Cyber Security

Ziggy ransomware menutup bisnis mereka dan melepaskan kunci dekripsi korban

February 8, 2021 by Winnie the Pooh

Operasi ransomware Ziggy telah ditutup dan merilis kunci dekripsi korban setelah kekhawatiran tentang aktivitas penegakan hukum baru-baru ini dan rasa bersalah karena mengenkripsi korban.

Selama akhir pekan, peneliti keamanan M. Shahpasandi mengatakan kepada BleepingComputer bahwa admin Ziggy Ransomware mengumumkan di Telegram bahwa mereka menutup operasi mereka dan akan melepaskan semua kunci dekripsi.

Kemarin, admin ransomware Ziggy memposting file SQL yang berisi 922 kunci dekripsi untuk korban yang dienkripsi. Untuk setiap korban, file SQL mencantumkan tiga kunci yang diperlukan untuk mendekripsi file terenkripsi mereka.

Admin ransomware juga memposting decryptor [VirusTotal] yang dapat digunakan korban dengan kunci yang tercantum dalam file SQL.

Admin ransomware juga membagikan file ini dengan pakar ransomware Michael Gillespie yang memberi tahu BleepingComputer bahwa Emsisoft akan segera merilis decryptor.

Sumber: Bleeping Computer

Serangan phishing baru menggunakan kode Morse untuk menyembunyikan URL berbahaya

February 8, 2021 by Winnie the Pooh

Kampanye phishing bertarget baru menyertakan teknik kebingungan baru menggunakan kode Morse untuk menyembunyikan URL berbahaya dalam lampiran email.

Mulai minggu lalu, pelaku ancaman mulai menggunakan kode Morse untuk menyembunyikan URL berbahaya dalam bentuk phishing mereka untuk melewati gerbang email dan filter email yang aman.

Setelah pertama kali mengetahui serangan ini dari sebuah pos di Reddit, BleepingComputer dapat menemukan banyak contoh serangan yang ditargetkan yang diunggah ke VirusTotal sejak 2 Februari 2021.

Serangan phishing dimulai dengan email yang berpura-pura menjadi faktur untuk perusahaan dengan subjek email seperti ‘Revenue_payment_invoice February_Wednesday 02/03/2021.’

Email ini menyertakan lampiran HTML yang diberi nama sedemikian rupa sehingga tampak seperti faktur Excel untuk perusahaan yang ditargetkan.

Saat melihat lampiran menggunakan text editor, Anda dapat melihat bahwa lampiran tersebut menyertakan JavaScript yang memetakan huruf dan angka ke kode Morse. Misalnya, huruf ‘a’ dipetakan ke ‘.-‘ dan huruf ‘b’ dipetakan menjadi ‘-…’, seperti yang ditunjukkan di bawah ini.

Skrip kemudian memanggil fungsi decodeMorse() untuk mendekode string kode Morse menjadi string heksadesimal. String heksadesimal ini selanjutnya diterjemahkan menjadi tag JavaScript yang dimasukkan ke dalam halaman HTML.

Skrip yang disuntikkan ini digabungkan dengan lampiran HTML berisi berbagai sumber daya yang diperlukan untuk membuat spreadsheet Excel palsu yang menyatakan waktu masuk mereka habis dan meminta mereka memasukkan kata sandi lagi.

Setelah pengguna memasukkan kata sandi, formulir akan mengirimkan kata sandi ke situs jarak jauh tempat penyerang dapat mengumpulkan kredensial login.

Sumber: Bleeping Computer

Versi Ransomware Zeoticus 2.0 yang baru menjalankan muatan tanpa konektivitas atau perintah jarak jauh

February 8, 2021 by Winnie the Pooh

Rilis versi yang lebih fleksibel dan efektif dari ransomware Zeoticus telah menggarisbawahi semakin pentingnya pencegahan serangan, seorang peneliti keamanan menyimpulkan.

Tidak seperti pendahulunya, Zeoticus 2.0 dapat mengeksekusi muatan tanpa konektivitas atau perintah jarak jauh, menurut analisis malware yang dilakukan oleh SentinelOne.

Jenis ransomware, yang pertama kali muncul pada awal 2020, “akan dijalankan sepenuhnya secara offline, tanpa ketergantungan pada C2 (Command & Control)”, tulis Jim Walter, peneliti ancaman senior di vendor keamanan siber, dalam sebuah posting blog.

Sebagian besar peningkatan Zeoticus 2.0 “berfokus pada kecepatan dan efisiensi”, seperti penggunaan algoritme enkripsi cepat, yang mencakup algoritme XChaCha20 simetris dan, di sisi asimetris, Poly1305, XSalsa20, dan Curve25519.

Kumpulan dan permukaan serangan yang dapat dieksploitasi dari target potensial telah meluas juga, dengan malware sekarang dapat menemukan dan menginfeksi drive jarak jauh yang kompatibel dengan semua lini OS Windows dan bahkan mungkin dapat “berjalan di Windows XP dan sebelumnya”.

“Infeksi ransomware aktif semakin sulit dikendalikan, ditahan, dan dimitigasi,” kata Walter. Hal ini membuat pencegahan infeksi “lebih penting daripada sebelumnya mengingat sulitnya pemulihan dari serangan ransomware yang dahsyat”.

Pengguna juga harus dididik tentang metode penyerang dan didorong untuk melaporkan aktivitas yang mencurigakan, lanjut peneliti.

Sumber: The Daily Swig

Pengguna Chrome menghadapi 3 masalah keamanan selama 24 jam terakhir

February 8, 2021 by Winnie the Pooh

Pengguna browser Google Chrome telah menghadapi tiga masalah keamanan selama 24 jam terakhir dalam bentuk ekstensi jahat dengan lebih dari 2 juta pengguna, zero-day yang baru saja diperbaiki, dan informasi baru tentang bagaimana malware dapat menyalahgunakan fitur sinkronisasi Chrome untuk melewati firewall.

Pertama, Great Suspender, sebuah ekstensi dengan lebih dari 2 juta unduhan dari Toko Web Chrome, telah ditarik dari server Google dan dihapus dari komputer pengguna.

Seperti yang dilaporkan di utas GitHub pada bulan November, pengembang ekstensi asli menjual Great Suspender pada Juni lalu, dan mulai menunjukkan tanda-tanda kejahatab di bawah kepemilikan baru. Secara khusus, kata utas, versi baru berisi kode berbahaya yang melacak pengguna dan memanipulasi permintaan Web.

Selanjutnya, Google pada hari Kamis merilis pembaruan Chrome yang memperbaiki kerentanan zero-day. Dilacak sebagai CVE-2021-21148, kerentanan ini berasal dari bug buffer overflow di V8, mesin JavaScript open source Google. Google menetapkan tingkat keparahannya sebagai “tinggi”.

Namun, dalam sebuah posting yang diterbitkan oleh firma keamanan Tenable, para peneliti mencatat bahwa kerentanan itu dilaporkan ke Google pada 24 Januari, satu hari sebelum kelompok analisis ancaman Google mengeluarkan laporan bahwa peretas yang disponsori oleh negara-bangsa menggunakan situs web jahat untuk menginfeksi peneliti keamanan dengan malware.

Terakhir, seorang peneliti keamanan melaporkan pada hari Kamis bahwa peretas menggunakan malware yang menyalahgunakan fitur sinkronisasi Chrome untuk melewati firewall sehingga malware dapat terhubung ke server perintah dan kontrol.

Sinkronisasi memungkinkan pengguna untuk berbagi bookmark, tab browser, ekstensi, dan sandi di berbagai perangkat yang menjalankan Chrome.

Seorang juru bicara Google mengatakan bahwa pengembang tidak akan mengubah fitur sinkronisasi karena serangan lokal secara fisik (artinya serangan yang melibatkan penyerang yang memiliki akses ke komputer) secara eksplisit berada di luar model ancaman Chrome.

Sumber: Ars Technica

Google menghapus X-Mode SDK dari Play Store-nya

February 6, 2021 by Winnie the Pooh

Google pada hari Jumat menghapus 25 aplikasi Android dari Google Play Store setelah luput untuk menghapusnya selama pembersihan sebelumnya. Aplikasi tersebut berisi X-Mode SDK yang sebelumnya dilarang oleh Pabrik Cokelat karena menjual data lokasi.

SDK mengumpulkan data lokasi yang X-Mode, broker data berbasis di Reston, Virginia, kemudian menjualnya ke pihak ketiga.

Pada awal Desember, Google dan Apple memberi pengembang aplikasi seluler masing-masing tujuh hari dan dua minggu untuk membuang X-Mode SDK, library perangkat lunak yang telah diintegrasikan oleh pengembang ke dalam aplikasi mereka dengan imbalan pembayaran – “$ 10K atau lebih sebulan,” klaim bisnis data.

X-Mode menyatakan bahwa mereka tidak mengumpulkan informasi yang dapat diidentifikasi secara pribadi seperti nama atau alamat email, meskipun data lokasi dapat membantu mengidentifikasi seseorang.

Mereka menjanjikan “kepatuhan privasi otomatis” dengan California Consumer Privacy Act dan undang-undang GDPR Eropa, yang tampaknya tidak mempengaruhi Apple atau Google untuk melarang teknologi tersebut.

Selengkapnya: The Register

Berhenti mencoba mengeluarkan manusia dari operasi keamanan

February 6, 2021 by Winnie the Pooh

Manusia pada dasarnya unik dari makhluk atau mesin lain karena kemampuan kita untuk menggunakan:

Komunikasi: Kapasitas bahasa.
Kreativitas: Pemikiran abstrak.
Berpikir kritis: Penalaran dan perencanaan.

Aspek-aspek ini membuat keamanan siber menjadi tantangan yang menarik. Pada akhirnya, keamanan siber adalah pertarungan antar manusia.

