Threat

Geng TA505 Kembali Dengan FlawedGrace RAT yang Baru

October 22, 2021 by Winnie the Pooh

Kelompok kejahatan dunia maya TA505 menghidupkan kembali mesin pembobol keuangannya, melemparkan malware ke berbagai industri dalam gelombang volume rendah yang awalnya dilihat oleh para peneliti meningkat akhir bulan lalu.

Mereka melakukan hal-hal buruk, tetapi mereka sangat rumit sehingga melacaknya sangat menyenangkan, kata Sherrod DeGrippo, wakil presiden, Riset dan Deteksi Ancaman di Proofpoint.

TA505, alias Hive0065, adalah sekelompok penjahat dunia maya yang terlibat dalam penipuan keuangan dan tindakan yang disponsori negara. Peneliti proofpoint menggambarkan grup tersebut sebagai “salah satu aktor yang lebih produktif” yang mereka lacak.

Yang ada di balik kampanye spam terbesar yang pernah dilihat perusahaan: yaitu, distribusi trojan perbankan Dridex. Proofpoint juga telah melacak geng yang mendistribusikan ransomware Locky dan Jaff, trojan perbankan Trick, dan lainnya “dalam volume yang sangat tinggi,” kata Proofpoint.

TA505, yang secara aktif menargetkan banyak industri – termasuk keuangan, ritel, dan restoran – telah aktif setidaknya sejak 2014. Mereka dikenal karena seringnya mengganti malware dan untuk mendorong tren global dalam distribusi malware kriminal.

Sesuai dengan bentuknya, kampanye terbaru geng didistribusikan di berbagai industri. Mereka juga muncul dengan perlengkapan baru, termasuk loader KiXtart yang telah ditingkatkan, loader MirrorBlast yang mengunduh pemecah skrip Rebol, RAT FlawedGrace yang diperbarui, dan lampiran Excel berbahaya yang diperbarui.

Para peneliti mencatat bahwa TA505 sekarang menggunakan beberapa pemuat perantara sebelum pengiriman RAT FlawedGrace, dan mereka dikodekan dalam bahasa skrip yang tidak umum – Rebol dan KiXtart.

Mengingat bahwa TA505 mengubah TTP dan bahwa mereka “dianggap sebagai trendsetter di dunia kejahatan dunia maya,” Proofpoint mengatakan TA505 tidak akan pergi dalam waktu dekat.

Selengkapnya: Threat Post

Mengapa ancaman keamanan siber saat ini lebih berbahaya

October 6, 2021 by Winnie the Pooh

Selama dua tahun terakhir, munculnya serangan ransomware besar-besaran dan pengungkapan infeksi rantai pasokan perangkat lunak berbahaya telah meningkatkan keamanan siber menjadi agenda utama pemerintah.

Pada saat yang sama, perusahaan Amerika dan bahkan masyarakat umum telah sadar akan bahaya digital baru yang ditimbulkan oleh aktor negara-bangsa dan organisasi kriminal.

Maka tidak mengherankan bahwa dua utas yang berjalan melalui Aspen Cyber Summit tahun ini adalah sifat rumit dari ancaman keamanan siber yang sekarang kita hadapi dan bagaimana mereka mungkin berbeda dari tantangan yang kita hadapi di masa lalu.

Tidak seperti 20 tahun yang lalu, bahkan ketika sistem TI yang ekstensif secara komparatif berdiri sendiri dan langsung, sistem yang saling ketergantungan sekarang membuat penanganan dan pertahanan terhadap ancaman menjadi proposisi yang jauh lebih sulit.

Salah satu variabel baru yang dilemparkan ke dalam campuran digital adalah pertumbuhan meteroik ransomware, yang membuatnya tampak bahwa serangan siber semakin buruk.

Terlebih lagi, permukaan serangan saat ini tidak hanya jauh lebih luas daripada sebelumnya, tetapi juga mencakup perangkat internet-of-things (IoT), yang, tidak seperti komputer mainframe dan laptop dan bahkan perangkat seluler, sulit diperbarui dari perspektif keamanan.

