ada bagi pemain untuk menjelajahi dan memainkan katalog game pengembang yang luas. Klien PC berfungsi sebagai peluncur, etalase, dan layanan sosial, dengan server Battle.net menghosting game pengembang di PC dan konsol.

Meskipun Battle.net memudahkan untuk bergabung dengan teman online dengan cepat, menjalankan semua gimnya di backend yang sama juga dapat menyebabkan sakit kepala bagi pemain saat semuanya tidak berfungsi sebagaimana mestinya.

Sayangnya, masalah dan gangguan Battle.net tidak jarang terjadi, dan mereka dapat membuat pemain frustrasi ketika mereka tidak dapat masuk ke game favorit mereka.

Saat ini layanan Battle.net Blizzard menjadi sasaran serangan DDOS, yang menyebabkan gangguan yang meluas bagi pemain di berbagai game Blizzard, termasuk World of Warcraft dan Overwatch 2.

Serangan tersebut menyebabkan masalah masuk dan latensi rendah bagi pemain, membuatnya sulit bagi mereka untuk mengakses dan memainkan game favorit mereka.

Pemain mulai melaporkan masalah dengan fungsionalitas online, mengarahkan tim dukungan pelanggan Blizzard untuk mulai memposting solusi pemecahan masalah untuk pemain yang terpengaruh.

Dukungan Blizzard akhirnya menghitung bahwa masalahnya adalah akibat dari serangan DDOS dan menyatakan, “secara aktif bekerja untuk mengurangi masalah ini.”

Beberapa jam kemudian, postingan lanjutan menyatakan bahwa serangan telah berakhir dan menyarankan para pemain untuk mencoba masuk ke game mereka lagi.

Meskipun masalah tersebut sekarang telah diselesaikan untuk sebagian besar pengguna, beberapa pemain masih melaporkan masalah tersebut 12 jam setelah tim dukungan pelanggan Blizzard men-tweet bahwa masalah tersebut telah diselesaikan.

Selengkapnya: Gane Censor

Peneliti Spiderlabs Memperingatkan Jenis Malware Baru yang Menguras Dana Crypto

April 9, 2023 by Coffee Bean

Para peneliti di Trustwave Spiderlabs baru-baru ini mengatakan mereka menemukan jenis malware baru yang secara sembunyi-sembunyi menarik dana dari dompet kripto. Menurut para peneliti, malware, yang dikenal sebagai Rilide, dianggap menyamar sebagai ekstensi Google Drive yang sah. Selain memberi penjahat dunia maya kemampuan untuk memantau riwayat penelusuran korban yang ditargetkan, Rilide memungkinkan injeksi “skrip berbahaya untuk mencuri dana dari pertukaran mata uang kripto.”

Dalam postingan blog mereka yang dipublikasikan pada 4 April, dua peneliti Pawel Knapczyk dan Wojciech Cieslak mengakui bahwa Rilide bukanlah malware pertama yang menggunakan ekstensi browser berbahaya. Namun, para peneliti mengatakan mereka telah melihat bagaimana malware menipu pengguna sebelum menguras dana dari dompet crypto masing-masing.

Sementara langkah-langkah seperti penegakan yang tertunda dari apa yang disebut manifes v3 diharapkan membuat hidup sedikit lebih sulit bagi penjahat dunia maya, Knapczyk dan Cieslak menegaskan bahwa ini saja mungkin tidak cukup “untuk menyelesaikan masalah sepenuhnya karena sebagian besar fungsi dimanfaatkan oleh Rilide akan tetap tersedia.”

