Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Grup peretas kriminal besar ini baru saja beralih ke serangan ransomware

by

Operasi peretasan yang tersebar luas yang telah menargetkan organisasi di seluruh dunia dalam kampanye phishing dan malware yang telah aktif sejak 2016 kini telah beralih ke serangan ransomware, yang mencerminkan betapa suksesnya ransomware telah menjadi alat penghasil uang bagi penjahat siber.

Dijuluki FIN11, kampanye tersebut telah dirinci oleh para peneliti keamanan siber di FireEye Mandiant, yang menggambarkan para peretas sebagai ‘kelompok kejahatan keuangan mapan’ yang telah melakukan beberapa kampanye peretasan yang paling lama berjalan.

Grup ini mulai dengan memfokuskan serangan pada bank, pengecer, dan restoran, tetapi telah berkembang dengan menargetkan berbagai sektor di berbagai lokasi di seluruh dunia tanpa pandang bulu, mengirimkan ribuan email phishing dan secara bersamaan melakukan serangan terhadap beberapa organisasi pada satu waktu.

Dengan keuangan menjadi fokus grup, kemungkinan FIN11 menjual informasi ini kepada penjahat siber lainnya di dark web, atau hanya mengeksploitasi detailnya untuk keuntungan mereka sendiri.

Namun sekarang FIN11 menggunakan jaringannya yang luas sebagai sarana untuk mengirimkan ransomware ke jaringan yang dikompromikan, dengan para penyerang lebih menyukai Clop ransomware dan menuntut bitcoin untuk memulihkan jaringan.

Dalam upaya untuk memeras korban agar membayar tebusan, beberapa geng ransomware telah menggunakan akses mereka ke jaringan untuk mencuri data sensitif atau pribadi dan mengancam akan membocorkannya jika mereka tidak menerima pembayaran untuk kunci dekripsi – FIN11 telah mengadopsi taktik ini, mempublikasikan data dari korban yang tidak membayar.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

‘Akses jaringan’ yang dijual di forum peretas diperkirakan $500.000 pada September 2020

by

Jumlah iklan di forum peretasan yang menjual akses ke jaringan TI yang disusupi telah naik tiga kali lipat pada September 2020, dibandingkan dengan bulan sebelumnya.

Dalam sebuah laporan yang diterbitkan dan dibagikan dengan ZDNet, perusahaan keamanan siber KELA mengatakan bahwa mereka mengindeks 108 daftar “akses jaringan” yang diposting di forum peretasan populer bulan lalu, secara kolektif dinilai dengan total harga yang diminta sekitar $505.000.

Dari jumlah tersebut, KELA mengatakan sekitar seperempat dari daftar dijual ke pelaku ancaman lain yang ingin menyerang perusahaan yang dikompromikan.

Sementara beberapa “perantara akses awal” bermitra dengan geng ransomware, banyak yang tidak memiliki koneksi yang dalam dan reputasi yang dibutuhkan dalam ekonomi kejahatan siber tertutup untuk membangun kemitraan ini sejak awal. Sebaliknya, perantara ini mulai menjual jaringan mereka yang dikompromikan di forum peretasan populer seperti XSS, Exploit, RAID, dan lainnya.

Banyak broker juga menjual akses ke endpoint RDP atau VNC yang dikompromikan. Sebagian besar sistem ini dikompromikan melalui serangan brute force yang diluncurkan dengan botnet IoT, sementara yang lain dibeli dari toko RDP klasik, aksesnya diperluas dari tingkat pengguna ke admin, dan kemudian dijual kembali di forum dengan harga lebih tinggi.

Berdasarkan pemantauannya, KELA mengatakan bahwa harga rata-rata untuk jaringan yang dikompromikan yang dijual di forum peretas adalah sekitar $4.960, dengan kisaran harga mulai dari $25 hingga $102.000.

Pengamatan menarik lainnya adalah bahwa perantara akses awal cenderung menggunakan “nilai” perusahaan daripada ukuran jaringannya saat memutuskan harga, mengutip statistik seperti pendapatan tahunan daripada jumlah endpoints.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Botnet TrickBot bertahan dari upaya penghapusan, tetapi Microsoft menetapkan preseden hukum baru

by

Botnet TrickBot telah selamat dari upaya penghapusan yang diatur oleh koalisi perusahaan teknologi pada hari Senin.

Server dan domain command and control (C&C) TrickBot yang disita kemarin telah diganti dengan infrastruktur baru hari ini, beberapa sumber di komunitas infosec mengatakan kepada ZDNet.

Sumber dari perusahaan yang memantau aktivitas TrickBot menggambarkan efek penghapusan sebagai “sementara” dan “terbatas,” tetapi memuji Microsoft dan mitranya atas upaya tersebut, terlepas dari hasil saat ini.

Dalam wawancara pribadi, bahkan peneliti keamanan di ESET, Microsoft, dan Symantec mengatakan kepada ZDNet bahwa mereka tidak pernah berharap untuk menghapus TrickBot selamanya dalam satu pukulan cepat.