Jay Healey, peneliti senior di Universitas Columbia, mengatakan bahwa interkoneksi sektor infrastruktur kritis yang hampir ada di mana-mana saat ini dengan jaringan digital memang menimbulkan ancaman yang lebih gelap daripada Trojan dan virus.

Perubahan signifikan lainnya dari 20 tahun lalu adalah pergeseran sifat kejahatan dunia maya, kata Kevin Mandia, CEO FireEye. “Ketika Anda melihat para penjahat, saya pikir mungkin 20 tahun yang lalu mereka harus sangat teknis.” Sekarang hambatan masuk kejahatan dunia maya rendah dan kejahatan dunia maya menjadi layanan.

Selengkapnya: CSO Online

Penyerang menggunakan ‘AI ofensif’ untuk membuat deepfake untuk kampanye phishing

July 3, 2021 by Winnie the Pooh

AI memungkinkan organisasi untuk mengotomatisasi tugas, mengekstrak informasi, dan membuat media yang hampir tidak dapat dibedakan dari yang asli. Tetapi seperti teknologi apa pun, AI tidak selalu dimanfaatkan untuk kebaikan. Secara khusus, penyerang siber dapat menggunakan AI untuk meningkatkan serangan mereka dan memperluas kampanye mereka.

Sebuah survei baru-baru ini yang diterbitkan oleh para peneliti di Microsoft, Purdue, dan Universitas Ben-Gurion, antara lain, mengeksplorasi ancaman “AI ofensif” ini pada organisasi. Ini mengidentifikasi kemampuan berbeda yang dapat digunakan musuh untuk meningkatkan serangan mereka dan memberi peringkat masing-masing berdasarkan tingkat keparahan, memberikan wawasan tentang musuh.

Survei, yang melihat penelitian yang ada tentang AI ofensif dan tanggapan dari organisasi termasuk IBM, Airbus, Airbus, IBM, dan Huawei, mengidentifikasi tiga motivasi utama musuh untuk menggunakan AI: cakupan, kecepatan, dan kesuksesan. AI memungkinkan penyerang untuk “meracuni” model pembelajaran mesin dengan merusak data pelatihan mereka, serta mencuri kredensial melalui analisis saluran samping. Dan itu dapat digunakan untuk mempersenjatai metode AI untuk deteksi kerentanan, pengujian penetrasi, dan deteksi kebocoran kredensial.

Organisasi memberi tahu para peneliti bahwa mereka menganggap pengembangan eksploitasi, rekayasa sosial, dan pengumpulan informasi sebagai teknologi AI ofensif yang paling mengancam. Mereka sangat khawatir tentang AI yang digunakan untuk peniruan identitas, seperti deepfake untuk melakukan serangan phishing dan rekayasa balik yang memungkinkan penyerang untuk “mencuri” algoritme kepemilikan. Selain itu, mereka khawatir bahwa, karena kemampuan AI untuk mengotomatisasi proses, musuh dapat beralih dari memiliki beberapa kampanye rahasia yang lambat menjadi memiliki banyak kampanye yang bergerak cepat untuk membanjiri pembela dan meningkatkan peluang keberhasilan mereka.

Tetapi ketakutan tidak memacu investasi dalam pertahanan. Menurut survei perusahaan yang dilakukan oleh startup otentikasi data Attestiv, kurang dari 30% mengatakan mereka telah mengambil langkah-langkah untuk mengurangi dampak dari serangan deepfake. Pertarungan melawan deepfake kemungkinan akan tetap menantang karena teknik pembuatan terus meningkat, terlepas dari inovasi seperti Tantangan Deteksi Deepfake dan Video Authenticator Microsoft.

selengkapnya : venturebeat.com

Ransomware adalah ancaman keamanan siber teratas yang kita hadapi, kepala siber memperingatkan

June 15, 2021 by Winnie the Pooh

Ransomware adalah salah satu ancaman keamanan siber utama yang dihadapi Inggris dan kelompok kriminal siber di belakang mereka menjadi lebih berbahaya, kepala siber Inggris memperingatkan.

Lindy Cameron, kepala Pusat Keamanan Siber Nasional (NCSC) akan mengatakan bahwa organisasi – lengan keamanan dunia maya dari agen mata-mata GCHQ – berkomitmen untuk mengatasi ancaman ransomware dan “mendukung korban ransomware setiap hari” tetapi respon yang terkoordinasi diperlukan untuk memerangi ancaman yang berkembang.

Sementara kampanye peretasan yang disponsori negara menimbulkan “ancaman strategis yang berbahaya bagi kepentingan nasional Inggris”, itu adalah kejahatan dunia maya – dan khususnya ransomware – yang telah menjadi ancaman terbesar.

Insiden baru-baru ini seperti serangan ransomware terhadap Colonial Pipeline dan pengolah daging JBS, serta serangan ransomware terhadap layanan kesehatan Irlandia, telah menunjukkan betapa mengganggu nya kampanye kriminal dunia maya ini terhadap layanan penting.

Tidak hanya kelompok ransomware kriminal dunia maya yang mengenkripsi jaringan dan menuntut pembayaran yang signifikan sebagai ganti kunci dekripsi, sekarang juga umum bagi mereka untuk juga mencuri informasi sensitif dan mengancam untuk melepaskannya kecuali uang tebusan dibayarkan – seringkali membuat korban merasa seolah-olah mereka tidak punya pilihan selain menyerah pada tuntutan pemerasan.

Namun, ransomware bukan hanya masalah bagi Inggris saja dan Cameron mendesak pentingnya bekerja sama dengan negara lain untuk mengatasi apa yang benar-benar menjadi masalah internasional ini.

Selengkapnya: ZDNet

Gambar satelit deepfake menimbulkan tantangan militer dan politik yang serius

April 28, 2021 by Winnie the Pooh

The Verge melaporkan bahwa para peneliti yang dipimpin Universitas Washington telah mengembangkan cara untuk menghasilkan fotografi satelit deepfake sebagai bagian dari upaya untuk mendeteksi gambar yang dimanipulasi.

Tim tersebut menggunakan algoritma AI untuk menghasilkan deepfake dengan memasukkan ciri-ciri gambar satelit yang dipelajari ke dalam peta dasar yang berbeda. Mereka dapat menggunakan lokasi jalan dan gedung Tacoma, misalnya (di kanan atas pada gambar di bawah), tetapi melapiskan gedung-gedung tinggi di Beijing (kanan bawah) atau gedung-gedung rendah Seattle (kiri bawah).

Anda juga bisa mengaplikasikan tanaman hijau. Meskipun eksekusinya tidak sempurna, cukup dekat sehingga para ilmuwan percaya Anda mungkin menyalahkan keanehan pada kualitas gambar yang rendah.

Penulis utama Bo Zhao dengan cepat mencatat bahwa mungkin ada penggunaan positif untuk snapshot satelit yang dipalsukan. Anda dapat menyimulasikan lokasi dari masa lalu untuk membantu memahami perubahan iklim, mempelajari perluasan perkotaan, atau memprediksi bagaimana suatu wilayah akan berkembang dengan mengisi kekosongan.

Namun, ada sedikit keraguan bahwa pemalsuan buatan AI dapat digunakan untuk kesalahan informasi. Negara yang bermusuhan dapat mengirim gambar yang dipalsukan untuk menyesatkan ahli strategi militer – mereka mungkin tidak melihat bangunan atau jembatan yang hilang yang dapat menjadi target berharga. Pemalsuan juga dapat digunakan untuk tujuan politik, seperti menyembunyikan bukti kekejaman atau menekan ilmu iklim.

Selengkapnya: Endgadget

Perusahaan dapat secara diam-diam mengubah rute teks Anda ke peretas, terkadang hanya dengan $ 16

March 16, 2021 by Winnie the Pooh

Ada serangan yang baru ditemukan pada perpesanan SMS yang hampir tidak terlihat oleh korban, dan tampaknya disetujui oleh industri telekomunikasi, diungkap dalam laporan oleh Motherboard.

Serangan tersebut menggunakan layanan manajemen pesan teks yang ditujukan untuk bisnis untuk mengarahkan pesan teks secara diam-diam dari korban ke peretas, memberi mereka akses ke kode dua faktor atau tautan masuk yang dikirim melalui pesan teks.

Terkadang, perusahaan yang menyediakan layanan tidak mengirim pesan apa pun ke nomor yang sedang dialihkan, baik untuk meminta izin atau bahkan untuk memberi tahu pemilik bahwa SMS mereka sekarang dikirimkan ke orang lain.

Dengan menggunakan layanan ini, penyerang tidak hanya dapat mencegat pesan teks yang masuk, tetapi mereka juga dapat membalas.

Joseph Cox, reporter dari Motherboard, meminta seseorang berhasil melakukan serangan terhadap nomornya, dan hanya menelan biaya $ 16. Ketika dia menghubungi perusahaan lain yang menyediakan layanan pengalihan SMS, beberapa dari mereka melaporkan bahwa mereka pernah melihat serangan semacam ini sebelumnya.

Perusahaan tertentu yang digunakan Motherboard dilaporkan telah memperbaiki eksploit tersebut, tetapi masih banyak perusahaan lain yang seperti itu – dan tampaknya tidak ada orang yang meminta pertanggungjawaban perusahaan tersebut.

Perhatian utama pada serangan SMS adalah implikasinya terhadap keamanan akun Anda yang lain. Jika penyerang bisa mendapatkan tautan atau kode pengaturan ulang kata sandi yang dikirim ke nomor telepon Anda, mereka akan memiliki akses ke sana dan bisa masuk ke akun Anda. Pesan teks juga terkadang digunakan untuk mengirim tautan masuk, seperti yang ditemukan Motherboard dengan Postmates, WhatsApp, dan Bumble.

Selengkapnya: The Verge

Kia Motors America menderita serangan ransomware dengan tebusan $ 20 juta

February 18, 2021 by Winnie the Pooh

Kia Motors America mengalami pemadaman TI nasional yang memengaruhi aplikasi UVO Link seluler, layanan telepon, sistem pembayaran, portal pemilik, dan situs internal yang digunakan oleh dealer.

Saat mengunjungi situs mereka, pengguna akan disambut dengan pesan yang menyatakan bahwa Kia “mengalami gangguan layanan TI yang berdampak pada beberapa jaringan internal”, seperti yang ditunjukkan di bawah ini.

“KMA mengetahui pemadaman TI yang melibatkan sistem internal, dealer dan yang berhubungan dengan pelanggan, termasuk UVO. Kami mohon maaf atas ketidaknyamanan yang terjadi pada pelanggan kami dan sedang bekerja untuk menyelesaikan masalah dan memulihkan operasi bisnis normal secepat mungkin.” klarifikasi dari Kia Motors America.

BleepingComputer memperoleh catatan tebusan yang kami diberitahu dibuat selama dugaan serangan siber Kia Motors America oleh geng ransomware DoppelPaymer.

Dalam catatan tebusan yang dilihat oleh BleepingComputer, para penyerang menyatakan bahwa mereka menyerang Hyundai Motor America, perusahaan induk Kia. Hyundai tampaknya tidak terpengaruh oleh serangan ini.

Catatan tebusan berisi link ke halaman korban pribadi di situs pembayaran DoppelPaymer Tor yang sekali lagi menyatakan targetnya adalah ‘Hyundai Motor America.’

Halaman korban Tor mengatakan bahwa “sejumlah besar” data telah dicuri, atau dieksfiltrasi, dari Kia Motors America dan akan dirilis dalam 2-3 minggu jika perusahaan tidak bernegosiasi dengan pelaku ancaman.

DoppelPaymer dikenal karena mencuri file yang tidak dienkripsi sebelum mengenkripsi perangkat dan kemudian memposting bagian di situs kebocoran data mereka untuk lebih menekan korban agar membayar.

Untuk mencegah kebocoran data dan menerima decryptor, DoppelPaymer meminta 404 bitcoin senilai sekitar $ 20 juta. Jika tebusan tidak dibayarkan dalam jangka waktu tertentu, jumlahnya meningkat menjadi 600 bitcoin, atau $ 30 juta.

Kia motor telah memberikan klarifikasi sebagai berikut, dikutip dari Bleepingcomputer :
Kia Motors America, Inc. (“Kia”) saat ini mengalami pemadaman sistem yang diperpanjang. Sistem yang terpengaruh termasuk Portal Pemilik Kia, Aplikasi Seluler UVO, dan portal Web Urusan Konsumen. Kami mohon maaf atas ketidaknyamanan yang dialami pelanggan yang terpengaruh, dan kami sedang berupaya menyelesaikan masalah ini secepat mungkin dengan gangguan minimal pada bisnis kami. Kami juga mengetahui spekulasi online bahwa Kia terkena serangan “ransomware”. Saat ini, kami dapat mengonfirmasi bahwa kami tidak memiliki bukti bahwa Kia atau data Kia apa pun menjadi sasaran serangan “ransomware”.

Source : Bleepingcomputer

Bagaimana Melindungi Cadangan File Dari Serangan Ransomware ?

February 17, 2021 by Winnie the Pooh

Ransomware menjadi ancaman nomor satu terhadap data, yang membuatnya penting untuk memastikan bahwa pelaku kejahatan tidak mengenkripsi data cadangan Anda bersama dengan data primer Anda saat mereka melakukan serangan ransomware. Jika mereka berhasil dalam hal itu, Anda tidak akan punya pilihan selain membayar tebusan, dan itu akan mendorong mereka untuk mencobanya lagi.

Perkuat Windows
Selain menyimpan cadangan biasa Anda di belakang server media berbasis Linux, pastikan cadangan server cadangan utama Anda juga disimpan di sana. Tidak ada gunanya jika cadangan Anda tidak dienkripsi jika database yang diperlukan untuk mengakses cadangan tersebut dienkripsi oleh ransomware.

Anda juga harus memperkuat server cadangan berbasis Windows sebanyak mungkin. Pelajari layanan yang digunakan ransomware untuk menyerang server (seperti RDP) dan matikan sebanyak mungkin. Ingat server ini adalah garis pertahanan terakhir Anda, jadi pikirkan keamanan, bukan kenyamanan.

Dapatkan cadangan dari pusat data
Apa pun solusi pencadangan yang Anda pilih, salinan cadangan harus disimpan di lokasi yang berbeda. Ini berarti lebih dari sekadar meletakkan server cadangan Anda di mesin virtual di cloud. Jika VM dapat diakses dari perspektif elektronik seperti saat berada di pusat data, itu juga mudah untuk diserang. Anda perlu mengonfigurasi berbagai hal sedemikian rupa sehingga serangan terhadap sistem di pusat data Anda tidak dapat menyebar ke sistem cadangan Anda di cloud. Ini dapat dilakukan dengan berbagai cara, termasuk aturan firewall, mengubah sistem operasi, dan protokol penyimpanan.

Idenya adalah untuk mendapatkan cadangan atau setidaknya satu salinan dari cadangan anda sebanyak mungkin lompatan dari sistem Windows yang terinfeksi. Tempatkan mereka di awan penyedia yang dilindungi oleh aturan firewall, gunakan sistem operasi yang berbeda untuk server cadangan Anda, dan tulis cadangan Anda ke jenis penyimpanan yang berbeda.

Hapus akses sistem file ke cadangan
Jika menulis cadangan ke harddrive, lakukan yang terbaik untuk memastikannya tidak dapat diakses melalui direktori sistem file standar. Misalnya, menamai data cadangan Anda E: \ backups. Produk ransomware secara khusus menargetkan direktori dengan nama seperti itu dan akan mengenkripsi cadangan Anda.

Letakkan di beberapa penghalang pandang
Jangan membuat mudah ransomware untuk melihat dan mengenkripsi cadangan Anda. Jangan menyimpannya di server Windows jika memungkinkan dan memiliki setidaknya satu salinan yang disimpan di tempat yang tidak dapat diakses secara elektronik dari pusat data Anda. Terakhir, konfigurasikan sistem cadangan Anda sedemikian rupa sehingga cadangan tidak dapat dilihat sebagai file di server cadangan Anda.

Source : Networkworld

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings