Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Evil Corp Menuntut $40 Juta pada Serangan Ransomware Baru “Macaw”

by

Evil Corp telah meluncurkan ransomware baru bernama Macaw Locker untuk menghindari sanksi AS yang mencegah korban melakukan pembayaran uang tebusan.

Kelompok peretasan Evil Corp, juga dikenal sebagai Indrik Spider dan geng Dridex, telah terlibat dalam kegiatan kejahatan dunia maya sejak 2007, tetapi sebagian besar sebagai afiliasi dengan organisasi lain.

Bulan ini, beberapa operasi Olympus dan Sinclair Broadcast Group sangat terganggu oleh serangan ransomware di akhir pekan.

Bagi Sinclair, itu menyebabkan siaran TV dibatalkan, berbagai acara ditayangkan, dan penyiar berita melaporkan cerita mereka dengan papan tulis dan kertas.

Minggu ini, ditemukan bahwa kedua serangan itu dilakukan oleh ransomware baru yang dikenal sebagai Macaw Locker.

Dalam percakapan dengan Emsisoft CTO Fabian Wosar, BleepingComputer diberitahu bahwa, berdasarkan analisis kode, MacawLocker adalah rebrand terbaru dari keluarga ransomware Evil Corp.

BleepingComputer juga mengetahui dari sumber di industri keamanan siber bahwa hanya dua korban Macaw Locker yang diketahui adalah Sinclair dan Olympus.

Sumber juga membagikan halaman pribadi korban Macaw Locker untuk dua serangan, di mana pelaku ancaman meminta tebusan 450 bitcoin, atau $28 juta, untuk satu serangan dan $40 juta untuk korban lainnya.

Tidak diketahui perusahaan apa yang terkait dengan setiap permintaan tebusan.

Ransomware Macaw Locker akan mengenkripsi file korban dan menambahkan ekstensi .macaw ke nama file saat melakukan serangan.

Selengkapnya: Bleeping Computer

Bug di Perangkat Lunak WinRAR Populer Dapat Membiarkan Penyerang Meretas Komputer Anda

by

Kelemahan keamanan baru telah diungkapkan dalam utilitas pengarsipan file trialware WinRAR untuk Windows yang dapat disalahgunakan oleh penyerang jarak jauh untuk mengeksekusi kode berbahaya pada sistem yang ditargetkan, menggarisbawahi bagaimana kerentanan dalam perangkat lunak tersebut dapat menjadi pintu gerbang untuk serangkaian daftar serangan.

Dilacak sebagai CVE-2021-35052, bug berdampak pada versi trial perangkat lunak yang menjalankan versi 5.70. “Kerentanan ini memungkinkan penyerang untuk mencegat dan memodifikasi permintaan yang dikirim ke pengguna aplikasi,” kata Igor Sak-Sakovskiy dari Positive Technologies dalam sebuah laporan. “Ini dapat digunakan untuk mencapai eksekusi kode jarak jauh (RCE) di komputer korban.”

Sak-Sakovskiy mencatat bahwa penyelidikan ke WinRAR dimulai setelah mengamati kesalahan JavaScript yang diberikan oleh MSHTML (alias Trident), mesin browser berpemilik untuk Internet Explorer yang sekarang telah berhenti di support dan yang digunakan di Office untuk merender konten web di dalam Word, Excel, dan PowerPoint dokumen, yang mengarah pada penemuan bahwa jendela kesalahan ditampilkan sekali setiap tiga kali saat aplikasi diluncurkan setelah masa uji coba berakhir.

Dengan mencegat kode respons yang dikirim ketika WinRAR memberi tahu pengguna tentang akhir periode uji coba gratis melalui “notifier.rarlab[.]com” dan memodifikasinya menjadi pesan pengalihan “301 Dipindahkan Secara Permanen”, Positive Technologies menemukan bahwa kode tersebut dapat disalahgunakan untuk men-cache pengalihan ke domain berbahaya yang dikendalikan penyerang untuk semua permintaan berikutnya.

Selain itu, penyerang yang sudah memiliki akses ke domain jaringan yang sama dapat melakukan serangan spoofing ARP untuk meluncurkan aplikasi dari jarak jauh, mengambil informasi host lokal, dan bahkan menjalankan kode berbahaya.