“Seperti yang telah kita lihat dengan operasi [penghapusan] sebelumnya, hasil dari gangguan global yang melibatkan banyak mitra muncul secara bertahap,” Tom Burt, CVP dari Keamanan dan Kepercayaan Pelanggan di Microsoft, mengatakan kepada ZDNet melalui email pada hari Senin.

“Kami mengantisipasi operator Trickbot akan berusaha untuk menghidupkan kembali operasi mereka, dan kami akan mengambil langkah hukum dan teknis tambahan untuk menghentikan mereka jika perlu,” tambah Burt.

Dalam buletin intelijen ancaman dengan distribusi terbatas yang dibagikan dengan ZDNet pada Senin malam, perusahaan keamanan Intel471 mencatat bahwa TrickBot mulai memindahkan server C&C ke sistem nama domain terdesentralisasi EmerDNS sebagai cara untuk melawan upaya penghapusan yang sedang berlangsung.

Pada Selasa pagi, infrastruktur botnet telah pulih, meskipun tidak seaktif hari-hari sebelumnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

‘Serangan siber yang serius’ menghantam dewan London

by

Hackney Council di London utara mengatakan telah menjadi target serangan siber yang serius, yang memengaruhi banyak layanan dan sistem IT-nya.

“Investigasi ini masih dalam tahap awal, dan informasi terbatas saat ini tersedia. Kami akan terus memberikan pembaruan seiring perkembangan investigasi kami,” kata Philip Glanville, Walikota Hackney.

Dia mengatakan fokus saat ini adalah untuk terus memberikan layanan garis depan yang penting, terutama bagi penduduk yang paling rentan, “dan melindungi data, sambil memulihkan layanan yang terkena dampak secepat mungkin.”

“Kami meminta penduduk dan bisnis hanya menghubungi kami jika benar-benar diperlukan, dan untuk bersabar sementara kami berusaha menyelesaikan masalah ini.”

Selengkapnya:
Source: ZDNet

Penghapusan TrickBot Mengganggu Perangkat Kriminal Utama

by

TrickBot dikenal karena menyebarkan malware lain, terutama ransomware. Microsoft mengatakan minggu ini bahwa Pengadilan Distrik Amerika Serikat untuk Distrik Timur Virginia mengabulkan permintaan pengadilan untuk menghentikan operasi TrickBot, yang dilakukan bersama dengan perusahaan lain, termasuk ESET, Lumen’s Black Lotus Labs, NTT Ltd., Symantec dan lainnya.

“Kami mengganggu TrickBot melalui perintah pengadilan yang kami peroleh, serta tindakan teknis yang kami lakukan dalam kemitraan dengan penyedia telekomunikasi di seluruh dunia,” tulis Tom Burt, wakil presiden perusahaan, Keamanan & Kepercayaan Pelanggan, di Microsoft, dalam posting hari Senin.

Menurut ESET, salah satu kunci penyelidikan adalah kenyataan bahwa arsitektur modular TrickBot menggunakan berbagai plugin untuk melakukan berbagai tindakan berbahaya.

Menariknya, permintaan Microsoft untuk persetujuan hukum bergantung pada klaim hak cipta terhadap TrickBot yang menggunakan kode perangkat lunaknya untuk tujuan berbahaya.

Ini adalah pertama kalinya raksasa komputasi menggunakan pendekatan ini, kata Burt, menambahkan bahwa taktik tersebut “memungkinkan kami mengambil tindakan sipil untuk melindungi pelanggan di sejumlah besar negara di seluruh dunia yang menerapkan undang-undang ini”.

TrickBot mungkin terganggu untuk saat ini, tetapi para peneliti menunjukkan bahwa operator memiliki proyek lain yang sedang berlangsung.

“Salah satu dari proyek ini adalah apa yang disebut proyek Anchor, sebuah platform yang sebagian besar ditujukan untuk spionase daripada crimeware,” menurut ESET.

Berita selengkapnya:
Source: The Threat Post

Microsoft October 2020 Patch Tuesday memperbaiki 87 kerentanan

by

Microsoft telah merilis pembaruan keamanan bulanan yang dikenal sebagai Patch Tuesday, dan bulan ini pembuat OS telah menambal 87 kerentanan di berbagai produk Microsoft.

Bug paling berbahaya yang ditambal bulan ini adalah CVE-2020-16898. Digambarkan sebagai kerentanan eksekusi kode jarak jauh (RCE) yaitu kerentanan pada Windows TCP/IP stack, bug ini dapat memungkinkan penyerang untuk mengambil alih sistem Windows dengan mengirimkan paket ICMPv6 Router Advertisement yang berbahaya ke komputer yang belum ditambal melalui koneksi jaringan.

Bug tersebut ditemukan secara internal oleh teknisi Microsoft, dan versi OS yang rentan terhadap CVE-2020-16898 termasuk Windows 10 dan Windows Server 2019.

