Cybersecurity

Penulis Ransomware WannaRen Menghubungi Perusahaan Keamanan Untuk Membagikan Kunci Dekripsi

August 23, 2020 by Winnie the Pooh

Kampanye ransomware besar melanda pengguna internet China pada awal tahun ini di bulan April. Selama sekitar satu minggu, ransomware yang dikenal sebagai WannaRen membuat puluhan ribu korban di antara konsumen rumahan dan perusahaan lokal China dan Taiwan.

Viralitas WannaRen dapat dijelaskan karena fakta bahwa kodenya dibuat secara longgar setelah WannaCry, jenis ransomware yang menyebar luas pada Mei 2017.

Sama seperti WannaCry, penulis ransomware WannaRen memasukkan eksploitasi EternalBlue ke dalam rantai infeksi mereka, memungkinkan WannaRen menyebar tanpa batasan di dalam jaringan perusahaan sebelum mengenkripsi dan menebus file.

Dan seperti WannaCry, WannaRen menyebar seperti api, jauh melampaui apa yang dibayangkan oleh pembuat ransomware. Dan ini adalah alasan mengapa, pada akhirnya, pembuat malware menyerahkan kunci dekripsi master secara gratis, sehingga semua korban pada akhirnya dapat memulihkan file mereka.

Mungkin takut atau mengantisipasi tindakan keras dari otoritas China, kurang dari seminggu setelah mereka mulai mendistribusikan WannaRen, grup Hidden Shadow menghubungi perusahaan keamanan siber lokal China bernama Huorong Security (火绒, atau Tinder Security).

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Threat Assessment: Aktivitas Ransomware WastedLocker

August 19, 2020 by Winnie the Pooh

WastedLocker adalah keluarga ransomware yang relatif baru yang telah dilacak sejak April / Mei 2020. Namanya berasal dari string ‘wasted’ yang ditambahkan ke file terenkripsi saat infeksi. Mirip dengan keluarga seperti Maze dan NetWalker, WastedLocker telah menyerang target bernilai tinggi di berbagai industri. Kampanye mereka telah menargetkan beberapa perusahaan Fortune 500 yang berbasis di Amerika Serikat juga.

Pada tanggal 23 Juni 2020, NCC Group menerbitkan laporan yang memberikan gambaran umum tentang ransomware WastedLocker, termasuk informasi tentang grup yang diyakini berada di belakangnya, Evil Corp. Sebelumnya, grup ini bertanggung jawab atas Trojan perbankan Dridex dan ancaman serta kampanye terkait lainnya.

WastedLocker juga adalah alasan mengapa Garmin harus menghentikan operasinya selama beberapa hari pada bulan Juli lalu, dirancang untuk menghindari alat keamanan dalam perangkat yang terinfeksi, menurut analisis dari para peneliti keamanan.

Unit 42 Paloalto telah mengamati peningkatan baru-baru ini dalam aktivitas ransomware WastedLocker, yang telah meningkat sejak sampel awal dianalisis oleh WildFire pada Mei 2020.

Rincian laporan ransomware WastedLocker dapat dibaca pada tautan berikut;
Source: Unit 42 Paloalto

Kampanye Duri Menyelundupkan Malware Melalui HTML dan JavaScript

August 19, 2020 by Winnie the Pooh

Sebuah kampanye aktif telah terlihat memanfaatkan penyelundupan HTML untuk mengirimkan malware, secara efektif melewati berbagai solusi keamanan jaringan, termasuk sandbox, proxy lama, dan firewall.

Krishnan Subramanian, peneliti keamanan di Menlo Security, mengatakan kepada Threatpost bahwa kampanye yang ditemukan pada hari Selasa yang dijuluki “Duri,” telah berlangsung sejak bulan Juli.

Cara kerjanya seperti ini: Penyerang mengirim tautan berbahaya kepada korban. Setelah mereka mengklik link tersebut, teknik blob JavaScript digunakan untuk menyelundupkan file berbahaya melalui browser ke pengguna endpoint (yaitu, penyelundupan HTML). Blob, yang berarti “Binary Large Objects” dan bertanggung jawab untuk menyimpan data, diimplementasikan oleh browser web.

