Cybersecurity

Peretas generasi China berikutnya tidak akan menjadi penjahat. Itu adalah sebuah masalah.

November 16, 2021 by Winnie the Pooh

Penjahat memiliki sejarah panjang melakukan spionase dunia maya atas nama China. Dilindungi dari penuntutan oleh afiliasi mereka dengan Kementerian Keamanan Negara (MSS) China, para penjahat yang berubah menjadi peretas pemerintah melakukan banyak operasi spionase. Mengkhawatirkan kedengarannya, namun ini bukan fenomena baru.

Serentetan kebijakan yang dimulai pada tahun 2015 menempatkan China pada posisi untuk menggantikan penjahat kontrak dengan darah baru dari universitas.

Upaya untuk memprofesionalkan tim peretas negara juga terkait langsung dengan tujuan politik Presiden Xi untuk mengurangi korupsi. Pembersihan baru-baru ini oleh Xi atas layanan keamanan negara China menunjukkan pejabat berisiko yang dijalankan dengan memperkaya diri mereka sendiri menggunakan sumber daya pemerintah.

Hubungan patronase antara peretas kontrak dan handler adalah jenis perilaku profiteering yang ditargetkan Xi dalam kampanye anti-korupsinya.

Dalam lingkungan yang semakin kejam, petugas yang menjalankan operasi yang memicu kemarahan internasional atau dakwaan pidana asing rentan untuk diserahkan oleh saingannya. Pejabat yang ditargetkan oleh penyelidik internal mungkin menemukan diri mereka dikurung di “penjara hitam.” Layanan keamanan China akan memutuskan hubungan mereka dengan peretas bawah tanah saat mereka menyingkirkan pejabat korup dan merekrut peretas secara langsung.

Implikasi dari langkah-langkah ini menunjukkan bahwa peretas China yang biasa dilawan oleh perusahaan dan badan intelijen dunia akan jauh lebih profesional pada akhir dekade ini.

China yang lebih mampu akan berperilaku berbeda dari China yang kita lihat sekarang. Mengingat ketergantungannya pada peretas gelap untuk menyembunyikan kegiatan kriminal dan spionasenya, Kementerian Keamanan Publik telah menoleransi beberapa operasi penjahat siber di Tiongkok, terlepas dari masalah yang ditimbulkannya.

Setelah aktivitas kriminal tidak lagi menjadi norma, dinas keamanan China akan sadar bahwa mereka dapat memindahkan operasi ini di dalam negeri, karena aktivitas mata-mata pemerintah adalah perilaku yang diterima dalam hubungan internasional.

Akibatnya, Kementerian Keamanan Publik China dapat melakukan lebih banyak operasi terhadap penjahat dunia maya. Analis harus waspada terhadap peningkatan operasi anti-kejahatan yang terfokus secara internal ini, yang akan menjadi indikator yang baik dari perubahan taktik operasional.

Selengkapnya: Tech Crunch

Peringatan Dikeluarkan Untuk Jutaan Pengguna Microsoft Windows 10, Windows 11

November 15, 2021 by Winnie the Pooh

Pengguna Windows harus waspada. Microsoft telah mengkonfirmasi kerentanan kritis telah ditemukan di semua versi Windows yang menghadirkan ancaman langsung, dan tindakan harus dilakukan secepatnya.

Dilacak sebagai CVE-2021-34484, kerentanan “zero-day” memungkinkan peretas untuk menembus semua versi Windows (termasuk Windows 10, Windows 11 dan Windows Server 2022) dan mengambil kendali komputer Anda. Dan bagian terburuknya adalah cacatnya telah diketahui selama beberapa waktu.

Alasan untuk ini adalah Microsoft secara keliru mengira telah menambal kerentanan (yang pertama kali ditemukan pada bulan Agustus) ketika diungkapkan kepada publik pada bulan Oktober.

Tetapi perbaikan itu sendiri ditemukan tidak sempurna, sesuatu yang diakui perusahaan, dan ini menarik lebih banyak perhatian pada kerentanan. Microsoft kemudian berjanji untuk “mengambil tindakan yang tepat untuk menjaga pelanggan tetap terlindungi” tetapi dua minggu kemudian, perbaikan baru masih belum tiba.

