DDoS

Portal Azure Microsoft down mengikuti klaim baru serangan DDoS

June 10, 2023 by Mally

Portal Microsoft Azure sedang down di web sebagai aktor ancaman yang dikenal sebagai Anonymous Suda mengklaim menargetkan situs dengan serangan DDoS.

Mencoba mengakses portal di https://portal.azure.com menampilkan pesan kesalahan yang menyatakan, “Layanan kami tidak tersedia saat ini. Kami sedang bekerja untuk memulihkan semua layanan secepat mungkin. Periksa kembali nanti.” Aplikasi seluler tampaknya tidak terpengaruh saat ini.

Error message saat mengunjungi portal.azure.com

Halaman status Microsoft Azure menyertakan informasi status yang menyatakan bahwa Microsoft mengetahui insiden tersebut dan berusaha untuk menguranginya.

“Portal Azure – Kesalahan mengakses Portal Azure – Menerapkan Mitigasi

Pernyataan Dampak: Mulai sekitar pukul 15.00 UTC pada 9 Juni 2023, pelanggan Azure mungkin mengalami pemberitahuan kesalahan saat mencoba mengakses Portal Azure (portal.azure.com).

Status Saat Ini: Kami telah menentukan akar penyebab potensial dan secara aktif terlibat dalam aliran kerja berbeda yang menerapkan proses penyeimbangan muatan untuk mengurangi masalah tersebut. Pembaruan berikutnya akan diberikan dalam 60 menit atau sesuai acara.

Pesan ini terakhir diperbarui pada 16:35 UTC pada 09 Juni 2023”

Anonim Sudan mengaku sebagai peretas yang menargetkan perusahaan AS untuk memprotes keterlibatan Amerika Serikat dalam urusan dalam negeri Sudan. Namun, beberapa percaya ini adalah bendera palsu dan pelaku ancaman sebenarnya adalah orang Rusia.

Terlepas dari asal-usul aktor ancaman, ini bukan minggu yang baik untuk Microsoft, dengan aktor ancaman melakukan serangan DDoS di portal web Microsoft lainnya untuk Outlook.com dan OneDrive, yang juga mengalami pemadaman pada saat yang sama.

Meskipun Microsoft belum mengonfirmasi bahwa pemadaman ini disebabkan oleh serangan DDoS, mereka membagikan pernyataan berikut dengan BleepingComputer kemarin, mengisyaratkan bahwa masalah tersebut lebih dari sekadar masalah teknis.

“Kami mengetahui klaim ini dan sedang menyelidiki. Kami mengambil langkah-langkah yang diperlukan untuk melindungi pelanggan dan memastikan stabilitas layanan kami,” kata Microsoft kepada BleepingComputer dalam sebuah pernyataan.

BleepingComputer sekali lagi menghubungi Microsoft untuk menanyakan apakah layanannya mati karena serangan DDoS, tetapi tanggapan tidak segera tersedia.

Perbarui 9/6/23 13:32 ET: Portal Azure tampaknya hidup kembali dan stabil.

Microsoft masih belum mengungkapkan penyebab yang mendasari pemadaman, hanya menunjukkan bahwa mereka menerapkan lebih banyak proses penyeimbangan beban ke layanan.

sumber : bleepingcomputer.com

Microsoft OneDrive down di seluruh dunia menyusul klaim serangan DDoS

June 9, 2023 by Mally

Microsoft sedang menyelidiki pemadaman yang sedang berlangsung yang mencegah pelanggan OneDrive mengakses layanan hosting file cloud di seluruh dunia, seperti halnya aktor ancaman yang dikenal sebagai ‘Sudan Anonim’ mengklaim akan melakukan DDoS pada layanan tersebut

Pengguna yang mencoba membuka situs web OneDrive saat ini melihat pesan kesalahan “Maaf, telah terjadi kesalahan” dan “Halaman ini tidak berfungsi saat ini”.