Sementara itu, dalam peringatan mereka kepada pengguna, kedua peneliti tersebut menegaskan kembali pentingnya tetap “waspada dan skeptis” setiap kali mereka menerima email yang tidak diinginkan. Mereka menambahkan bahwa pengguna tidak boleh berasumsi bahwa konten apa pun di internet aman, meskipun tampaknya demikian. Demikian pula, pengguna harus selalu berusaha untuk tetap mendapat informasi dan terdidik tentang peristiwa terbaru dalam industri keamanan siber.

selengkapnya : news.bitcoin.com

MSI mengonfirmasi serangan cyber setelah permintaan masalah grup ransomware baru

April 9, 2023 by Coffee Bean

Taiwanese hardware maker Micro-Star International (MSI) confirmed Friday that it was the victim of a cyberattack following reports that said a new ransomware group targeted the company.

In its statement, MSI did not specify when the attack occurred but said the incident was reported to law enforcement agencies “promptly” and recovery measures have been initiated.

This week, the Money Message ransomware group added the company to its list of victims, claiming to have stolen source code, firmware, frameworks and more. Cybersecurity researchers said the group only emerged this week.

MSI, based in New Taipei City, brought in more than $6.6 billion in revenue in 2021 through its work designing and developing computer hardware, including laptops, desktops, motherboards and graphics cards.

“Currently, the affected systems have gradually resumed normal operations, with no significant impact on financial business. MSI urges users to obtain firmware/BIOS updates only from its official website, and not to use files from sources other than the official website,” the company explained.

Perusahaan juga mengajukan pengajuan peraturan ke The Taiwan Stock Exchange pada hari Jumat, menulis bahwa mereka tidak memperkirakan adanya kerugian atau dampak dari serangan siber.

Grup Pesan Uang membagikan beberapa pesannya dengan BleepingComputer, mengklaim telah mengambil 1,5TB data dan mengeluarkan permintaan uang tebusan sebesar $4 juta. Geng ransomware tampaknya baru muncul dalam seminggu terakhir, dengan setidaknya satu korban muncul di forum situs berita teknologi pada 28 Maret.

ThreatLabz dari Zscaler juga menulis pada 29 Maret di Twitter bahwa mereka menyaksikan grup tersebut “melakukan serangan pemerasan ganda” — di mana grup tersebut meminta uang tebusan tidak hanya untuk membuka kunci data terenkripsi tetapi juga untuk tidak membocorkan apa yang telah dicuri.

Para peneliti di Cyble mengatakan pada hari Kamis bahwa grup tersebut “dapat mengenkripsi pembagian jaringan dan menargetkan sistem operasi Windows dan Linux.”

Beberapa vendor perangkat keras Taiwan menghadapi serangan ransomware selama tiga tahun terakhir, termasuk QNAP, Delta Electronics, GIGABYTE, Acer, Quanta, dan lainnya.

Bahan Terapan perusahaan bernilai miliaran dolar, yang menyediakan teknologi untuk industri semikonduktor, juga dipengaruhi oleh serangan ransomware pada pemasok yang mereka perkirakan akan menelan biaya $250 juta pada kuartal berikutnya.

selengkapnya:therecord.com

Cara lama: BabLock, ransomware baru yang diam-diam menjelajahi Eropa, Timur Tengah, dan Asia

April 8, 2023 by Søren

Pada pertengahan Januari 2023, tim Digital Forensics and Incident Response Group-IB yang berbasis di Amsterdam dipanggil untuk menyelidiki salah satu serangan pasca-liburan Tahun Baru terhadap perusahaan sektor industri di Eropa.

Selama penyelidikan, para ahli Group-IB menetapkan bahwa korban telah dienkripsi dengan jenis ransomware yang sebelumnya tidak dikenal. Ketegangan, pertama kali ditemukan oleh peneliti Group-IB pada Januari 2023, diberi nama kode BabLock, karena versinya untuk Linux dan ESXi memiliki kesamaan dengan ransomware Babuk yang bocor.

Terlepas dari kesamaan kecil ini, grup ini memiliki modus operandi yang sangat berbeda dan ransomware canggih khusus untuk Windows. Selain itu, geng BabLock (juga dilacak dengan nama “Rorschach” oleh CheckPoint), tidak seperti kebanyakan “rekan industri”, tidak menggunakan Situs Kebocoran Data (DLS) dan berkomunikasi dengan korbannya melalui email.