Tapi di sinilah semua pengguna Windows dapat mengambil kendali. Spesialis keamanan pihak ketiga 0patch telah mengalahkan Microsoft dengan ‘micropatch’ yang sekarang telah tersedia untuk semua pengguna Windows (tautan unduhan).

“Micropatch untuk kerentanan ini akan gratis hingga Microsoft mengeluarkan perbaikan resmi,” 0patch mengkonfirmasi. Anda dapat melihat video micropatch yang diinstal di bawah ini:

Anda harus mendaftar untuk akun 0patch dan menginstal download agent nya sebelum perbaikan dapat diterapkan, tetapi dengan 0patch yang cepat menjadi tujuan utama untuk hot fix yang mengalahkan Microsoft, ini bukan masalah.

Selengkapnya: Forbes

AMD Mengungkapkan 50 Celah Keamanan yang Mempengaruhi CPU EPYC, Driver Radeon

November 15, 2021 by Winnie the Pooh

AMD menerbitkan tiga buletin keamanan yang membahas kerentanan keamanan yang memengaruhi prosesor EPYC dan driver grafis Radeon untuk Windows 10. Meskipun banyak yang ditandai dengan Keparahan Tinggi, mereka dapat dimitigasi dengan pembaruan driver dan paket AGESA.

Pembuat chip tersebut mengungkap 22 potensi kerentanan yang memengaruhi tiga generasi prosesor EPYC: EPYC 7001 (Naples), EPYC 7002 (Roma), dan EPYC 7003 (Milan).

Eksploitasi secara khusus menargetkan AMD Platform Security Processor (PSP), AMD System Management Unit (SMU), AMD Secure Encrypted Virtualization (SEV) dan komponen platform lainnya.

Menanggapi eksploitasi, AMD mendistribusikan pembaruan AGESA NaplesPI-SP3_1.0.0.G, RomePI-SP3_1.0.0.C dan MilanPI-SP3_1.0.0.4 ke mitra OEM-nya. Jika Anda menjalankan salah satu chip EPYC AMD, Anda harus menghubungi OEM Anda untuk pembaruan.

Driver grafis Radeon untuk Windows 10 sama-sama dipenuhi dengan kerentanan. AMD mendeteksi hingga 27 eksploitasi berbeda dengan berbagai tingkat keparahan yang berdampak pada konsumen mainstream dan perusahaan. Untungnya, pengguna hanya perlu memperbarui driver Radeon mereka ke versi terbaru untuk menambal lubang keamanan tersebut.

Selengkapnya: Tom’s Hardware

Hacker Iran Serang Layanan telekomunikasi di Timur Tengah dan Afrika

November 15, 2021 by Eevee

APT yang didukung negara Iran yang dikenal sebagai ‘Lyceum’ (Hexane, Spilrin) menargetkan ISP menggunakan malware dan penyedia layanan telekomunikasi di Timur Tengah dan Afrika antara Juli dan Oktober 2021.

Selain Israel, yang secara permanen menjadi sasaran para peretas Iran, para peneliti telah melihat serangan malware backdoor Lyceum di Maroko, Tunisia, dan Arab Saudi.

Dalam kampanye terbaru yang dianalisis dalam laporan bersama antara peneliti di Accenture dan Prevailion, Lyceum terlihat menggunakan dua keluarga malware yang berbeda, dijuluki Shark dan Milan.

Backdoor Shark adalah executable 32-bit yang ditulis dalam C# dan .NET yang digunakan untuk menjalankan perintah dan mengekstrak data dari sistem yang terinfeksi.

Milan adalah trojan akses jarak jauh (RAT) 32-bit yang dapat mengambil data dari sistem yang disusupi dan mengekstraknya ke host yang berasal dari algoritma pembuatan domain (DGA).

Kedua pintu belakang berkomunikasi melalui DNS dan HTTPS dengan server perintah dan kontrol (C2), dengan Shark juga menggunakan tunneling DNS.

Menurut analisis teknis, yang mengungkapkan penyegaran terus-menerus dari suar dan muatan, Lyceum tampaknya memantau peneliti yang menganalisis malware mereka untuk memperbarui kode mereka dan tetap berada di depan mekanisme pertahanan.