Dengan ancaman canggih, penyerang dan pembela sama-sama menggunakan sifat unik kemanusiaan mereka – komunikasi, kreativitas, dan pemikiran kritis – untuk menemukan cara mencapai tujuan mereka.

Meskipun demikian, kita terus melihat vendor keamanan terus maju dengan gagasan tidak hanya mendukung tetapi juga mengganti manusia dengan AI dan otomatisasi.

Terlepas dari perkembangan AI yang secara konsisten dapat mengalahkan manusia di StarCraft II, masih ada perbedaan besar antara kesadaran manusia yang sebenarnya dan simulasi buatan yang sangat kita andalkan dalam pemasaran.

Kita belum membangun alat keamanan yang efektif yang dapat beroperasi tanpa campur tangan manusia. Intinya adalah: Alat keamanan tidak dapat melakukan apa yang dapat dilakukan manusia.

Alih-alih mengganti manusia di pusat operasi keamanan, tambahkan mereka sehingga mereka dapat melakukan apa yang mereka kuasai. Alat keamanan harus mendukung tim keamanan dalam melakukan pekerjaannya dengan lebih baik, dari aspek manusia, proses, dan teknologi.

Dengan mengalihkan fokus dari teknologi ke analis, kita dapat memberdayakan analis untuk menjadi pembela sejati, alih-alih mengubahnya menjadi mekanik siber yang dimuliakan. Teknologi seharusnya membuat orang menjadi lebih baik, bukan menggantikan mereka.

Sumber: ZDNet

Plex Media Memiliki Cacat Keamanan Besar

February 6, 2021 by Winnie the Pooh

Plex Media mungkin paling dikenal sebagai layanan streaming yang cocok untuk membuat saluran TV khusus, tetapi ternyata server tersebut dapat disalahgunakan untuk tujuan yang lebih jahat.

Pada hari Kamis, perusahaan keamanan siber Netscout melaporkan bahwa server khusus yang sama yang digunakan untuk menghosting saluran ini juga digunakan untuk meningkatkan serangan denial of service (DDoS) —semuanya bahkan tanpa diketahui oleh pelanggan Plex.

Dirinci oleh Netscout, ketika perangkat tertentu yang menjalankan Server Plex melakukan booting dan terhubung ke internet, perangkat tersebut akan menjalankan apa yang dikenal sebagai Simple Service Discovery Protocol (SSDP), untuk memindai perangkat terdekat yang kompatibel yang mungkin ingin mengakses salah satu konten menarik yang dimilikinya.

Dalam beberapa kasus ketika server ini mengintip melalui SSDP, mereka dapat secara tidak sengaja terhubung ke router pengguna — dan jika router tersebut kebetulan dikonfigurasi dengan buruk, ini dapat mengirimkan informasi tentang koneksi SSDP tersebut ke open web.

Hal-hal ini menjadi sangat berbahaya karena koneksi SSDP, secara umum, dapat dengan mudah dieksploitasi oleh aktor jahat yang ingin meningkatkan serangan DDOS mereka.

Anda dapat membaca spesifikasi teknis lengkap tentang cara kerja amplifikasi ini di sini.

Selengkapnya: Gizmodo

Bagaimana Anda memperbaiki masalah seperti keamanan sumber terbuka? Google punya ide meskipun kendala mungkin tidak berjalan dengan baik

February 5, 2021 by Winnie the Pooh

Google telah mengusulkan kerangka kerja untuk mendiskusikan dan menangani keamanan sumber terbuka berdasarkan faktor-faktor seperti identitas terverifikasi, tinjauan kode, dan bangunan tepercaya, tetapi pendekatannya mungkin bertentangan dengan budaya sumber terbuka.

Keamanan perangkat lunak sumber terbuka sangat penting karena penggunaannya yang luas, dari kernel Linux tempat sebagian besar internet berjalan hingga library JavaScript kecil yang dibangun ke dalam jutaan aplikasi web, terkadang melalui rantai dependency yang agak tersembunyi dari pengembang. Kerentanan seperti yang ditemukan baru-baru ini di utilitas sudo penting memengaruhi jutaan sistem.

Sebuah tim dari Google kini telah memposting panjang lebar tentang masalah tersebut dengan harapan dapat “memicu diskusi dan kemajuan industri secara luas dalam keamanan perangkat lunak open source.”

Google menyarankan bahwa “perangkat lunak sumber terbuka harus mengurangi risiko di bagian depan keamanan, karena semua kode dan dependency berada di tempat terbuka dan tersedia untuk pemeriksaan dan verifikasi,” tetapi mencatat bahwa ini hanya berlaku jika orang-orang “benar-benar melihat”.

Tim Google mengakui bahwa tujuannya untuk perangkat lunak kritis “lebih berat dan oleh karena itu akan menemui beberapa hambatan, tetapi kami yakin kendala tambahan sangat penting untuk keamanan.”

Proposal Google mencakup beberapa hal spesifik, dengan catatan bahwa beberapa ide hanya ditujukan untuk perangkat lunak sumber terbuka yang dikategorikan sebagai kritis.

Selengkapnya: The Register

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Security

Cookies Settings