Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Ransomware

Ransomware

Phishing, ransomware, dan kesalahan manusia dipandang sebagai ancaman keamanan terbesar

by

Penelitian baru dari rumah perangkat lunak Python STX Next menemukan bahwa CTO melihat kesalahan manusia, ransomware, dan phishing sebagai ancaman keamanan terbesar.

Studi terhadap 500 CTO secara global menunjukkan 59 persen masih melihat kesalahan manusia sebagai ancaman keamanan utama bagi bisnis mereka, di samping kekhawatiran utama lainnya seperti ransomware (49 persen) dan phishing (36 persen).

Namun, meskipun menyadari ancaman tersebut, hanya 26 persen yang mengatakan bahwa mereka memiliki tim keamanan siber khusus dan hanya 50 persen yang melakukan outsourcing tanggung jawab siber.

Di antara temuan lainnya adalah bahwa adopsi otentikasi multifaktor kuat, dengan 88 persen organisasi menggunakannya dalam beberapa cara. Namun, 47 persen belum menerapkan perlindungan ransomware, dan 58 persen tidak menggunakan security information and event management (SIEM), dan 41 persen tidak menggunakan privileged access management (PAM).

Sebagai catatan positif, 92 persen telah menerapkan kemampuan pemulihan bencana seperti pencadangan otomatis.

Dziergwa menambahkan, “Kehadiran yang kuat dari perencanaan pemulihan bencana menunjukkan bahwa organisasi berjalan dengan baik dalam hal tanggung jawab yang lebih menyeluruh yang memastikan bisnis tangguh dalam menghadapi gangguan yang tidak terduga.

Langkah selanjutnya adalah bagi para pemimpin untuk menerapkan pendekatan ini ke elemen keamanan siber yang lebih terperinci, termasuk alat anti-ransomware.”

Selengkapnya: Beta News

Emotet sekarang menjatuhkan Cobalt Strike, mempercepat serangan ransomware

by

Dalam perkembangan yang mengkhawatirkan, malware Emotet yang terkenal sekarang menginstal beacon Cobalt Strike secara langsung, memberikan akses jaringan langsung ke pelaku ancaman dan membuat serangan ransomware segera diluncurkan. Temuan ini ditemukan oleh Kelompok riset Emotet Cryptolaemus.

Emotet adalah infeksi malware yang menyebar melalui email spam yang berisi dokumen Word atau Excel berbahaya. Dokumen-dokumen ini menggunakan makro untuk mengunduh dan menginstal Trojan Emotet di komputer korban, yang kemudian digunakan untuk mencuri email dan menyebarkan malware lebih lanjut ke perangkat.

Secara historis, Emotet akan menginstal trojan TrickBot atau Qbot pada perangkat yang terinfeksi. Trojan ini pada akhirnya akan menyebarkan Cobalt Strike pada perangkat yang terinfeksi atau melakukan perilaku jahat lainnya.

Sekarang setelah muatan malware awal ini dilewati, pelaku ancaman akan memiliki akses langsung ke jaringan untuk menyebar secara lateral, mencuri data, dan menyebarkan ransomware dengan cepat.

Penyebaran cepat Cobalt Strike ini kemungkinan akan mempercepat penyebaran ransomware di jaringan yang disusupi. Hal ini terutama berlaku untuk geng ransomware Conti yang meyakinkan operator Emotet untuk kembali setelah mereka ditutup oleh penegak hukum pada bulan Januari.

Selengkapnya: Bleeping Computer

Para peneliti menguji keamanan cloud dan terkejut dengan apa yang mereka temukan

by

Para peneliti telah menunjukkan kerentanan konfigurasi layanan cloud, setelah menyebarkan ratusan honeypot yang dirancang agar terlihat seperti infrastruktur yang tidak aman, beberapa di antaranya hanya bertahan beberapa menit sebelum disusupi oleh peretas.

Peneliti Palo Alto Networks menyiapkan honeypot yang dikompromikan dari 320 node di seluruh dunia, terdiri dari beberapa contoh layanan cloud umum yang salah dikonfigurasi, termasuk protokol desktop jarak jauh (RDP), protokol shell aman (SSH), blok pesan server (SMB) dan database Postgres.

Honeypot juga menyertakan akun yang dikonfigurasi untuk memiliki kata sandi default atau kata sandi yang lemah persis seperti yang dicari oleh penjahat dunia maya ketika mencoba menerobos jaringan.

Dan tidak lama kemudian penjahat dunia maya menemukan honeypot dan berusaha untuk mengeksploitasinya beberapa situs telah disusupi dalam hitungan menit sementara 80% dari 320 honeypots telah disusupi dalam waktu 24 jam. Semuanya telah dikompromikan dalam waktu seminggu.

Aplikasi yang paling banyak diserang adalah secure shell, yang merupakan protokol komunikasi jaringan yang memungkinkan dua mesin untuk berkomunikasi. Setiap honeypot SSH rata-rata dikompromikan 26 kali sehari. Honeypot yang paling banyak diserang telah disusupi sebanyak 169 kali hanya dalam satu hari.

Sementara itu, satu penyerang mengkompromikan 96% dari 80 honeypot Postgres dalam satu periode 90 detik.

Layanan cloud yang terbuka atau tidak dikonfigurasi dengan baik seperti yang digunakan di honeypot menjadi target yang menggoda bagi semua jenis penjahat cyber.

Beberapa operasi ransomware terkenal diketahui mengeksploitasi layanan cloud yang terbuka untuk mendapatkan akses awal ke jaringan korban untuk akhirnya mengenkripsi sebanyak mungkin dan meminta tebusan jutaan dolar sebagai ganti kunci dekripsi.

Sementara itu, kelompok peretas yang didukung negara juga diketahui menargetkan kerentanan dalam layanan cloud sebagai cara diam-diam memasuki jaringan untuk melakukan spionase, mencuri data, atau menyebarkan malware tanpa deteksi.

“Ketika layanan yang rentan terpapar ke internet, penyerang oportunistik dapat menemukan dan menyerangnya hanya dalam beberapa menit. Karena sebagian besar layanan yang terhubung ke internet ini terhubung ke beberapa beban kerja cloud lainnya, layanan apa pun yang dilanggar berpotensi menyebabkan kompromi seluruh lingkungan cloud,” kata Chen.

Ketika mengamankan akun yang digunakan untuk mengakses layanan cloud, organisasi harus menghindari penggunaan kata sandi default dan pengguna harus diberikan autentikasi multi-faktor untuk membuat penghalang tambahan demi mencegah kredensial bocor dieksploitasi.

Penting juga bagi organisasi untuk menerapkan patch keamanan saat tersedia untuk mencegah penjahat cyber mengambil keuntungan dari eksploitasi yang diketahui dan ini adalah strategi yang juga berlaku untuk aplikasi cloud.

Sumber : ZDNet

Sekarang Emotet Menyebar Melalui Paket Adobe Windows App Installer Palsu

by Leave a Comment

Malware Emotet sekarang terdistribusi melalui paket Windows App Installer berbahaya yang berpura-pura menjadi perangkat lunak Adobe PDF.

Emotet adalah infeksi malware terkenal yang menyebar melalui email phishing dan lampiran berbahaya. Setelah terinstal, ia akan mencuri email korban untuk kampanye spam lainnya dan menyebarkan malware, seperti TrickBot dan Qbot, yang biasanya menyebabkan serangan ransomware.

Aktor ancaman di belakang Emotet sekarang menginfeksi sistem dengan menginstal paket berbahaya menggunakan fitur bawaan Windows 10 dan Windows 11 yang disebut App Installer.

Para peneliti sebelumnya melihat metode yang sama digunakan untuk mendistribusikan malware BazarLoader di mana ia menginstal paket berbahaya yang dihosting di Microsoft Azure.

Emotet adalah malware yang paling banyak didistribusikan di masa lalu sampai operasi penegakan hukum ditutup dan merebut infrastruktur botnet. Sepuluh bulan kemudian, Emotet bangkit kembali dengan bantuan trojan TrickBot.

Sehari kemudian, kampanye spam Emotet dimulai, dengan email berisi berbagai umpan dan dokumen berbahaya yang menginstal malware.

Kampanye ini telah memungkinkan Emotet untuk membangun kehadirannya dengan cepat, dan sekali lagi, melakukan kampanye phishing skala besar yang menginstal TrickBot dan Qbot.

Kampanye emotet biasanya mengarah pada serangan ransomware. Admin Windows harus tetap berhati-hati dan melatih karyawan untuk melihat kampanye Emotet.

Selengkapnya: Bleepingcomputer

Geng ransomware Rusia mulai berkolaborasi dengan peretas China

by

Beberapa aktivitas tidak biasa muncul di forum cybercrime berbahasa Rusia, di mana peretas tampaknya menjangkau rekan-rekan China untuk berkolaborasi. Upaya untuk merekrut aktor ancaman Tiongkok ini terlihat di forum peretasan RAMP.

Menurut laporan Flashpoint, pengguna tingkat tinggi dan administrator RAMP sekarang secara aktif mencoba berkomunikasi dengan anggota forum baru dalam bahasa Mandarin. Forum tersebut memiliki sekitar 30 pendaftaran pengguna baru yang tampaknya berasal dari China

Para peneliti menyatakan penyebab yang paling mungkin adalah bahwa geng ransomware Rusia berusaha membangun aliansi dengan aktor China untuk meluncurkan serangan siber terhadap target AS, memperdagangkan kerentanan, atau bahkan merekrut bakat baru untuk operasi Ransomware-as-a-Service (RaaS) mereka. Inisiatif ini dimulai oleh admin RAMP yang dikenal sebagai Kajit, baru-baru ini mengaku menghabiskan beberapa waktu di China dan dapat berbicara bahasa tersebut.

Dalam RAMP versi sebelumnya, dia telah mengisyaratkan bahwa dia akan mengundang aktor ancaman China ke forum, yang tampaknya sedang berlangsung.

Namun, peretas Rusia yang mencoba berkolaborasi dengan aktor ancaman China tidak terbatas pada forum peretasan RAMP karena Flashpoint juga telah melihat kolaborasi serupa di forum peretasan XSS.

“Pada tangkapan layar di bawah, pengguna XSS “hoffman” menyapa dua anggota forum yang menyatakan diri mereka sebagai orang Cina,” jelas penelitian baru oleh Flashpoint.

Posting di forum peretasan XSS
Sumber: Flashpoint

Bulan lalu, seorang admin RAMP yang dikenal sebagai ‘Oranye’ atau ‘boriselcin’ dan yang menjalankan situs “Groove”, menerbitkan sebuah posting yang menyerukan para pelaku ancaman untuk menyerang AS.

Aktor Groove mengklaim bahwa operasi itu palsu sejak awal dan dibuat untuk menjebak dan memanipulasi media dan peneliti keamanan. Peneliti keamanan dari McAfee dan Intel 471 percaya bahwa ini kemungkinan hanya pelaku ancaman yang mencoba menutupi fakta bahwa upaya pelaku ransomware-as-a-service tidak berjalan sesuai rencana.

Namun, operasi ransomware Conti baru-baru ini diposting ke forum RAMP untuk merekrut afiliasi dan membeli akses awal ke jaringan. Geng tersebut mengatakan bahwa mereka biasanya hanya bekerja dengan peretas yang berbahasa Rusia, tetapi membuat pengecualian untuk pelaku ancaman yang berbahasa China untuk menghormati admin RAMP.

“Iklan ini dalam bahasa Rusia, karena kami hanya bekerja dengan penutur bahasa Rusia. TAPI, untuk menghormati admin, kami akan membuat pengecualian untuk pengguna berbahasa Sino dan bahkan menerjemahkan pesan ini dalam bahasa Mandarin (Anda bahkan dapat menggandakannya dalam bahasa Mandarin dan Canotonese!)”- Operasi ransomware Conti.

Conti bersedia bekerja dengan aktor ancaman berbahasa Mandarin
Sumber: BleepingComputer melalui analis ancaman anonim

Dengan demikian, tampaknya forum RAMP secara aktif mengundang aktor ancaman berbahasa China untuk berpartisipasi dalam percakapan dan serangan.

RAMP didirikan musim panas lalu oleh anggota inti geng ransomware Babuk asli, yang bertujuan untuk berfungsi sebagai tempat baru untuk membocorkan data berharga yang dicuri dari serangan siber dan merekrut afiliasi ransomware.

Kasus penting dari kebocoran semacam itu terjadi pada bulan September ketika admin RAMP memposting 498.908 kredensial Fortinet VPN untuk mengakses 12.856 perangkat di berbagai jaringan perusahaan.

Meskipun banyak dari kredensial ini sudah tua, peneliti keamanan menyatakan bahwa banyak kredensial yang masih valid dan memungkinkan forum RAMP membangun reputasi di lapangan.

Flashpoint melaporkan bahwa RAMP telah mencapai iterasi ketiga, menggunakan domain .onion baru dan mengharuskan semua pengguna sebelumnya untuk mendaftar ulang.

Selengkapnya : Bleeping Computer

12 Kelemahan Baru yang Digunakan dalam Serangan Ransomware di Q3

by

Laporan Q3 2021 mengungkapkan terjadi peningkatan 4,5% dalam CVE yang terkait dengan ransomware dan peningkatan 3,4% dalam keluarga ransomware dibandingkan dengan Q2 2021.

Selusin kerentanan baru digunakan dalam serangan ransomware kuartal ini, sehingga jumlah total bug yang terkait dengan ransomware menjadi 278. Itu meningkat 4,5 persen dari Q2, menurut para peneliti.

Lima dari pemula dapat digunakan untuk mencapai eksekusi kode jarak jauh (RCE), sementara dua dapat digunakan untuk mengeksploitasi aplikasi web dan meluncurkan serangan penolakan layanan (DoS). Itu bukan berita baik, tetapi ini sangat menggelisahkan mengingat kuartal ini juga melihat serangan DoS (DDoS) terdistribusi memecahkan rekor, menurut sebuah studi terpisah.

Berita tentang kerentanan baru yang telah diserang oleh operator ransomware berasal dari laporan sorotan indeks ransomware Q3 2021 Ivanti, yang diterbitkan pada hari Selasa dan dilakukan dengan Cyber ​​Security Works dan Cyware.

Aaron Sandeen, CEO Cyber ​​Security Works, mengatakan dalam siaran pers bahwa Q3 adalah salinan dari tren ransomware dari sisa tahun ini. Yaitu, “Kami terus melihat serangan ransomware meningkat secara agresif dalam kecanggihan dan frekuensi di Q3.”

Analisis ransomware triwulanan juga menemukan bahwa kelompok ransomware masih menemukan dan mengeksploitasi kelemahan zero-day sebelum CVE ditetaskan dan ditambal. Contoh kasus: Geng ransomware REvil yang banyak dicerca menemukan dan mengeksploitasi kelemahan dalam perangkat lunak Kaseya VSA karena tim keamanan perusahaan masih mengerjakan tiga tambalan.

Pada tanggal 2 Juli, geng REvil membuka tiga zero-days di platform Virtual System/Server Administrator (VSA) Kaseya dalam lebih dari 5.000 serangan. Pada tanggal 5 Juli, serangan di seluruh dunia telah dilepaskan di 22 negara, tidak hanya menjangkau basis pelanggan penyedia layanan terkelola (MSP) Kaseya tetapi juga, mengingat banyak dari mereka menggunakan VSA untuk mengelola jaringan bisnis lain, mencakar MSP tersebut. pelanggan sendiri.

Kuartal ketiga juga melihat sembilan kerentanan baru dengan peringkat keparahan yang lebih rendah dikaitkan dengan ransomware. Juga, pembaruan indeks ransomware Q3 untuk tahun 2021 mengidentifikasi kelompok ransomware yang memperluas gudang serangan mereka dengan 12 asosiasi kerentanan baru di Q3,

Analisis Q3 juga mengidentifikasi lima keluarga ransomware baru, sehingga totalnya menjadi 151. Kelompok ransomware baru dengan cepat melompati beberapa kerentanan paling berbahaya di luar sana hanya beberapa minggu setelah mereka mulai menjadi tren di alam liar, seperti PrintNightmare, PetitPotam, dan ProxyShell .

Teknik yang digunakan dalam serangan ransomware juga semakin canggih. Salah satu contoh yang dikutip dalam analisis Ivanti adalah dropper as-a-service – layanan yang memungkinkan pelaku yang secara teknis tidak paham/cenderung kriminal untuk mendistribusikan malware melalui program dropper yang dapat mengeksekusi muatan berbahaya ke komputer korban.