Tanggal pembuatan terbaru adalah dari Oktober 2021, dan para peneliti menunjukkan bahwa setidaknya dua dari kompromi yang diidentifikasi sedang berlangsung.

Para analis berhasil memetakan korban Lyceum dengan menganeksasi dua puluh domain aktor dan menganalisis data telemetri tanpa menghapusnya.

Laporan yang dihasilkan memberikan daftar baru dengan indicators of compromise (IoC) dan berbagai cara untuk mendeteksi dua backdoors, sehingga berpotensi mengganggu kampanye Lyceum yang sedang berlangsung.

Bermotif Politik
Kelompok peretas diyakini memiliki motif politik dan secara eksklusif tertarik pada spionase dunia maya daripada menyebabkan gangguan operasional terhadap target mereka.

Inilah sebabnya mengapa mereka fokus pada intrusi jaringan ISP, karena mengorbankan penyedia layanan tingkat tinggi adalah cara terbaik untuk mengumpulkan intelijen berharga di negara asing.

Prevailion menjelaskan belum diketahui sumber backdoor beacon Milan.

Secara historis Lyceum menargetkan penyedia telekomunikasi dan tim Kaspersky mengidentifikasi penargetan baru-baru ini terhadap operator telekomunikasi di Tunisia, maka Lyceum diperkirakan akan menargetkan perusahaan telekomunikasi Afrika utara lainnya.

Meskipun kampanye ‘GhostShell’ kemungkinan besar diatur oleh musuh baru APT, kampanye itu masih memiliki hubungan dengan kelompok APT Iran yang terkenal seperti Lyceum.

sumber: BLEEPING COMPUTER

Cryptominers Menargetkan CPU AMD Ryzen untuk Cache L3 Besar Mereka

November 15, 2021 by Eevee

Menurut laporan baru dari Bitcoin Press, crypto Raptoreum (RTM) baru memiliki potensi untuk menciptakan kekurangan prosesor AMD Ryzen jika cukup banyak penambang cryptocurrency yang ikut-ikutan. Tidak seperti cryptocurrency lain yang dapat Anda tambang dengan kartu grafis atau ASIC, Raptoreum lebih menyukai prosesor, terutama yang memiliki cache besar, seperti chip Ryzen, Threadripper, atau Epyc dari AMD yang cenderung berperingkat tinggi dalam daftar benchmark CPU dan CPU terbaik kami untuk bermain game.

Setelah berada di testnet selama tiga tahun, Raptoreum diluncurkan awal tahun ini. Ini didasarkan pada model Proof-Of-Work (PoW) dan algoritma GhostRider. Yang terakhir menggabungkan algoritma x16r dan CryptoNight yang ada di Ravencoin dan Monero atau Bytecoin, masing-masing. GhostRider menyukai cache L3, terutama yang besar, dan itu adalah area di mana chip Ryzen unggul.

Prosesor mainstream Zen 3 AMD, seperti Ryzen 9 5950X dan Ryzen 9 5900X, memiliki cache L3 hingga 64MB. Berdasarkan informasi dari Raptoreum Mining Profitability Calculator, Ryzen 9 5950X dan Ryzen 9 5900X masing-masing menawarkan hingga 4.247 h/s dan 3.557 h/s. Yang pertama dapat menjaring Anda 205 Raptoreum sehari, sedangkan yang kedua menghasilkan hingga 172. Dengan $0,0220255 per Raptoreum dan menggunakan biaya energi $0,12/kWh, Ryzen 9 5950X menghasilkan sekitar $4,16 sehari, sedangkan Ryzen 9 5900X menghasilkan terhormat $3,43. Itu berarti Ryzen 9 5950X ($739) praktis membayar sendiri dalam 178 hari dan Ryzen 9 5900X ($524) dalam waktu sekitar 153 hari. Sementara Ryzen 9 5950X memberikan hashrate yang lebih tinggi, Ryzen 9 5900X membutuhkan waktu lebih sedikit untuk mencapai titik impas.

