Botnet Paling Terkenal di Internet Memiliki Trik Baru yang Mengkhawatirkan

Botnet Paling Terkenal di Internet Memiliki Trik Baru yang Mengkhawatirkan

[ad_1]

Hanya dalam dua bulan terakhir, botnet yang dikendalikan oleh penjahat dunia maya yang dikenal sebagai TrickBot, dengan beberapa ukuran, telah menjadi musuh publik nomor satu bagi komunitas keamanan siber. Itu selamat dari upaya penghapusan oleh Microsoft, sebuah supergrup firma keamanan, dan bahkan US Cyber ​​Command. Sekarang tampaknya para peretas di belakang TrickBot mencoba teknik baru untuk menginfeksi bagian terdalam dari mesin yang terinfeksi, menjangkau di luar sistem operasi mereka dan ke firmware mereka.

Perusahaan keamanan AdvIntel dan Eclypsium hari ini mengungkapkan bahwa mereka telah melihat komponen baru trojan yang digunakan peretas TrickBot untuk menginfeksi mesin. Modul yang belum ditemukan sebelumnya memeriksa komputer korban untuk mencari kerentanan yang memungkinkan peretas untuk memasang pintu belakang dalam kode yang dikenal sebagai Antarmuka Firmware yang Dapat Diperluas Terpadu, yang bertanggung jawab untuk memuat sistem operasi perangkat saat boot. Karena UEFI berada pada chip di motherboard komputer di luar hard drive-nya, menanam kode berbahaya di sana akan memungkinkan TrickBot menghindari sebagian besar deteksi antivirus, pembaruan perangkat lunak, atau bahkan penghapusan total dan penginstalan ulang sistem operasi komputer. Alternatifnya dapat digunakan untuk “mem-bata” komputer target, merusak firmware mereka sedemikian rupa sehingga motherboard perlu diganti.

Penggunaan teknik itu oleh operator TrickBot, yang oleh para peneliti disebut sebagai “TrickBoot”, menjadikan grup peretas hanya salah satu dari segelintir — dan yang pertama tidak disponsori negara — telah bereksperimen di alam liar dengan malware bertarget UEFI, kata Vitali Kremez, peneliti keamanan siber untuk AdvIntel dan CEO perusahaan. Tetapi TrickBoot juga mewakili alat baru yang berbahaya di tangan sekelompok penjahat yang kurang ajar — yang sudah menggunakan pijakannya di dalam organisasi untuk menanam ransomware dan bermitra dengan peretas Korea Utara yang berfokus pada pencurian. “Grup ini mencari cara baru untuk mendapatkan ketekunan yang sangat canggih pada sistem, untuk bertahan dari pembaruan perangkat lunak apa pun dan masuk ke dalam inti firmware,” kata Kremez. Jika mereka berhasil menembus firmware mesin korban, Kremez menambahkan, “kemungkinannya tidak terbatas, dari penghancuran hingga pengambilalihan sistem yang pada dasarnya lengkap.”

Sementara TrickBoot memeriksa UEFI yang rentan, para peneliti belum mengamati kode sebenarnya yang akan membahayakannya. Kremez yakin peretas kemungkinan akan mengunduh muatan peretasan firmware hanya ke komputer tertentu yang rentan setelah teridentifikasi. “Kami pikir mereka telah memilih sendiri target minat yang bernilai tinggi,” katanya.

Para peretas di belakang TrickBot, yang umumnya diyakini berbasis di Rusia, telah mendapatkan reputasi sebagai beberapa peretas penjahat dunia maya paling berbahaya di internet. Botnet mereka, yang pada puncaknya mencakup lebih dari satu juta mesin yang diperbudak, telah digunakan untuk menanam ransomware seperti Ryuk dan Conti di dalam jaringan korban yang tak terhitung jumlahnya, termasuk rumah sakit dan fasilitas penelitian medis. Botnet dianggap cukup mengancam sehingga dua operasi berbeda berusaha mengganggunya pada bulan Oktober: Satu, yang dilakukan oleh sekelompok perusahaan termasuk Microsoft, ESET, Symantec, dan Lumen Technologies, berusaha menggunakan perintah pengadilan untuk memutuskan koneksi TrickBot ke AS- berbasis server perintah dan kendali. Operasi simultan lainnya oleh US Cyber ​​Command pada dasarnya meretas botnet, mengirimkan file konfigurasi baru ke komputer yang dikompromikan yang dirancang untuk memotongnya dari operator TrickBot. Tidak jelas sejauh mana peretas telah membangun kembali TrickBot, meskipun mereka telah menambahkan setidaknya 30.000 korban ke koleksi mereka sejak itu dengan membahayakan komputer baru atau membeli akses dari peretas lain, menurut perusahaan keamanan Hold Security.

Kremez dari AdvIntel menemukan fitur baru yang berfokus pada firmware dari TrickBot — yang desain modularnya memungkinkannya mengunduh komponen baru dengan cepat ke komputer korban — dalam sampel malware pada akhir Oktober, tepat setelah dua percobaan operasi penghapusan. Dia yakin ini mungkin bagian dari upaya operator TrickBot untuk mendapatkan pijakan yang dapat bertahan di mesin target meskipun malware mereka semakin terkenal di seluruh industri keamanan. “Karena seluruh dunia menyaksikan, mereka kehilangan banyak bot,” kata Kremez. “Jadi malware mereka harus disembunyikan, dan itulah mengapa kami yakin mereka fokus pada modul ini.”

Setelah menentukan bahwa kode baru ditujukan untuk campur tangan firmware, Kremez membagikan modul tersebut dengan Eclypsium, yang berspesialisasi dalam keamanan firmware dan mikroarsitektur. Analis Eclypsium menetapkan bahwa komponen baru yang ditemukan Kremez sebenarnya tidak benar-benar mengubah firmware PC korban itu sendiri, tetapi memeriksa kerentanan umum di Intel UEFI. Produsen PC yang menerapkan firmware UEFI Intel sering tidak menetapkan bit tertentu dalam kode yang dirancang untuk mencegahnya dirusak. Eclypsium memperkirakan masalah konfigurasi masih ada di puluhan juta atau bahkan mungkin ratusan juta PC. “Mereka dapat melihat dan mengidentifikasi, oke, ini adalah target bahwa kami akan dapat melakukan serangan berbasis firmware yang lebih invasif atau lebih gigih ini,” kata peneliti utama Eclypsium Jesse Michaels. “Tampaknya itu berharga untuk jenis kampanye yang tersebar luas ini di mana tujuan spesifik mereka mungkin berupa ransomware, sistem bricking, mampu bertahan di lingkungan.”

Diposting oleh : SGP Prize

Releated

Bagaimana Penegakan Hukum Mendapat Enkripsi Ponsel Anda

Bagaimana Penegakan Hukum Mendapat Enkripsi Ponsel Anda

[ad_1] Perbedaan utama antara Perlindungan Lengkap dan AFU terkait dengan seberapa cepat dan mudahnya aplikasi mengakses kunci untuk mendekripsi data. Ketika data dalam status Perlindungan Lengkap, kunci untuk mendekripsinya disimpan jauh di dalam sistem operasi dan dienkripsi sendiri. Tetapi begitu Anda membuka kunci perangkat Anda untuk pertama kali setelah reboot, banyak kunci enkripsi mulai disimpan […]