Tidak adanya DLS, bersama dengan permintaan tebusan yang relatif sederhana mulai dari 50.000 hingga 1.000.000 USD, memungkinkan grup untuk beroperasi secara diam-diam dan tetap berada di bawah radar peneliti keamanan siber. Strain tersebut telah aktif setidaknya sejak Juni 2022, ketika versi ESXi yang paling awal diketahui dirilis. Menariknya, semua modul ransomware BabLock untuk Windows yang ditemukan oleh peneliti Group-IB dikompilasi pada tahun 2021, menurut stempel waktu.

Selain Eropa, kelompok tersebut diduga melakukan serangan di Asia dan Timur Tengah, berdasarkan sampel BabLock yang diserahkan ke VirusTotal. Khususnya, grup tersebut tidak mengenkripsi perangkat yang menggunakan bahasa Rusia dan bahasa lain yang digunakan di ruang pasca-Soviet.

Artefak yang dikumpulkan selama keterlibatan respons insiden di Eropa menyarankan BabLock menggunakan taktik canggih seperti eksploitasi CVE, pemuatan samping DLL serta anti-analisis kompleks dan teknik penghindaran deteksi.

Selengkapnya: Group IB

Procter & Gamble mengonfirmasi pencurian data melalui GoAnywhere zero-day

March 29, 2023 by Coffee Bean

“P&G dapat mengonfirmasi bahwa itu adalah salah satu dari banyak perusahaan yang terkena dampak insiden GoAnywhere Fortra. Sebagai bagian dari insiden ini, pihak ketiga yang tidak berwenang memperoleh beberapa informasi tentang karyawan P&G,” kata Procter & Gamble kepada BleepingComputer.

“Data yang diperoleh pihak yang tidak berwenang tidak mencakup informasi seperti nomor Jaminan Sosial atau nomor KTP, detail kartu kredit, atau informasi rekening bank.”

P&G mengatakan tidak memiliki bukti bahwa pelanggaran data ini memengaruhi data pelanggan dan berhenti menggunakan layanan berbagi file aman GoAnywhere Fortra setelah menemukan insiden tersebut.

Clop mengklaim mencuri file dari lebih dari 130 organisasi
Geng ransomware Clop sebelumnya memberi tahu Bleeping Computer bahwa mereka mengeksploitasi kerentanan CVE-2023-0669 GoAnywhere sebagai zero-day untuk menembus dan mencuri data dari server penyimpanan aman lebih dari 130 organisasi.

Mereka diduga mencuri data selama sepuluh hari setelah melanggar server yang terpapar Internet yang rentan terhadap eksploitasi yang menargetkan bug ini.

Pelaku ancaman juga mengklaim bahwa mereka hanya mencuri dokumen yang disimpan di platform berbagi file korban yang disusupi, meskipun mereka juga dapat dengan mudah dipindahkan secara lateral melalui jaringan mereka untuk menyebarkan muatan ransomware.

Clop mulai secara terbuka memeras korban serangan GoAnywhere pada 10 Maret ketika menambahkan tujuh perusahaan ke situs kebocoran datanya.

Sejauh ini, daftar korban yang mengakui pelanggaran GoAnywhere dan bahwa Clop memeras mereka juga termasuk raksasa kesehatan Community Health Systems (CHS), platform fintech Hatch Bank, perusahaan keamanan siber Rubrik, Hitachi Energy, peritel merek mewah Saks Fifth Avenue, dan Kota Toronto, Kanada.

Dalam catatan tebusan yang dikirim ke para korban dan dilihat oleh BleepingComputer, geng ransomware memperkenalkan diri mereka sebagai “kelompok peretas Clop”, memperingatkan para korban bahwa mereka telah mencuri dokumen sensitif, yang akan dipublikasikan secara online di situs kebocoran Clop dan dijual di pasar gelap. jika korban tidak mau bernegosiasi.

selengkapnya : bleepingcomputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attack

Cookies Settings