Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for DDoS

DDoS

Sistem Pembajakan Malware KmsdBot Baru Crypto Mining dan Meluncurkan Serangan DDoS

by

Malware penghindar yang baru ditemukan memanfaatkan protokol kriptografi Secure Shell (SSH) untuk masuk ke sistem yang ditargetkan dengan tujuan menambang cryptocurrency dan melakukan serangan penolakan layanan (DDoS) terdistribusi.

Dijuluki KmsdBot oleh Akamai Security Intelligence Response Team (SIRT), malware berbasis Golang telah ditemukan menargetkan berbagai perusahaan mulai dari game hingga merek mobil mewah hingga perusahaan keamanan.

Malware mendapatkan namanya dari executable bernama “kmsd.exe” yang diunduh dari server jarak jauh setelah kompromi yang berhasil. Ini juga dirancang untuk mendukung banyak arsitektur, seperti Winx86, Arm64, mips64, dan x86_64.

KmsdBot hadir dengan kemampuan untuk melakukan operasi pemindaian dan menyebarkan dirinya sendiri dengan mengunduh daftar kombinasi nama pengguna dan kata sandi. Itu juga dilengkapi untuk mengontrol proses penambangan dan memperbarui malware.

Akamai mengatakan target pertama yang diamati dari malware adalah perusahaan game bernama FiveM, mod multipemain untuk Grand Theft Auto V yang memungkinkan pemain mengakses server permainan peran khusus.

Serangan DDoS yang diamati oleh perusahaan infrastruktur web termasuk serangan Layer 4 dan Layer 7, di mana banjir permintaan TCP, UDP, atau HTTP GET dikirim untuk membanjiri sumber daya server target dan menghambat kemampuannya untuk memproses dan merespons.

Temuan ini muncul karena perangkat lunak yang rentan semakin banyak digunakan untuk menyebarkan penambang cryptocurrency, melonjak dari 12% di Q1 2022 menjadi 17% di Q3, menurut data telemetri dari Kaspersky. Hampir setengah dari sampel perangkat lunak penambangan berbahaya yang dianalisis (48%) secara diam-diam menambang Monero (XMR).

“Menariknya, negara yang paling ditargetkan pada Q3 2022 adalah Ethiopia (2,38%), di mana penggunaan dan penambangan cryptocurrency ilegal,” kata perusahaan keamanan siber Rusia. “Kazakhstan (2,13%) dan Uzbekistan (2,01%) mengikuti di tempat kedua dan ketiga.”

Sumber: The Hackernews

Ekstensi berbahaya memungkinkan penyerang mengontrol Google Chrome dari jarak jauh

by

Botnet browser Cloud9 secara efektif merupakan trojan akses jarak jauh (RAT) untuk browser web Chromium, termasuk Google Chrome dan Microsoft Edge, yang memungkinkan pelaku ancaman untuk mengeksekusi perintah dari jarak jauh.

Ekstensi Chrome berbahaya diedarkan melalui saluran alternatif, seperti situs web yang mendorong pembaruan Adobe Flash Player palsu.

Ekstensi browser berbahaya di Chrome (Zimperium)

Menginfeksi browser Anda
Cloud9 adalah ekstensi browser berbahaya yang membuka pintu belakang browser Chromium untuk melakukan daftar ekstensif fungsi dan kemampuan berbahaya.

Ekstensi terdiri dari tiga file JavaScript untuk mengumpulkan informasi sistem, menambang cryptocurrency menggunakan sumber daya host, melakukan serangan DDoS, dan menyuntikkan skrip yang menjalankan eksploitasi browser.

Zimperium memperhatikan pemuatan eksploit untuk kerentanan CVE-2019-11708 dan CVE-2019-9810 di Firefox, CVE-2014-6332 dan CVE-2016-0189 untuk Internet Explorer, dan CVE-2016-7200 untuk Edge.

Kerentanan ini digunakan untuk menginstal dan mengeksekusi malware Windows secara otomatis di host, memungkinkan penyerang untuk melakukan kompromi sistem yang lebih signifikan.