Selengkapnya: The Hacker News

Dark web menjadi lebih gelap dan lebih sibuk, layanan kejahatan dunia maya berharga kurang dari $500

by

Sampai saat ini dark web masih aktif dan menjadi lebih berbahaya dari sebelumnya. Para peneliti baru menyoroti bagaimana nilai data yang dicuri dan perilaku kriminal dunia maya yang secara umum telah berkembang selama enam tahun terakhir.

Perusahaan keamanan cloud, Bitglass, menciptakan kembali eksperimen pelacakan data dari tahun 2015 dengan menciptakan identitas fiktif yang menjual data login dan kata sandi. Para peneliti kemudian memposting informasi di beberapa pasar dark web, menarik pengguna dengan menawarkan akses ke file palsu yang memungkinkan akses ke organisasi di sektor ritel, pemerintah, game, dan media.

Dengan teknologi watermarking yang dimasukkan ke dalam file memungkinkan Bitglass untuk melacak data dari pengguna yang mengaksesnya. Menariknya, data yang dicuri menyebar 11 kali lebih cepat di dark web saat ini dibandingkan dengan enam tahun lalu.

Data pelanggaran menerima lebih dari 13.200 tampilan pada tahun 2021, peningkatan dramatis dari 1.100 tampilan pada tahun 2015. Lonjakan tersebut mewakili pertumbuhan 1.100 persen,hal tersebut menunjukkan bagaimana platform underground telah menjadi tujuan yang lebih populer bagi penjahat dunia maya.

Di tahun 2015 waktu yang dibutuhkan untuk mencapai 1.100 tampilan adalah 12 hari. Namun di tahun 2021, target jauh lebih cepat dalam mengakses data palsu karena mereka hanya membutuhkan waktu kurang dari 24 jam untuk melihat tautan.

Berdasarkan Lokasi unduhan data yang dicuri, Amerika Serikat adalah wilayah paling sering kedua dimana penjahat dunia maya berasal. Tiga teratas termasuk Kenya, Amerika, dan Rumania. Penelitian ini juga menemukan bahwa target menunjukkan minat yang besar pada data jaringan ritel dan pemerintah AS. Kedua kategori ini menerima klik terbanyak—masing-masing 37% dan 32%.

Jaringan ritel secara alami menjadi prioritas utama bagi penyerang karena mereka dapat mendistribusikan ransomware dan mengekstrak pembayaran dari bisnis besar. Demikian juga, data pemerintah A.S. sama berharganya karena peretas—yang disponsori negara atau individu dapat menjual informasi ini ke negara lain.

Selain itu, aktivitas di dalam dark web menjadi lebih sibuk. Menurut penelitian tersebut, jumlah total penonton anonim di Dark Web pada tahun 2021 mencapai 93 persen, naik signifikan dari tahun 2015 yang mencapai 67 persen.

Bitglass menekankan bahwa penjahat dunia maya sebagian besar telah menghindari undang-undang yang menuntut kejahatan dunia maya karena mereka menjadi lebih efektif dalam menutupi jejak mereka,

Upaya keamanan siber dari bisnis dan organisasi belum cukup mampu mencegah serangan. Selain itu, karena meningkatnya perhatian dari penegak hukum untuk melacak pelaku kejahatan, perusahaan mengharapkan mereka untuk terus menggunakan VPN dan proxy anonim untuk menghindari pihak berwenang.

“Dengan membandingkan hasil eksperimen terbaru ini dengan tahun 2015, jelas bahwa data di Dark Web menyebar lebih jauh, lebih cepat,” Mike Schuricht, kepala Bitglass Threat Research Group mengatakan “Kami memprediksi peningkatan volume pelanggaran data yang tinggi serta lebih banyak jalan bagi penjahat dunia maya untuk memonetisasi data yang dieksfiltrasi telah menyebabkan peningkatan minat dan aktivitas seputar data curian di dark web.”

Menurut data yang diposting oleh Microsoft, penghuni Dark Web dapat memperoleh sebagian besar layanan kejahatan dunia maya dengan harga kurang dari $500. Atlas VPN menemukan bahwa pasar bawah tanah menawarkan satu paket ransomware seharga $66, sementara peretas hanya mengenakan biaya sekitar $311 untuk mengirimkan serangan DDoS berkelanjutan terhadap target selama sebulan.

Pelanggaran data adalah hal biasa saat ini, jadi tidak mengherankan apabila nama pengguna dan kata sandi yang dicuri ditawarkan hanya dengan 97 sen per 1.000 akun. Selain itu, peretas melakukan pekerjaan khusus seperti penipuan kartu kredit atau pencurian identitas hanya dengan $250.