Karena penyelundupan HTML bukan merupakan teknik baru – teknik ini telah digunakan oleh penyerang sejak lama, kata Subramanian – kampanye ini menunjukkan bahwa pelaku kejahatan terus mengandalkan metode serangan lama yang berhasil.

Pelajari lebih lanjut tentang serangan terbaru ini dan bagaimana perusahaan dapat melindungi diri dari serangan penyelundupan HTML, pada podcast Threatpost disini.

Baca laporan lengkapnya pada tautan di bawah ini;
Source: Menlo Security

Trojan IcedID Diperbarui dengan Dengan Taktik Baru Untuk Menghindari Deteksi Software Keamanan

August 19, 2020 by Winnie the Pooh

Aktor siber telah meningkatkan trojan perbankan yang telah banyak digunakan selama pandemi COVID-19 dengan fitur baru untuk membantunya menghindari deteksi dari perlindungan keamanan standar.

Menurut laporan baru oleh peneliti keamanan Juniper Networks, Paul Kimayong, penyerang telah menerapkan beberapa fitur baru – termasuk lampiran yang dilindungi katasandi, kebingungan kata kunci, dan kode makro minimalis – dalam kampanye phishing baru-baru ini menggunakan dokumen yang di-trojankan oleh trojan perbankan IcedID yang banyak digunakan.

Kampanye ini, yang ditemukan para peneliti pada bulan Juli, juga menggunakan dynamic link library (DLL) – library Microsoft yang berisi kode dan data yang dapat digunakan oleh lebih dari satu program pada waktu yang bersamaan – sebagai pengunduh tahap kedua. Ini “menunjukkan” tingkat kedewasaan baru dari pelaku ancaman ini.

Versi terbaru IcedID yang diidentifikasi oleh tim Juniper sedang didistribusikan menggunakan akun bisnis yang disusupi dengan si penerimanya adalah pelanggan dari bisnis yang sama. Ini meningkatkan kemungkinan keberhasilan kampanye, karena pengirim dan penerima sudah memiliki hubungan bisnis yang mapan, kata Kimayong.

Berita selengkpanya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Organisasi Besar Terganggu Oleh Bug, Mereka Menghadapi Patch Raksasa yang Menumpuk

August 19, 2020 by Winnie the Pooh

Organisasi besar menemukan rata-rata 779.935 bug keamanan individu saat menjalankan pemindaian kerentanan rutin; dan selama enam bulan, rata-rata 28 persen dari kerentanan tersebut akan tetap ada. Hal ini membuat banyak dari organisasi ini berada dalam posisi tidak berdaya bagi penjahat siber, kata peneliti.

Itu menurut studi dari Ponemon Institute, The State of Vulnerability Management, yang mensurvei 1.800+ profesional TI di organisasi dengan lebih dari 1.000 karyawan. Survei tersebut menemukan bahwa rata-rata simpanan bug yang menumpuk untuk perusahaan-perusahaan ini berjumlah 57.555 kerentanan yang teridentifikasi.

Sudah jelas, aksi prioritas menjadi penting untuk manajemen kerentanan dalam skenario ini; namun, survei juga menemukan bahwa organisasi mengalami kesulitan dalam mencapainya. 57 persen responden penuh mengatakan organisasi mereka tidak tahu kerentanan mana yang menimbulkan risiko tertinggi bagi bisnis mereka. Dan hanya seperempat (25 persen) yang mengatakan bahwa mereka dapat memprioritaskan penambalan berdasarkan aset mana yang paling penting bagi bisnis.

Selain itu, survei tersebut menemukan bahwa sebagian besar organisasi tidak memiliki satu penglihatan pun dari siklus hidup manajemen kerentanan, termasuk penanganan pengecualian.

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post

Worm Cryptojacking Menyebar Melalui Cloud AWS

August 19, 2020 by Winnie the Pooh

Worm cryptomining dari grup yang dikenal sebagai TeamTNT menyebar melalui cloud Amazon Web Services (AWS) dan mencuri kredensial. Setelah kredensial login diambil, malware masuk dan menyebarkan alat penambangan XMRig untuk menambang cryptocurrency Monero.