Modul “clipper” juga hadir dalam ekstensi, terus memantau clipboard sistem untuk kata sandi atau kartu kredit yang disalin.


Komponen clipper Cloud9 (Zimperium)

Cloud9 juga dapat menyuntikkan iklan dengan memuat halaman web secara diam-diam untuk menghasilkan tayangan iklan dan, dengan demikian, pendapatan bagi operatornya.

Terakhir, malware dapat meminta daya tembak host untuk melakukan serangan DDoS layer 7 melalui permintaan HTTP POST ke domain target.

Operator dan target
Peretas di balik Cloud9 diyakini memiliki hubungan dengan grup malware Keksec karena domain C2 yang digunakan dalam kampanye baru-baru ini terlihat dalam serangan Keksec sebelumnya.

Keksec bertanggung jawab untuk mengembangkan dan menjalankan beberapa proyek botnet, termasuk EnemyBot, Tsunamy, Gafgyt, DarkHTTP, DarkIRC, dan Necro.

Korban Cloud9 tersebar di seluruh dunia, dan tangkapan layar yang diposting oleh aktor ancaman di forum menunjukkan bahwa mereka menargetkan berbagai browser.

sumber : bleeping computer

Serangan DDoS Hacktivist berdampak kecil pada organisasi penting

by

Biro Investigasi Federal (FBI) mengatakan pada hari Jumat bahwa serangan penolakan layanan (DDoS) terdistribusi yang dikoordinasikan oleh kelompok peretas memiliki dampak kecil pada layanan yang mereka targetkan.

Seperti yang dijelaskan oleh lembaga penegak hukum dalam pemberitahuan industri swasta yang dikeluarkan hari ini, ini terjadi karena mereka menargetkan infrastruktur yang menghadap publik seperti situs web alih-alih layanan yang sebenarnya, yang menyebabkan gangguan terbatas.

Kelompok tersebut biasanya menargetkan organisasi infrastruktur penting atau profil tinggi seperti lembaga keuangan, layanan darurat, bandara, dan fasilitas pemerintah, kesehatan, dan medis.

Dengan menghapus situs web mereka, para peretas bertujuan untuk meningkatkan kredibilitas mereka dan “secara keliru menyatakan dampak atau gangguan yang lebih besar daripada apa yang terjadi.”

Dalam satu contoh baru-baru ini dari insiden semacam itu, kelompok peretas pro-Rusia KillNet mengklaim serangan terhadap situs web beberapa bandara besar di seluruh AS.

Serangan DDoS membanjiri server yang menampung situs-situs ini, sehingga tidak memungkinkan bagi pelancong untuk memesan layanan bandara atau mendapatkan pembaruan tentang penerbangan terjadwal mereka.

Contoh penting situs web bandara yang tidak dapat diakses selama insiden termasuk:

  • Bandara Internasional Hartsfield-Jackson Atlanta (ATL), salah satu pusat lalu lintas udara yang lebih signifikan di AS.
  • Bandara Internasional Los Angeles (LAX)
  • Bandara Internasional Chicago O’Hare (ORD)

Sementara serangan DDoS ini tidak berdampak pada penerbangan, mereka masih memiliki efek buruk pada sektor ekonomi penting, menunda layanan terkait.

Satu minggu sebelumnya, kelompok yang sama juga menyerang situs web pemerintah AS di Colorado, Kentucky, dan Mississippi, dengan keberhasilan sedang, membuat beberapa di antaranya offline untuk waktu yang singkat.

Killnet juga mengklaim telah menghapus situs CISA’s Protected Critical Infrastructure Information Management System pada hari Jumat setelah serangannya terhadap Departemen Keuangan AS pada awal Oktober digagalkan sebelum mempengaruhi infrastruktur agensi.

Seminggu yang lalu, CISA, FBI, dan MS-ISAC menerbitkan nasihat bersama untuk memberikan informasi kepada para pembela HAM tentang pengurangan kemungkinan dan dampak serangan DDoS.

Sumber: Bleeping Computer

Rekam Serangan DDoS dengan 25,3 Miliar Permintaan Penyalahgunaan HTTP/2 Multiplexing

by

Perusahaan keamanan siber Imperva telah mengungkapkan bahwa mereka telah mengurangi serangan penolakan layanan (DDoS) terdistribusi dengan total lebih dari 25,3 miliar permintaan pada 27 Juni 2022.

“Serangan kuat,” yang menargetkan perusahaan telekomunikasi China yang tidak disebutkan namanya, dikatakan telah berlangsung selama empat jam dan mencapai puncaknya pada 3,9 juta permintaan per detik (RPS).

“Penyerang menggunakan multiplexing HTTP/2, atau menggabungkan beberapa paket menjadi satu, untuk mengirim beberapa permintaan sekaligus melalui koneksi individu,” kata Imperva dalam sebuah laporan yang diterbitkan pada 19 September.

Serangan itu diluncurkan dari botnet yang terdiri dari hampir 170.000 alamat IP berbeda yang mencakup router, kamera keamanan, dan server yang disusupi yang berlokasi di lebih dari 180 negara, terutama AS, Indonesia, dan Brasil.

Pengungkapan itu juga muncul saat penyedia infrastruktur web Akamai mengatakan pihaknya menerjunkan serangan DDoS baru yang ditujukan untuk pelanggan yang berbasis di Eropa Timur pada 12 September, dengan lalu lintas serangan melonjak pada 704,8 juta paket per detik (pps).

Korban yang sama sebelumnya ditargetkan pada 21 Juli 2022, dengan cara yang sama di mana volume serangan meningkat hingga 853,7 gigabit per detik (Gbps) dan 659,6 juta pps selama 14 jam.

Craig Sparling dari Akamai mengatakan perusahaan telah “dibombardir tanpa henti dengan serangan penolakan layanan (DDoS) terdistribusi yang canggih,” menunjukkan bahwa serangan tersebut dapat bermotivasi politik dalam menghadapi perang berkelanjutan Rusia melawan Ukraina.

Kedua upaya mengganggu adalah serangan banjir UDP di mana penyerang menargetkan dan membanjiri port sewenang-wenang pada host target dengan paket User Datagram Protocol (UDP).

UDP, karena tanpa koneksi dan tanpa sesi, menjadikannya protokol jaringan yang ideal untuk menangani lalu lintas VoIP. Tetapi sifat-sifat yang sama ini juga dapat membuatnya lebih rentan terhadap eksploitasi.

Sumber: The Hackernews

Geng ransomware LockBit menjadi agresif dengan taktik pemerasan tiga kali

by

Geng ransomware LockBit mengumumkan bahwa mereka meningkatkan pertahanan terhadap serangan denial-of-service (DDoS) terdistribusi dan bekerja untuk membawa operasi ke tingkat pemerasan tiga kali lipat.

Geng baru-baru ini mengalami serangan DDoS, diduga atas nama raksasa keamanan digital Entrust, yang mencegah akses ke data yang dipublikasikan di situs kebocoran perusahaannya.

Data dari Entrust dicuri oleh ransomware LockBit dalam serangan pada 18 Juni. Perusahaan mengkonfirmasi insiden tersebut dan memberitahu bahwa data telah dicuri.

Entrust tidak membayar uang tebusan dan LockBit mengumumkan bahwa mereka akan mempublikasikan semua data yang dicuri pada 19 Agustus. Namun, ini tidak terjadi, karena situs kebocoran geng tersebut terkena serangan DDoS yang diyakini terhubung ke Entrust.

Awal pekan ini, LockBitSupp, figur publik dari operasi ransomware LockBit, mengumumkan bahwa grup tersebut kembali berbisnis dengan infrastruktur yang lebih besar untuk memberikan akses ke kebocoran yang tidak terpengaruh oleh serangan DDoS.

Serangan DDoS akhir pekan lalu yang menghentikan sementara kebocoran data Entrust dipandang sebagai peluang untuk mengeksplorasi taktik pemerasan rangkap tiga untuk menerapkan lebih banyak tekanan pada korban untuk membayar uang tebusan.

LockBitSupp mengatakan bahwa operator ransomware sekarang ingin menambahkan DDoS sebagai taktik pemerasan selain mengenkripsi data dan membocorkannya.

Geng juga berjanji untuk membagikan lebih dari 300GB data yang dicuri dari Entrust sehingga “seluruh dunia akan tahu rahasia Anda.”

Juru bicara LockBit mengatakan bahwa mereka akan membagikan kebocoran data Entrust secara pribadi dengan siapa pun yang menghubungi mereka sebelum membuatnya tersedia melalui torrent.

Tampaknya LockBit telah menepati janjinya dan merilis torrent akhir pekan ini yang disebut “entrust.com” dengan file 343GB.

Lockbit ransomware bocor Entrust data
sumber: Artie Yamamoto

Operator ingin memastikan bahwa data Entrust tersedia dari berbagai sumber dan, selain mempublikasikannya di situs mereka, mereka juga membagikan torrent melalui setidaknya dua layanan penyimpanan file, dengan salah satunya tidak lagi tersedia.

Salah satu metode yang sudah diterapkan untuk mencegah serangan DDoS lebih lanjut adalah dengan menggunakan tautan unik dalam catatan tebusan untuk para korban.

Mereka juga mengumumkan peningkatan jumlah mirror dan server duplikat, dan rencana untuk meningkatkan ketersediaan data yang dicuri dengan membuatnya dapat diakses melalui clearnet juga, melalui layanan penyimpanan antipeluru.

Lockbit ransomware changes after suffering DDoS attack
source: BleepingComputer

Operasi ransomware LockBit telah aktif selama hampir tiga tahun, sejak September 2019. Pada saat penulisan, situs kebocoran data LockBit aktif dan berjalan.

Geng itu mendaftarkan lebih dari 700 korban dan Entrust adalah salah satunya, dengan data perusahaan bocor pada 27 Agustus.

Sumber: Bleeping Computer

LockBit ransomware menyalahkan Entrust atas serangan DDoS di situs kebocoran

by

Situs kebocoran data operasi ransomware LockBit telah ditutup selama akhir pekan karena serangan DDoS yang meminta mereka untuk menghapus data yang diduga dicuri Entrust.

Pada akhir Juli, raksasa keamanan digital Entrust mengkonfirmasi serangan siber yang mengungkapkan bahwa pelaku ancaman telah mencuri data dari jaringannya selama intrusi pada bulan Juni.

Pekan lalu, LockBit mengaku bertanggung jawab atas serangan itu dan mulai membocorkan data pada Jumat malam.

Kebocoran ini terdiri dari 30 tangkapan layar data yang diduga dicuri dari Entrust, termasuk dokumen hukum, spreadsheet pemasaran, dan data akuntansi.

Dugaan data Entrust bocor di situs kebocoran data LockBit
Sumber: Dominic Alvieri

Segera setelah mereka mulai membocorkan data, para peneliti mulai melaporkan bahwa situs kebocoran data Tor milik geng ransomware tidak tersedia karena serangan DDoS.

Kemarin, grup riset keamanan VX-Underground mengetahui dari LockBitSupp, perwakilan operasi ransomware LockBit yang menghadap publik, bahwa situs Tor mereka diserang oleh seseorang yang mereka yakini terhubung dengan Entrust.

Seperti yang Anda lihat dari permintaan HTTPS ini, penyerang menambahkan pesan ke LockBit di bidang agen pengguna browser yang memberi tahu mereka untuk menghapus data Entrust.

Permintaan HTTPS DDoS dengan pesan ke LockBit

Peneliti Cisco Talos Azim Shukuhi mentweet bahwa serangan DDoS pada server LockBit terdiri dari “400 permintaan per detik dari lebih dari 1000 server.”

Sebagai pembalasan atas serangan itu, situs kebocoran data LockBit sekarang menampilkan pesan peringatan bahwa geng ransomware berencana untuk mengunggah semua data Entrust sebagai torrent, yang membuatnya hampir mustahil untuk dihapus.

Selanjutnya, para pelaku ancaman telah berbagi dugaan negosiasi antara Entrust dan geng ransomware dengan peneliti keamanan Soufiane Tahiri. Obrolan ini menunjukkan bahwa permintaan tebusan awal adalah $8 juta dan kemudian turun menjadi $6,8 juta.

LockBitSupp mengatakan bahwa perusahaan keamanan siber lain, Accenture, juga melakukan serangan serupa terhadap situs kebocoran data mereka tetapi kurang berhasil.

Situs kebocoran data operasi ransomware ALPHV juga turun akhir pekan ini dalam apa yang diyakini sebagai serangan DDoS. Namun, tidak diketahui apakah kedua serangan itu terkait.

Tidak jelas apakah Entrust, sebuah perusahaan keamanan siber yang berafiliasi, atau hanya aktor ancaman saingan mengambil keuntungan dari situasi dengan melakukan serangan.

Peneliti keamanan tidak yakin siapa yang menyerang LockBit, dengan beberapa mengatakan bahwa itu akan menjadi hal yang belum pernah terjadi sebelumnya bagi perusahaan keamanan siber untuk melakukan serangan seperti ini.

Meskipun kita mungkin tidak akan pernah tahu siapa yang berada di balik serangan ini, ini telah menunjukkan seberapa efektif serangan seperti ini dalam mengganggu operasi geng ransomware.

Sumber: Bleeping Computer

Situs WordPress diretas dengan peringatan Cloudflare DDoS palsu yang mendorong malware

by

Situs WordPress diretas untuk menampilkan halaman perlindungan Cloudflare DDoS palsu untuk mendistribusikan malware yang menginstal NetSupport RAT dan Trojan pencuri kata sandi RaccoonStealer.

Seperti yang dirinci dalam laporan oleh Sucuri, aktor ancaman meretas situs WordPress yang tidak terlindungi dengan baik untuk menambahkan muatan JavaScript yang sangat dikaburkan yang menampilkan layar DDoS perlindungan Cloudflare palsu.

Layar ini, yang ditunjukkan di bawah, meminta pengunjung mengklik tombol untuk melewati layar perlindungan DDoS. Namun, mengklik tombol akan mengunduh file ‘security_install.iso’ ke komputer, yang berpura-pura menjadi alat yang diperlukan untuk melewati verifikasi DDoS.

Korban kemudian disuruh membuka security_install.iso, yang mereka anggap sebagai aplikasi bernama DDOS GUARD, dan memasukkan kode yang ditampilkan.

Prompt kode verifikasi (atas) dan generator (bawah) (Sucuri)

Ketika pengguna membuka security_install.iso, mereka akan melihat file bernama security_install.exe, yang sebenarnya adalah pintasan Windows yang menjalankan perintah PowerShell dari file debug.txt.

Isi file security_install.iso
Sumber: BleepingComputer

Pada akhirnya, ini menyebabkan serangkaian skrip berjalan yang menampilkan kode DDoS palsu yang diperlukan untuk melihat situs, serta menginstal NetSupport RAT, trojan akses jarak jauh yang digunakan secara ekstensif dalam kampanye jahat saat ini.

Selain itu, skrip akan mengunduh trojan pencuri kata sandi Raccoon Stealer dan meluncurkannya di perangkat.

Rantai serangan perlindungan Cloudflare DDoS (Sucuri) palsu

Raccoon 2.0 menargetkan kata sandi, cookie, data pengisian otomatis, dan kartu kredit yang disimpan di browser web, berbagai dompet cryptocurrency, dan juga mampu melakukan eksfiltrasi file dan mengambil tangkapan layar dari desktop korban.

Admin harus memeriksa file tema situs WordPress mereka, karena menurut Sucuri, ini adalah titik infeksi paling umum dalam kampanye ini.

Kode berbahaya ditemukan di jquery.min.js (Sucuri)

Selain itu, disarankan untuk menggunakan sistem pemantauan integritas file untuk menangkap injeksi JS tersebut saat terjadi dan mencegah situs Anda menjadi titik distribusi RAT.

Pengguna internet dapat melindungi diri dari ancaman semacam itu dengan mengaktifkan pengaturan pemblokiran skrip yang ketat di browser mereka, meskipun itu akan merusak fungsionalitas hampir semua situs.

Sumber: Bleeping Computer

Google memblokir serangan HTTPS DDoS terbesar ‘dilaporkan hingga saat ini’

by

Pelanggan Google Cloud Armor terkena serangan distributed denial-of-service (DDoS) melalui protokol HTTPS yang mencapai 46 juta permintaan per detik (RPS), menjadikannya yang terbesar yang pernah tercatat dari jenisnya.

Hanya dalam dua menit, serangan meningkat dari 100.000 RPS menjadi 46 juta RPS yang memecahkan rekor, hampir 80% lebih tinggi dari rekor sebelumnya, HTTPS DDoS sebesar 26 juta RPS yang dimitigasi Cloudflare pada bulan Juni.

Serangan dimulai pada pagi hari tanggal 1 Juni, pukul 09:45 Waktu Pasifik, dan menargetkan Penyeimbang Beban HTTP/S korban pada awalnya hanya dengan 10.000 RPS.

Dalam delapan menit, serangan meningkat menjadi 100.000 RPS dan Google Cloud Armor Protection dimulai dengan menghasilkan peringatan dan tanda tangan berdasarkan data tertentu yang diambil dari analisis lalu lintas.

Dua menit kemudian, serangan memuncak pada 46 juta permintaan per detik:

Serangan HTTPS DDoS memuncak pada 46 juta permintaan per detik
sumber: Google

Untuk melihat seberapa besar serangan itu pada puncaknya, Google mengatakan bahwa itu setara dengan mendapatkan semua permintaan harian ke Wikipedia hanya dalam 10 detik.

Untungnya, pelanggan telah menerapkan aturan yang direkomendasikan dari Cloud Armor yang memungkinkan operasi berjalan normal. Serangan itu berakhir 69 menit setelah dimulai.

Malware di balik serangan itu belum ditentukan tetapi distribusi geografis layanan yang digunakan menunjuk ke Mēris, botnet yang bertanggung jawab atas serangan DDoS yang mencapai puncaknya pada 17,2 juta RPS dan 21,8 juta RPS, keduanya memecahkan rekor pada masanya.

Mēris dikenal karena menggunakan proxy yang tidak aman untuk mengirimkan lalu lintas yang buruk, dalam upaya untuk menyembunyikan asal serangan.

Peneliti Google mengatakan bahwa lalu lintas serangan datang dari hanya 5.256 alamat IP yang tersebar di 132 negara dan permintaan terenkripsi leverage (HTTPS), menunjukkan bahwa perangkat yang mengirim permintaan memiliki sumber daya komputasi yang cukup kuat.

Karakteristik lain dari serangan ini adalah penggunaan node keluar Tor untuk mengirimkan lalu lintas. Meskipun hampir 22% atau 1.169 sumber menyalurkan permintaan melalui jaringan Tor, mereka hanya menyumbang 3% dari lalu lintas serangan.

Meskipun demikian, peneliti Google percaya bahwa node keluar Tor dapat digunakan untuk mengirimkan “sejumlah besar lalu lintas yang tidak diinginkan ke aplikasi dan layanan web.”

Mulai tahun lalu, era serangan DDoS volumetrik yang memecahkan rekor dimulai dengan beberapa botnet yang memanfaatkan sejumlah kecil perangkat kuat untuk mencapai berbagai target.

Pada September 2021, botnet Mēris menghantam raksasa internet Rusia Yandex dengan serangan yang mencapai 21,8 juta permintaan per detik. Sebelumnya, botnet yang sama mendorong 17,2 juta RPS terhadap pelanggan Cloudflare.

November lalu, platform perlindungan Azure DDoS Microsoft mengurangi serangan besar-besaran 3,47 terabit per detik dengan kecepatan paket 340 juta paket per detik (pps) untuk pelanggan di Asia.

Pelanggan Cloudflare lainnya terkena DDoS mencapai 26 juta RPS.

Sumber: Bleeping Computer