Sementara perusahaan tidak memberikan perincian tentang apa yang menyebabkan pemadaman, insiden hari ini diklaim oleh peretas yang dikenal sebagai Anonymous Sudan, yang diyakini sebagian orang terkait dengan Rusia.

Mereka juga mengatakan bahwa mereka menghentikan sejumlah layanan Microsoft awal pekan ini dalam serangan denial-of-service (DDoS) terdistribusi.

“Microsoft, Anda pikir kami melupakan Anda? Kami termotivasi untuk mengajari Anda pelajaran yang sangat baik tentang kejujuran yang tidak pernah diajarkan oleh orang tua Anda kepada Anda,” kata mereka di grup Telegram publik mereka.

“Onedrive telah dimatikan. Mari kita lihat alasan barumu sekarang.”

Insiden hari ini mengikuti pemadaman panjang lainnya dari awal minggu ini yang memengaruhi beberapa layanan dan fitur Microsoft, termasuk Outlook, SharePoint Online, dan OneDrive for Business.

Pemadaman dimulai Senin malam dan akhirnya ditangani pada dini hari Rabu, dan itu juga diklaim oleh Anonymous Sudan sebagai akibat dari serangan DDoS mereka.

Microsoft memberi tahu BleepingComputer bahwa mereka sedang menyelidiki klaim tersebut dan mengambil langkah-langkah untuk melindungi pelanggan.

Dalam pembaruan berikutnya ke halaman status kesehatan layanan, Microsoft mengonfirmasi bahwa pemadaman terputus-putus ini hanya memengaruhi domain onedrive.live.com.

“URL browser yang terpengaruh adalah onedrive.live.com. Akses ke layanan OneDrive menggunakan klien desktop, klien sinkronisasi, atau klien Office tidak terpengaruh,” kata Microsoft.

“Kami terus menganalisis telemetri pemantauan dan melakukan proses penyeimbangan beban untuk memberikan bantuan.”

sumber : bkeepingcomputer.com

Botnet Baru ‘Hinatabot’ Dapat Meluncurkan Serangan DDOS 3,3 Tbps yang Sangat Besar

March 24, 2023 by Mally

Botnet malware baru ditemukan menargetkan Realtek SDK, router Huawei, dan server Hadoop Yarn untuk merekrut perangkat ke DDOS (Denial of Service) yang didistribusikan dengan potensi serangan besar-besaran.

Ditemukan oleh para peneliti di Akamai pada awal tahun, menangkapnya di honeypots HTTP dan SSH mereka, terlihat mengeksploitasi kelemahan lama seperti CVE-2014-8361 dan CVE-2017-17215.

Operator Hinatabot awalnya mendistribusikan binari Mirai, sementara Hinatabot pertama kali muncul pada pertengahan Januari 2023. Tampaknya didasarkan pada Mirai dan merupakan varian berbasis GO dari ketegangan terkenal.

Setelah menangkap beberapa sampel dari kampanye aktif baru-baru ini pada Maret 2023, para peneliti Akamai menyimpulkan bahwa malware sedang dalam pengembangan aktif, menampilkan peningkatan fungsional dan penambahan anti-analisis.

Kekuatan DDOS yang Signifikan
Malware didistribusikan oleh titik akhir SSH yang memuat brute atau menggunakan skrip infeksi dan muatan RCE untuk kerentanan yang diketahui.

Setelah menginfeksi perangkat, malware akan berjalan diam-diam, menunggu perintah untuk dieksekusi dari server perintah dan kontrol.

Hinatabot masih dalam pengembangan dan mungkin menerapkan lebih banyak eksploitasi dan memperluas ruang lingkup penargetan kapan saja. Selain itu, fakta bahwa perkembangannya sangat aktif meningkatkan kemungkinan melihat versi yang lebih kuat beredar di alam liar segera.

Selengkapnya: BleepingComputer

Polusi prototipe side-server: Deteksi Black-box tanpa DoS

February 25, 2023 by Mally

Mendeteksi polusi prototipe sisi server secara sah merupakan tantangan besar. Sifat dasar cara kerjanya dapat secara semi-permanen merusak fungsionalitas di server. Posting ini menunjukkan kepada Anda cara mendeteksi polusi prototipe dengan permintaan tidak berbahaya yang menyebabkan perbedaan halus dalam respons untuk membuktikan bahwa Anda berhasil.

Jika Anda ingin mencoba sendiri teknik yang disebutkan dalam artikel ini, kami telah membuat beberapa lab Akademi Keamanan Web untuk membantu mengasah keterampilan Anda dalam polusi prototipe.

Kita akan mulai dengan rekap singkat tentang polusi prototipe dan bagaimana hal itu terjadi. Jika Anda sudah terbiasa dengan dasar-dasarnya, Anda dapat melompat ke “Masalah DoS”.

Polusi prototipe dapat menyebabkan perubahan konfigurasi aplikasi, perilaku, dan bahkan dapat mengakibatkan RCE. Ada berbagai laporan publik tentang polusi prototipe. Dua yang menonjol adalah bug Michał Bentkowski di Kibana dan bug Paul Gerste di framework Blitz. Keduanya menghasilkan Eksekusi Kode Jarak Jauh.

Metode ini diciptakan dalam perjalanan saya untuk menemukan teknik polusi prototipe. Mereka tidak boleh digunakan untuk menguji situs langsung yang bukan milik Anda karena dapat menyebabkan DoS.

Saya telah membuktikan bahwa pendeteksian kotak hitam yang aman dari polusi prototipe dimungkinkan dengan menggunakan perbedaan halus dalam perilaku server. Dengan menggunakan berbagai teknik ini, saya telah menunjukkan bahwa Anda dapat mengotomatiskan penemuan kelemahan polusi prototipe dan saya telah menyediakan perangkat sumber terbuka untuk membantu Anda menemukannya dalam aplikasi Anda sendiri. Saya juga telah menunjukkan cara menulis kode aman dengan menggunakan API aman. Terakhir, setelah membaca ini, saya yakin Anda bersemangat untuk mencoba tekniknya sendiri dan untuk membantu kami telah membuat beberapa lab Akademi Keamanan Web yang memungkinkan Anda melatih keterampilan baru Anda.

selengkapnya : portwigger.net

Pemecah Rekor 71 Juta RPS DDoS Attack Dilihat oleh Cloudflare

February 16, 2023 by Mally

Serangan itu, kata perusahaan itu, adalah serangan HTTP DDoS terbesar yang pernah tercatat, tetapi bukan satu-satunya yang diamati akhir pekan lalu.

Faktanya, Cloudflare mengidentifikasi dan memitigasi lusinan serangan DDoS pada akhir minggu lalu, yang sebagian besar memuncak antara 50-70 juta RPS.

Gelombang serangan jauh lebih tinggi daripada serangan HTTP DDoS yang tercatat sebelumnya. Yang terbesar adalah 35% lebih tinggi dari serangan DDoS 46 juta RPS yang dilihat oleh Google pada Juni 2022.

“Serangan itu berbasis HTTP/2 dan menargetkan situs web yang dilindungi oleh Cloudflare. Mereka berasal dari lebih dari 30.000 alamat IP,” kata Cloudflare.

Serangan HTTP DDoS terdiri dari sejumlah besar permintaan HTTP yang diarahkan ke situs web yang ditargetkan. Jika jumlah permintaan cukup tinggi, server tidak lagi dapat memprosesnya, dan situs web menjadi tidak responsif.

Berasal dari beberapa penyedia cloud, serangan DDoS menargetkan situs web perusahaan cryptocurrency, platform komputasi awan, penyedia game, dan penyedia hosting.

Menurut Cloudflare, serangan tersebut tampaknya tidak terkait dengan kampanye Killnet DDoS yang menargetkan penyedia layanan kesehatan dua minggu lalu, atau acara game Super Bowl AS yang berlangsung akhir pekan ini.

Perusahaan mencatat bahwa frekuensi, ukuran, dan kecanggihan serangan DDoS terus meningkat selama beberapa tahun terakhir. Jumlah serangan HTTP DDoS yang diamati pada tahun 2022 hampir dua kali lipat dibandingkan tahun 2021.

Minggu lalu, Proyek Tor mengungkapkan bahwa jaringan Tor berada di bawah tekanan DDoS konstan selama tujuh bulan, dengan beberapa serangan mencegah pengguna mengakses situs web.

selengkapnya : securityweek

Polandia Memperingatkan Serangan Oleh Kelompok Hacker Ghostwriter yang Terkait dengan Rusia

January 4, 2023 by Mally

Pemerintah Polandia memperingatkan lonjakan serangan dunia maya dari peretas yang terkait dengan Rusia, termasuk kelompok peretasan yang disponsori negara yang dikenal sebagai GhostWriter.

Polandia yakin peretas Rusia menargetkan negara mereka karena dukungan berkelanjutan yang mereka berikan kepada Ukraina dalam konflik militer yang sedang berlangsung dengan Rusia.

Cyberattack Terbaru
Kasus pertama yang disorot oleh pos pemerintah Polandia adalah serangan DDoS (distributed denial of service) terhadap situs web parlemen (‘sejm.gov.pl’), yang dikaitkan dengan NoName057(16) aktivis peretas pro-Rusia.’

Serangan itu terjadi sehari setelah parlemen mengadopsi resolusi yang mengakui Rusia sebagai negara sponsor terorisme, membuat situs web tidak dapat diakses oleh publik.

Menurut orang Polandia, para peretas Rusia membuat situs web yang menyamar sebagai domain pemerintah gov.pl, mempromosikan kompensasi keuangan palsu untuk penduduk Polandia yang diduga didukung oleh dana Eropa.

Mengklik tombol tersemat untuk mempelajari lebih lanjut tentang program membawa korban ke situs phishing di mana mereka diminta membayar sedikit biaya untuk verifikasi.

Kampanye ’22 Desember yang menyamar sebagai administrasi pajak Polandia (gov.pl)

GhostWriter telah aktif setidaknya sejak 2017, sebelumnya diamati meniru jurnalis dari Lituania, Latvia, dan Polandia, untuk menyebarkan informasi palsu dan narasi anti-NATO kepada khalayak lokal.

Menanggapi meningkatnya ancaman dunia maya, Perdana Menteri Polandia telah meningkatkan tingkat ancaman keamanan dunia maya menjadi ‘CHARLIE-CRP’, memperkenalkan berbagai langkah seperti mempertahankan daftar 24 jam di kantor yang ditunjuk dan organisasi administrasi publik.

sumber : BleepingComputBleepingComputer

Departemen Kehakiman (DOJ) Merebut Puluhan Situs Web sebagai Bagian dari Skema Penyewaan Siber Global

December 16, 2022 by Mally

FBI mendakwa enam orang yang diduga terlibat dalam serangan siber skala besar pada hari Rabu.

Departemen Kehakiman mencabut 48 domain internet dan mendakwa enam orang yang diduga menawarkan layanan serangan siber yang disewa, yaitu menawarkan layanan booter dan mengoperasikan setidaknya satu situs web yang menawarkan layanan denial-of-service (DDoS) terdistribusi serta langganan dengan durasi dan volume serangan yang bervariasi.

FBI saat ini sedang dalam proses menyita situs yang mengizinkan pengguna membayar untuk meluncurkan serangan DDoS yang membanjiri komputer target dengan derau putih untuk mencegah pengaksesan internet. Berbagai institusi seperti pendidikan, lembaga pemerintah, dan lainnya termasuk dalam serangan di seluruh dunia.

Dirilis dalam sebuah berita bahwa serangan ini dapat menurunkan layanan internet secara signifikan dan dapat sepenuhnya mengganggu koneksi internet.

DOJ mengatakan secara historis telah menerima peningkatan yang signifikan dalam jumlah serangan siber di dunia game sebelum periode Natal. Operasi serupa dilakukan sebelum liburan tahun 2018 ketika FBI menyita 15 situs DDoS dan mendakwa tiga orang.

FBI bekerja sama dengan Badan Kejahatan Nasional Inggris Raya dan Polisi Belanda untuk menggunakan iklan penempatan di berbagai browser dengan menyamar sebagai pelanggan dan melakukan serangan uji coba untuk mengonfirmasi bahwa situs DDoS berfungsi seperti yang diiklankan.

Beberapa pejabat publik pemerintah menyatakan bahwa penjahat menargetkan layanan penting dan infrastruktur pemerintahan menggunakan serangan DDoS dengan berbagai cara. Korban kejahatan dianjurkan untuk menghubungi kantor lapangan FBI lokal atau dapat mengajukan keluhan ke Pusat Pengaduan Kejahatan Internet FBI di ic3.gov.

Selengkapnya: GIZMODO

Malware RapperBot yang Diperbarui Menargetkan Server Game Dalam Serangan DDoS

November 17, 2022 by Mally

Botnet berbasis Mirai ‘RapperBot’ telah muncul kembali melalui kampanye baru yang menginfeksi perangkat IoT untuk serangan DDoS (Distributed Denial of Service) terhadap server game.

Dengan menelusuri aktivitasnya, para peneliti menemukan bahwa RapperBot telah beroperasi sejak Mei 2021, tetapi tujuan pastinya sulit diuraikan.

Alur Waktu Kampanye RapperBot (Fortinet)

Varian terbaru menggunakan mekanisme self-propagation Telnet sebagai gantinya, yang lebih dekat dengan pendekatan malware Mirai asli.

Mengangkat tutup RapperBot
Analis Fortinet dapat mencicipi varian baru menggunakan artefak komunikasi C2 yang dikumpulkan dalam kampanye sebelumnya, menunjukkan bahwa aspek operasi botnet ini tidak berubah.

Malware mencoba untuk memaksa perangkat menggunakan kredensial lemah umum dari daftar hardcoded, padahal sebelumnya, ia mengambil daftar dari C2.

“Untuk mengoptimalkan upaya pemaksaan kasar, malware membandingkan prompt server saat terhubung ke daftar string yang dikodekan keras untuk mengidentifikasi perangkat yang mungkin dan kemudian hanya mencoba kredensial yang diketahui untuk perangkat itu,” jelas Fortinet.

Setelah berhasil menemukan kredensial, ia melaporkannya ke C2 melalui port 5123 dan kemudian mencoba mengambil dan menginstal versi biner muatan utama yang benar untuk arsitektur perangkat yang terdeteksi.

Kemampuan DoS dalam varian lama RapperBot sangat terbatas dan umum sehingga para peneliti berhipotesis bahwa operatornya mungkin lebih tertarik pada bisnis akses awal.

Namun, dalam varian terbaru, sifat sebenarnya dari malware tersebut telah menjadi jelas dengan penambahan serangkaian perintah serangan DoS.

Berdasarkan metode HTTP DoS, malware tersebut tampaknya berspesialisasi dalam meluncurkan serangan terhadap server game.

Kemungkinan operator yang sama
Fortinet yakin semua kampanye RapperBot yang terdeteksi diatur oleh operator yang sama, karena varian yang lebih baru menunjukkan akses ke kode sumber malware.

Selain itu, protokol komunikasi C2 tetap tidak berubah, daftar kredensial yang digunakan untuk upaya pemaksaan tetap sama sejak Agustus 2021,

Untuk melindungi perangkat IoT Anda dari infeksi botnet, selalu perbarui firmware, ubah kredensial default dengan kata sandi yang kuat dan unik, dan tempatkan di belakang firewall jika memungkinkan.

sumber : bleeping computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

DDoS

Cookies Settings