Sekitar 26% dari semua ancaman JavaScript berbahaya dikaburkan

by

Sebuah penelitian yang menganalisis lebih dari 10.000 sampel beragam malware yang ditulis dalam JavaScript menyimpulkan bahwa sekitar 26% di antaranya dikaburkan (Obfuscated) untuk menghindari deteksi dan analisis.

Obfuscation adalah ketika kode sumber yang mudah dipahami diubah menjadi kode yang sulit dipahami dan membingungkan yang masih beroperasi sebagaimana dimaksud.

Pelaku ancaman biasanya menggunakan obfuscation untuk mempersulit analisis skrip berbahaya dan untuk melewati perangkat lunak keamanan.

Peneliti Akamai telah menganalisis 10.000 sampel JavaScript termasuk malware dropper, halaman phishing, alat scamming, snippet Magecart, cryptominers, dll.

Setidaknya 26% dari mereka menggunakan beberapa bentuk obfuscation untuk menghindari deteksi, menunjukkan peningkatan dalam adopsi teknik dasar namun efektif ini.

Sebagian besar sampel yang dikaburkan ini tampaknya memiliki kode yang serupa karena dibundel oleh packers yang sama, sehingga struktur kodenya terlihat serupa meskipun fungsinya berbeda.

Akamai berencana untuk mempresentasikan detail lebih lanjut tentang bagaimana mereka memfokuskan upaya deteksi mereka pada teknik pengemasan daripada kode file itu sendiri dalam konferensi SecTor yang akan datang.

Tetapi tidak semua obfuscation itu berbahaya atau rumit. Seperti yang dijelaskan dalam laporan, sekitar 0,5% dari 20.000 situs web peringkat teratas di web (menurut Alexa), juga menggunakan teknik obfuscation.

Dengan demikian, mendeteksi kode berbahaya berdasarkan fakta bahwa kode tersebut dikaburkan tidaklah cukup, dan korelasi lebih lanjut dengan fungsi berbahaya perlu dilakukan.

Selengkapnya: Bleeping Computer

(ISC)² Merencanakan Sertifikasi Tingkat Awal untuk Calon Ahli Keamanan

by

(ISC)² mengumumkan rencana untuk menguji coba ujian sertifikasi keamanan siber tingkat pemula yang baru untuk menambah jajaran sertifikasi profesional yang ada dan memberikan jalur pengembangan profesional bagi para praktisi keamanan di awal karir infosec mereka.

Pejabat menggambarkan kualifikasi baru sebagai “sertifikasi dasar” yang juga akan berperan dalam membantu bisnis, pendidik, dan pemerintah membawa lebih banyak profesional keamanan ke dalam angkatan kerja.

Sertifikasi tingkat pemula akan membantu mempersempit kesenjangan yang ada saat ini antara memasuki industri keamanan dan kemampuan untuk memverifikasi dan memajukan keterampilan melalui kualifikasi industri.

Organisasi telah lama ditantang untuk menemukan praktisi keamanan yang memenuhi syarat untuk semakin banyak posisi terbuka. Ada beberapa faktor yang mendorong masalah tersebut, di antaranya adalah terputusnya hubungan antara pemberi kerja yang mencari keterampilan tertentu dan calon pekerja yang memiliki keterampilan tersebut. (ISC)² percaya bahwa sertifikasi tingkat pemula adalah salah satu solusi untuk membantu mengatasi masalah tersebut.

Posisi keamanan tingkat pemula seringkali memerlukan sertifikasi seperti CISSP, yang tidak realistis bagi pelamar tingkat pemula karena memerlukan pengalaman lima tahun. Akibatnya, banyak dari posisi terbuka ini tetap kosong dan calon profesional keamanan memiliki lebih sedikit pilihan untuk memulai di lapangan.

(ISC)² belum mengumumkan publikasi atau tanggal pengujian untuk ujian percontohan.

Selengkapnya: Dark Reading

FBI Peringatkan Geng Ransomware BlackMatter Siap Menyerang

by

Otoritas federal memperingatkan bisnis untuk menopang pertahanan keamanan siber karena dengan hati-hati memantau kemunculan kembali geng ransomware DarkSide, yang diyakini bertanggung jawab atas serangan Colonial Pipeline yang melumpuhkan pada Mei 2021.

Geng ransomware-as-a-service telah berkumpul kembali di bawah moniker BlackMatter, menurut penasehat bersama yang diposting Senin oleh Cybersecurity and Infrastructure Security Agency (CISA), FBI dan National Security Agency (NSA).

