Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

DarkSide: Ransomware Baru Yang Ditargetkan Dan Menuntut Tebusan Jutaan Dolar

by

Operasi ransomware baru bernama DarkSide mulai menyerang organisasi awal bulan ini dengan serangan khusus yang telah menghasilkan pembayaran jutaan dolar.

Mulai sekitar 10 Agustus 2020, operasi ransomware ini mulai melakukan serangan tertarget terhadap banyak perusahaan.

Dalam “siaran pers” yang dikeluarkan oleh pelaku ancaman, mereka mengklaim sebagai mantan afiliasi yang telah menghasilkan jutaan dolar dengan bekerja sama dengan operasi ransomware lainnya. Setelah tidak menemukan “produk” yang sesuai dengan kebutuhan mereka, mereka memutuskan untuk meluncurkan operasi mereka sendiri.

DarkSide menyatakan bahwa mereka hanya menargetkan perusahaan yang dapat membayar tebusan yang ditentukan karena mereka tidak “ingin membunuh bisnis Anda.”

Para pelaku ancaman juga menyatakan bahwa mereka tidak menargetkan jenis organisasi berikut;

  • Kedokteran (rumah sakit).
  • Pendidikan (sekolah, universitas).
  • Organisasi nirlaba.
  • Sektor pemerintahan.

Dari para korban yang dilihat oleh BleepingComputer, tuntutan tebusan DarkSide berkisar dari $ 200.000 hingga $ 2.000.000. Angka-angka ini kemungkinan besar bisa lebih atau kurang tergantung pada korbannya.

Seperti serangan ransomware yang dioperasikan oleh manusia lainnya, mereka menyebar secara lateral dan mengambil data yang tidak dienkripsi dari server korban lalu mengunggahnya ke perangkat mereka sendiri. Data yang dicuri ini kemudian dikirim ke situs kebocoran data di bawah kendali mereka dan digunakan sebagai bagian dari upaya pemerasan.

Saat melakukan serangan, DarkSide akan membuat ransomware khusus yang dapat dieksekusi untuk perusahaan tertentu yang mereka serang.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Kerentanan Google Drive Memungkinkan Penyerang Menipu Anda Untuk Memasang Malware

by

Google Drive mungkin memiliki cara bagi peretas untuk mengelabui Anda agar memasang kode jahat.

Administrator sistem A. Nikoci telah memberi tahu The Hacker News tentang kerentanan dalam fitur “kelola versi” Drive yang dapat memungkinkan penyerang menukar file yang sah dengan malware.

Layanan penyimpanan cloud dilaporkan tidak memeriksa apakah suatu file memiliki jenis yang sama, atau bahkan menerapkan ekstensi yang sama. Foto kucing yang tidak berbahaya mungkin merupakan program yang menyamar.

Pratinjau online tidak menunjukkan perubahan apa pun atau membunyikan alarm, jadi Anda mungkin tidak tahu ada file yang bermasalah sampai Anda sudah memasangnya. Chrome tampaknya “secara implisit mempercayai” unduhan Drive bahkan saat program antivirus lain mendeteksi sesuatu yang salah.

Pendekatan ini dapat digunakan untuk serangan spear phishing yang mengelabui pengguna agar membahayakan sistem mereka. Anda mungkin mendapatkan pemberitahuan tentang pembaruan dokumen dan mengambil file tanpa menyadari ancamannya.

Nikoci mengatakan dia telah memberi tahu Google tentang masalah ini, tetapi masalah itu masih belum diperbaiki pada 22 Agustus.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Endgadget

Penulis Ransomware WannaRen Menghubungi Perusahaan Keamanan Untuk Membagikan Kunci Dekripsi

by

Kampanye ransomware besar melanda pengguna internet China pada awal tahun ini di bulan April. Selama sekitar satu minggu, ransomware yang dikenal sebagai WannaRen membuat puluhan ribu korban di antara konsumen rumahan dan perusahaan lokal China dan Taiwan.

Viralitas WannaRen dapat dijelaskan karena fakta bahwa kodenya dibuat secara longgar setelah WannaCry, jenis ransomware yang menyebar luas pada Mei 2017.

Sama seperti WannaCry, penulis ransomware WannaRen memasukkan eksploitasi EternalBlue ke dalam rantai infeksi mereka, memungkinkan WannaRen menyebar tanpa batasan di dalam jaringan perusahaan sebelum mengenkripsi dan menebus file.

Dan seperti WannaCry, WannaRen menyebar seperti api, jauh melampaui apa yang dibayangkan oleh pembuat ransomware. Dan ini adalah alasan mengapa, pada akhirnya, pembuat malware menyerahkan kunci dekripsi master secara gratis, sehingga semua korban pada akhirnya dapat memulihkan file mereka.

Mungkin takut atau mengantisipasi tindakan keras dari otoritas China, kurang dari seminggu setelah mereka mulai mendistribusikan WannaRen, grup Hidden Shadow menghubungi perusahaan keamanan siber lokal China bernama Huorong Security (火 绒, atau Tinder Security).

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Kampanye Duri Menyelundupkan Malware Melalui HTML dan JavaScript

by

Sebuah kampanye aktif telah terlihat memanfaatkan penyelundupan HTML untuk mengirimkan malware, secara efektif melewati berbagai solusi keamanan jaringan, termasuk sandbox, proxy lama, dan firewall.

Krishnan Subramanian, peneliti keamanan di Menlo Security, mengatakan kepada Threatpost bahwa kampanye yang ditemukan pada hari Selasa yang dijuluki “Duri,” telah berlangsung sejak bulan Juli.

Cara kerjanya seperti ini: Penyerang mengirim tautan berbahaya kepada korban. Setelah mereka mengklik link tersebut, teknik blob JavaScript digunakan untuk menyelundupkan file berbahaya melalui browser ke pengguna endpoint (yaitu, penyelundupan HTML). Blob, yang berarti “Binary Large Objects” dan bertanggung jawab untuk menyimpan data, diimplementasikan oleh browser web.

Karena penyelundupan HTML bukan merupakan teknik baru – teknik ini telah digunakan oleh penyerang sejak lama, kata Subramanian – kampanye ini menunjukkan bahwa pelaku kejahatan terus mengandalkan metode serangan lama yang berhasil.

Pelajari lebih lanjut tentang serangan terbaru ini dan bagaimana perusahaan dapat melindungi diri dari serangan penyelundupan HTML, pada podcast Threatpost disini.

Baca laporan lengkapnya pada tautan di bawah ini;
Source: Menlo Security

Worm Cryptojacking Menyebar Melalui Cloud AWS

by

Worm cryptomining dari grup yang dikenal sebagai TeamTNT menyebar melalui cloud Amazon Web Services (AWS) dan mencuri kredensial. Setelah kredensial login diambil, malware masuk dan menyebarkan alat penambangan XMRig untuk menambang cryptocurrency Monero.

Menurut peneliti di Cado Security, worm juga menyebarkan sejumlah malware yang tersedia secara terbuka dan alat keamanan ofensif, termasuk “punk.py,” alat pasca eksploitasi SSH; alat pembersih log; rootkit Diamorphine; dan backdoor IRC Tsunami.

Mereka mengatakan, ini adalah ancaman pertama yang diamati di alam liar yang secara khusus menargetkan AWS untuk tujuan cryptojacking.

Karena semakin banyak bisnis yang menggunakan cloud dan kontainer, hal itu telah membuka lanskap serangan baru bagi penjahat siber melalui kesalahan konfigurasi. Meskipun demikian, ancaman cryptomining yang menargetkan Docker dan Kubernetes bukanlah hal baru. Namun, serangan yang berfokus pada AWS dalam rangkaian kampanye terbaru ini unik, kata peneliti Cado.

TeamTNT sangat produktif, dan terlihat pertama kali di awal tahun. Pada bulan April, Trend Micro mengamati grup yang menyerang kontainer Docker.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Malware Mac Menyebar Melalui Proyek Xcode, Menyalahgunakan WebKit, Kerentanan Data Vault

by

Proyek Xcode sedang dieksploitasi untuk menyebarkan bentuk malware Mac yang berspesialisasi dalam penyusupan Safari dan browser lainnya.

Keluarga malware XCSSET telah ditemukan dalam proyek Xcode, “mengarah ke lubang kelinci muatan berbahaya,” kata Trend Micro pada hari Kamis.

Dalam sebuah dokumen(.PDF) yang mengeksplorasi gelombang serangan, peneliti keamanan siber mengatakan infeksi “tidak biasa” dalam proyek pengembang juga termasuk penemuan dua kerentanan zero-day.

Xcode adalah integrated development environment (IDE) gratis yang digunakan di macOS untuk mengembangkan perangkat lunak dan aplikasi terkait Apple.

