Ransomware

Jenis Serangan Siber ini adalah ancaman paling umum yang akan Anda hadapi

March 27, 2020 by Winnie the Pooh

Banyak bisnis yang telah mengalami serangan siber atau pelanggaran data dalam satu tahun terakhir – dan hampir semua organisasi yang tahu bahwa mereka diserang telah melaporkan bahwa kebanyakan dari serangan tersebut menggunakan teknik phishing dan email penipuan lainnya saat volume serangan ini terus meningkat.

Angka-angka tersebut telah dirilis sebagai bagian dari Cyber Security Breaches Survey 2020, yang bertujuan untuk memahami kesadaran dan sikap bisnis terhadap perlindungan dan keamanan data, dan ditugaskan oleh Departemen Digital, Budaya, Media dan Olahraga (DCMS). Statistik didasarkan pada deteksi serangan siber yang sukses dan tidak.

Sebanyak 86% bisnis mengatakan mereka telah mengidentifikasi email phishing, menunjukkan bagaimana phishing masih menjadi alat serangan bagi peretas – dan jumlah serangan phishing yang terdeteksi lebih tinggi daripada sebelumnya. Pada 2017, hanya 72% organisasi yang mendeteksi serangan phishing.

Malware menyumbang 16% dari insiden dunia maya selama setahun terakhir dan serangan ransomware terdeteksi oleh 8% organisasi yang disurvei. Jumlah insiden malware dan ransomware telah berkurang setengahnya sejak 2017, tetapi itu tidak berarti bahwa serangannya tidak terlalu menjadi masalah.

Laporan selengkapnya dapat dibaca pada tautan di bawah ini;

Source: GOV.UK | ZDNet

Windows 10: Malware kernel ini adalah alasan mengapa Anda membutuhkan PC Secured-core, kata Microsoft

March 19, 2020 by Winnie the Pooh

Microsoft telah menjelaskan mengapa generasi baru PC Secured-core, seperti Surface Pro X, diperlengkapi untuk melawan ransomware dan malware lain yang menyerang driver perangkat keras yang rentan untuk membahayakan mesin.

Dua cara utama PC Secured-core memblokir serangan ransomware seperti RobbinHood adalah dengan mempertahankan diri terhadap driver yang rentan dan berbahaya dan dengan memblokir eksekusi kode yang tidak diverifikasi.

Microsoft menciptakan Secured-core PCs sebagai tanggapan atas peningkatan kerentanan firmware yang membuka kemungkinan serangan terhadap komponen seperti driver, yang memiliki hak istimewa lebih tinggi daripada hypervisor dan kernel Windows. Serangan seperti itu akan merusak Secure Boot dan tidak terlihat oleh antivirus.

Yang menjadi perhatian khusus adalah penggunaan apa yang disebut ‘driver wormhole’, atau driver yang, secara desain, rentan dan merusak keamanan platform-level dengan membuka akses langsung ke kemampuan membaca dan menulis memori arbitrary tingkat kernel.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;

Source: ZDNet

Kampanye ransomware ini baru saja kembali dengan trik baru

March 11, 2020 by Winnie the Pooh

Paradise ransomware yang aktif sejak 2017, kembali lagi dan para penjahat di belakangnya tampaknya sedang menguji taktik baru sebelum kampanye yang lebih produktif. Dan ini adalah serangan yang bahkan tidak dikenali sebagai sesuatu yang berbahaya oleh banyak mesin Windows.

Kampanye ini memanfaatkan IQY – file Internet Query – yang merupakan file teks yang dibaca oleh Microsoft Excel untuk mengunduh data dari internet. IQY adalah jenis file yang sah, sehingga banyak organisasi tidak akan memblokirnya. Tetapi para peneliti keamanan di Lastline telah menemukan kampanye yang memanfaatkan ini untuk menyebarkan ransomware Paradise ke organisasi yang telah ditargetkan.

Pesan phishing awalnya dikirm kepada korban dan mendorong korban untuk membuka lampiran IQY. Jika korban melakukan ini, file IQY akan terhubung ke server perintah dan kontrol yang dijalankan oleh penyerang, yang pada gilirannya akan menjatuhkan perintah PowerShell yang digunakan untuk menjalankan ransomware pada mesin korban.

