Microsoft Exchange

Serangan Microsoft Exchange meningkat sementara WannaCry memulai kembali infeksinya

March 31, 2021 by Winnie the Pooh

Kerentanan yang baru-baru ini ditambal di Microsoft Exchange telah memicu minat baru di antara penjahat siber, yang meningkatkan volume serangan yang berfokus pada vektor khusus ini.

Meskipun frekuensi serangan ransomware meningkat dalam enam bulan terakhir, perusahaan keamanan siber Check Point minggu lalu melihat lonjakan insiden yang menargetkan server Microsoft Exchange yang rentan terhadap apa yang disebut dengan bug kritis ProxyLogon.

Bahkan dengan patch yang bergerak dengan kecepatan tinggi, perusahaan melihat percobaan serangan tiga kali lipat di seluruh dunia, terhitung puluhan ribu.

Menurut Microsoft, ada sekitar 82.000 server Exchange yang rentan pada 14 Maret. Sekitar seminggu kemudian, jumlah tersebut turun drastis menjadi sekitar 30.000 mesin yang terpapar, sesuai data dari RiskIQ.

Data telemetri dari Check Point pekan lalu menunjukkan lebih dari 50.000 upaya serangan secara global, kebanyakan ditujukan pada organisasi di pemerintahan/militer, manufaktur, dan sektor perbankan/keuangan.

Perusahaan melihat peningkatan 57% dalam serangan ransomware selama enam bulan terakhir di tingkat global. Yang lebih mengkhawatirkan adalah kenaikan bulanan yang konstan sebesar 9% sejak awal tahun.

Selain strain ransomware normal yang diamati (Maze, Ryuk, REvil), perusahaan mencatat peningkatan 53% dalam jumlah organisasi yang terpengaruh oleh ransomware wormable WannaCry.

Alasan di balik tingginya angka tersebut adalah WannaCry yang menjadi wormable (serangan yang dapat menyebar dari satu mesin ke mesin lainnya tanpa interaksi manusia) dan ribuan sistem masih rentan terhadap EternalBlue yang dapat dijangkau melalui internet publik.

Sumber: Bleeping Computer

Server Microsoft Exchange sekarang ditargetkan oleh ransomware Black Kingdom

March 23, 2021 by Winnie the Pooh

Operasi ransomware lain yang dikenal sebagai ‘Black Kingdom’ mengeksploitasi kerentanan Microsoft Exchange Server ProxyLogon untuk mengenkripsi server.

Selama akhir pekan, peneliti keamanan Marcus Hutchins, alias MalwareTechBlog, men-tweet bahwa pelaku ancaman membahayakan server Microsoft Exchange melalui kerentanan ProxyLogon untuk menyebarkan ransomware.

Berdasarkan log dari honeypots-nya, Hutchins menyatakan bahwa pelaku ancaman menggunakan kerentanan untuk menjalankan skrip PowerShell yang mengunduh ransomware yang dapat dieksekusi dari ‘yuuuuu44[.]Com’ dan kemudian mendorongnya ke komputer lain di jaringan.

Michael Gillespie, pencipta ID Ransomware, memberi tahu BleepingComputer bahwa sistemnya telah melihat lebih dari 30 pengiriman unik ke sistemnya, dengan banyak yang dikirim langsung dari server email.

Korban berada di AS, Kanada, Austria, Swiss, Rusia, Prancis, Israel, Inggris, Italia, Jerman, Yunani, Australia, dan Kroasia.

Saat mengenkripsi perangkat, ransomware akan mengenkripsi file menggunakan ekstensi acak dan kemudian membuat catatan tebusan bernama decrypt_file.TxT, seperti yang ditunjukkan di bawah ini.

blackkingdom ransomware — Sumber: BleepingComputer

Black Kingdom adalah ransomware terkonfirmasi kedua setelah DearCry ransomware yang menargetkan kerentanan Microsoft Exchange ProxyLogon.

