Cyber Attack

Fitur Dasar iPhone Membantu Penjahat Mencuri Seluruh Kehidupan Digital Anda

March 1, 2023 by Mally

NEW YORK—Pada jam-jam awal akhir pekan Thanksgiving, Reyhan Ayas meninggalkan sebuah bar di Midtown Manhattan ketika seorang pria yang baru saja dia temui merampas iPhone 13 Pro Max-nya.

Dalam beberapa menit, seorang ekonom senior berusia 31 tahun di startup intelijen tenaga kerja, tidak dapat lagi masuk ke akun Apple-nya dan semua hal yang terkait dengannya, termasuk foto, kontak, dan catatan. Selama 24 jam berikutnya, katanya, sekitar $10.000 menghilang dari rekening banknya.

Cerita serupa menumpuk di kantor polisi di seluruh negeri. Menggunakan trik berteknologi rendah yang luar biasa, pencuri melihat pemilik iPhone mengetuk kode sandi mereka, lalu mencuri ponsel target—dan kehidupan digital mereka.

Pencuri mengeksploitasi kerentanan sederhana dalam desain perangkat lunak lebih dari satu miliar iPhone yang aktif secara global. Itu berpusat pada kode sandi, rangkaian angka pendek yang memberikan akses ke perangkat; dan kata sandi, umumnya kombinasi alfanumerik yang lebih panjang yang berfungsi sebagai login untuk akun yang berbeda.

Hanya dengan iPhone dan kode sandinya, penyusup dapat dalam hitungan detik mengubah kata sandi yang terkait dengan ID Apple pemilik iPhone. Ini akan mengunci korban dari akun mereka, termasuk semua yang disimpan di iCloud. Pencuri juga sering dapat menjarah aplikasi keuangan ponsel karena kode sandi dapat membuka akses ke semua kata sandi yang tersimpan di perangkat.

Apple Inc. telah memasarkan dirinya sebagai pemimpin dalam privasi dan keamanan digital, menjual perangkat keras, perangkat lunak, dan layanan web iCloud yang terintegrasi erat sebagai perlindungan terbaik untuk data pelanggannya. “Peneliti keamanan setuju bahwa iPhone adalah perangkat seluler konsumen yang paling aman, dan kami bekerja tanpa lelah setiap hari untuk melindungi semua pengguna kami dari ancaman baru dan yang muncul,” kata juru bicara Apple.

selengkapnya : wsj.com

Apa yang Sebenarnya Mampu Dilakukan oleh Alat “mirip” Tamagotchi

March 1, 2023 by Mally

Artikel ini akan mengasumsikan skenario di mana PC administrator yang tidak dijaga ditemukan dan memiliki beberapa skrip BadUSB yang dijalankan terhadapnya, yang berhasil menonaktifkan fitur keamanan utama seperti pemberitahuan Windows Firewall atau UAC dan pencurian semua kunci Wi-fi yang diketahui pada perangkat . Skrip BadUSB lainnya, seperti mengunduh dan menjalankan Mimikatz untuk membuang database SAM, eksekusi shell terbalik menggunakan Netcat, dan menginstal pintu belakang melalui kunci registri atau akun administrator lainnya juga tersedia.

Untuk mengakses, mengunduh, atau memodifikasi skrip BadUSB, skrip tersebut biasanya terletak di folder BadUSB pada kartu SD onboard, seperti yang ditunjukkan di bawah ini. Penguji penetrasi atau peretas jahat sering mencoba menonaktifkan atau menghindari kontrol titik akhir untuk mencapai pergerakan lateral atau melakukan eskalasi hak istimewa. Beberapa skrip BadUSB yang dijalankan dari FlipperZero dapat membantu mewujudkan tujuan ini. Dimulai dengan skrip “disable_uac”, FlipperZero dapat menyembunyikan pemberitahuan kepada pengguna saat aplikasi memodifikasi pengaturan komputer atau menginstal perangkat lunak.

Skrip BadUSB dijalankan dengan melampirkan FlipperZero ke mesin target melalui USB, menavigasi ke opsi menu BadUSB, memilih skrip pilihan, dan menjalankannya dengan mengeklik tombol tengah. Sebelum eksekusi skrip “disable_uac”, UAC pada mesin target dimulai dari opsi “Selalu Beri Tahu” paling atas dan kemudian berakhir pada “Jangan Beri Tahu” setelah eksekusi skrip.

Selanjutnya, skrip BadUSB “disable_firewall” dijalankan, mematikan berbagai fitur perlindungan yang ditawarkan oleh firewall Windows, yang membantu perangkat dalam memblokir serangan yang ditularkan melalui internet dan upaya penginstalan perangkat lunak berbahaya.

Artikel ini hanya membahas sekilas tentang kemampuan FlipperZero dari perspektif analisis sinyal dan penilaian keamanan. Ada beberapa produk pesaing di pasar yang menawarkan fitur serupa. Namun, banyak yang terlalu fokus pada pilihan kemampuan yang lebih sedikit dibandingkan dengan FlipperZero, lebih mahal, dan tidak memiliki fleksibilitas umum terkait modifikasi firmware atau memperluas kemampuan solusi. Artikel tersebut sengaja memamerkan contoh kecil tentang bagaimana FlipperZero dapat meningkatkan pendekatan dan rangkaian alat yang digunakan selama penilaian keamanan, yang bertujuan untuk membangkitkan rasa ingin tahu pembaca untuk mencoba dan mengadaptasi aplikasi penting dalam upaya pengujian di masa mendatang. Satu-satunya cara perangkat sekecil dan tersembunyi seperti FlipperZero dapat ditingkatkan adalah jika sistem pengujian penetrasi yang lengkap seperti Kali Linux atau ParrotOS juga disertakan.

Kebetulan, sepertinya Flipper Devices Inc sudah bekerja keras untuk menghilangkan rasa gatal itu dengan FlipperOne, yang saat ini sedang dikembangkan.

selengkapnya : cybernews.com

Geng Ransomware menggunakan Zero-Day Baru Untuk Mencuri Data 1 Juta Pasien

February 20, 2023 by Mally

CHS belum mengatakan jenis data apa yang terungkap dan juru bicara belum menjawab pertanyaan TechCrunch. Ini adalah pelanggaran data pasien kedua yang diketahui CHS dalam beberapa tahun terakhir.

Geng ransomware yang terkait dengan Rusia, Clop dilaporkan telah mengambil tanggung jawab untuk mengeksploitasi zero-day baru dalam kampanye peretasan baru dan mengklaim telah melanggar lebih dari seratus organisasi yang menggunakan teknologi transfer file Fortra — termasuk CHS.

Meskipun CHS dengan cepat tampil sebagai korban, klaim Clop menunjukkan bahwa mungkin ada lebih banyak organisasi yang terpengaruh di luar sana — dan jika Anda adalah salah satu dari ribuan pengguna GoAnywhere, perusahaan Anda mungkin termasuk di antara mereka. Untungnya, pakar keamanan telah membagikan banyak informasi tentang zero-day dan apa yang dapat Anda lakukan untuk melindunginya.

Sekarang geng ransomware Clop — yang baru-baru ini menjadi berita utama dengan varian Linux barunya — memberi tahu Bleeping Computer bahwa mereka telah mengeksploitasi kerentanan GoAnywhere untuk mencuri data dari lebih dari 130 organisasi. Clop tidak memberikan bukti untuk klaimnya, dan pada saat penulisan, situs kebocoran web gelap Clop tidak menyebutkan Fortra atau GoAnywhere.

Perusahaan cybersecurity Huntress melaporkan minggu lalu bahwa mereka menyelidiki intrusi ke dalam jaringan pelanggan yang melibatkan eksploitasi GoAnywhere zero-day. Huntress mengaitkan intrusi tersebut dengan aktor ancaman berbahasa Rusia yang disebutnya “Silence”, yang memiliki tautan ke grup lain yang disebut TA505, kru peretasan kriminal yang telah aktif setidaknya sejak 2016 dan dikenal dengan kampanye bertarget yang melibatkan penyebaran dari Clop ransomware.

selengkapnya : techcrunch

Malware WhiskerSpy Baru Dikirimkan Melalui Penginstal Codec Trojanized

February 20, 2023 by Mally

Peneliti keamanan telah menemukan pintu belakang baru yang disebut WhiskerSpy yang digunakan dalam kampanye dari aktor ancaman tingkat lanjut yang relatif baru dilacak sebagai Earth Kitsune, yang dikenal menargetkan individu yang menunjukkan minat di Korea Utara.

Aktor tersebut menggunakan metode yang telah dicoba dan diuji dan mengambil korban dari pengunjung situs web pro Korea Utara, sebuah taktik yang dikenal sebagai serangan lubang berair.

Menurut Trend Micro, WhiskerSpy disampaikan saat pengunjung mencoba menonton video di website. Penyerang mengkompromikan situs web dan menyuntikkan skrip jahat yang meminta korban untuk memasang codec video agar media dapat dijalankan.

Untuk menghindari kecurigaan, aktor ancaman memodifikasi penginstal codec yang sah sehingga pada akhirnya memuat “pintu belakang yang sebelumnya tidak terlihat” pada sistem korban.

WhiskerSpy backdoor infection chain
source: Trrend Micro

Para peneliti mengatakan bahwa pelaku ancaman hanya menargetkan pengunjung situs web dengan alamat IP dari Shenyang, China; Nagoya, Jepang; dan Brasil.

Kemungkinan Brasil hanya digunakan untuk menguji serangan lubang air menggunakan koneksi VPN dan target sebenarnya adalah pengunjung dari dua kota di China dan Jepang. Korban yang relevan akan disajikan pesan kesalahan palsu di bawah ini yang meminta mereka memasang codec untuk menonton video.

Trend Micro telah menemukan versi sebelumnya dari WhiskerSpy yang menggunakan protokol FTP alih-alih HTTP untuk komunikasi C2. Varian yang lebih lama ini juga memeriksa keberadaan debugger pada saat eksekusi dan menginformasikan C2 dengan kode status yang sesuai.

Untuk dicatat, kepercayaan para peneliti dalam mengaitkan serangan lubang air ini dengan Earth Kitsune adalah sedang tetapi modus operandi dan targetnya mirip dengan aktivitas yang sebelumnya terkait dengan grup.

selengkapnya : bleepingcomputer

Twitter Menghilangkan SMS 2FA untuk Anggota Non-Biru — Apa yang Perlu Anda Lakukan

February 20, 2023 by Mally

Twitter telah mengumumkan bahwa itu tidak akan lagi mendukung otentikasi dua faktor SMS kecuali anda membayar langganan Twitter Blue. Namun, ada opsi yang lebih aman untuk autenthikasi multi-faktor, yang kamu jelaskan di bawah.

Dalam posting blog yang dirilis minggu ini, Twitter mengatakan bahwa pengguna non-Twitter blue yang menggunakan otentikasi SMS 2FA memiliki waktu hingga 20 maret 2023 untuk beralih ke metode

Berdasarkan laporan keamanan akun Twitter, yang mencakup data antara Juli 2021 hingga Desember 2021, hanya 2,6% pengguna yang menggunakan autentikasi dua faktor. Dari pengguna tersebut, 74,4% menggunakan SMS 2FA, 28,9% menggunakan aplikasi autentikator, dan 0,5% menggunakan kunci keamanan perangkat keras.

Elon Musk mengatakan mereka membuat perubahan ini karena mereka kehilangan $60 juta per tahun karena pesan SMS palsu 2FA.

Meskipun banyak yang tidak setuju dengan bagaimana kebijakan baru ini ditangani dan diluncurkan, hal ini pada akhirnya dapat menghasilkan keamanan yang lebih baik bagi pengguna yang memilih untuk tidak berlangganan Twitter Blue.

Ini karena Anda akan dipaksa untuk menggunakan opsi yang lebih aman untuk mengamankan akun Anda.

Opsi paling aman adalah menggunakan kunci keamanan perangkat keras, seperti Google Titan atau Yubikey, yang merupakan perangkat kecil dengan konektivitas USB atau NFC untuk merespons permintaan 2FA secara otomatis dan membuat Anda masuk ke akun.

Mereka dianggap paling aman karena merupakan perangkat fisik yang harus dicolokkan ke komputer dan menjadi milik Anda untuk memasukkan Anda ke akun Anda.

Oleh karena itu, jika ada yang mendapatkan akses ke kredensial Anda, mereka tidak dapat melewati 2FA bahkan jika mereka mencuri token 2FA Anda entah bagaimana, baik melalui serangan phishing lanjutan musuh atau serangan pertukaran SIM.

Pilihan lainnya adalah menggunakan aplikasi autentikasi dua faktor, seperti Google Authenticator, Microsoft Authenticator, dan Authy.

Terlepas dari metode autentikasi yang Anda gunakan, laporan keamanan Twitter menunjukkan bahwa terlalu banyak orang yang tidak mengamankan akun mereka dengan 2FA, meskipun ini meningkatkan keamanan akun Anda.

Sangat disarankan untuk mengaktifkan 2FA di semua akun online yang Anda gunakan, termasuk Twitter, dan menggunakan autentikator atau kunci keamanan perangkat keras, karena pada akhirnya akan lebih aman.

selengkapnya : bleepingcomputer

Fake Installers yang Menargetkan Asia Tenggara dan Timur

February 17, 2023 by Mally

Peneliti ESET mengidentifikasi kampanye malware yang menargetkan orang-orang berbahasa Mandarin di Asia Tenggara dan Timur dengan membeli iklan yang menyesatkan untuk muncul di hasil pencarian Google yang mengarah pada pengunduhan pemasang trojan. Penyerang tak dikenal membuat situs web palsu yang terlihat identik dengan aplikasi populer seperti Firefox, WhatsApp, atau Telegram, tetapi selain menyediakan perangkat lunak yang sah, juga mengirimkan FatalRAT, trojan akses jarak jauh yang memberikan kendali penyerang atas komputer korban.

Figure 1 menunjukkan peta panas dengan negara tempat kami mendeteksi serangan antara Agustus 2022 dan Januari 2023. Sebagian besar serangan memengaruhi pengguna di Taiwan, China, dan Hong Kong.

Penyerang mendaftarkan berbagai nama domain yang semuanya mengarah ke alamat IP yang sama: server yang menghosting beberapa situs web yang mengunduh perangkat lunak trojan. Beberapa situs web ini terlihat identik dengan rekan mereka yang sah tetapi malah mengirimkan penginstal berbahaya. Situs web lain, yang mungkin diterjemahkan oleh penyerang, menawarkan perangkat lunak versi bahasa China yang tidak tersedia di China, seperti Telegram, seperti yang ditunjukkan pada Gambar 3.

Penyerang telah berusaha keras terkait nama domain yang digunakan untuk situs web mereka, berusaha semirip mungkin dengan nama resmi. Situs web palsu, dalam banyak kasus, merupakan salinan identik dari situs yang sah. Adapun penginstal trojan, mereka menginstal aplikasi sebenarnya yang diminati pengguna, menghindari kecurigaan kemungkinan kompromi pada mesin korban. Untuk semua alasan ini, kami melihat betapa pentingnya untuk rajin memeriksa URL yang kami kunjungi sebelum mengunduh perangkat lunak. Lebih baik lagi, ketikkan ke bilah alamat browser Anda setelah memeriksa bahwa itu adalah situs vendor yang sebenarnya.

Karena malware yang digunakan adalah kampanye ini, FatalRAT, berisi berbagai perintah yang digunakan untuk memanipulasi data dari berbagai browser, dan viktimologi tidak berfokus pada jenis pengguna tertentu, siapa pun dapat terpengaruh. Ada kemungkinan bahwa penyerang hanya tertarik pada pencurian informasi seperti kredensial web untuk menjualnya di forum bawah tanah atau menggunakannya untuk jenis kampanye crimeware lainnya, tetapi untuk saat ini atribusi khusus dari kampanye ini ke aktor ancaman yang dikenal atau baru adalah tidak memungkinkan.

selengkapnya : welivesecurity

Hacker Rusia mencoba masuk ke ChatGPT, kata Check Point

February 12, 2023 by Mally Leave a Comment

Situasi ChatGPT tidak seperti yang menyebabkan ancaman EternalBlue 2017 yang merupakan hasil dari kebocoran kode dari lab. Sebaliknya, kata Nicoletti, penggunaan ChatGPT adalah “penggunaan platform yang umumnya terbuka oleh banyak pihak yang berbeda,” mirip dengan banyak kasus penggunaan arsitektur model AI dalam komunitas riset.

Nicoletti mencatat bahwa di Reddit, upaya eksploitasi telah muncul yang disebut DAN, untuk “lakukan apa saja sekarang”, yang akan menggunakan prompt obrolan untuk memanipulasi ChatGPT agar menghasilkan teks yang lolos dari pagar pembatas yang dipasang oleh OpenAI untuk mencegahnya menghasilkan beberapa teks seperti ujaran kebencian.

Nicoletti mengatakan tidak pasti apakah ada eksploitasi zero-day yang muncul untuk ChatGPT. Vektor serangan yang paling mungkin, ketika eksploit akhirnya muncul, akan menjadi bentuk serangan phishing yang ditingkatkan, katanya.

“Ini akan sangat ditargetkan kepada Anda, karena mereka sudah memiliki data bank Anda, tetapi sekarang mereka dapat membuat bahasa yang jauh lebih spesifik agar relevan bagi Anda, dan bagi setiap korban,” kata Nicoletti, membandingkan pendekatan tersebut dengan pendekatan “sempit- casting” jenis layanan data yang memungkinkan penargetan massal.

Selama presentasi utama Check Point pada hari yang sama, pendiri dan CEO Gil Shwed menyatakan bahwa 2023 akan menjadi “Tahun AI” dan bahwa produk perusahaan akan semakin banyak menggunakan AI di seluruh lini.

sumber : zdnet

Siswa Virginia Barat Kembali ke Kelas Setelah Pemadaman Selama Berhari-hari Setelah CyberAttack

February 9, 2023 by Mally Leave a Comment

Hampir 20.000 siswa di Virginia Barat terpaksa bolos pada hari Senin karena serangan siber yang melumpuhkan sekolah mereka.

Berkeley County Schools mengatakan pada hari Jumat pihaknya mengalami pemadaman internet dan telepon pada hari Jumat dan menghabiskan akhir pekan untuk mengatasi masalah yang terkait dengan serangan dunia maya.

Inspektur Ronald Stephens menulis catatan kepada siswa dan orang tua yang mengatakan operasi TI di seluruh distrik dibatasi karena serangan dunia maya dan mencatat bahwa lembaga penegak hukum telah dihubungi.

Pada hari Minggu, Stephens mengonfirmasi bahwa kelas-kelas dibatalkan dan semua kegiatan sekolah akan ditunda.

Kelas akan dilanjutkan pada hari Selasa tetapi distrik tersebut masih bekerja untuk memulihkan sistem operasi dan menyelidiki serangan dunia maya, menurut pernyataan dari Berkeley County Schools pada Senin sore.

Berkeley County Schools adalah distrik sekolah terbesar kedua di West Virginia dan county – yang berjarak sekitar dua jam dari Washington DC – memiliki populasi sekitar 120.000.

Sekolah tidak menanggapi permintaan komentar tentang apakah mereka menderita serangan ransomware.

Orang tua mengungkapkan keprihatinannya kepada MetroNews karena sekolah membawa banyak informasi sensitif terkait perintah perlindungan anak dan data lain tentang kontak darurat.

Pihak sekolah mengatakan perangkat siswa tidak terpengaruh oleh serangan itu tetapi menjelaskan bahwa pertemuan Dewan Pendidikan yang dijadwalkan pada Senin tidak akan disiarkan lagi karena pemadaman teknologi.

CISA mengatakan jumlah insiden siber K-12 yang dilaporkan antara 2018 dan 2021 meningkat setiap tahun, dari 400 menjadi lebih dari 1.300. Pakar ransomware Emsisoft Brett Callow menjelaskan bahwa 45 distrik dengan 1.981 sekolah terkena dampak ransomware pada tahun 2022.

Serangan di Berkeley County Schools adalah insiden keenam yang dilaporkan pada tahun 2023.

selengkapnya : therecord.media

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attack

Cookies Settings