Dari laporan juga ditemukan tiga kerentanan yang berasal dari tahun 2020 atau sebelumnya menjadi baru terkait dengan ransomware pada Q3 2021, sehingga jumlah total kerentanan lama yang terkait dengan ransomware menjadi 258: 92,4 persen kekalahan yang terkait dengan ransomware.

Analisis menunjukkan kelompok ransomware Cring sebagai contoh penting: Geng menargetkan dua kerentanan ColdFusion yang lebih lama – CVE-2009-3960 dan CVE-2010-2861 – yang telah ditambal selama 11 tahun.

Anuj Goel, CEO Cyware, dikutip mengatakan ya untuk otomatisasi, dan juga untuk berbagi intel untuk melindungi organisasi dari ransomware: “Penelitian ini menggarisbawahi bahwa ransomware terus berkembang dan menjadi lebih berbahaya berdasarkan kerusakan bencana yang dapat ditimbulkannya. organisasi sasaran. Apa yang lebih kompleks bagi banyak organisasi adalah ketidakmampuan industri vertikal untuk secara cepat membagikan IOC tertentu terlepas dari industri mereka, dengan cara yang mudah untuk mengatur, mengoperasionalkan, dan menyebarluaskan untuk mengambil tindakan sebelum serangan menyerang.

“Mengelola risiko organisasi berarti perusahaan harus mencari strategi pertahanan kolektif untuk memiliki visibilitas terus-menerus ke dalam serangan dan permukaan risiko masing-masing, untuk mengurangi kerugian besar pada reputasi, pelanggan, dan keuangan. Semakin banyak tim cyber dapat mengikat ke dalam otomatisasi dan proses TI, semakin baik dan efisien mereka dalam melawan ransomware.”

sumber: ThreatPost

Ramalan Malware dan Ransomeware Mendatang

by

Laporan ancaman Sophos tahun 2022 menjelaskan Infeksi malware dan ransomware di masa depan akan terdiri dari “shotgun attacks with pinpoint targeting.”

Seolah itu tidak cukup, infosec biz Inggris menganggap serangan malware komoditas yang sudah mapan akan berakhir dengan memberikan lebih banyak ransomware, sementara taktik pemerasan yang digunakan oleh geng ransomware akan menjadi lebih beragam dan intens – dengan tujuan menggertak korban agar menyerahkan uang tunai.

“Ransomware berkembang pesat karena kemampuannya untuk beradaptasi dan berinovasi,” kata Chester Wisniewski seorang ilmuwan peneliti utama di Sophos. “Misalnya, meskipun penawaran RaaS bukanlah hal baru, di tahun-tahun sebelumnya kontribusi utama mereka adalah membawa ransomware ke dalam jangkauan penyerang berketerampilan rendah atau kurang didanai.”

Ancaman dunia maya yang hampir ada di mana-mana telah banyak ditampilkan dalam berita baru-baru ini, menyusul penghargaan AS senilai jutaan dolar untuk informasi yang mengarah pada penangkapan dan hukuman terhadap geng ransomware high profile tertentu. Selain itu, banyak polisi negara – terutama Ukraina – telah menangkap orang-orang yang diduga sebagai anggota geng.

Selain ransomware, Sophos mengatakan pada 2022 akan terjadi serangan ulang ProxyLogon dan ProxyShell di mana vuln dalam layanan dan produk TI yang banyak digunakan langsung dilompati oleh penjahat dan negara. Perusahaan mengharapkan untuk melihat “peningkatan minat kejahatan dalam sistem berbasis Linux selama tahun 2022, baik di cloud maupun di web dan server virtual.”

Serangan shotgun yang ditargetkan, seperti yang dijelaskan Sophos, juga dapat meningkat. Perusahaan menggunakan serangan Gootloader sebagai contoh, menyoroti bagaimana situs web berbahaya didorong ke atas peringkat hasil pencarian Google oleh kejahatan. Pemfilteran tanda yang mengklik tautan berbahaya ini mengesampingkan mereka yang tidak menjalankan kombinasi sistem operasi dan browser tertentu.

“SophosLabs percaya bahwa ini mungkin merupakan cara baru bagi distributor malware untuk menggagalkan peneliti malware sambil memberi diri mereka sendiri tingkat kepastian yang lebih besar bahwa malware mereka akan menjadi bagian dari korban yang mungkin lebih diinginkan daripada populasi umum,” perusahaan menyimpulkan.

Linux dan sistem virtual dapat berada di bawah ancaman yang lebih besar pada tahun 2022, menurut pandangan Sophos, dengan peringatan tegas: “Satu ransomware yang kami temui pada tahun 2021 menargetkan platform VMware ESXi dan datang dalam bentuk skrip Python yang, ketika dijalankan pada hypervisor, mematikan semua mesin virtual yang berjalan dan kemudian mengenkripsi penyimpanan data tempat hard drive virtual, dan file konfigurasi lainnya, disimpan di hypervisor.”

Hal-hal yang menghebohkan – dan kejadian di atas terjadi pada perusahaan “logistik dan industri perkapalan” selama tahun ini. Trojan RansomEXX, yang menargetkan hypervisor VMware ESXi, ditemukan oleh Sophos pada Juni 2021 setelah serangan terhadap hypervisor ESXi yang berbeda “dijalankan oleh toko roti komersial besar”.

“Ancaman, mereka sedang berkembang. Keyakinan lama bahwa organisasi Anda terlalu kecil, tidak jelas, atau pendapatannya rendah untuk dijadikan target berbahaya akhir-akhir ini – jadi persiapkan diri.”

sumber: The Register

Snapshot yang tidak dapat diubah bertujuan untuk menetralisir ransomware

by

Ada beberapa fase kunci serangan ransomware, yaitu intrusi awal, periode pengintaian di dalam sistem korban, kemudian eksekusi enkripsi dan eksfiltrasi data. Lalu datanglah tuntutan tebusan.

Snapshots memberi pelanggan kemampuan untuk memutar kembali salinan data mereka yang tidak rusak yang dibuat sebelum eksekusi kode yang diperkenalkan oleh penyerang. Secara teori, dari sini mereka dapat mengabaikan permintaan tebusan, membersihkan sistem mereka dari efek penyusupan, dan melanjutkan bisnis seperti biasa.

Snapshots bukan backup, karena mereka bukan hanya salinan data. Mereka adalah catatan status dan lokasi file dan blok yang membentuk file pada waktu tertentu yang dapat dikembalikan oleh pelanggan. Catatan itu mungkin terdiri lebih dari sekadar catatan keadaan, dengan metadata, data yang dihapus, salinan induk, dan sebagainya, semua perlu dipertahankan.

Snapshots tidak dapat diubah, karena mereka write-once read-many (Worm). Apa yang telah ditambahkan oleh pemasok penyimpanan dan cadangan adalah fitur seperti enkripsi, mekanisme yang mengunci snapshot agar tidak dipindahkan atau dipasang secara eksternal, dengan otentikasi multifaktor (MFA) yang diperlukan untuk mengelolanya.

Tanpa seorang pun – bahkan administrator, tetapi tentu saja bukan perangkat lunak ransomware – yang memiliki kemampuan untuk mengakses snapshot atau memindahkan atau menghapusnya, pelanggan seharusnya selalu memiliki akses ke salinan data mereka yang bersih setelah terjadi pelanggaran. Itu kelebihannya.

Kelemahannya, secara historis, snapshot tidak disimpan dalam waktu lama karena memerlukan kapasitas penyimpanan. Karena alasan ini, periode retensi untuk snapshot sering kali pendek – sekitar 48 jam.

Dengan kasus penggunaan pemulihan ransomware, periode yang dibutuhkan pelanggan untuk mempertahankan snapshot yang tidak dapat diubah akan lebih besar.

Waktu yang dihabiskan oleh penyerang di dalam sistem – “dwell time” – rata-rata 11 hari menurut Sophos dan 24 hari menurut Mandiant. Selama periode ini, mereka akan melakukan pengintaian, bergerak secara lateral di antara berbagai bagian jaringan, mengumpulkan kredensial, mengidentifikasi data sensitif dan menguntungkan, mengekstrak data, dan sebagainya.

Itu berarti periode retensi snapshot, dan oleh karena itu kapasitas yang diperlukan untuk menyimpannya, akan meningkat. Pemasok mengetahui hal ini, dan dalam beberapa kasus telah menargetkan subsistem penyimpanan dengan kapasitas massal pada kasus penggunaan ini.

Selengkapnya: Computer Weekly