Penambang cryptocurrency yang lebih serius dapat memanfaatkan produk inti-berat Ryzen Threadripper atau EPYC AMD. Jenis investor ini jelas ada di dalamnya untuk permainan panjang. Misalnya, Ryzen Threadripper 3970X menambang hingga 404 Raptoreum per hari, sementara sesuatu seperti EPYC 7742 memberi Anda 597 Raptoreum. Sekarang, bayangkan memiliki dua anak nakal EPYC ini dalam sistem dual-socket atau prosesor Milan-X spick-and-span AMD dengan cache L3 hingga 768MB.

Pasokan untuk prosesor AMD Zen 3 masih sangat stabil, dan beberapa SKU, seperti Ryzen 7 5800X telah turun menjadi $329,99 di Micro Center. Ada juga beberapa potongan harga kecil dengan chip Ryzen 5000 lainnya, tetapi secara keseluruhan, ada banyak stok. Untuk sementara, Raptoreum tampaknya tidak berpengaruh pada saham Ryzen, yang merupakan hal yang baik. Namun, panorama dapat berubah ketika Ryzen dengan 3D V-Cache menghadirkan chip yang dapat mengirimkan hingga 192MB L3 cache, tiga kali lipat dari prosesor vanilla Ryzen.

sumber: TOMSHARDWARE

12 Kelemahan Baru yang Digunakan dalam Serangan Ransomware di Q3

November 15, 2021 by Eevee

Laporan Q3 2021 mengungkapkan terjadi peningkatan 4,5% dalam CVE yang terkait dengan ransomware dan peningkatan 3,4% dalam keluarga ransomware dibandingkan dengan Q2 2021.

Selusin kerentanan baru digunakan dalam serangan ransomware kuartal ini, sehingga jumlah total bug yang terkait dengan ransomware menjadi 278. Itu meningkat 4,5 persen dari Q2, menurut para peneliti.

Lima dari pemula dapat digunakan untuk mencapai eksekusi kode jarak jauh (RCE), sementara dua dapat digunakan untuk mengeksploitasi aplikasi web dan meluncurkan serangan penolakan layanan (DoS). Itu bukan berita baik, tetapi ini sangat menggelisahkan mengingat kuartal ini juga melihat serangan DoS (DDoS) terdistribusi memecahkan rekor, menurut sebuah studi terpisah.

Berita tentang kerentanan baru yang telah diserang oleh operator ransomware berasal dari laporan sorotan indeks ransomware Q3 2021 Ivanti, yang diterbitkan pada hari Selasa dan dilakukan dengan Cyber Security Works dan Cyware.

Aaron Sandeen, CEO Cyber Security Works, mengatakan dalam siaran pers bahwa Q3 adalah salinan dari tren ransomware dari sisa tahun ini. Yaitu, “Kami terus melihat serangan ransomware meningkat secara agresif dalam kecanggihan dan frekuensi di Q3.”

Analisis ransomware triwulanan juga menemukan bahwa kelompok ransomware masih menemukan dan mengeksploitasi kelemahan zero-day sebelum CVE ditetaskan dan ditambal. Contoh kasus: Geng ransomware REvil yang banyak dicerca menemukan dan mengeksploitasi kelemahan dalam perangkat lunak Kaseya VSA karena tim keamanan perusahaan masih mengerjakan tiga tambalan.

Pada tanggal 2 Juli, geng REvil membuka tiga zero-days di platform Virtual System/Server Administrator (VSA) Kaseya dalam lebih dari 5.000 serangan. Pada tanggal 5 Juli, serangan di seluruh dunia telah dilepaskan di 22 negara, tidak hanya menjangkau basis pelanggan penyedia layanan terkelola (MSP) Kaseya tetapi juga, mengingat banyak dari mereka menggunakan VSA untuk mengelola jaringan bisnis lain, mencakar MSP tersebut. pelanggan sendiri.

Kuartal ketiga juga melihat sembilan kerentanan baru dengan peringkat keparahan yang lebih rendah dikaitkan dengan ransomware. Juga, pembaruan indeks ransomware Q3 untuk tahun 2021 mengidentifikasi kelompok ransomware yang memperluas gudang serangan mereka dengan 12 asosiasi kerentanan baru di Q3,

Analisis Q3 juga mengidentifikasi lima keluarga ransomware baru, sehingga totalnya menjadi 151. Kelompok ransomware baru dengan cepat melompati beberapa kerentanan paling berbahaya di luar sana hanya beberapa minggu setelah mereka mulai menjadi tren di alam liar, seperti PrintNightmare, PetitPotam, dan ProxyShell .

Teknik yang digunakan dalam serangan ransomware juga semakin canggih. Salah satu contoh yang dikutip dalam analisis Ivanti adalah dropper as-a-service – layanan yang memungkinkan pelaku yang secara teknis tidak paham/cenderung kriminal untuk mendistribusikan malware melalui program dropper yang dapat mengeksekusi muatan berbahaya ke komputer korban.

Dari laporan juga ditemukan tiga kerentanan yang berasal dari tahun 2020 atau sebelumnya menjadi baru terkait dengan ransomware pada Q3 2021, sehingga jumlah total kerentanan lama yang terkait dengan ransomware menjadi 258: 92,4 persen kekalahan yang terkait dengan ransomware.

Analisis menunjukkan kelompok ransomware Cring sebagai contoh penting: Geng menargetkan dua kerentanan ColdFusion yang lebih lama – CVE-2009-3960 dan CVE-2010-2861 – yang telah ditambal selama 11 tahun.

Anuj Goel, CEO Cyware, dikutip mengatakan ya untuk otomatisasi, dan juga untuk berbagi intel untuk melindungi organisasi dari ransomware: “Penelitian ini menggarisbawahi bahwa ransomware terus berkembang dan menjadi lebih berbahaya berdasarkan kerusakan bencana yang dapat ditimbulkannya. organisasi sasaran. Apa yang lebih kompleks bagi banyak organisasi adalah ketidakmampuan industri vertikal untuk secara cepat membagikan IOC tertentu terlepas dari industri mereka, dengan cara yang mudah untuk mengatur, mengoperasionalkan, dan menyebarluaskan untuk mengambil tindakan sebelum serangan menyerang.

“Mengelola risiko organisasi berarti perusahaan harus mencari strategi pertahanan kolektif untuk memiliki visibilitas terus-menerus ke dalam serangan dan permukaan risiko masing-masing, untuk mengurangi kerugian besar pada reputasi, pelanggan, dan keuangan. Semakin banyak tim cyber dapat mengikat ke dalam otomatisasi dan proses TI, semakin baik dan efisien mereka dalam melawan ransomware.”

sumber: ThreatPost

Ramalan Malware dan Ransomeware Mendatang

November 15, 2021 by Eevee

Laporan ancaman Sophos tahun 2022 menjelaskan Infeksi malware dan ransomware di masa depan akan terdiri dari “shotgun attacks with pinpoint targeting.”

Seolah itu tidak cukup, infosec biz Inggris menganggap serangan malware komoditas yang sudah mapan akan berakhir dengan memberikan lebih banyak ransomware, sementara taktik pemerasan yang digunakan oleh geng ransomware akan menjadi lebih beragam dan intens – dengan tujuan menggertak korban agar menyerahkan uang tunai.

“Ransomware berkembang pesat karena kemampuannya untuk beradaptasi dan berinovasi,” kata Chester Wisniewski seorang ilmuwan peneliti utama di Sophos. “Misalnya, meskipun penawaran RaaS bukanlah hal baru, di tahun-tahun sebelumnya kontribusi utama mereka adalah membawa ransomware ke dalam jangkauan penyerang berketerampilan rendah atau kurang didanai.”

Ancaman dunia maya yang hampir ada di mana-mana telah banyak ditampilkan dalam berita baru-baru ini, menyusul penghargaan AS senilai jutaan dolar untuk informasi yang mengarah pada penangkapan dan hukuman terhadap geng ransomware high profile tertentu. Selain itu, banyak polisi negara – terutama Ukraina – telah menangkap orang-orang yang diduga sebagai anggota geng.