Peneliti keamanan mencoba untuk bernegosiasi dengan penyerang melewati menu ‘support’ namun tidak ada balasan, menunjukkan bahwa kampanye saat ini mungkin hanya uji coba untuk distribusi ransomware yang lebih luas.

Tidak diketahui operasi siber kriminal jenis apa yang ada di belakang Paradise, meskipun para peneliti mencatat bahwa ransomware tidak akan terinstall pada mesin yang menggunakan ID bahasa Rusia, Kazakh, Belarusia, Ukrania, atau Tatar.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;

Source: ZDNet

Microsoft Memperingatkan Ancaman Keamanan Siber Yang Lebih Berbahaya Bagi Pengguna Windows: Inilah Yang Perlu Anda Ketahui

March 7, 2020 by Winnie the Pooh

Tim Intelijen Perlindungan Ancaman Microsoft telah memperingatkan ancaman cybersecurity yang “signifikan dan terus berkembang” yang dapat memberikan beban yang menghancurkan. Ancaman itu adalah serangan ransomware yang dioperasikan oleh manusia.

Berbeda dari ransomware yang menyebar secara otomatis seperti WannaCry atau NotPetya, penyerang menggunakan metode pencurian kredensial dan pergerakan lateral yang lebih dikaitkan dengan serangan yang sudah ditargetkan seperti yang berasal dari aktor negara-bangsa.

Peneliti Microsoft menemukan bahwa kampanye ransomware ini tidak terlalu peduli dengan pendekatan tersembunyi; jika mereka bisa masuk ke jaringan Anda, maka mereka akan beroperasi tanpa khawatir menutupi jejak mereka.

DoppelPaymer, yang baru-baru ini menjadi berita utama adalah contoh yang sangat baik dari jenis ini. Microsoft memperingatkan bahwa aktor ancaman DoppelPaymer telah “menyebabkan kekacauan” dalam beberapa serangan, dengan uang tebusan mencapai jutaan dolar dalam beberapa kasus.

“Rekomendasi utama untuk mengurangi ransomware dan kampanye yang dioperasikan manusia,” kata Microsoft, “adalah untuk mempraktikkan kebersihan kredensial dan menghentikan komunikasi yang tidak perlu antar endpoint,” dengan maksud untuk menghilangkan kemampuan gerakan lateral penyerang dan dapat mengurangi dampak serangan apapun.

Baca laporan selengkapnya dari Microsoft pada tautan di bawah ini untuk mengetahui mitigasi yang lebih lengkap;

Source: Microsoft | Forbes

Cynet: Emotet vs Trump – Analisis Mendalam dari Info-Stealer Berbahaya

March 7, 2020 by Winnie the Pooh

Emotet adalah trojan pencurian data banker modular terluas yang tersebar dalam dua tahun terakhir. Trojan ini mempunyai tujuan untuk mendapatkan akses jarak jauh pada host yang dikompromikan untuk mencuri kredensial perbankan, data keuangan dan bahkan dompet Bitcoin. Juga digunakan sebagai pengunduh untuk malware terkenal lainnya seperti TrickBot (Trojan banker) dan Ryuk (Ransomware).

Emotet pertama kali ditemukan pada Mei 2014 untuk memata-matai lingkungan yang dikompromikan, mencuri kredensial untuk penyimpanan cloud, data email, dan mengunggah informasi ini ke server mereka.

Versi sebelumnya dari serangan itu ditemukan dalam file JavaScript berbahaya, tetapi kemudian, para penyerang meningkatkan serangan dengan mempersenjatai dokumen Office dengan skrip makro VBA berbahaya.

Cynet telah menganalisis serangan tersebut lebih dalam lagi dalam blog nya. Analisis dapat dibaca pada tautan di bawah;

Source: Cynet

Penjahat siber dan kartel narkoba menyebarkan malware dan mencuri informasi keuangan di Amerika Latin

March 6, 2020 by Winnie the Pooh

Penjahat siber kini bekerjasama dengan kartel narkoba di seluruh Amerika Latin untuk menyerang lembaga keuangan dan pemerintah, meningkatkan berbagai macam penipuan dan penyebaran malware untuk menghasilkan jutaan uang, menurut laporan baru dari perusahaan cybersecurity IntSights.

Karena penegakan hukum polisi yang relatif lemah, banyak dari penjahat siber ini beroperasi di tempat terbuka dan di dark web, berbagi taktik dengan yang lain dan bekerja sama dengan entitas kriminal untuk meningkatkan keluasan dan kekuatan serangan. Mereka menggunakan WhatsApp, Telegram dan Facebook Messenger untuk mengkoordinasikan serangan.

Laporan itu menyebutkan “Bergabungnya geng narkoba dan komunitas peretas adalah ancaman yang muncul secara signifikan seiring kita melangkah ke 2020. Kedua dunia menggabungkan pengaruh, keterampilan, dan pengalaman mereka untuk mencapai tujuan bersama, terutama dari variasi keuangan.”

Laporan ini juga menyoroti penggunaan trojan perbankan dan ransomware sebagai ancaman malware paling populer yang melanda Amerika Latin.

Baca artikel selengkapnya pada tautan di bawah ini;

Source: Tech Republic

Operator gas alam AS tidak beroperasi selama 2 hari setelah terinfeksi oleh ransomware

February 20, 2020 by Winnie the Pooh

Departemen Keamanan Dalam Negeri mengatakan pada hari Selasa bahwa sebuah fasilitas gas alam yang berbasis di AS menutup operasi selama dua hari setelah mengalami infeksi ransomware yang menghalangi karyawannya menerima data operasional real-time yang penting dari peralatan kontrol dan komunikasi.

Serangan dimulai dengan tautan jahat dalam email phishing yang memungkinkan penyerang untuk mendapatkan akses awal ke jaringan teknologi informasi (TI) organisasi sebelum berputar ke jaringan operasionalnya (OT).

Jaringan OT berbeda dari jaringan TI. Ini adalah jaringan dengan workstation untuk mengelola peralatan pabrik yang kritis dan operasi pabrik lainnya. Jaringan TI biasanya didedikasikan untuk pekerjaan kantor dan administrasi lainnya.

CISA mengatakan bahwa setelah mendapatkan akses ke jaringan OT, penyerang kemudian menggunakan ransomware komoditas yang mengenkripsi data perusahaan pada jaringan TI dan OT pada saat yang bersamaan, untuk kerusakan maksimum, sebelum meminta pembayaran tebusan. Pada laporan yang diterbitkan pada hari Selasa, tidak disebutkan nama/jenis ransomware tersebut.

Klik pada tautan di bawah ini untuk membaca berita lebih lanjut:

Source: Ars Technica | ZDNet | Advisory

Ransomware ini menggunakan driver Gigabyte untuk membunuh antivirus

February 10, 2020 by Winnie the Pooh

Sebuah Geng ransomware menggunakan driver GIGABYTE yang rentan pada komputer yang ingin diinfeksi. Tujuannya adalah untuk memungkinkan peretas untuk menonaktifkan produk keamanan sehingga ransomware mereka dapat mengenkripsi file tanpa terdeteksi atau dihentikan.

Menurut Perusahaan keamanan siber Sophos, sejauh ini teknik baru tersebut telah terlihat dalam dua kasus ransomware, dan kedua kasus tersebut memiliki jenis ransomware yang sama yaitu ransomware RobbinHood.

Pada sebuah laporan, mereka menyebutkan bahwa:

Geng Ransomware mendapat pijakan di jaringan korban.
Peretas memasang driver kernel GDRV.SYS Gigabyte yang sah
Peretas mengeksploitasi kerentanan pada driver tersebut untuk mendapatkan akses kernel.
Penyerang menggunakan akses kernel untuk menonaktifkan sementara Windows OS driver signature enforcement.
Peretas memasang driver kernel jahat bernama RBNL.SYS.
Penyerang menggunakan driver ini untuk menonaktifkan atau menghentikan antivirus dan produk keamanan lainnya yang berjalan pada host yang terinfeksi.
Peretas menjalankan ransomware RobbinHood dan mengenkripsi file korban.

Ketika tekanan publik diberikan pada perusahaan untuk memperbaiki driver tersebut, Gigabyte malah memilih untuk menghentikannya daripada merilis patch.

RobinHood bukan satu-satunya geng ransomware yang menggunakan berbagai trik untuk menonaktifkan produk keamanan. Ransomware lain yang terlibat dalam perilaku serupa adalah Snatch (yang me-reboot PC dalam Safe Mode untuk menonaktifkan perangkat lunak AV) dan Nemty (yang mematikan proses antivirus menggunakan utilitas taskkill).

Klik link dibawah untuk membaca berita selengkapnya

Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Ransomware

Cookies Settings