Menurut peneliti di Cado Security, worm juga menyebarkan sejumlah malware yang tersedia secara terbuka dan alat keamanan ofensif, termasuk “punk.py,” alat pasca eksploitasi SSH; alat pembersih log; rootkit Diamorphine; dan backdoor IRC Tsunami.

Mereka mengatakan, ini adalah ancaman pertama yang diamati di alam liar yang secara khusus menargetkan AWS untuk tujuan cryptojacking.

Karena semakin banyak bisnis yang menggunakan cloud dan kontainer, hal itu telah membuka lanskap serangan baru bagi penjahat siber melalui kesalahan konfigurasi. Meskipun demikian, ancaman cryptomining yang menargetkan Docker dan Kubernetes bukanlah hal baru. Namun, serangan yang berfokus pada AWS dalam rangkaian kampanye terbaru ini unik, kata peneliti Cado.

TeamTNT sangat produktif, dan terlihat pertama kali di awal tahun. Pada bulan April, Trend Micro mengamati grup yang menyerang kontainer Docker.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Google Mengatasi Kerentanan Kritis & Serius Yang Terkait Dengan 54 CVE Dalam Buletin Keamanan Android Bulan Ini.

August 18, 2020 by Winnie the Pooh

Google telah merilis patch yang menangani masalah dengan tingkat keparahan tinggi dalam komponen Framework-nya. Kerentanan tersebut jika dieksploitasi dapat mengaktifkan eksekusi kode jarak jauh (RCE) di perangkat seluler Android.

Secara keseluruhan, 54 kerentanan dengan tingkat keparahan tinggi telah ditambal sebagai bagian dari pembaruan keamanan Google bulan Agustus untuk sistem operasi Android.

Sebagai bagian dari ini, Qualcomm, yang chipnya digunakan di perangkat Android, menambal campuran kerentanan kritis yang terkait dengan 31 CVE.

Produsen perangkat Android biasanya menerapkan patch mereka sendiri untuk menangani pembaruan bersamaan atau setelah Buletin Keamanan Google rilis.

Samsung mengatakan dalam rilis pemeliharaan keamanan Agustus bahwa mereka merilis beberapa patch buletin keamanan Android, termasuk CVE-2020-3699 dan CVE-2020-3698, ke model utama Samsung.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Kerentanan Kubernetes Menempatkan Cluster pada Risiko Pengambilalihan (CVE-2020-8558)

August 18, 2020 by Winnie the Pooh

Peneliti di Unit 42 dari Palo Alto Networks minggu ini mengeluarkan peringatan keamanan yang memperingatkan bahwa kerentanan Kubernetes yang diungkapkan sebelumnya mungkin lebih parah daripada yang diperkirakan sebelumnya.

Masalah yang dikenal sebagai CVE-2020-8558 baru-baru ini ditemukan di kube-proxy, komponen jaringan node Kubernetes. Layanan internal node Kubernetes sering berjalan tanpa autentikasi ketika disetel sebagai default. Ternyata pada versi Kubernetes tertentu, kerentanan ini dapat mengekspos server api Kubernetes, yang memungkinkan penyerang mendapatkan kendali penuh atas cluster.

Masalah inti CVE-2020-8558 adalah layanan localhost, yang seharusnya hanya dapat diakses dari node itu sendiri, menjadi terekspos ke host di jaringan lokal dan ke pod yang berjalan di node.

Jen Miller-Osborn, wakil direktur intelijen ancaman untuk Unit 42, mengatakan layanan terikat localhost mengharapkan bahwa hanya proses lokal tepercaya yang dapat berinteraksi dengannya sehingga mereka sering tidak dikonfigurasi tanpa persyaratan otentikasi apa pun.

Meskipun patch telah dirilis untuk mengatasi masalah CVE-2020-8558, Miller-Osborn mengatakan beberapa versi lama Kubernetes tidak menonaktifkan api-server insecure-port, yang biasanya hanya dapat diakses dari dalam node master.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Unit 42

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings