Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Serangan phishing baru ini menggunakan iming-iming aneh untuk mengirimkan malware trojan Windows

by

Kampanye phishing baru mencoba memikat korban agar mengunduh malware yang memberikan kontrol penuh kepada penjahat siber atas mesin Microsoft Windows yang terinfeksi.

Quaverse Remote Access Trojan (QRat) pertama kali muncul pada tahun 2015. Malware ini sulit dideteksi di bawah beberapa lapisan obfuscation dan menyediakan akses jarak jauh bagi peretas jahat ke komputer korban yang disusupi.

Kemampuan malware trojan ini termasuk mencuri kata sandi, keylogging, penelusuran file, mengambil screenshot dan banyak lagi yang semuanya memungkinkan peretas untuk mendapatkan akses ke informasi sensitif.

Peneliti keamanan siber di Trustwave telah mengidentifikasi kampanye QRat baru yang mencoba memikat orang agar mengunduh versi terbaru dari malware tersebut, sesuatu yang mereka gambarkan sebagai “ditingkatkan secara signifikan”.

Email phishing awal mengklaim menawarkan pinjaman kepada korban dengan “laba atas investasi yang baik” yang berpotensi menarik perhatian korban. Namun, lampiran berbahaya tersebut sama sekali tidak terkait dengan subjek email phishing, melainkan mengklaim berisi video Presiden Donald Trump.

Jika lampiran dibuka, file Java Archive (JAR) – akan menjalankan penginstal malware QRat.

Prosesnya bahkan dilengkapi dengan peringatan pop-up, memberi tahu pengguna bahwa perangkat lunak yang mereka instal dapat digunakan untuk akses jarak jauh dan penetration testing – jika pengguna setuju QRat ini untuk diunduh, dengan malware diambil oleh unduhan modular untuk membantu menghindari deteksi.

Sumber: ZDNet

FBI Memperingatkan Sekolah untuk Bersiap akan adanya Lebih Banyak Serangan Siber

by

FBI dan Cybersecurity and Infrastructure Security Agency (CISA) baru-baru ini memperingatkan bahwa serangan ransomware pada entitas K-12 telah meningkat secara dramatis selama paruh kedua tahun 2020 dan serangan ini serta serangan siber lainnya kemungkinan akan berlanjut selama tahun depan.

Pada tahun 2020, banyak peretas menargetkan sekolah dengan menyebarkan ransomware ke seluruh distrik secara nasional, menyebabkan seringnya pembatalan kelas, dan melakukan zoombombing pada setiap ruang kelas virtual yang bisa mereka dapatkan.

Menurut FBI, semua hal ini kemungkinan akan berlanjut pada level buruk saat ini dan berpotensi menjadi lebih buruk pada tahun 2021.

Minggu ini, saat siswa kembali dari liburan ke ruang kelas virtual mereka, pejabat FBI menegaskan kembali perlunya melindungi lembaga pendidikan Amerika yang rentan dengan lebih baik.

Menurut agen federal, peretas kemungkinan akan terus memanfaatkan berbagai macam serangan, mulai dari serangan Denial of Service hingga ransomware hingga gangguan melalui third-party ed-tech, seperti ruang pembelajaran online seperti Google Classroom. Karena sekolah pada umumnya adalah tempat di mana kesadaran akan risiko rendah dan pendanaan keamanan siber minimal, para penjahat cenderung memandangnya sebagai target yang menarik, kata para pejabat.

Sumber: Gizmodo

Geng Ransomware Mengumpulkan Data dari Lab Pengujian Darah

by

Apex Laboratory, yang menyediakan pemeriksaan darah di rumah untuk pasien di New York City, Long Island dan South Florida, telah terkena serangan ransomware yang juga mengakibatkan data pasien dicuri.

Meskipun perusahaan baru saja mengungkapkan serangan itu, itu terjadi pada 25 Juli, ketika “sistem tertentu di lingkungannya dienkripsi dan tidak dapat diakses”, menurut pemberitahuan situs web pada minggu lalu.

Bekerja sama dengan perusahaan keamanan siber, Apex dapat mengamankan jaringannya dan melanjutkan operasinya dua hari kemudian. Namun penyelidikan forensik berlanjut, akhirnya menentukan pada 15 Desember bahwa penyerang telah memposting informasi di blog mereka tentang serangan itu dan mengklaim telah mengambil informasi pribadi dan kesehatan, kata perusahaan itu dalam pemberitahuan Malam Tahun Baru.

Data tersebut termasuk nama pasien, tanggal lahir, hasil tes, dan untuk beberapa individu, nomor Jaminan Sosial dan nomor telepon, kata Apex.

Sumber: Threat Post

Babuk Locker adalah ransomware perusahaan baru pertama di tahun 2021

by

Awal tahun 2021 ini datang dengan ransomware baru bernama Babuk Locker yang menargetkan korban perusahaan dalam serangan yang dioperasikan oleh manusia.

Babuk Locker adalah operasi ransomware baru yang diluncurkan pada awal 2021 dan sejak itu mengumpulkan sejumlah kecil korban dari seluruh dunia.

Dari negosiasi tebusan dengan korban yang dilihat oleh BleepingComputer, permintaan berkisar dari $60.000 hingga $85.000 dalam Bitcoin.

Setiap executable Babuk Locker yang dianalisis oleh BleepingComputer telah disesuaikan per korban untuk memuat ekstensi hardcode, catatan tebusan, dan URL Tor.

Saat diluncurkan, pelaku ancaman dapat menggunakan argumen baris perintah untuk mengontrol bagaimana ransomware harus mengenkripsi pembagian jaringan dan apakah mereka harus dienkripsi sebelum sistem file lokal.

Setelah diluncurkan, ransomware akan menghentikan berbagai layanan dan proses Windows yang diketahui menjaga file tetap terbuka dan mencegah enkripsi. Program yang dihentikan termasuk mail server, backup software, mail client dan web browser.

Saat mengenkripsi file, Babuk Locker akan menggunakan ekstensi hardcode dan menambahkannya ke setiap file terenkripsi, seperti yang ditunjukkan di bawah ini. Ekstensi hardcode saat ini yang digunakan untuk semua korban sejauh ini adalah .__ NIST_K571__.

Sumber: BleepingComputer

Operator ransomware juga akan meminta korban untuk mengirim file %AppData%\ecdh_pub_k.bin, yang berisi public key ECDH korban yang memungkinkan pelaku ancaman untuk melakukan uji dekripsi file korban atau menyediakan dekripsi.

Sayangnya, peneliti keamanan Chuong Dong mengatakan bahwa penggunaan ChaCha8 dan Elliptic-curve Diffie pada ransomware – Hellman (ECDH) membuat ransomware aman dan tidak dapat didekripsi secara gratis.

Sumber: Bleeping Computer

Hacker memposting data 10.000 akun American Express secara gratis

by

Seorang pelaku ancaman telah memposting data 10.000 pemegang kartu kredit American Express di forum peretas secara gratis.

Dalam posting forum yang sama, aktor tersebut mengklaim menjual lebih banyak data pelanggan perbankan Meksiko dari American Express, Santander, dan Banamex.

Minggu ini aktor ancaman membocorkan data 10.000 pemegang kartu kredit American Express yang berbasis di Meksiko di sebuah forum.

Temuan ini terungkap oleh analis intelijen ancaman, Bank Security.

Kumpulan data sampel yang bocor dari 10.000 data memperlihatkan nomor lengkap akun American Express (kartu kredit) dan informasi identitas pribadi (PII) pelanggan termasuk nama, alamat lengkap, nomor telepon, tanggal lahir, jenis kelamin, dll.

Namun, pengamatan dari BleepingComputer tidak melihat tanggal kedaluwarsa kartu kredit, kata sandi, atau data keuangan yang terlalu sensitif dalam spreadsheet yang diposting yang dapat memungkinkan penyalahgunaan kartu kredit dalam transaksi penipuan.

American Express tidak membantah atau mengakui bahwa mereka telah mengalami pelanggaran data, tetapi mengatakan bahwa semua pemegang kartu Amex tidak bertanggung jawab atas tuduhan penipuan.

“Kami mengetahui laporan tersebut dan memantau situasi dengan cermat. Kami tidak memiliki informasi lebih lanjut untuk dibagikan saat ini.”

Sumber: Bleeping Computer

Ryuk ransomware adalah ancaman utama bagi sektor kesehatan

by

Organisasi perawatan kesehatan terus menjadi target utama untuk semua jenis serangan siber, dengan insiden ransomware, Ryuk khususnya, menjadi lebih umum.

Dalam laporan bersama pada akhir Oktober, Cybersecurity and Infrastructure Security Agency (CISA) AS, Biro Investigasi Federal (FBI), dan Departemen Kesehatan dan Layanan Kemanusiaan (HHS) memperingatkan ancaman kejahatan siber yang akan segera terjadi ke rumah sakit dan penyedia layanan kesehatan.