Selain ransomware, Sophos mengatakan pada 2022 akan terjadi serangan ulang ProxyLogon dan ProxyShell di mana vuln dalam layanan dan produk TI yang banyak digunakan langsung dilompati oleh penjahat dan negara. Perusahaan mengharapkan untuk melihat “peningkatan minat kejahatan dalam sistem berbasis Linux selama tahun 2022, baik di cloud maupun di web dan server virtual.”

Serangan shotgun yang ditargetkan, seperti yang dijelaskan Sophos, juga dapat meningkat. Perusahaan menggunakan serangan Gootloader sebagai contoh, menyoroti bagaimana situs web berbahaya didorong ke atas peringkat hasil pencarian Google oleh kejahatan. Pemfilteran tanda yang mengklik tautan berbahaya ini mengesampingkan mereka yang tidak menjalankan kombinasi sistem operasi dan browser tertentu.

“SophosLabs percaya bahwa ini mungkin merupakan cara baru bagi distributor malware untuk menggagalkan peneliti malware sambil memberi diri mereka sendiri tingkat kepastian yang lebih besar bahwa malware mereka akan menjadi bagian dari korban yang mungkin lebih diinginkan daripada populasi umum,” perusahaan menyimpulkan.

Linux dan sistem virtual dapat berada di bawah ancaman yang lebih besar pada tahun 2022, menurut pandangan Sophos, dengan peringatan tegas: “Satu ransomware yang kami temui pada tahun 2021 menargetkan platform VMware ESXi dan datang dalam bentuk skrip Python yang, ketika dijalankan pada hypervisor, mematikan semua mesin virtual yang berjalan dan kemudian mengenkripsi penyimpanan data tempat hard drive virtual, dan file konfigurasi lainnya, disimpan di hypervisor.”

Hal-hal yang menghebohkan – dan kejadian di atas terjadi pada perusahaan “logistik dan industri perkapalan” selama tahun ini. Trojan RansomEXX, yang menargetkan hypervisor VMware ESXi, ditemukan oleh Sophos pada Juni 2021 setelah serangan terhadap hypervisor ESXi yang berbeda “dijalankan oleh toko roti komersial besar”.

“Ancaman, mereka sedang berkembang. Keyakinan lama bahwa organisasi Anda terlalu kecil, tidak jelas, atau pendapatannya rendah untuk dijadikan target berbahaya akhir-akhir ini – jadi persiapkan diri.”

sumber: The Register

Peretas Mengakses Sistem Email FBI Dan Mengirim Spam Ke 100.000 Akun

November 15, 2021 by Winnie the Pooh

Peretas mengakses sistem email FBI dan mengirim spam ke 100.000 akun pada hari Sabtu, menurut Proyek Spamhaus, sebuah kelompok pengawas spam email.

Organisasi tersebut memposting contoh di Twitter dari salah satu email yang dikirim ke ribuan akun.

Email tersebut memuat subjek “Urgent: Threat actor in systems” dan dimaksudkan untuk datang dari divisi keamanan siber dari Departemen Keamanan Dalam Negeri.

Email tersebut dimaksudkan untuk memperingatkan penerima tentang potensi “exfiltration” – yang berarti penarikan data – dari sistem mereka oleh pakar keamanan siber Vinny Troia dan kelompok penjahat siber The Dark Overlord.

Spamhaus memberikan sejumlah kemungkinan motivasi peretas untuk mengirim pesan tersebut.

“Tiga tindakan: Meyakinkan orang untuk menutup semuanya untuk berjaga-jaga, sementara kebenaran ditentukan, pembunuhan karakter Vinny Troia yang disebutkan di dalamnya, dan membanjiri FBI dengan panggilan. Atau, seperti yang orang lain katakan, ‘untuk lulz’. Mungkin semua dari yang disebutkan di atas. Atau mungkin sesuatu yang lain!” kelompok itu menulis sebuah tweet.

Austin Berglas, kepala layanan profesional di perusahaan keamanan siber BlueVoyant dan mantan agen khusus FBI, mengatakan kepada Bloomberg bahwa sistem email yang diretas bukanlah yang digunakan agen untuk mengirim informasi rahasia di FBI.

FBI mengatakan dalam sebuah pernyataan bahwa mereka mengetahui serangan itu tetapi tidak dapat memberikan informasi lebih lanjut.

Selengkapnya: The Hill

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings