Security

Serangan phishing baru ini menggunakan iming-iming aneh untuk mengirimkan malware trojan Windows

January 7, 2021 by Winnie the Pooh

Kampanye phishing baru mencoba memikat korban agar mengunduh malware yang memberikan kontrol penuh kepada penjahat siber atas mesin Microsoft Windows yang terinfeksi.

Quaverse Remote Access Trojan (QRat) pertama kali muncul pada tahun 2015. Malware ini sulit dideteksi di bawah beberapa lapisan obfuscation dan menyediakan akses jarak jauh bagi peretas jahat ke komputer korban yang disusupi.

Kemampuan malware trojan ini termasuk mencuri kata sandi, keylogging, penelusuran file, mengambil screenshot dan banyak lagi yang semuanya memungkinkan peretas untuk mendapatkan akses ke informasi sensitif.

Peneliti keamanan siber di Trustwave telah mengidentifikasi kampanye QRat baru yang mencoba memikat orang agar mengunduh versi terbaru dari malware tersebut, sesuatu yang mereka gambarkan sebagai “ditingkatkan secara signifikan”.

Email phishing awal mengklaim menawarkan pinjaman kepada korban dengan “laba atas investasi yang baik” yang berpotensi menarik perhatian korban. Namun, lampiran berbahaya tersebut sama sekali tidak terkait dengan subjek email phishing, melainkan mengklaim berisi video Presiden Donald Trump.

Jika lampiran dibuka, file Java Archive (JAR) – akan menjalankan penginstal malware QRat.

Prosesnya bahkan dilengkapi dengan peringatan pop-up, memberi tahu pengguna bahwa perangkat lunak yang mereka instal dapat digunakan untuk akses jarak jauh dan penetration testing – jika pengguna setuju QRat ini untuk diunduh, dengan malware diambil oleh unduhan modular untuk membantu menghindari deteksi.

Sumber: ZDNet

FBI Memperingatkan Sekolah untuk Bersiap akan adanya Lebih Banyak Serangan Siber

January 6, 2021 by Winnie the Pooh

FBI dan Cybersecurity and Infrastructure Security Agency (CISA) baru-baru ini memperingatkan bahwa serangan ransomware pada entitas K-12 telah meningkat secara dramatis selama paruh kedua tahun 2020 dan serangan ini serta serangan siber lainnya kemungkinan akan berlanjut selama tahun depan.

Pada tahun 2020, banyak peretas menargetkan sekolah dengan menyebarkan ransomware ke seluruh distrik secara nasional, menyebabkan seringnya pembatalan kelas, dan melakukan zoombombing pada setiap ruang kelas virtual yang bisa mereka dapatkan.

Menurut FBI, semua hal ini kemungkinan akan berlanjut pada level buruk saat ini dan berpotensi menjadi lebih buruk pada tahun 2021.

Minggu ini, saat siswa kembali dari liburan ke ruang kelas virtual mereka, pejabat FBI menegaskan kembali perlunya melindungi lembaga pendidikan Amerika yang rentan dengan lebih baik.

Menurut agen federal, peretas kemungkinan akan terus memanfaatkan berbagai macam serangan, mulai dari serangan Denial of Service hingga ransomware hingga gangguan melalui third-party ed-tech, seperti ruang pembelajaran online seperti Google Classroom. Karena sekolah pada umumnya adalah tempat di mana kesadaran akan risiko rendah dan pendanaan keamanan siber minimal, para penjahat cenderung memandangnya sebagai target yang menarik, kata para pejabat.

Sumber: Gizmodo

Geng Ransomware Mengumpulkan Data dari Lab Pengujian Darah

January 6, 2021 by Winnie the Pooh

Apex Laboratory, yang menyediakan pemeriksaan darah di rumah untuk pasien di New York City, Long Island dan South Florida, telah terkena serangan ransomware yang juga mengakibatkan data pasien dicuri.

Meskipun perusahaan baru saja mengungkapkan serangan itu, itu terjadi pada 25 Juli, ketika “sistem tertentu di lingkungannya dienkripsi dan tidak dapat diakses”, menurut pemberitahuan situs web pada minggu lalu.

Bekerja sama dengan perusahaan keamanan siber, Apex dapat mengamankan jaringannya dan melanjutkan operasinya dua hari kemudian. Namun penyelidikan forensik berlanjut, akhirnya menentukan pada 15 Desember bahwa penyerang telah memposting informasi di blog mereka tentang serangan itu dan mengklaim telah mengambil informasi pribadi dan kesehatan, kata perusahaan itu dalam pemberitahuan Malam Tahun Baru.

Data tersebut termasuk nama pasien, tanggal lahir, hasil tes, dan untuk beberapa individu, nomor Jaminan Sosial dan nomor telepon, kata Apex.

Sumber: Threat Post

Babuk Locker adalah ransomware perusahaan baru pertama di tahun 2021

January 6, 2021 by Winnie the Pooh

Awal tahun 2021 ini datang dengan ransomware baru bernama Babuk Locker yang menargetkan korban perusahaan dalam serangan yang dioperasikan oleh manusia.

Babuk Locker adalah operasi ransomware baru yang diluncurkan pada awal 2021 dan sejak itu mengumpulkan sejumlah kecil korban dari seluruh dunia.

Dari negosiasi tebusan dengan korban yang dilihat oleh BleepingComputer, permintaan berkisar dari $60.000 hingga $85.000 dalam Bitcoin.

Setiap executable Babuk Locker yang dianalisis oleh BleepingComputer telah disesuaikan per korban untuk memuat ekstensi hardcode, catatan tebusan, dan URL Tor.

Saat diluncurkan, pelaku ancaman dapat menggunakan argumen baris perintah untuk mengontrol bagaimana ransomware harus mengenkripsi pembagian jaringan dan apakah mereka harus dienkripsi sebelum sistem file lokal.

Setelah diluncurkan, ransomware akan menghentikan berbagai layanan dan proses Windows yang diketahui menjaga file tetap terbuka dan mencegah enkripsi. Program yang dihentikan termasuk mail server, backup software, mail client dan web browser.

Saat mengenkripsi file, Babuk Locker akan menggunakan ekstensi hardcode dan menambahkannya ke setiap file terenkripsi, seperti yang ditunjukkan di bawah ini. Ekstensi hardcode saat ini yang digunakan untuk semua korban sejauh ini adalah .__ NIST_K571__.

Operator ransomware juga akan meminta korban untuk mengirim file %AppData%\ecdh_pub_k.bin, yang berisi public key ECDH korban yang memungkinkan pelaku ancaman untuk melakukan uji dekripsi file korban atau menyediakan dekripsi.

Sayangnya, peneliti keamanan Chuong Dong mengatakan bahwa penggunaan ChaCha8 dan Elliptic-curve Diffie pada ransomware – Hellman (ECDH) membuat ransomware aman dan tidak dapat didekripsi secara gratis.

Sumber: Bleeping Computer

Hacker memposting data 10.000 akun American Express secara gratis

January 6, 2021 by Winnie the Pooh

Seorang pelaku ancaman telah memposting data 10.000 pemegang kartu kredit American Express di forum peretas secara gratis.

Dalam posting forum yang sama, aktor tersebut mengklaim menjual lebih banyak data pelanggan perbankan Meksiko dari American Express, Santander, dan Banamex.

Minggu ini aktor ancaman membocorkan data 10.000 pemegang kartu kredit American Express yang berbasis di Meksiko di sebuah forum.

Temuan ini terungkap oleh analis intelijen ancaman, Bank Security.

Kumpulan data sampel yang bocor dari 10.000 data memperlihatkan nomor lengkap akun American Express (kartu kredit) dan informasi identitas pribadi (PII) pelanggan termasuk nama, alamat lengkap, nomor telepon, tanggal lahir, jenis kelamin, dll.

Namun, pengamatan dari BleepingComputer tidak melihat tanggal kedaluwarsa kartu kredit, kata sandi, atau data keuangan yang terlalu sensitif dalam spreadsheet yang diposting yang dapat memungkinkan penyalahgunaan kartu kredit dalam transaksi penipuan.

American Express tidak membantah atau mengakui bahwa mereka telah mengalami pelanggaran data, tetapi mengatakan bahwa semua pemegang kartu Amex tidak bertanggung jawab atas tuduhan penipuan.

“Kami mengetahui laporan tersebut dan memantau situasi dengan cermat. Kami tidak memiliki informasi lebih lanjut untuk dibagikan saat ini.”

Sumber: Bleeping Computer

Operator seluler Italia menawarkan untuk mengganti kartu SIM setelah pelanggaran data besar-besaran

January 6, 2021 by Winnie the Pooh

Ho Mobile, operator seluler Italia, yang dimiliki oleh Vodafone, telah mengkonfirmasi pelanggaran data besar-besaran pada hari Senin dan sekarang mengambil langkah langka untuk menawarkan penggantian kartu SIM dari semua pelanggan yang terpengaruh.

Pelanggaran tersebut diyakini telah berdampak pada sekitar 2,5 juta pelanggan.

Pertama kali terungkap bulan lalu pada 28 Desember ketika seorang analis keamanan melihat database telco ditawarkan untuk dijual di forum dark web.

Pernyataan dari Ho mengkonfirmasi penilaian peneliti keamanan bahwa peretas membobol server Ho dan mencuri rincian pelanggan Ho, termasuk nama lengkap, nomor telepon, nomor jaminan sosial, alamat email, tanggal dan tempat lahir, kebangsaan, dan alamat rumah.

Sementara perusahaan telekomunikasi tersebut mengatakan tidak ada data keuangan atau detail panggilan yang dicuri dalam gangguan tersebut, Ho mengakui bahwa peretas mendapatkan detail terkait dengan kartu SIM pelanggan.

Untuk menghindari ancaman penipuan telepon atau serangan SIM swapping sekecil apa pun, perusahaan telekomunikasi Italia sekarang menawarkan untuk mengganti kartu SIM untuk semua pelanggan yang terkena dampak, jika mereka mau, dan bebas biaya.

Sumber: ZDNet

Berikut adalah ‘skala peretasan’ untuk lebih memahami serangan siber SolarWinds

December 29, 2020 by Winnie the Pooh

Beberapa peretasan adalah sebuah bencana besar, tetapi beberapa dapat bertahan. Kita melihat kenyataan ini dalam berbagai laporan yang keluar tentang “peretasan SolarWinds”. Beberapa organisasi sangat terpengaruh sementara yang lain tidak begitu terpengaruh. Namun perbedaan penting ini hilang saat kita mengatakan semuanya telah “diretas”.

Tidak ada “hacked scale” yang digunakan oleh para profesional, apalagi yang bisa digunakan oleh orang awam.

Jika kita ingin memahami perbedaan dalam kasus SolarWinds dengan lebih baik, kita perlu menentukan skala. Karena hal terpenting dalam peretasan adalah penyebaran dan tingkat keparahan, sistem stadium kanker memberikan model yang baik untuk beradaptasi karena melacak penyebaran dan tingkat keparahan kanker dalam lima tahap.

Tahap 0: Penyerang telah menemukan atau membuat titik masuk ke sistem atau jaringan tetapi belum menggunakannya atau tidak mengambil tindakan.

Tahap I: Penyerang memiliki kendali atas sistem tetapi belum berpindah ke luar sistem ke jaringan yang lebih luas.

Tahap II: Penyerang telah berpindah ke jaringan yang lebih luas dan berada dalam mode “read-only” yang berarti mereka dapat membaca dan mencuri data tetapi tidak mengubahnya

Tahap III: Penyerang telah berpindah ke jaringan yang lebih luas dan memiliki akses “write” ke jaringan yang berarti mereka dapat mengubah data serta membaca dan mencurinya.

Tahap IV: Penyerang memiliki kontrol administratif dari jaringan yang lebih luas yang berarti mereka dapat membuat akun dan cara baru untuk masuk ke jaringan serta mengubah, membaca, dan mencuri data.

Faktor kunci dalam level ini adalah akses dan kontrol penyerang: semakin sedikit semakin baik, semakin banyak semakin buruk.

Misalnya, SolarWinds mengatakan bahwa 18.000 pelanggan terkena dampaknya. Namun ini tidak berarti bahwa 18.000 jaringan pelanggan mengalami Tahap IV dan sepenuhnya dikendalikan oleh penyerang.

Informasi yang disediakan SolarWinds hanya memberi tahu kita bahwa pelanggan tersebut mengalami Tahap 0: penyerang mungkin memiliki cara untuk masuk lebih jauh ke dalam jaringan. Untuk mengetahui apakah penyerang bertindak lebih jauh dan pelanggan terkena dampak yang lebih parah, diperlukan penyelidikan lebih lanjut.

FireEye membuat pernyataan pada 8 Desember tentang peretasan yang menimpa mereka yang ternyata adalah bagian dari serangan SolarWinds. Tampaknya menunjukkan bahwa penyerang dapat mencuri informasi tetapi tidak memberikan indikasi bahwa penyerang dapat mengubah data atau mendapatkan kontrol administratif jaringan, kemungkinan membuat apa yang dialami perusahaan tersebut masih dalam Tahap II.

Poin utama bagi semua orang saat ini adalah memahami bahwa “diretas” bukanlah status biner sederhana: ada derajat yang berbeda-beda. Dengan memahami hal ini, kita dapat menilai dengan lebih baik seberapa serius suatu situasi dan apa yang perlu kita lakukan sebagai tanggapan.

Sumber: Geek Wire

Penjahat dunia maya telah mulai mengindeks Dark Web

December 23, 2020 by Winnie the Pooh

Penelitian baru dari Digital Shadows telah menemukan layanan pengindeksan web gelap cerdas yang disebut QUO. Meskipun ada layanan serupa di luar sana, QUO perlahan-lahan membangun reputasi sebagai toko serba ada bagi pengguna selain penjahat dunia maya di web gelap.

Menurut halaman tentang layanan, QUO adalah “web gelap, mesin pencari teks lengkap yang dirancang untuk membuat indeks halaman bawang yang terus diperbarui” untuk menyediakan cara bagi penggunanya untuk “menjelajahi web gelap dengan cepat dan tanpa nama, tanpa log, cookie, dan JavaScript ”. Pada saat penulisan, indeks QUO berisi lebih dari 200 GB data sekitar delapan juta halaman dari sekitar 20.000 ribu situs termasuk URL, judul, metadata, kata kunci, dan judulnya.

Sementara Quo menandai setiap domain Onion yang diindeksnya sebagai online, offline, atau daftar hitam, ia juga memiliki fungsi yang memungkinkan penggunanya melaporkan domain yang berisi konten tidak pantas yang mungkin telah lolos dari proses pemeriksaannya.

Pada surface web, Semua situs web yang Anda kunjungi secara teratur mudah ditemukan secara online karena telah diindeks oleh mesin pencari seperti Google, sedangkan situs di web gelap seringkali sulit ditemukan tanpa mengetahui alamat pastinya karena tidak diindeks.

Source : techradar

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Security

Cookies Settings