Meskipun belum jelas bagaimana XCSSET masuk ke dalam proyek Xcode, Trend Micro mengatakan bahwa setelah disematkan, malware kemudian berjalan saat sebuah proyek dibuat.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Selama Enam Bulan, Peneliti Keamanan Diam-Diam Telah Mendistribusikan Vaksin Emotet Ke Seluruh Dunia

by

Seorang analis malware yang bekerja untuk Binary Defense, James Quinn, telah menemukan bug pada malware Emotet.

Fakta bahwa Quinn menemukan bug itu bukanlah kebetulan. Selama beberapa tahun terakhir, pekerjaan utama Quinn adalah berburu Emotet dan mengawasi operasinya.

Saat menelusuri pembaruan Emotet harian di bulan Februari, Quinn melihat perubahan dalam kode Emotet.

Melalui trial and error dan berkat pembaruan Emotet berikutnya yang menyempurnakan cara kerja mekanisme persistence baru, Quinn dapat menyusun skrip PowerShell kecil yang mengeksploitasi mekanisme kunci registri untuk merusak Emotet itu sendiri.

Skrip tersebut bernama EmoCrash, secara efektif memindai komputer pengguna dan menghasilkan kunci registri Emotet yang benar – namun cacat.

“Dua log crash akan muncul dengan event ID 1000 dan 1001, yang dapat digunakan untuk mengidentifikasi endpoint dengan binari Emotet yang dinonaktifkan dan mati,” kata Quinn.

Dengan kata lain, jika EmoCrash akan diterapkan di seluruh jaringan, itu dapat memungkinkan administrator sistem untuk memindai atau mengatur peringatan untuk kedua Event ID log ini dan dapat menemukan kapan dan apakah Emotet menginfeksi jaringan mereka.

Binary Defense bekerja sama dengan Tim CYMRU, sebuah perusahaan yang memiliki sejarah selama puluhan tahun dalam mengatur dan berpartisipasi dalam penghapusan botnet.

Bekerja di belakang layar, Tim CYMRU memastikan bahwa EmoCrash sampai ke tangan Tim Computer Emergency Response (CERT) nasional, yang kemudian menyebarkannya ke perusahaan di yurisdiksi masing-masing.

Entah secara tidak sengaja atau dengan mengetahui ada yang salah dalam mekanisme persistence nya, geng Emotet akhirnya mengubah seluruh mekanisme persistence nya pada 6 Agustus – tepatnya enam bulan setelah Quinn membuat penemuan awalnya.

EmoCrash mungkin tidak berguna lagi bagi siapa pun, namun selama enam bulan, skrip PowerShell kecil ini membantu organisasi tetap terdepan dalam operasi malware – pemandangan yang benar-benar langka di bidang keamanan siber saat ini.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Tidak Hanya Twitter, Beberapa Saluran YouTube Juga Diretas Untuk Menyiarkan Penipuan Bitcoin

by

Selama seminggu terakhir ini, banyak saluran Youtube yang keamanannya diganggu oleh peretas, yang telah menyiarkan siaran langsung palsu yang mengiklankan penipuan Bitcoin.

Serangan tersebut mirip dengan pelanggaran yang terjadi di Twitter yang menghasilkan ribuan dolar dalam bentuk penipuan Bitcoin setelah seorang karyawan Twitter diberitakan jatuh pada serangan social engineering dan memberikan akses kepada peretas.

Tiga pembuat konten yang terkena dampak tampaknya telah terinfeksi malware melalui janji kesepakatan sponsor untuk mengiklankan sebuah software yang dikirim melalui email sebelum akun YouTube mereka diambil alih.

Meskipun hanya dua dari tiga pembuat yang benar-benar mengunduh file mencurigakan dari email tersebut, kemungkinan serangan ‘drive-by’ melalui email yang diterima salah satu creator menunjukkan bahwa malware, bukan SIM swapping, mungkin menjadi mode serangan utama.

Fakta lain dari peretasan masal akun YouTube minggu lalu adalah betapa buruknya YouTube memperlakukan beberapa kreator yang telah diwawancarai oleh iMore. Saat mereka melaporkan bahwa akun YouTube mereka diretas, alih-alih mendapat bantuan, mereka mendapat teguran Pelanggaran Komunitas (Community Violation) di saluran mereka karena siaran langsung penipuan Bitcoin di saluran YouTube mereka.

 
Baca berita selengkapnya pada tautan di bawah ini;
Source: iMore