Penasihat mendesak bisnis untuk meningkatkan pertahanan yang terkait dengan kredensial pengguna dan menerapkan kata sandi yang kuat dan otentikasi multi-faktor (MFA) untuk lebih menggagalkan peningkatan yang diantisipasi dalam aktivitas kriminal BlackMatter.

Penasihat tersebut menawarkan tip pertahanan siber dan potensi mitigasi serangan.

“Menggunakan kredensial tertanam yang sebelumnya dikompromikan, BlackMatter memanfaatkan protokol Lightweight Directory Access Protocol (LDAP) dan Server Message Block (SMB) untuk mengakses Active Directory (AD) untuk menemukan semua host di jaringan,” menurut penasihat tersebut. “BlackMatter kemudian mengenkripsi host dan drive bersama dari jarak jauh saat ditemukan.”

Karena taktiknya untuk menggunakan kredensial curian untuk menembus jaringan, beberapa mitigasi utama untuk mempertahankan diri dari serangan BlackMatter terkait dengan cara organisasi menangani otentikasi pengguna dan dengan demikian merupakan perbaikan praktis.

Badan-badan tersebut merekomendasikan untuk menegakkan kata sandi yang kuat dan menerapkan MFA di seluruh jaringan untuk menghindari kompromi dengan kredensial yang dicuri.

Menggunakan signature deteksi yang disediakan untuk mengidentifikasi aktivitas BlackMatter di jaringan juga dapat memblokir penempatan catatan tebusan grup pada bagian pertama yang dienkripsi, “selanjutnya memblokir lalu lintas SMB tambahan dari sistem encryptor selama 24 jam,” rekomendasi agensi.

Badan-badan tersebut merekomendasikan untuk menghapus akses yang tidak perlu ke pembagian administratif, terutama ADMIN$ dan C$, dan menggunakan firewall berbasis host untuk hanya mengizinkan koneksi ke pembagian administratif melalui SMB dari seperangkat mesin administrator yang terbatas.

Selengkapnya: Threat Post

Geng TA505 Kembali Dengan FlawedGrace RAT yang Baru

by

Kelompok kejahatan dunia maya TA505 menghidupkan kembali mesin pembobol keuangannya, melemparkan malware ke berbagai industri dalam gelombang volume rendah yang awalnya dilihat oleh para peneliti meningkat akhir bulan lalu.

Mereka melakukan hal-hal buruk, tetapi mereka sangat rumit sehingga melacaknya sangat menyenangkan, kata Sherrod DeGrippo, wakil presiden, Riset dan Deteksi Ancaman di Proofpoint.

TA505, alias Hive0065, adalah sekelompok penjahat dunia maya yang terlibat dalam penipuan keuangan dan tindakan yang disponsori negara. Peneliti proofpoint menggambarkan grup tersebut sebagai “salah satu aktor yang lebih produktif” yang mereka lacak.

Yang ada di balik kampanye spam terbesar yang pernah dilihat perusahaan: yaitu, distribusi trojan perbankan Dridex. Proofpoint juga telah melacak geng yang mendistribusikan ransomware Locky dan Jaff, trojan perbankan Trick, dan lainnya “dalam volume yang sangat tinggi,” kata Proofpoint.

TA505, yang secara aktif menargetkan banyak industri – termasuk keuangan, ritel, dan restoran – telah aktif setidaknya sejak 2014. Mereka dikenal karena seringnya mengganti malware dan untuk mendorong tren global dalam distribusi malware kriminal.

Sesuai dengan bentuknya, kampanye terbaru geng didistribusikan di berbagai industri. Mereka juga muncul dengan perlengkapan baru, termasuk loader KiXtart yang telah ditingkatkan, loader MirrorBlast yang mengunduh pemecah skrip Rebol, RAT FlawedGrace yang diperbarui, dan lampiran Excel berbahaya yang diperbarui.

Para peneliti mencatat bahwa TA505 sekarang menggunakan beberapa pemuat perantara sebelum pengiriman RAT FlawedGrace, dan mereka dikodekan dalam bahasa skrip yang tidak umum – Rebol dan KiXtart.

Mengingat bahwa TA505 mengubah TTP dan bahwa mereka “dianggap sebagai trendsetter di dunia kejahatan dunia maya,” Proofpoint mengatakan TA505 tidak akan pergi dalam waktu dekat.

Selengkapnya: Threat Post