Sumber: Bleeping Computer

Ransomware DEARCRY baru menargetkan Server Microsoft Exchange

March 12, 2021 by Winnie the Pooh Leave a Comment

Ransomware baru bernama ‘DEARCRY’ menargetkan server Microsoft Exchange, dengan satu korban menyatakan bahwa mereka terinfeksi melalui kerentanan ProxyLogon.

Sejak Microsoft mengungkapkan awal bulan ini bahwa pelaku ancaman membahayakan server Microsoft Exchange menggunakan kerentanan ProxyLogon zero-day yang baru, kekhawatiran yang signifikan adalah ketika pelaku ancaman akan menggunakannya untuk menyebarkan ransomware.

Menurut Michael Gillespie, pembuat situs identifikasi ransomware ID-Ransomware, mulai tanggal 9 Maret, pengguna mulai mengirimkan catatan tebusan baru dan jenis file terenkripsi ke sistemnya.

Setelah meninjau kiriman, Gillespie menemukan bahwa pengguna mengirimkan hampir semuanya dari server Microsoft Exchange.

Menurut Advanced Intel’s Vitali Kremez, ketika diluncurkan, ransomware DearCry akan mencoba mematikan layanan Windows bernama ‘msupdate’. Tidak diketahui ini layanan apa, tetapi tampaknya bukan layanan Windows yang sah.

Ransomware sekarang akan mulai mengenkripsi file di komputer. Saat mengenkripsi file, itu akan menambahkan ekstensi .CRYPT pada nama file.

Gillespie memberi tahu BleepingComputer bahwa ransomware menggunakan AES-256 + RSA-2048 untuk mengenkripsi file dan menambahkan ‘DEARCRY!’ string ke awal setiap file yang dienkripsi.

Sayangnya, ransomware tampaknya tidak memiliki kelemahan yang memungkinkan korban untuk memulihkan file mereka secara gratis.

Sumber: Bleeping Computer

Otoritas Perbankan Uni Eropa Diretas Saat Serangan Microsoft Exchange Berlanjut

March 11, 2021 by Winnie the Pooh

Otoritas Perbankan Eropa (EBA) telah mengonfirmasi telah menjadi korban serangan Microsoft Exchange yang sedang berlangsung.

Dengan total empat eksploitasi zero-day, kerentanan yang sebelumnya tidak dilaporkan yang memberi penjahat siber permulaan dalam kampanye serangan apa pun, serangan terhadap server Microsoft Exchange lokal selalu akan menjadi masalah besar.

Serangan awal tersebut, yang mendorong Microsoft untuk menerbitkan pembaruan keamanan darurat di luar jalur, dikaitkan dengan grup yang disponsori negara yang diidentifikasi sebagai HAFNIUM.

Dilaporkan oleh Forbes, sumber yang dapat dipercaya menunjukkan bahwa serangan terhadap server Microsoft Exchange yang rentan dianggap telah membahayakan ‘ratusan ribu’ server, lebih dari 30.000 di AS saja.

Salah satu yang diserang di luar AS adalah regulator perbankan Uni Eropa, Otoritas Perbankan Eropa. Pada 7 Maret, EBA mengeluarkan pernyataan yang mengonfirmasi bahwa mereka “telah menjadi sasaran serangan siber terhadap Server Microsoft Exchange-nya.”

Informasi lebih lanjut, memang, tersedia melalui update pada tanggal 8 Maret.
“Penyelidikan EBA masih berlangsung dan kami menerapkan langkah-langkah keamanan tambahan dan pemantauan ketat untuk memulihkan fungsionalitas penuh dari server email. Pada tahap ini, infrastruktur email EBA telah diamankan dan analisis kami menunjukkan bahwa tidak ada ekstraksi data yang telah dilakukan dan kami tidak memiliki indikasi untuk berpikir bahwa pelanggaran telah melampaui server email kami”.

Selengkapnya: Forbes

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Microsoft Exchange

Cookies Settings