Ini bertujuan untuk mempersiapkan organisasi menghadapi serangan ransomware Ryuk dan Conti dengan menyediakan taktik, teknik, dan prosedur (TTP) khusus untuk insiden dengan jenis malware ini.

Menurut Check Point, ancaman ransomware utama yang digunakan dalam serangan terhadap entitas kesehatan adalah Ryuk diikuti oleh REvil (Sodinokibi).

Sesuai data yang dikumpulkan oleh Check Point, sebagian besar serangan siber selama dua bulan terakhir yang menghantam organisasi perawatan kesehatan di Eropa Tengah, melonjak hingga hampir 150% pada November.

Sumber: Check Point

Dengan jumlah infeksi COVID-19 yang terus meningkat, serangan siber cenderung terus menghantam organisasi perawatan kesehatan. Menjaga sistem tetap diperbarui dengan tambalan terbaru, kebersihan siber yang baik, memantau jaringan untuk akses yang tidak sah, dan mendidik karyawan untuk mengenali upaya phishing adalah cara yang baik untuk melindungi dari serangan dari sebagian besar pelaku ancaman.

Sumber: Bleeping Computer

Operator seluler Italia menawarkan untuk mengganti kartu SIM setelah pelanggaran data besar-besaran

by

Ho Mobile, operator seluler Italia, yang dimiliki oleh Vodafone, telah mengkonfirmasi pelanggaran data besar-besaran pada hari Senin dan sekarang mengambil langkah langka untuk menawarkan penggantian kartu SIM dari semua pelanggan yang terpengaruh.

Pelanggaran tersebut diyakini telah berdampak pada sekitar 2,5 juta pelanggan.

Pertama kali terungkap bulan lalu pada 28 Desember ketika seorang analis keamanan melihat database telco ditawarkan untuk dijual di forum dark web.

Sumber: Bank Security

Pernyataan dari Ho mengkonfirmasi penilaian peneliti keamanan bahwa peretas membobol server Ho dan mencuri rincian pelanggan Ho, termasuk nama lengkap, nomor telepon, nomor jaminan sosial, alamat email, tanggal dan tempat lahir, kebangsaan, dan alamat rumah.

Sementara perusahaan telekomunikasi tersebut mengatakan tidak ada data keuangan atau detail panggilan yang dicuri dalam gangguan tersebut, Ho mengakui bahwa peretas mendapatkan detail terkait dengan kartu SIM pelanggan.

Untuk menghindari ancaman penipuan telepon atau serangan SIM swapping sekecil apa pun, perusahaan telekomunikasi Italia sekarang menawarkan untuk mengganti kartu SIM untuk semua pelanggan yang terkena dampak, jika mereka mau, dan bebas biaya.

Sumber: ZDNet

Peretas menargetkan pengguna cryptocurrency dengan malware ElectroRAT baru

by

Perusahaan keamanan Intezer Labs mengatakan telah menemukan operasi malware rahasia selama setahun di mana penjahat siber membuat aplikasi mata uang kripto palsu untuk mengelabui pengguna agar menginstal jenis malware baru di sistem mereka, dengan tujuan akhir yang jelas untuk mencuri dana korban.

Kampanye itu ditemukan bulan lalu pada Desember 2020, tetapi para peneliti mengatakan mereka yakin kelompok itu mulai menyebarkan malware mereka pada 8 Januari 2020.

Intezer Labs mengatakan para peretas mengandalkan tiga aplikasi terkait cryptocurrency untuk skema mereka.

Aplikasi palsu tersebut diberi nama Jamm, eTrade / Kintum, dan DaoPoker, dan dihosting di situs web khusus di jamm[.]to, kintum[.]io, dan daopker[.]com.

Ketiga aplikasi tersebut hadir dalam versi untuk Windows, Mac, dan Linux, dan dibuat di atas Electron, kerangka kerja pembuatan aplikasi.

Tetapi para peneliti Intezer mengatakan aplikasi tersebut juga datang dengan kejutan kecil dalam bentuk jenis malware baru yang tersembunyi di dalamnya, yang oleh peneliti perusahaan dinamai ElectroRAT.

Sumber: Intezer Labs

Karena keunikan dalam desain malware nya, yang mengambil alamat server perintah dan kontrolnya dari URL Pastebin, Intezer yakin operasi ini telah menginfeksi sekitar 6.500 pengguna – jumlah total URL Pastebin yang diakses.

Peneliti Intezer percaya malware itu digunakan untuk mengumpulkan kunci dompet cryptocurrency dan kemudian menguras akun korban.

Sumber: ZDNet