Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

EA: 50 Akun Ternama FIFA 22 Diambil Alih oleh Aktor Phishing

by

Electronic Arts (EA) telah menerbitkan tanggapan resmi terhadap banyak laporan tentang akun pemain yang diretas, mengkonfirmasikan masalah dan menghubungkannya dengan aktor phishing.

Seperti yang dijelaskan pemberitahuan itu, peretas menggunakan rekayasa sosial terhadap tim pengalaman pelanggan EA untuk melewati otentikasi dua faktor dan mengambil lebih dari 50 akun pemain.

FIFA 22 adalah permainan simulasi sepak bola (sepak bola) yang sangat populer yang menampilkan mode multi-pemain di mana orang dapat bersaing secara real-time, memperdagangkan item dalam game, dll.

Perusahaan game telah berjanji untuk mengembalikan akses pemilik yang sah ke akun yang dikompromikan dan juga telah mengumumkan langkah-langkah berikut untuk mencegah hal ini terjadi lagi di masa depan:

  • Semua Penasihat EA dan individu yang membantu layanan Akun EA menerima pelatihan ulang individual dan pelatihan tim tambahan, dengan penekanan khusus pada praktik keamanan akun dan teknik phishing yang digunakan dalam contoh khusus ini.
  • Implementasi langkah-langkah tambahan untuk proses verifikasi kepemilikan akun, seperti persetujuan manajerial wajib untuk semua permintaan perubahan email.
  • Perangkat lunak pengalaman pelanggan akan diperbarui untuk mengidentifikasi aktivitas yang mencurigakan dengan lebih baik, menandai akun berisiko, dan selanjutnya membatasi potensi kesalahan manusia dalam proses pembaruan akun.

Perubahan di atas pasti akan membuat layanan pelanggan lebih rumit dan lambat, tetapi mereka akan meningkatkan keamanan akun, sesuatu yang telah dikeluhkan oleh komunitas FIFA selama bertahun-tahun.

“Kami ingin meminta maaf atas ketidaknyamanan dan frustrasi yang disebabkan ini, dan bahwa kami tidak dapat berbagi rincian tambahan dalam komunikasi asli kami minggu lalu saat kami melakukan penyelidikan menyeluruh.”

Akun profil ternama diretas

Akun yang ditargetkan oleh aktor phishing termasuk pemain sepak bola nyata seperti Valentin Rosier, streamer profesional, dan pedagang mata uang dalam game.

Akun-akun profil tinggi ini telah menginvestasikan sejumlah besar uang dalam permainan dan menggunakannya sebagai sumber pendapatan dengan memonetisasi kehadiran mereka di ruang virtual itu.

Beberapa pemegang akun yang diretas menunjukkan kemungkinan staf EA memberikan data pribadi mereka kepada peretas, yang akan melanggar GDPR, menimbulkan denda hingga 4% dari omset tahunan EA.

Namun, pada saat ini, tidak ada penyelidikan perlindungan data yang diumumkan, dan penyelidikan EA atas insiden tersebut masih berlangsung, sehingga ruang lingkup dampak belum ditentukan dengan pasti.

Perlu juga dicatat bahwa Bleeping Computer telah melihat laporan akun FIFA 22 tingkat rendah yang telah diretas baru-baru ini, sehingga jumlah akun yang diambil alih oleh aktor phishing mungkin jauh lebih besar dari 50.

Sumber: Bleepingcomputer

Atlet Belanda Diperingatkan untuk Tidak Membawa Ponsel dan Laptop ke China

by

Atlet Belanda yang bersaing di Olimpiade Musim Dingin Beijing bulan depan harus meninggalkan ponsel dan laptop mereka di rumah dalam langkah yang belum pernah terjadi sebelumnya untuk menghindari spionase China, surat kabar Belanda De Volkskrant melaporkan pada hari Selasa.

Saran mendesak kepada atlet dan staf pendukung untuk tidak membawa perangkat pribadi ke China adalah bagian dari serangkaian langkah-langkah yang diusulkan oleh Komite Olimpiade Belanda (NOCNSF) untuk menangani kemungkinan campur tangan oleh agen negara China, kata surat kabar itu mengutip sumber yang dekat dengan masalah ini.

Juru bicara NOCNSF Geert Slot mengatakan cybersecurity adalah bagian dari penilaian risiko yang dibuat untuk perjalanan ke China, tetapi menolak untuk mengomentari tindakan spesifik apa pun.

“Pentingnya cybersecurity tentu saja telah berkembang selama bertahun-tahun,” kata Slot. “Tapi China telah benar-benar menutup internetnya, yang menjadikannya kasus tertentu.”

Anggota tim Belanda akan dilengkapi dengan perangkat yang tidak terpakai di China, untuk melindungi data pribadi mereka dari pengawasan China, kata sumber itu kepada De Volkskrant.

Setidaknya 30 atlet Belanda akan bersaing di Olimpiade Beijing bulan depan, terutama dalam acara skating kecepatan dan trek pendek.

Sumber: Reuters

Bug WordPress Meledak pada 2021, Paling Bisa Dieksploitasi

by

Tahun lalu analis menemukan jumlah kerentanan plugin WordPress yang dapat dieksploitasi membludak.

Para peneliti dari RiskBased Security melaporkan mereka menemukan jumlah kerentanan Plugin WordPress naik tiga digit pada tahun 2021.

“10.359 kerentanan dilaporkan mempengaruhi plugin WordPress pihak ketiga pada akhir 2021,” tim RiskBased Security menjelaskan. “Dari jumlah tersebut, 2.240 kerentanan diungkapkan tahun lalu, yang merupakan peningkatan 142% dibandingkan dengan 2020.”

Lebih buruk lagi, dari kerentanan plugin WordPress tambahan, lebih dari tiga perempat (77 persen) telah mengetahui, eksploitasi publik.

Laporan tersebut menemukan bahwa 7.592 kerentanan WordPress dapat dieksploitasi dari jarak jauh; 7.993 memiliki eksploitasi publik; dan 4.797 kerentanan WordPress memiliki eksploitasi publik, tetapi tidak ada ID CVE.

Dengan kata lain, organisasi yang mengandalkan CVE tidak akan memiliki visibilitas ke 60 persen dari eksploitasi plugin WordPress yang dikenal publik, kata tim tersebut.

Fokus pada Eksploitabilitas Atas Skor CVSS

Respons yang tepat terhadap permukaan serangan WordPress yang muncul, menurut tim RiskBased, adalah pergeseran mendasar dari memprioritaskan sumber daya berdasarkan seberapa penting risiko bagi organisasi untuk berfokus pada bug yang paling mudah dieksploitasi.

“Rata-rata, skor CVSSv2 untuk semua kerentanan plugin WordPress adalah 5,5, yang oleh banyak kerangka VM saat ini dianggap sebagai risiko ‘moderat’, paling banter,” saran tim RiskBased Security. “Tetapi jika Anda membandingkan titik data ini dengan berita utama, Anda mungkin mengamati sedikit keterputusan antara praktik dan dampak Manajemen Kerentanan (VM) konvensional.”

Tim menunjuk pembaruan 10 Januari dari Cybersecurity and Infrastructure Security Agency (CISA) ke Binding Operational Directive yang menguraikan kerentanan dan ancaman aktif terhadap jaringan federal. Pembaruan ini juga memprioritaskan kerentanan yang mudah dieksploitasi daripada mereka yang memiliki skor CVSS yang lebih tinggi.

“Tim keamanan perlu memiliki pengetahuan tentang aset mereka, intelijen kerentanan komprehensif untuk semua masalah yang diketahui, dan metadata terperinci, yang memungkinkan mereka untuk memeriksa faktor-faktor seperti eksploitabilitas, untuk kemudian mengontekstualisasikan risiko yang ditimbulkannya terhadap lingkungan mereka.”

Sumber: Threatpost

NIST Memperbarui Pedoman Teknik Keamanan Siber

by

Dengan latar belakang peningkatan nasional risiko keamanan siber di semua industri, Institut Standar dan Teknologi Nasional memperbarui panduannya untuk para insinyur sistem.

Disebut sebagai “Sistem Aman yang Dapat Dipercaya Teknik,” dokumen tersebut berasal dari perintah eksekutif Presiden Joe Biden pada tahun 2021 yang bertujuan untuk meningkatkan pertahanan pemerintah federal setelah beberapa serangan skala besar terhadap infrastruktur penting.

Publikasi NIST adalah sumber daya untuk insinyur komputer dan profesional lainnya di sisi pemrograman upaya keamanan siber.

Mencakup lebih dari 200 halaman, publikasi ini mengambil pendekatan holistik untuk rekayasa sistem. Peneliti NIST memberikan gambaran tentang tujuan dan konsep sistem keamanan modern, terutama mengenai perlindungan aset digital sistem.

Salah satu pembaruan utama yang dibuat oleh penulis NIST dalam versi terbaru dari publikasi ini adalah penekanan baru pada jaminan keamanan. Dalam rekayasa sistem perangkat lunak, jaminan diwakili oleh bukti bahwa prosedur keamanan sistem yang diberikan cukup kuat untuk mengurangi kehilangan aset dan mencegah serangan dunia maya.

Ron Ross, seorang rekan NIST dan salah satu penulis dokumen tersebut, mengatakan kepada Nextgov bahwa jaminan sistem bertindak sebagai pembenaran bahwa sistem keamanan dapat beroperasi secara efektif.

Draf terbaru “Sistem Aman yang Dapat Dipercaya Teknik” juga melihat ke dalam elemen mendasar tentang bagaimana membangun desain aman yang dapat dipercaya, yang bergantung pada penghapusan proaktif atau mitigasi kerentanan. Ini juga mengkompilasi berbagai prinsip desain pengendalian kerugian dalam satu bagian dan menguraikan bagaimana masing-masing berfungsi.

“Membangun sistem yang aman dan dapat dipercaya tidak dapat terjadi dalam ruang hampa dengan pipa cerobong terisolasi untuk dunia maya, perangkat lunak, dan teknologi informasi,” catatan pedoman tersebut. “Sebaliknya, ini membutuhkan pendekatan holistik untuk perlindungan, pemikiran berbasis luas di semua aset di mana kerugian dapat terjadi, dan pemahaman tentang kesulitan, termasuk bagaimana musuh menyerang dan mengkompromikan sistem.”

NIST telah menerbitkan pedoman serupa dalam beberapa tahun terakhir. Pada tahun 2018, satu buku panduan berfokus pada bagaimana lembaga federal dapat mengamankan sistem teknologi informasi lama dari serangan siber. Dan pada Agustus 2021, para pejabat menerbitkan dokumen yang lebih luas tentang sistem ketahanan siber untuk organisasi sektor publik dan swasta.

Sumber : Nextgov

TellYouThePass ransomware kembali sebagai ancaman Golang lintas platform

by

TellYouThePass ransomware telah muncul kembali sebagai malware yang dikompilasi Golang, membuatnya lebih mudah untuk menargetkan lebih banyak sistem operasi, khususnya macOS dan Linux.

Kembalinya jenis malware ini terlihat bulan lalu, ketika pelaku ancaman menggunakannya bersama dengan eksploitasi Log4Shell untuk menargetkan mesin yang rentan.

Crowdstrike menjelaskan lebih banyak tentang pengembalian ini, dengan fokus pada perubahan tingkat kode yang membuatnya lebih mudah untuk dikompilasi untuk platform lain selain Windows.

Mengapa Golang?

Golang adalah bahasa pemrograman yang pertama kali diadopsi oleh pembuat malware pada tahun 2019 karena keserbagunaan lintas platformnya.

Golang memungkinkan pustaka dependensi lapisan ke dalam satu file biner, yang mengarah ke jejak yang lebih kecil dari komunikasi server perintah dan kontrol (C2), sehingga mengurangi tingkat deteksi.

Sampel TellYouThePass baru
Analis Crowdstrike melaporkan kesamaan kode sebesar 85% antara sampel Linux dan Windows dari TellYouThePass, menunjukkan penyesuaian minimal yang diperlukan untuk membuat ransomware berjalan di sistem operasi yang berbeda.

Functions on the Windows and Linux samples
Source: Crowdstrike

Satu perubahan penting dalam sampel ransomware terbaru adalah pengacakan nama semua fungsi selain dari yang ‘utama’, yang mencoba menggagalkan analisis.

Sebelum memulai rutinitas enkripsi, TellYouThePass mematikan tugas dan layanan yang dapat mempertaruhkan proses atau mengakibatkan enkripsi yang tidak lengkap, seperti klien email, aplikasi database, server web, dan editor dokumen.

Selain itu, beberapa direktori dikecualikan dari enkripsi untuk mencegah membuat sistem tidak dapat di-boot dan dengan demikian menyia-nyiakan kesempatan untuk mendapatkan bayaran.

Direktori dikecualikan dari enkripsi
Sumber: Crowdstrike

Catatan tebusan dijatuhkan dalam infeksi TellYouThePass baru-baru ini meminta 0,05 Bitcoin, saat ini dikonversi menjadi sekitar $2,150, sebagai ganti alat dekripsi.

Sumber : Bleeping Computer

Magniber ransomware menggunakan file APPX yang ditandatangani untuk menginfeksi sistem

by

Ransomware Magniber menggunakan file paket aplikasi Windows (.APPX) yang ditandatangani dengan sertifikat yang valid untuk menghapus malware yang berpura-pura sebagai pembaruan browser web Chrome dan Edge.

Metode distribusi ini menandai pergeseran dari pendekatan sebelumnya yang terlihat dengan aktor ancaman ini, yang biasanya bergantung pada eksploitasi kerentanan Internet Explorer.

Infeksi dimulai dengan mengunjungi situs web yang menjatuhkan muatan, para peneliti di perusahaan keamanan siber AhnLab mencatat dalam sebuah laporan yang diterbitkan hari ini.

Dua dari URL yang mendistribusikan payload adalah “hxxp://b5305c364336bqd.bytesoh.cam”, dan “hxxp://hadhill.quest/376s53290a9n2j”, tetapi ini mungkin bukan satu-satunya.

Pengunjung situs ini menerima peringatan untuk memperbarui browser Edge/Chrome mereka secara manual, dan ditawari file APPX untuk menyelesaikan tindakan.

Peringatan untuk mengunduh pembaruan Edge palsu
Sumber: ASEC

Dalam kasus ransomware Magniber, file APPX yang disamarkan ditandatangani secara digital dengan sertifikat yang valid, sehingga Windows melihatnya sebagai file tepercaya yang tidak memicu peringatan.

DLL code part responsible for downloading and decoding the payload
Source: ASEC

File-file ini menjalankan fungsi yang mengambil muatan ransomware Magniber, mendekodekannya, dan kemudian menjalankannya. Setelah mengenkripsi data pada sistem, ancaman membuat catatan tebusan berikut:

Magniber ransom note dropped onto encrypted systems
Source: ASEC

Meskipun catatan dalam bahasa Inggris, perlu dicatat bahwa ransomware Magniber menargetkan pengguna Asia secara eksklusif akhir-akhir ini. Saat ini tidak ada kemungkinan untuk mendekripsi file yang dikunci oleh malware ini secara gratis.

Tidak seperti kebanyakan operasi ransomware, Magniber tidak mengadopsi taktik pemerasan ganda, sehingga tidak mencuri file sebelum mengenkripsi sistem.

Mencadangkan data secara teratur adalah solusi yang baik untuk memulihkan dari serangan dengan ransomware tingkat rendah seperti Magniber.

Sumber : Bleeping Computer

Inggris memenjarakan pria karena memata-matai remaja, mencuri foto menggunakan RAT

by

Seorang pria Nottingham dipenjara minggu ini selama lebih dari dua tahun setelah meretas komputer dan telepon puluhan korban, beberapa di antaranya di bawah umur, dan memata-matai mereka menggunakan trojan akses jarak jauh (RAT).

Robert Davies, 32 tahun menggunakan profil media sosial online palsu dan akun Skype untuk memancing korbannya dan meretas perangkat mereka dengan mengirimkan tautan yang memungkinkannya menginfeksi mereka dengan RAT yang dikaburkan menggunakan crypters (ini membantu alat jahat menghindari alat deteksi anti-malware ).

“Dia kemudian menggunakan RAT untuk mendapatkan akses jarak jauh ke perangkat mereka dan mencuri gambar seksual (terutama wanita) yang mereka simpan di sana,” kata Badan Kejahatan Nasional Inggris dalam siaran pers.

Dia juga merupakan pelanggan “We Leak Info”, pasar online besar yang mengklaim menyediakan akses ke sekitar 12,5 miliar catatan yang dicuri dari pelanggaran data sebelum dihapus oleh penegak hukum pada Januari 2020.

Davies menggunakan aksesnya ke komputer dan telepon korban untuk mencuri dan membangun koleksi ekstensif gambar orang dewasa dan anak-anak yang tidak senonoh (penyelidik menemukan lusinan gambar dan video anak-anak saat menganalisis data di komputer yang disita).

Davies hanya mendarat di radar NCA setelah penyelidik melihatnya membeli berbagai alat kejahatan dunia maya secara online, termasuk RAT dan crypter yang kemudian dia gunakan untuk berkompromi dan mengakses perangkat korbannya dari jarak jauh.

“Yang lebih mengganggu adalah fakta bahwa setidaknya salah satu korbannya adalah seorang remaja dan kami menemukan koleksi gambar dan video pelecehan seksual anak di komputernya.”

Davies minggu ini dijatuhi hukuman 26 bulan penjara setelah mengaku bersalah atas 24 pelanggaran Undang-Undang Penyalahgunaan Komputer, memiliki dan membuat gambar anak-anak yang tidak senonoh, dan memiliki gambar-gambar porno yang ekstrim.

“Secara total petugas NCA mengidentifikasi dan mengunjungi lebih dari 30 korban Davies selama penyelidikan,” tambah NCA.

Hukuman itu dijatuhkan setelah ditangkap tiga kali selama hampir dua tahun, antara November 2019 dan Agustus 2021, setiap kali didakwa atas pelanggaran tambahan saat petugas menganalisis informasi yang dikumpulkan dari perangkatnya.

Sumber : Bleeping Computer

Serangan ransomware membuat penjara New Mexico offline, membuat narapidana terkunci

by

Serangan ransomware minggu lalu telah membuat penjara area Albuquerque tanpa akses ke umpan kameranya dan membuat mekanisme pintu otomatis tidak dapat digunakan. Akibatnya, narapidana dikurung di sel mereka, sementara teknisi berjuang untuk mengembalikan sistem online.

Seperti yang pertama kali dilaporkan oleh Source New Mexico, akses pengunjung ke Pusat Penahanan Metropolitan sepenuhnya ditangguhkan karena penjara dikunci. Semua layanan internet di penjara juga dimatikan, membuat staf tidak dapat mencari catatan narapidana.

Berdasarkan kurangnya liputan kamera, semua narapidana di dalam fasilitas tersebut dikunci sejak pagi hari tanggal 5 Januari. Selain itu database pelacakan insiden yang berisi semua laporan pertempuran, penggunaan kekuatan, dan tuduhan penyerangan seksual tidak tersedia dan diyakini telah dirusak oleh serangan tersebut.

Pusat penahanan hanyalah satu titik dampak dalam serangan ransomware yang lebih besar yang melanda Bernalillo County, daerah terpadat di New Mexico, pada tanggal 5 Januari. Pegawai kabupaten tidak dapat mengakses basis data pemerintah daerah, dan semua kantor publik ditutup sementara. Siaran pers tertanggal 10 Januari mencatat bahwa kantor pusat kantor daerah masih dibuka kembali sebagian.

Penguncian yang tidak terduga menempatkan penjara dalam potensi pelanggaran persyaratan penyelesaian dalam gugatan atas kondisi kurungan, memaksa Bernalillo County untuk mengajukan pemberitahuan darurat di pengadilan federal. Sebuah kesepakatan penyelesaian dari gugatan tahun 1995 mengharuskan penjara daerah untuk mengadopsi protokol baru dalam menanggapi keluhan yang lebih luas tentang kepadatan penduduk dan kondisi lainnya, termasuk jaminan bahwa narapidana diberikan akses reguler ke telepon dan perangkat komunikasi lainnya.

Tetapi kegagalan total jaringan komputer internal penjara dapat memaksa fasilitas tersebut untuk melanggar perjanjian itu.

Rahn mengatakan dia tidak segera dapat dihubungi untuk dimintai komentar. Email dan pesan suara yang dikirim ke pejabat Bernalillo County belum dijawab pada saat pers.

Ransomware semakin dilihat sebagai salah satu ancaman utama yang dihadapi bisnis swasta dan institusi pemerintah di seluruh AS. Tahun lalu Departemen Kehakiman membentuk Ransomware dan Satuan Tugas Pemerasan Digital untuk mengoordinasikan pembagian informasi antara divisi DOJ dan dengan lembaga luar, menandakan pendekatan baru untuk mengatasi masalah tersebut. Meskipun demikian, laporan dari Departemen Keuangan AS memperkirakan bahwa pembayaran ransomware untuk tahun 2021 masih akan melampaui semua rekor sebelumnya.

Selengkapnya : The Verge