Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Ransomware

Ransomware

Microsoft: Beberapa serangan ransomware membutuhkan waktu kurang dari 45 menit

by

Microsoft telah merangkum ancaman terbesar yang dihadapi perusahaan saat ini dalam menghadapi kejahatan siber dan penyerang negara-bangsa dalam Microsoft Digital Defense Report barunya.

CYBERCRIME

Sementara beberapa kelompok kejahatan siber menggunakan tema COVID-19 untuk memikat dan menginfeksi pengguna, Microsoft mengatakan operasi ini hanya sebagian kecil dari ekosistem malware umum, dan pandemi tampaknya memainkan peran minimal dalam serangan malware tahun ini.

Email phishing di sektor enterprise juga terus berkembang dan menjadi vektor yang dominan. Kebanyakan umpan phishing berpusat di sekitar Microsoft dan penyedia SaaS lainnya, dan 5 brand yang paling sering dipalsukan adalah Microsoft, UPS, Amazon, Apple, dan Zoom.

Operasi phishing yang berhasil juga sering digunakan sebagai langkah pertama dalam penipuan Business Email Compromise (BEC). Microsoft mengatakan bahwa penjahat mendapatkan akses ke kotak masuk email eksekutif, melihat komunikasi email, dan kemudian masuk untuk mengelabui mitra bisnis pengguna yang diretas agar membayar faktur ke rekening bank yang salah.

Menurut Microsoft, akun yang paling ditargetkan dalam penipuan BEC adalah akun untuk C-suite dan karyawan akuntansi dan penggajian.

Tetapi Microsoft juga mengatakan bahwa phishing bukan satu-satunya cara peretas untuk masuk ke akun korban. Peretas juga mulai mengadopsi penggunaan ulang password dan serangan password spray terhadap protokol email lama seperti IMAP dan SMTP.

Serangan ini sangat populer dalam beberapa bulan terakhir karena memungkinkan penyerang untuk melewati solusi otentikasi multi-faktor (MFA), karena masuk melalui IMAP dan SMTP tidak mendukung fitur tersebut.

RANSOMWARE GROUPS

Namun, sejauh ini, ancaman kejahatan siber yang paling mengganggu beberapa tahun ini adalah geng ransomware. Microsoft mengatakan bahwa infeksi ransomware telah menjadi alasan paling umum di balik keterlibatan respons insiden (IR) perusahaan dari Oktober 2019 hingga Juli 2020.

Dan dari semua geng ransomware, kelompok yang dikenal sebagai “big game hunters” dan “ransomware yang dioperasikan oleh manusia” adalah yang paling membuat Microsoft pusing. Ini adalah grup yang secara khusus menargetkan jaringan tertentu milik perusahaan besar atau organisasi pemerintah, mengetahui bahwa mereka akan menerima pembayaran tebusan yang lebih besar.

Sebagian besar dari grup ini beroperasi baik dengan menggunakan infrastruktur malware yang disediakan oleh grup kejahatan siber lain atau dengan memindai internet secara masal untuk menemukan kerentanan yang baru diungkapkan.

“Para penyerang telah mengeksploitasi krisis COVID-19 untuk mengurangi dwell time mereka dalam sistem korban – mengkompromikan, mengeksfiltrasi data dan, dalam beberapa kasus, menebus dengan cepat – tampaknya percaya bahwa akan ada peningkatan kesediaan untuk membayar sebagai akibat dari wabah tersebut,” Kata Microsoft.

“Dalam beberapa kasus, hanya dibutuhkan waktu kurang dari 45 menit untuk penjahat siber masuk hingga menebus seluruh jaringan dalam.”

SUPPLY-CHAIN SECURITY

Tren utama lainnya yang dipilih Microsoft untuk menjadi sorotan adalah peningkatan penargetan rantai pasokan dalam beberapa bulan terakhir, daripada menyerang target secara langsung.

Hal ini memungkinkan pelaku ancaman untuk meretas satu target dan kemudian menggunakan infrastruktur target itu sendiri untuk menyerang semua pelanggannya, baik satu per satu, atau semuanya pada waktu yang sama.

NATION-STATE GROUPS

Mengenai grup peretasan negara-bangsa (juga dikenal sebagai APT, atau ancaman persisten tingkat lanjut), Microsoft mengatakan tahun ini cukup sibuk.