Peneliti dari McAfee telah merilis detail pada blog mereka yang dapat diakses melalui link ini.

Sangat disarankan untuk menambal bug ini, tetapi solusi seperti menonaktifkan dukungan ICMPv6 RDNSS juga dapat dilakukan, yang memungkinkan administrator sistem menerapkan mitigasi sementara hingga mereka menguji kualitas pembaruan keamanan bulan ini untuk setiap bug yang merusak OS.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Ransomware berkembang: Berikut adalah empat cara penyerang masuk ke sistem Anda

by

Dampak ransomware terus berkembang. Menurut data dari firma penyelidikan global Kroll, ransomware adalah masalah keamanan paling umum yang harus ditangani pada tahun 2020, sementara serangan ransomware menyumbang lebih dari sepertiga dari semua kasus hingga September.

Dan inilah cara penyerang masuk: di hampir setengah (47%) dari kasus ransomware yang telah diselidiki Kroll, geng Ransomware menggunakan protokol desktop jarak jauh (RDP) yang tidak diamankan.

Lebih dari seperempat (26%) kasus datang melalui email phishing, dan sejumlah kecil menggunakan eksploitasi kerentanan tertentu (17%). Dan diikuti oleh pengambilalihan akun, di 10%

sumber: ZDNet

Kroll mengatakan telah melihat tiga sektor terpukul sangat keras tahun ini: layanan profesional, perawatan kesehatan, serta teknologi dan telekomunikasi. Itu berbeda dengan data terbaru dari IBM, yang menunjukkan bahwa manufaktur, sektor layanan profesional, dan pemerintah adalah yang paling mungkin terkena dampaknya

Dalam beberapa kasus, geng ransomware telah mengingkari janji untuk menghapus data setelah tebusan pertama dibayarkan dan menuntut pembayaran kedua, ia memperingatkan.

Geng Ransomware juga dapat meningkatkan tekanan dengan berbagai cara: Maze mengklaim bahwa kredensial yang diambil dari korban yang tidak membayar akan digunakan untuk serangan terhadap mitra dan klien korban, sementara salah satu klien perawatan kesehatan Kroll menemukan bahwa geng tersebut telah mengirim email langsung ke pasien mereka. mengancam untuk mengungkap data kesehatan pribadi mereka.

Mempersulit geng ransomware untuk mendapatkan akses awal tersebut mungkin merupakan cara terbaik untuk melindungi organisasi Anda dari serangan, yang berarti memastikan bahwa langkah-langkah keamanan penting telah diambil. Ini termasuk memblokir akses RDP yang tidak perlu, mengamankan semua akses jarak jauh dengan otentikasi dua faktor yang kuat, memastikan bahwa semua perangkat lunak ditambal dan mutakhir, serta memastikan bahwa staf dilatih untuk mengenali email phishing.

Perlu dicatat, Ransomware juga meningkat pesat aktivitasnya di Indonesia. Dan dengan berlangganan layanan kami Anda dapat terhindar dari serangan Ransomware.

Untuk berlangganan, Anda dapat menghubungi tim Sales kami di +62 811-2652-249 atau mengisi form melalui website kami nagacyberdefense.net/programs

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Penyerang Ransomware Membeli Akses Jaringan di Cyberattack Shortcut

by

Akses jaringan ke berbagai industri ditawarkan di forum bawah tanah hanya dengan $300 per pop – dan peneliti memperingatkan bahwa kelompok ransomware seperti Maze dan NetWalker dapat membelinya.

Untuk harga antara $300 dan $10.000, grup ransomware memiliki kesempatan untuk dengan mudah membeli akses jaringan awal ke perusahaan yang sudah dikompromikan di forum bawah tanah.

Penjual di balik aktivitas ini biasanya pertama kali mengembangkan kerentanan jaringan awal dan menyusup ke jaringan korban untuk mendapatkan akses jaringan perusahaan yang lengkap. Setelah akses tersebut diperoleh, kelompok ancaman kemudian menjualnya di forum dark web. Penetapan harga tergantung pada ukuran dan pendapatan korban.

Penawaran akses jaringan biasanya diiklankan di forum bawah tanah dengan info industri korban (seperti perbankan atau ritel), jenis akses untuk dijual (VPN, Citrix atau protokol desktop jarak jauh, misalnya), jumlah mesin di jaringan , negara tempat korban beroperasi dan banyak lagi (seperti jumlah karyawan atau pendapatan perusahaan).

“Kami menilai penjual akses jaringan memanfaatkan alat kerja jarak jauh karena lebih banyak tenaga kerja yang bekerja dari rumah sebagai akibat dari pandemi COVID-19,” kata para peneliti.

Perusahaan dapat melindungi diri mereka sendiri dari gangguan jaringan dan serangan ransomware dengan menyiapkan kemampuan pemantauan, secara teratur mencadangkan data mereka dan menerapkan praktik terbaik untuk menggunakan RDP, kata para peneliti.

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post