Dikutip dari security week kelompok APT yang diberi nama DeathStalker menargetkan organisasi di seluruh dunia, terutama entitas keuangan. Kelompok ini memiliki keunggulan karena cepat beradaptasi untuk memastikan keberhasilan serangan, dan memperbarui perangkat lunak mereka dengan cepat.

Peneliti Kaspersky melacak kelompok ini sejak 2018 lalu dan mengkaitkan aktifitas mereka  dengan keluarga malware Powersing, Evilnum, dan Janicab. Ditemukan pula kelompok ini mungkin telah aktif setidaknya sejak 2012, dan terus mengembangkan perangkatnya.

Dalam serangan terbaru, kelompok ini melibatkan implan berbasis PowerShell yang disebut Powersing, email spear-phishing yang membawa arsip dengan file LNK berbahaya di dalamnya digunakan sebagai vektor awal. File pintasan dirancang untuk meluncurkan urutan yang pada akhirnya menghasilkan kode arbitrer yang dieksekusi di perangkat korban.

Implan Powersing dirancang untuk menangkap tangkapan layar perangkat korban secara berkala dan mengirimkannya ke server perintah dan kontrol (C&C), untuk mengeksekusi skrip PowerShell sewenang-wenang yang diterima dari C&C. Hal ini memberikan akses tersembunyi ke jaringan korban, implan memungkinkan penyerang memasang alat tambahan.

Kaspersky mengatakan DeathStalker, menggunakan layanan publik seperti Google+, Imgur, Reddit, ShockChan, Tumblr, Twitter, YouTube, dan WordPress, sebagai dead drop resolver untuk menyimpan data melalui komentar, deskripsi, posting publik, profil pengguna, dan sejenisnya.

Powersing menghubungkan ke dead drop resolver dan mengambil informasi yang disimpan dan akhirnya diubah menjadi alamat IP yang digunakan malware untuk terhubung ke server C&C yang sebenarnya. Dengan mengikuti pesan pada resolver dead drop, para peneliti menyimpulkan bahwa malware telah digunakan setidaknya sejak Agustus 2017.

“Mengandalkan layanan publik terkenal memungkinkan penjahat dunia maya menggabungkan komunikasi pintu belakang awal menjadi lalu lintas jaringan yang sah, karena platform ini umumnya tidak dapat dimasukkan ke daftar hitam di tingkat perusahaan, dan menghapus konten dari mereka bisa menjadi proses yang sulit dan panjang,” ungkap Kaspersky.

Para peneliti keamanan juga mengidentifikasi hubungan antara Powersing dan keluarga malware Janicab, dengan sampel tertuanya berasal dari tahun 2012. Dimana, tahapan infeksi awal sama untuk kedua keluarga malware. Janicab menggunakan YouTube sebagai titik serangan dan mengemas fitur-fitur yang ditemukan di Powersing yang menggunakan lalu lintas jaringan yang mirip dengan keluarga malware yang lebih baru.

Sedangkan Evilnum menggunakan rantai infeksi berbasis LNK dan mengambil informasi C&C dari dead drop resolver dengan menggunakan GitHub, serta untuk menangkap tangkapan layar yang dikirim ke C&C. Meskipun Evilnum memiliki kemampuan lebih dari Powersing dan untuk fokus dalam mengumpulkan data intelijen bisnis dari para korbannya yang berasal dari sektor fintech.

Kaspersky juga mengidentifikasi serangkaian kode yang tumpang tindih antara sampel Evilnum dan Janicab. Keduanya menunjukkan bahwa tiga keluarga malware terkait. Para peretas memanfaatkan pandemi COVID-19 dalam serangan baru-baru ini untuk mengirimkan Janicab dan Powersing.

Korban DeathStalker sebagian besar berasal dari sektor keuangan dan mereka termasuk perusahaan teknologi keuangan, kantor hukum, firma konsultasi kekayaan, dan banyak lagi. Pelaku ancaman juga diamati menargetkan entitas diplomatik. Organisasi korban berupa bisnis kecil hingga menengah, berlokasi di Argentina, Cina, Siprus, India, Israel, Lebanon, Swiss, Rusia, Taiwan, Turki, Inggris Raya, dan Uni Emirat Arab. Korban dipilih berdasarkan nilai atau berdasarkan permintaan pelanggan.

(Cyberthreat/PARADE.ID)

Artikel Hacker DeathStalker Targetkan Sektor Keuangan Sejak 2012 pertama kali tampil pada Parade.id.

Menurut keterangan Kaspersky, aktivitas para phisher pada kuartal dua setiap tahun biasanya akan cenderung mengalami penurunan. Hal ini karena April hingga Juni kerap digunakan sebagai periode liburan di seluruh belahan dunia.

Namun, dipicu oleh pandemi yang masih berlangsung, kuartal kedua tahun ini terbukti menjadi momentum produktif bagi para pelaku kejahatan online.

Berdasarkan statistik terbaru Kaspersky, pelaku kejahatan siber yang menargetkan UKM di kawasan Asia Tenggara menghabiskan setiap bulannya untuk menyebarkan email phishing secara proaktif.

Aplikasi perangkat lunak anti-phishing Kaspersky telah mencegah 1.602.523 upaya phishing terhadap perusahaan dengan 50-250 karyawan. Ini merupakan peningkatan 39 persen dibandingkan dengan periode yang sama tahun lalu.

Data menunjukkan, pada paruh pertama tahun ini, Kaspersky telah menggagalkan upaya phishing terbanyak di Asia Tenggara terhadap UKM di Indonesia, Malaysia, dan Vietnam. Singapura mencatatkan jumlah email phishing paling sedikit di kawasan ini, tapi masih meningkat sebanyak 60,5 persen dari periode yang sama tahun lalu.

“Menurut telemetri kami, upaya phishing tetap menjadi ancaman yang meningkat bagi UKM di wilayah tersebut dari kuartal pertama hingga kuartal kedua tahun ini,” ungkap General Manager untuk Asia Tenggara di Kaspersky, Yeo Siang Tiong, seperti dikutip dari keterangan resminya, Senin (24/8/2020).

“Hal ini dapat dipicu oleh fakta bahwa sebagian besar tindakan penguncian di seluruh Asia Tenggara diterapkan pada akhir Maret, yang kemudian disambut di kuartal dua dengan jutaan pekerja menerapkan sistem kerja jarak jauh untuk pertama kalinya,” sambungnya. 

Skala Global

Dalam skala global, Brasil adalah negara dengan jumlah email phishing yang paling banyak dicegah oleh solusi Kaspersky pada kuartal kedua 2020. Setelahnya diikuti oleh Rusia, Prancis, Kolombia, dan Amerika Serikat.

Secara global, topik phishing teratas termasuk aktivitas yang memanfaatkan Covid-19 sebagai umpan, seperti penipuan penjualan masker, permintaan donasi untuk pendanaan penelitian vaksin, penipuan yang mengeksploitasi ketakutan akan Covid-19, bantuan terkait pandemi, dan kompensasi.

Tema lain yang dieksploitasi termasuk penilaian kinerja karyawan, pesan penting dari HR atau admin, permintaan pemeriksaan kata sandi dan pemberitahuan siaran pers yang mendesak, serta pemberitahuan email back-up.

“Para pelaku kejahatan siber memanfaatkan kekacauan saat ini untuk melakukan serangan dengan metode memanipulasi psikologis seperti email phishing. Dengan memasukkan topik hangat dan frasa terkait pandemi Covid-19 dalam pesan mereka, kemungkinan pengguna yang tidak waspada akan mengklik tautan yang telah terinfeksi atau berisi lampiran berbahaya, menjadi meningkat pesat,” jelas Yeo.

“Ditambah fakta bahwa kita semua memiliki kondisi mental yang sedang panik sehingga membuat lebih rentan untuk melakukan kesalahan, penting bagi UKM menyadari bahwa bekerja dari rumah meningkatkan risiko keamanan siber, sehingga penting untuk mengambil langkah utama demi melindungi data dan arus kas yang masih mereka miliki,” sambungnya.

Pelatihan dari Kaspersky

Untuk membantu UKM melatih karyawannya, Kaspersky menawarkan pelatihan kesadaran keamanan otomatis (Automated Security Awareness Training) gratis selama tiga bulan, yang bertujuan membantu menerapkan budaya keamanan siber perusahaan mereka.

Program ini tersedia hingga akhir September 2020, dan dapat bekerja hingga 500 pengguna.

Kaspersky juga memberikan promo buy 1 year license get 1 year license untuk solusi titik akhir, yaitu:

– Kaspersky Endpoint Security for Business

– Kaspersky Endpoint Security for Cloud and Cloud Plus

– Kaspersky Security for Microsoft Office 365

– Kaspersky Hybrid Cloud Security

(Liputan6/PARADE.ID)

Artikel Jutaan Upaya Phishing Targetkan UKM pertama kali tampil pada Parade.id.

Perangkat lunak pemantauan dan manajemen dapat membantu tim IT dan administrator jaringan melakukan tugas sehari-hari mereka, seperti memecahkan masalah jaringan dan memberikan dukungan teknis kepada karyawan/staf perusahaan.

Namun, para pelaku kejahatan juga dapat memanfaatkan alat yang sah ini untuk melakukan serangan siber terhadap infrastruktur perusahaan.

Di dalam laporan dijelaskan, sekitar 30 persen dari serangan siber yang diselidiki tim tersebut secara global di tahun 2019 melibatkan alat manajemen dan perangkat lunak monitoring atau administrasi jarak jauh.

Kaspersky tidak secara eksplisit menyebut berapa jumlah kasus insiden yang telah mereka tanggapi.

Secara total ada 18 alat yang banyak disalahgunakan, termasuk PowerShell dengan 25 persen kasus.

Menurut Kaspersky, PowerShell merupakan alat administrasi yang kuat dan bisa digunakan untuk berbagai tujuan oleh penjahat cyber, seperti pengumpulan informasi hingga meng-operasikan malware.

Diikuti oleh PsExec – aplikasi konsol untuk proses peluncuran pada titik akhir secara jarak jauh telah dimanfaatkan aktor jahat dengan persentase 22 persen serangan.

Kemudian SoftPerfect Network Scanner – layanan manajemen jaringan yang dapat digunakan aktor jahat untuk mengambil informasi tentang lingkungan sekitar jaringan.

Head of Global Emergency Response Team Kaspersky, Konstantin Sapronov mengatakan penggunaan alat yang sah tersebut membantu aksi para penjahat cyber tidak terdeteksi oleh solusi keamanan. Pasalnya, solusi keamanan menganggap aktivitas yang dijalankan melalui perangkat lunak sah adalah tindakan yang resmi.

“Karena mereka (solusi keamanan) sering mendeteksi serangan hanya setelah kerusakan telah dilakukan,” kata Sapronov dalam siaran pers, Jumat (8 Agustus 2020).

Bahkan, tambah Sapronov, para penjahat cyber tidak mungkin untuk tidak menggunakan alat yang sah untuk melakukan kejahatan siber.

“Untuk menghindari deteksi dan tetap tidak terlihat dalam jaringan yang disusupi dengan jangka waktu lama, para penjahat cyber banyak menggunakan perangkat lunak yang dikembangkan untuk aktivitas pengguna normal, tugas administrator dan diagnostik sistem,” ujarnya.

Sapronov menyebutkan, dengan alat itu para penjahat dapat mengumpulkan informasi tentang jaringan perusahaan kemudian melakukan gerakan lateral, mengubah pengaturan perangkat lunak dan perangkat keras serta melakukan beberapa bentuk tindakan berbahaya, seperti mengenkripsi data pelanggan. Dengan kata lain, serangan ransomware yang menjadikannya sangat berbahaya.

Sebab itu, Sapronov memberikan tips agar bisa mendeteksi serangan yang memanfaatkan perangkat lunak yang sah, yaitu dengan membatasi akses ke alat manajemen jarak jauh dari alamat IP eksternal, menerapkan kebijakan password yang ketat untuk seluruh sistem TI, menerapkan otentikasi multi-faktor, batasi hak akses istimewa hingga pemantauan jaringan perusahaan secara ketat.
(Cyberthreat/PARADE.ID)

Artikel Penjahat Cyber Manfaatkan Tools Pemantauan untuk Serangan pertama kali tampil pada Parade.id.

“Threat Intelligence adalah komponen kunci dari setiap ekosistem cybersecurity,” kata Yeo Siang Tiong dalam siaran pers, Senin (29 Juni 2020).

Tidak mudah melakukan threat intelligence dengan baik. Gartner – perusahaan riset teknologi informasi – mendefinisikan intelijen ancaman sebagai pengetahuan berbasis bukti, termasuk konteks, mekanisme, indikator, implikasi, dan rekomendasi yang berorientasi pada tindakan mengenai ancaman atau potensi bahaya yang dapat atau muncul terhadap aset.

Saat ini, banyak penyedia layanan yang menawarkan solusi threat intelligence. Sehingga, memiliki pemahaman terkait fungsi dari masing-masing solusi intelijen ancaman sangat penting karena akan memberikan gambaran sebelum sebuah organisasi mengimplementasi suatu solusi intelijen ancaman.

Tiong mengatakan terdapat empat jenis utama intelijen ancaman. Ke-empat jenis itu antara lain strategis, taktis, teknis, dan operasional:

1. Strategic Threat Intelligence.

Jenis strategic threat intelligence biasanya berisi analisis tingkat tinggi yang berisi tren secara luas dan umum dari waktu ke waktu tentang bagaimana ancaman siber dapat memengaruhi bisnis kepada para petinggi yang merupakan pengambil kebijakan dalam organisasi. Singkatnya, jenis ini ditujukan kepada para audiens non-teknis.

“Mereka berbeda dari jenis intelijen ancaman lainnya yang biasanya dari sumber terbuka seperti laporan dan sejenisnya,” tambah Tiong.

2. Tactical Threat Intelligence.

Jenis ini dikhususkan kepada para pegawai/staf teknis di organisasi. Tactical threat intelligence, kata Tiong, mengacu pada informasi tentang taktik, teknik dan prosedur (TTP) dari para penjahat cyber atau aktor ancaman.

“Informasi semacam itu memiliki kecenderungan untuk fokus pada keadaan saat ini, karena pihak yang bertanggung jawab atas keamanan infrastruktur IT organisasi perlu memahami penyebab mereka diserang demi mendapatkan strategi untuk melawan kembali,” ujarnya.

3. Technical Threat Intelligence.

Technical threat intelligence sangat berfokus pada indikator peretasan/indicator of compromise (IoC) seperti URL yang mencurigakan atau kumpulan malware-malware yang pernah diidentifikasi sebelumnya.

Technical threat intelligence ini penting karena dapat memberikan penjaga keamanan siber di sebuah perusahaan tentang gagasan apa yang harus dicari sehingga berguna untuk menganalisis serangan. Misalnya serangan rekayasa sosial (social engineering).

4. Operational Threat Intelligence.

Operational Threat Intelligence bertujuan untuk menjawab pertanyaan siapa, apa, dan bagaimana serangan yang terjadi di ruang siber. Faktor-faktor yang relevan, seperti sifat, maksud, waktu, dan kecanggihan kelompok peretasan juga menjadi ranah operational threat intelligence.

Meski demikian, Operational Threat Intelligence memiliki beberapa tumpang tindih dengan intelijen ancaman teknis. Penyebabnya karena Operational Threat Intelligence tidak berisikan sejumlah elemen informasi teknis mengenai vektor serangan atau jenis domain perintah/kontrol yang digunakan.

“Namun, sumber lain dari Operational Threat Intelligence juga dapat diperoleh dari masuknya saluran komunikasi aktor ancaman, memungkinkan seseorang mendapatkan wawasan khusus untuk memahami kemampuan para pelaku kejahatan siber,” kata Tiong.

Lebih lanjut, intelijen ancaman dapat menjadi hal yang luar biasa kompleks. Bahkan bagi seorang profesional IT berpengalaman sekalipun. Tetapi, memiliki kemampuan intelijen ancaman bagi sebuah perusahaan, terutama yang sudah tergolong (enterprise) raksasa merupakan keharusan mutlak untuk menjaga keamanan di ruang siber.

(Cyberthreat/PARADE.ID)

Artikel Empat Jenis Threat Intelligence Menurut Kaspersky pertama kali tampil pada Parade.id.

Filter tersebut memungkinkan seseorang mengubah foto wajah dari perempuan menjadi laki-laki atau sebaliknya.

Pantauan Cyberthreat.id, di Instagram tagar #faceapp hingga artikel ini ditulis, Senin (22 Juni 2020), pukul 11.00 WIB telah mencapai 1,1 juta unggahan. Sementara, tagar #faceappchallengemencapai 223 ribu unggahan.

General Manager untuk Asia Tenggara di Kaspersky, Yeo Siang Tiong mengatakan masa isolasi dan saat masyarakat terjebak di rumah selama pandemi telah mendorong banyak orang untuk menghabiskan lebih banyak waktu di media sosial dibandingkan sebelumnya.

Alhasil, berbagi foto dan video menggunakan aplikasi FaceApp menjadi populer kembali, kata Yeo. Ia pun kembali mengingatkan pengguna akan risiko privasi.

“Kami juga selalu mengingatkan bahwa tidak ada salahnya menggunakan aplikasi ini. Tetapi, kami juga mendesak pengguna media sosial untuk selalu memperhatikan dengan seksama seberapa besar informasi pribadi mereka akan digunakan dan dibagikan oleh aplikasi tersebut demi menghindari berbagai risiko,” ujar Yeo dalam siaran persnya yang diterima Cyberthreat.id, Senin.

Sementara, Analis Keamanan Senior di Kaspersky, Fabio Assolini mengatakan, sejauh ini tidak ditemukan malware di FaceApp yang tersedia di toko-toko aplikasi resmi, seperti Play Store dan App Store..

Yang menjadi sorotan Kaspersky justru di teknologi pengenalan wajah (facial recognition) yang dipakai di FaceApp.

Menurut Assolini, teknologi pengenalan wajah merupakan teknologi yang banyak digunakan dalam berbagai sistem informasi, terutama untuk otentikasi kata sandi. Oleh karenanya, pengguna untuk berhati-hati dalam berbagi gambar dengan pihak ketiga.

“Setiap sistem pengenalan wajah yang tersedia secara luas pada akhirnya dapat digunakan baik untuk hal bagus maupun yang jelek,” jelas Assolini.

Assolini menambahkan, perusahaan yang memiliki aplikasi semacam itu berpotensi memfasilitasi atau menjual gambar-gambar tersebut kepada entitas yang menggunakan kecerdasan buatan (artificial intelligence/AI) untuk membuat modifikasi pengenalan wajah.

“Selain itu, harus diperhitungkan bahwa data itu disimpan di server pihak ketiga dan juga berpotensi untuk dicuri oleh para pelaku kejahatan siber dan digunakan sebagai identitas samaran,” kata Assolini.

Oleh karenanya, ia menyarankan pengguna untuk membaca dan memahami persyaratan privasi yang diminta oleh aplikasi tersebut. Lalu, perlakukan teknologi pengenalan wajah layaknya kata sandi: jangan menggunakannya secara bebas.

Pada Juli 2019, FaceApp sempat dihantam beberapa isu privasi dan isu penjualan atau berbagi data pengguna kepada pihak ketiga.

FaceApp membantah penjualan atau berbagi data pengguna kepada pihak ketiga. Perusahaan juga menegaskan, data pengguna tidak pernah ditransfer ke pemerintah Rusia dan sebagian besar gambar dihapus dari server-nya dalam waktu 48 jam setelah pengiriman.

(Cyberthreat/PARADE.ID)

Artikel Kaspersky Ingatkan Risiko Alat Pengenal Wajah pertama kali tampil pada Parade.id.

Peneliti di Kaspersky telah mengungkap kenaikan jumlah pengguna ponsel yang diserang oleh konten pornografi tumbuh dua kali lipat pada tahun 2019.

Data tersebut menunjukan angka mencapai 42.973 pengguna dibandingkan dengan 19.699 pengguna yang ditargetkan pada 2018.

Dilansir dari Tempo.co, peneliti keamanan di Kaspersky, Dmitry Galov menyebutkan dalam keterangannya pekan ini, bahwa dengan banyaknya pengguna mobile saat ini, para pelaku kejahatan siber pun lebih gencar melakukan aksinya menggunakan malware seluler.

“Melihat fakta bahwa pengguna kini menjadi lebih mobile, para pelaku kejahatan siber pun berlaku demikian. Kami telah melihat bahwa meskipun distribusi malware PC menurun, malware seluler terus mengalami peningkatan,” ujarnya.

Galov pun menambahkan, pihaknya belum dapat memastikan teknik yang dilancarkan oleh para pelaku kejahatan siber.

“Meskipun kami belum menyaksikan banyak perubahan dalam teknik yang digunakan oleh para pelaku kejahatan siber, statistik menunjukkan bahwa topik ini tetap menjadi sumber ancaman dan pengguna perlu menyadari hal itu, segera lah untuk mengambil langkah-langkah demi melindungi akses ke data berharga yang di simpan pada perangkat,” ungkapnya.

Menurutnya, konten dewasa seperti halnya dengan sejenis hiburan lainnya, tetap menjadi salah satu cara yang paling mencolok bagi para pelaku kejahatan siber untuk menginfeksi perangkat korban.

Sementara, tak cukup hanya menggunakan phishing, spam dan bahkan berbagai ransomware yang terkait “porno” telah ada selama bertahun-tahun sebagai skema kejahatan siber. Para pelaku pun terus memperluas vektor serangan hingga menyempurnakan metode serangan.

Untuk mempelajari skema kejahatan siber yang mengancam keamanan seluler yang terkait dengan konten dewasa. Kaspersky pun akan memeriksa seluruh file yang disamarkan sebagai video porno atau paket instalasi terkait konten dewasa untuk Android dan menjalankan 200 tag porno populer terhadap basis data ini.

Analisis menunjukkan, dari 105 tag pada 2018 dan 99 tag pada 2019, telah menunjukkan bahwa tidak semua porno digunakan oleh para pelaku kejahatan siber untuk menargetkan korban mereka. Analisis tambahan menunjukkan bahwa konten yang dinilai sebagai kekerasan jarang digunakan untuk menyebarkan malware.
Meskipun pada tahun 2019 lebih sedikit tag digunakan untuk menyebarkan ancaman yang disamarkan sebagai porno, jumlah pengguna yang diserang oleh ancaman seluler terkait pornografi dan aplikasi tidak diinginkan justru mengalami peningkatan berlipat ganda, yaitu mencapai 42.973 pengguna dibandingkan dengan 19.699 pada tahun 2018. Menariknya, tren berlawanan terlihat untuk ancaman PC, yang turun hampir 40 persen.

Tak hanya itu, perangkat lunak iklan lainnya digunakan untuk mengarahkan pengguna ke halaman iklan yang tidak diinginkan. Hal itu tetap menjadi ancaman seluler paling menonjol baik dalam variasi maupun jumlah pengguna.

Dilaporkan, dari 10 ancaman teratas terkait pornografi bagi pengguna ponsel pada tahun 2019, tujuh di antaranya termasuk dalam kategori ancaman tersebut.

(notif/PARADE.ID)

Artikel Kaspersky Ungkap Ancaman Kejahatan Siber Berkedok Konten Pornografi pertama kali tampil pada Parade.id.