Microsoft mengatakan bahwa antara Juli 2019 dan Juni 2020, mereka mengirimkan lebih dari 13.000 nation-state notification (NSN) kepada pelanggannya melalui email.

Menurut Microsoft, sebagian besar dikirim untuk operasi peretasan yang berhubungan dengan grup yang disponsori negara Rusia, sementara sebagian besar korban berada di Amerika.

Temuan menarik lainnya dari Microsoft Digital Defense Report adalah bahwa target utama serangan APT adalah organisasi non-pemerintah dan industri layanan.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Ransomware dilaporkan menjadi penyebab pemadaman di jaringan rumah sakit AS

by

Universal Health Services, salah satu penyedia layanan kesehatan terbesar di AS, telah terkena serangan ransomware.

Serangan itu menghantam sistem UHS pada Minggu pagi, menurut dua orang yang mengetahui langsung insiden itu. Serangan itu mengunci komputer dan sistem telepon di beberapa fasilitas UHS di seluruh negeri, termasuk di California dan Florida.

Salah satu orang mengatakan layar komputer berubah dengan teks yang merujuk pada “shadow universe”, ciri khas ransomware Ryuk. “Setiap orang diberitahu untuk mematikan semua komputer dan tidak menyalakannya lagi,” kata orang itu. “Kami diberi tahu bahwa akan membutuhkan beberapa hari sebelum komputer menyala lagi.”

UHS menerbitkan pernyataan pada hari Senin, mengatakan jaringan TI-nya “saat ini sedang offline, karena masalah keamanan TI.”

“Kami menerapkan protokol keamanan TI yang ekstensif dan bekerja dengan rajin dengan mitra keamanan TI kami untuk memulihkan operasi TI secepat mungkin. Sementara itu, fasilitas kami menggunakan proses pencadangan yang sudah mapan termasuk metode dokumentasi offline. Perawatan pasien terus diberikan dengan aman dan efektif, ”kata pernyataan itu.

“Tidak ada data pasien atau karyawan yang tampaknya telah diakses, disalin, atau disusupi,” tambahnya.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Tech Crunch

Geng ransomware menargetkan bisnis Rusia dalam serangan terkoordinasi yang jarang terjadi

by

Perusahaan keamanan Group-IB mengatakan telah mengidentifikasi grup kejahatan siber baru yang, selama enam bulan terakhir, telah berulang kali dan dengan sengaja menargetkan bisnis Rusia dengan serangan malware dan ransomware.

Dinamakan OldGremlin, Group-IB mengatakan para peretas berada di balik serangan yang ditargetkan dengan ransomware strain baru yang disebut TinyCryptor (alias decr1pt).

“Mereka telah mencoba untuk menargetkan hanya perusahaan Rusia sejauh ini,” Oleg Skulkin, analis DFIR senior Grup-IB, mengatakan kepada ZDNet minggu ini.

“Ini sangat tidak biasa bagi geng berbahasa Rusia yang memiliki aturan tak terucapkan tentang tidak menargetkan Rusia dan negara-negara pasca-Soviet.”

Serangan OldGremlin biasanya dimulai dengan email spear-phishing yang membawa file ZIP yang mengandung malware, yang biasanya akan menginfeksi korban dengan trojan backdoor bernama TinyNode.

Ini memberi penyerang pijakan awal di jaringan perusahaan, di mana para peretas menyebar secara lateral ke sistem lain dan kemudian menyebarkan ransomware pada tahap akhir serangan mereka.

Setelah jaringan dienkripsi, kru OldGremlin biasanya meminta pembayaran tebusan sekitar $50.000 menggunakan pesan yang ditinggalkan di sistem yang terinfeksi dan mengarah kembali ke alamat ProtonMail.

Skulkin mengatakan Group-IB telah mengidentifikasi grup OldGremlin pada bulan Agustus, tetapi serangan grup tersebut dimulai pada bulan Maret, dengan email phishing mereka menggunakan berbagai macam umpan, mulai dari menyamar sebagai jurnalis yang mencari wawancara hingga menggunakan demonstrasi anti-pemerintah di Belarusia sebagai pembuka percakapan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Security Minggu ini: Active Directory telah berakhir, Authentikasi Dua Factor Tidak Sempurna, dan Politisi sebagai Peretas

by

Berita paling besar minggu ini adalah kelemahan besar pada Active Directory Microsoft, CVE-2020-1472 (whitepaper). Netlogon adalah bagian dari skema domain Windows, dan digunakan untuk mengotentikasi pengguna tanpa benar-benar mengirim sandi melalui jaringan. Versi Windows modern menggunakan AES-CFB8 sebagai mesin kriptografi yang mendukung otentikasi Netlogon. Mode khusus AES ini mengambil vektor inisialisasi (IV) bersama dengan kunci dan teks biasa. Kelemahannya di sini adalah bahwa implementasi Microsoft menetapkan IV ke semua nol.

Proses enkripsi AES dasar memiliki dua input: teks biasa 128 bit (16 byte), dan kunci 128, 192, atau 256 bit. Plaintext dan key yang sama akan menghasilkan output ciphertext yang sama setiap saat. Mengenkripsi lebih dari 128 bit data dengan pendekatan naif ini akan segera mengungkap masalah – Sangat mungkin untuk menemukan pola dalam keluaran. Lebih buruk lagi, pemeriksaan pola yang cerdas dapat membangun buku decoding. Pola 16 byte yang paling sering muncul akan ditebak terlebih dahulu. Ini akan menjadi seperti teka-teki silang raksasa, mencoba mengisi kekosongan.

Netlogon, di sisi lain, menggunakan mode Cipher FeedBack (CFB8) dari AES. Mode ini membutuhkan 16 byte IV, dan menambahkan nilai itu ke data yang akan dienkripsi. Operasi AES dasar dilakukan pada 16 byte pertama dari pesan ini (hanya IV). Byte pertama dari output adalah XOR dengan byte ke-17 dari string gabungan, dan kemudian jendela 16 byte bergeser satu byte ke kanan. Ketika byte terakhir dari pesan teks biasa telah di-XOR, IV dijatuhkan dan proses selesai. Konstruksi khusus AES-CFB8 berarti IV acak jauh lebih penting untuk enkripsi yang kuat.

Ingat kelemahannya? Implementasi Microsoft menetapkan nilai IV itu sebagai nol semua. Kunci enkripsi dihasilkan dari kata sandi, tetapi teks biasa yang akan dienkripsi dapat ditentukan oleh penyerang. Cukup mudah untuk memanipulasi situasi sedemikian rupa sehingga seluruh string IV + Plaintext terdiri dari nol. Dalam keadaan ini, 1-dalam-256 kunci akan menghasilkan ciphertext nol. Dengan kata lain, keamanan 128-bit AES dikurangi menjadi 8-bit. Hanya dalam beberapa tebakan, penyerang dapat menggunakan Netlogon untuk mengotentikasi sebagai pengguna mana pun.

Microsoft telah memperbaiki masalah ini dalam pembaruan keamanan Agustus mereka. Meskipun benar bahwa mengeksploitasi masalah ini membutuhkan pijakan di jaringan, eksploitasinya sederhana dan bukti kode konsep sudah tersedia. Ini jelas merupakan masalah untuk segera dipatch.

Lihat Artikel lebih lanjut disini

Ketika 2FA Membuat Anda Kurang Aman

Beberapa tindakan keamanan bersifat universal seperti “Aktifkan autentikasi dua faktor”. Ada sedikit celah di sana. sebenarnya, 2FA menambahkan permukaan serangan ekstra. Palo Alto menemukan ini dengan cara yang sulit dengan sistem PAN-OS mereka. Dengan 2FA atau captive portal diaktifkan, dimungkinkan untuk mengeksploitasi buffer overflow dan mengeksekusi kode sebagai root. Karena antarmuka yang akan dieksploitasi sering diekspos ke publik, kerentanan ini mendapat skor kritis 9,8.

Skimmer Kartu Virtual CardBleed

Magento adalah platform e-niaga yang dimiliki oleh Adobe sejak 2018. Sederhananya, ini adalah sistem keranjang belanja untuk situs web. Dalam beberapa hari terakhir, tampaknya hampir 2.000 instans Magento v1 telah disusupi, dengan skimmer digital dipasang di situs tersebut. Eksploitasi yang cepat akan menunjukkan bahwa seseorang memiliki database situs bertenaga Magento, dan memperoleh eksploitasi zero-day yang dapat diotomatiskan.

Hacking Politicians for Fun and Profit

Trio peretas Belanda berhasil membobol akun twitter Donald Trump pada tahun 2016, tepat sebelum pemilihan. Bagaimana? Kisah yang sama yang kita semua kenal: penggunaan ulang kata sandi dan dump database LinkedIn. Fakta mengejutkan, kata sandi favorit Donald Trump adalah “yourefired” (“anda dipecat”).

Dalam cerita serupa, mantan perdana menteri Australia memposting gambar online yang berisi boarding pass-nya, dan seorang peneliti yang banyak akal berhasil menggunakan informasi itu untuk mendapatkan kembali paspor dan nomor teleponnya. Tahukah Anda bahwa boarding pass dianggap sebagai informasi sensitif? Untuk mengotentikasi dengan maskapai penerbangan, yang diperlukan hanyalah nama belakang dan nomor referensi pemesanan yang cocok. Ini memberi Anda akses ke laman yang sangat tidak menarik, tetapi ketika Anda memiliki akses ke 1337 alat peretas, langit adalah batasnya. Rupanya backend situs web Qantas mengirimkan semua yang ada di database tentang pelanggan tertentu, dan hanya sedikit dari informasi itu yang ditampilkan kepada pengguna. Jauh lebih banyak informasi yang menunggu untuk diendus.

Tor 0-Day?

[Dr. Neal Krawetz] menjalankan layanan tersembunyi TOR, dan mendapati dirinya menjadi korban serangan DDoS melalui jaringan TOR. Dia menelepon seorang teman yang melakukan keamanan jaringan secara profesional, dan meminta bantuan. Setelah membaca setengah dari alamat IP publik tempat tinggal server hosting, temannya memberi tahu alamat lainnya. Mari kita pikirkan proses itu. Layanan TOR tersembunyi sedang diserang, seseorang dengan akses ke Network Operations Center (NOC) yang cukup besar dapat mengetahui apa alamat IP Publik dari layanan itu. Ini adalah jeda mendasar dalam tujuan TOR.

Source : Hackday

Perusahaan Antivirus Tiongkok Ternyata Bagian dari Serangan ‘Supply Chain’ APT41

by

Departemen Kehakiman AS telah mendakwa tujuh warga negara China sebagai peretasan yang menargetkan lebih dari 100 perusahaan game online dan teknologi tinggi. Pemerintah menuduh orang-orang tersebut menggunakan email phishing yang mengandung malware dan serangan “Supply Chain” untuk mencuri data dari perusahaan dan pelanggan mereka. Salah satu terduga peretas pertama kali diprofilkan pada tahun 2012 sebagai pemilik perusahaan antivirus China.

Kegiatan APT41 berlangsung dari pertengahan 2000 hingga saat ini. Awal tahun ini, grup tersebut terkait dengan kampanye malware yang sangat agresif yang mengeksploitasi kerentanan dalam produk jaringan yang banyak digunakan, termasuk Router Cisco dan D-Link, serta peralatan Citrix dan Pulse VPN. Firma keamanan FireEye menjuluki blitz peretasan itu sebagai “salah satu kampanye terluas yang dilakukan oleh aktor spionase dunia maya China yang kami amati dalam beberapa tahun terakhir”.

Pemerintah menuding kelompok itu memonetisasi akses terlarangnya dengan menyebarkan ransomware dan tools “cryptojacking” (menggunakan sistem yang terkompromi untuk menambang cryptocurrency seperti Bitcoin). Selain itu, geng tersebut menargetkan perusahaan video game dan pelanggan mereka dalam upaya untuk mencuri item digital berharga yang dapat dijual kembali, seperti poin, kekuatan, dan item lain yang dapat digunakan untuk meningkatkan pengalaman bermain game.

APT41 diketahui menyembunyikan malware-nya di dalam resume palsu yang dikirim ke target. Itu juga menyebarkan serangan rantai pasokan yang lebih kompleks, di mana mereka akan meretas perusahaan perangkat lunak dan memodifikasi kode dengan malware.

Anvisoft

Salah satu pria yang didakwa sebagai bagian dari APT41, Tan DaiLin berusia 35 tahun, adalah subjek dari cerita KrebsOnSecurity 2012 yang berusaha menjelaskan produk antivirus China yang dipasarkan sebagai Anvisoft. Pada saat itu, produk tersebut telah masuk dalam “whitelist” atau ditandai sebagai aman oleh vendor antivirus yang lebih mapan, meskipun perusahaan tersebut tampaknya tidak menanggapi keluhan pengguna dan pertanyaan tentang kepemimpinan dan asal-usulnya.

Anvisoft mengklaim berbasis di California dan Kanada, tetapi penelusuran pada nama merek perusahaan menemukan catatan pendaftaran merek dagang yang menempatkan Anvisoft di zona teknologi tinggi Chengdu di Provinsi Sichuan, China.

Tinjauan atas catatan pendaftaran situs web Anvisoft menunjukkan bahwa domain perusahaan awalnya dibuat oleh Tan DaiLin, seorang peretas China terkenal yang menggunakan alias “Wicked Rose” dan “Withered Rose”. Saat itu, DaiLin berusia 28 tahun.

Seperti dicatat oleh TechCrunch, setelah dakwaan diajukan, jaksa penuntut mengatakan bahwa mereka memperoleh surat perintah untuk menyita situs web, domain, dan server yang terkait dengan operasi grup, secara efektif menutupnya dan menghambat operasi mereka.

“Para peretas yang diduga masih diyakini berada di China, tetapi tuduhan tersebut berfungsi sebagai upaya hukuman sosial yang digunakan oleh Departemen Kehakiman dalam beberapa tahun terakhir terhadap penyerang dunia maya yang didukung negara,” tulis Zack Whittaker dari TechCrunch.

Source : KerbsOnSecurity

Maze Ransomware Mengadopsi Teknik Virtual Machine Ragnar Locker

by

Penjahat Ransomware, Maze, telah menambahkan teknik baru: Mendistribusikan ransomware melalui mesin virtual (VM). Ini adalah pendekatan yang cukup “radikal”, menurut peneliti, hal ini dimaksudkan untuk membantu ransomware melewati pertahanan terakhir.

Menurut peneliti dari Sophos Managed Threat Response (MTR) pelaku baru-baru ini terlihat menyebarkan malware dalam bentuk gambar disk virtual VirtualBox (file VDI). File VDI itu sendiri dikirim di dalam file MSI Windows, yang merupakan format yang digunakan untuk penginstalan, penyimpanan, dan penghapusan program. “penyerang juga menggabungkan salinan VirtualBox hypervisor berusia 11 tahun yang telah dipreteli di dalam file .MSI, yang menjalankan VM sebagai perangkat ‘headless’, tanpa perlu menggunakan UI, ”kata peneliti.

Peneliti Sophos, menambahkan, “Ragnar Locker dipasang di dalam mesin virtual Oracle VirtualBox Windows XP. dengan file installer sebesar 122 MB dan image virtual 282 MB, semuanya untuk menyembunyikan ransomware 49 KB yang dapat dieksekusi.”

Detail Teknis

Dalam insiden ransomware Maze, File installer sebesar 733 MB dengan image virtual Windows 7 sebesar 1,9 GB, kedua file itu untuk menyembunyikan ransomware 494 KB yang dapat dieksekusi.

Sumber dari disk virtual berisi tiga file yang terkait dengan ransomware Maze: preload.bat, vrun.exe (VM itu sendiri) dan file yang bernama payload (tanpa ekstensi), yang merupakan muatan Maze DLL yang sebenarnya.

Untuk persistensi, mereka menambahkan file bernama startup_vrun.bat ke menu Start Windows.

“Skrip ini menyalin tiga file yang sama yang ditemukan di root disk VM (biner vrun.exe dan payload DLL, serta skrip batch preload.bat) ke disk lain, lalu menjalankan perintah untuk segera mematikan komputer,” menurut analisis. “Saat seseorang menyalakan komputer lagi, skrip mengeksekusi vrun.exe.”

Saat file MSI pertama kali dijalankan, VM membuat lokasi folder C:\SDRSMLINK\, yang bertindak sebagai clearinghouse untuk folder tertentu yang ingin dilacak malware – Labirin melakukannya menggunakan tautan simbolis (symlink), yang bertindak sebagai pintasan ke folder di hard drive lokal. Folder ini dibagikan dengan seluruh jaringan.

Pada akhirnya, skrip batch yang disebut starter.bat digunakan untuk meluncurkan muatan ransomware dari dalam VM.

Source : Threatpost

Ransomware Ini Mempunyai Trik Licik Untuk Mengirimkan Malware

by

Salah satu penjahat ransomware yang paling berbahaya merapkan taktik baru untuk membuat serangan tidak terdeteksi hingga, trik ini kemungkinan besar dipinjam dari grup ransomware lain.
Yang membuat Maze sangat berbahaya adalah selain memeras bitcoin berjumlah 6 digit untuk sebuah kunci dekripsi, mereka mengancam akan menerbitkan data internal yang dicuri jika tuntutan pemerasan mereka tidak dipenuhi.

Taktik ini sebelumnya digunakan oleh grup ransomware Ragnar Locker dan tampaknya Maze telah mengambil inspirasi dari mereka sebagai sarana untuk mengirimkan ransomware.
Peneliti keamanan siber di Sophos menemukan kesamaan antara taktik baru Maze dan teknik yang dipelopori oleh Ragnar Locker saat menyelidiki serangan ransomware Maze pada bulan Juli.

Menggunakan akses ke server file, para peretas dapat mengirimkan komponen yang diperlukan untuk serangan di dalam mesin virtual.
Cara mesin virtual diprogram menunjukkan bahwa penyerang sudah memiliki kendali yang kuat pada jaringan korban saat, tetapi dengan menyebarkan ransomware melalui mesin virtual, itu membantu mereka terdeteksi sebagai serangan sampai serangan dimulai dan jaringan dapat ditahan untuk tebusan.

“Mesin virtual memberikan penyerang mesin yang tidak terlindungi untuk menjalankan ransomware secara bebas tanpa takut terdeteksi,” kata Peter McKenzie, manajer respons insiden di Sophos.

Organisasi dapat melindungi dari serangan yang disebarkan dengan cara memblokir penggunaan aplikasi yang tidak perlu pada mesin, sehingga penyerang tidak dapat mengeksploitasinya.

Langkah-langkah lain yang dapat diambil organisasi untuk menghindari menjadi korban serangan ransomware termasuk memastikan bahwa patch keamanan diterapkan sesegera mungkin untuk mencegah peretas mengeksploitasi kerentanan yang diketahui, sorganisasi juga harus menerapkan multi- otentikasi faktor atau MFA

“Perlindungan terhadap serangan ransomware tidak hanya membutuhkan perangkat lunak keamanan canggih, tetapi juga pemburu ancaman dan tim Incident Response yang dapat melihat tanda-tanda penyusup di jaringan mereka dan mengambil tindakan yang sesuai untuk menetralkan ancaman,” kata McKenzie

Source : ZDNet

Ransomware ini telah mengadaptasi trik licik untuk mengirimkan malware ke korbannya

by

Salah satu operasi ransomware kriminal siber paling berbahaya saat ini telah menerapkan taktik baru untuk membantu serangannya tetap tidak terdeteksi, yang kemungkinan besar dipinjam dari grup ransomware lain.

Taktik serupa sebelumnya telah digunakan oleh grup ransomware Ragnar Locker dan tampaknya Maze telah mengambil inspirasi dari mereka sebagai sarana tambahan untuk mengirimkan ransomware.

Menggunakan akses ke server file, para peretas dapat mengirimkan komponen yang diperlukan untuk serangan di dalam mesin virtual.

Cara mesin virtual diprogram menunjukkan bahwa penyerang sudah memiliki kendali yang kuat pada jaringan korban saat ini – tetapi dengan menyebarkan ransomware melalui mesin virtual, itu membantu menjaga serangan di bawah radar sampai enkripsi dipicu dan jaringan dapat ditahan untuk tebusan.

“Mesin virtual memberikan penyerang mesin yang tidak dilindungi untuk menjalankan ransomware secara bebas tanpa takut terdeteksi,” kata Peter McKenzie, manajer respons insiden di Sophos kepada ZDNet.

Berita selengkapnya;
Source: ZDNet