Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Microsoft: Secured-core server membantu mencegah serangan ransomware

by

Microsoft mengatakan perangkat Windows Server dan Microsoft Azure Stack HCI bersertifikat Secured-core pertama sekarang tersedia untuk melindungi jaringan pelanggan dari ancaman keamanan, termasuk serangan ransomware.

Perangkat inti aman dipasarkan sebagai solusi untuk meningkatnya jumlah kerentanan firmware yang dapat dimanfaatkan penyerang untuk melewati Secure boot mesin Windows dan kurangnya visibilitas di tingkat firmware dalam solusi keamanan endpoint saat ini.

Semua perangkat Secured-core dilengkapi dengan perlindungan bawaan untuk ancaman yang menyalahgunakan firmware dan kelemahan keamanan driver sejak Oktober 2019. Perangkat tersebut dapat membantu melindungi dari malware yang dirancang untuk memanfaatkan kelemahan keamanan driver untuk menonaktifkan solusi keamanan.

Secured-core server yang baru disertifikasi menggunakan secure boot dan Trusted Platform Module 2.0 untuk memastikan bahwa hanya tepercaya yang dapat memuat saat boot.

Mereka juga memanfaatkan Dynamic Root of Trust Measurement (DRTM) untuk meluncurkan sistem operasi ke status tepercaya, memblokir upaya malware untuk merusak sistem.

Secured-core server juga menggunakan Hypervisor-Protected Code Integrity (HVCI) untuk memblokir semua executable dan driver (seperti Mimikatz) yang tidak ditandatangani oleh otoritas yang dikenal dan disetujui agar tidak diluncurkan.

Dengan memblokir upaya pencurian kredensial, Secured-core server dapat membantu mempersulit pelaku ancaman (termasuk geng ransomware seperti REvil) untuk bergerak secara lateral melalui jaringan, sehingga menghentikan serangan mereka sebelum mereka dapat memperoleh kegigihan dan menyebarkan muatannya.

Selengkapnya: Bleeping Computer

Peretas menginfeksi plugin WordPress acak untuk mencuri kartu kredit

by

Dengan musim belanja Natal, pelaku ancaman pencurian kartu meningkatkan upaya mereka untuk menginfeksi toko online dengan skimmer tersembunyi, jadi administrator harus tetap waspada.

Tren terbaru adalah menyuntikkan skimmer kartu ke dalam file plugin WordPress, menghindari direktori inti ‘wp-admin’ dan ‘wp-includes’ yang dipantau secara ketat di mana sebagian besar injeksi berumur pendek.

Menurut sebuah laporan baru oleh Sucuri, peretas yang melakukan pencurian kartu kredit pertama-tama meretas situs WordPress dan menyuntikkan backdoor ke situs web untuk persistence.

Backdoor ini memungkinkan peretas untuk mempertahankan akses ke situs, bahkan jika administrator memasang pembaruan keamanan terbaru untuk WordPress dan memasang plugin.

Ketika penyerang menggunakan backdoor di masa depan, itu akan memindai daftar pengguna administrator dan menggunakan cookie otorisasi dan login pengguna saat ini untuk mengakses situs.

Pelaku ancaman kemudian menambahkan kode berbahaya mereka ke plugin acak, dan menurut Sucuri, banyak skrip bahkan tidak dikaburkan.

Namun, ketika memeriksa kode tersebut, para analis memperhatikan bahwa plugin pengoptimalan gambar berisi referensi ke WooCommerce dan menyertakan variabel yang tidak ditentukan. Plugin ini tidak memiliki kerentanan dan diyakini telah dipilih oleh pelaku ancaman secara acak.

Administrator dapat mengikuti beberapa tindakan perlindungan untuk menjaga situs mereka bebas skimmer atau meminimalkan waktu infeksi sebanyak mungkin.

Pertama, area wp-admin harus dibatasi hanya untuk alamat IP tertentu. Kemudian, bahkan jika backdoor disuntikkan, aktor tidak dapat mengakses situs bahkan jika mereka mencuri cookie administrator.

Kedua, pemantauan integritas file melalui pemindai sisi server aktif harus diterapkan di situs web, memastikan bahwa tidak ada perubahan kode yang tidak diketahui dalam waktu lama.

Terakhir, biasakan membaca log dan melihat detail secara mendalam. Misalnya, perubahan file, tema, atau pembaruan plugin selalu tercermin dalam log.

Selengkapnya: Bleeping Computer

Peretas China menargetkan negara-negara Asia Tenggara

by

Peretas China, kemungkinan disponsori negara, telah secara luas menargetkan organisasi pemerintah dan sektor swasta di seluruh Asia Tenggara, termasuk mereka yang terlibat erat dengan Beijing dalam proyek pembangunan infrastruktur, menurut sebuah laporan yang dirilis hari Rabu oleh perusahaan keamanan siber swasta yang berbasis di AS.

Target khusus termasuk kantor perdana menteri Thailand dan tentara Thailand, angkatan laut Indonesia dan Filipina, majelis nasional Vietnam dan kantor pusat Partai Komunis, dan Kementerian Pertahanan Malaysia, menurut Insikt Group, divisi penelitian ancaman Massachusetts- berdasarkan Recorded Future.

Insikt mengatakan telah menetapkan bahwa organisasi militer dan pemerintah tingkat tinggi di Asia Tenggara telah disusupi selama sembilan bulan terakhir oleh peretas yang menggunakan keluarga malware khusus seperti FunnyDream dan Chinoxy.

Alat khusus itu tidak tersedia untuk umum dan digunakan oleh banyak kelompok yang diyakini disponsori negara China, kata kelompok itu.

Penargetan itu juga sejalan dengan tujuan politik dan ekonomi pemerintah China, memperkuat kecurigaan bahwa itu disponsori negara, kata Insikt.

Kementerian Luar Negeri China tidak segera menanggapi permintaan komentar atas tuduhan tersebut.

Di masa lalu, otoritas China secara konsisten membantah segala bentuk peretasan yang disponsori negara, sebaliknya mengatakan China sendiri adalah target utama serangan siber.

Dari intrusi dunia maya yang dilacaknya, Insikt Group mengatakan Malaysia, Indonesia, dan Vietnam adalah tiga negara sasaran teratas. Negara lain yang juga ditargetkan adalah Myanmar, Filipina, Laos, Thailand, Singapura dan Kamboja.

Semua negara telah diberitahu pada bulan Oktober tentang temuan tersebut, meskipun diperkirakan bahwa setidaknya beberapa aktivitas sedang berlangsung, kata perusahaan itu.

Beberapa informasi tentang Indonesia diungkapkan dalam laporan sebelumnya dari Grup Insikt pada bulan September, dan pihak berwenang Indonesia mengatakan pada saat itu mereka tidak menemukan bukti bahwa komputer mereka telah disusupi.

Grup Insikt mengatakan aktivitas sebelumnya yang diarahkan ke Indonesia dari server malware yang dioperasikan oleh grup “Mustang Panda” secara bertahap berhenti pada pertengahan Agustus, menyusul pemberitahuan kedua yang diberikan perusahaan kepada otoritas negara.

Juru bicara Kementerian Luar Negeri RI Teuku Faizasyah mengaku belum mendapatkan informasi apapun terkait temuan baru Insikt Group yang juga menjadikan Kementerian Luar Negeri sebagai sasaran.

Selengkapnya: AP News

Peretas SolarWinds memiliki banyak trik baru untuk serangan kompromi massal

by

Hampir tepat setahun yang lalu, peneliti keamanan menemukan salah satu pelanggaran data terburuk dalam sejarah modern: kampanye peretasan yang didukung Kremlin yang membahayakan server penyedia manajemen jaringan SolarWinds dan, dari sana, 100 jaringan tertinggi -profil pelanggan, termasuk sembilan agen federal AS.

Pengingat terbaru tentang kemahiran kelompok Nobelium datang dari firma keamanan Mandiant, yang pada hari Senin menerbitkan penelitian yang merinci banyak prestasi Nobelium—dan beberapa kesalahan—karena terus menembus jaringan beberapa target bernilai tertingginya.

Salah satu hal yang membuat Nobelium begitu tangguh adalah kreativitas TTP-nya. Alih-alih membobol setiap target satu per satu, grup tersebut meretas jaringan SolarWinds dan menggunakan akses, dan kepercayaan yang dimiliki pelanggan di perusahaan, untuk mendorong pembaruan berbahaya ke sekitar 18.000 pelanggannya.

Laporan Mandiant menunjukkan bahwa kecerdikan Nobelium tidak goyah. Sejak tahun lalu, peneliti perusahaan mengatakan dua kelompok peretasan yang terkait dengan peretasan SolarWinds—satu disebut UNC3004 dan lainnya UNC2652—terus merancang cara baru untuk mengkompromikan sejumlah besar target dengan cara yang efisien.

Alih-alih meracuni rantai pasokan SolarWinds, kelompok tersebut mengkompromikan jaringan penyedia solusi cloud dan penyedia layanan terkelola, atau CSP, yang merupakan perusahaan pihak ketiga yang diandalkan oleh banyak perusahaan besar untuk berbagai layanan TI. Peretas kemudian menemukan cara cerdas untuk menggunakan penyedia yang dikompromikan itu untuk mengganggu pelanggan mereka.

Selengkapnya: Ars Technica

Diduga Afiliasi Ransomware Ditangkap Karena Serangan Kesehatan

by

Seorang warga negara Kanada berusia 31 tahun telah didakwa sehubungan dengan serangan ransomware terhadap organisasi di Amerika Serikat dan Kanada, sebuah dakwaan federal yang dibuka hari ini menunjukkan.

Investigasi paralel dari Biro Investigasi Federal dan Kepolisian Provinsi Ontario (OPP) mengungkapkan bahwa Matthew Philbert dari Ottawa terlibat dalam berbagai serangan cyber.

Serangan ransomware yang belum selesai

Philbert ditangkap pada 30 November 2021, menyusul penyelidikan yang dimulai pada Januari 2020, ketika FBI menghubungi OPP tentang insiden cyber yang berbasis di Kanada.

Menurut dakwaan, antara April 2018 hingga Mei 2018, Philbert menargetkan setidaknya sepuluh komputer dari sebuah organisasi di sektor perawatan kesehatan dari Distrik Alaska.

Terdakwa tidak berhasil menyebarkan ransomware di komputer korban, dakwaan menunjukkan, yang akan mempengaruhi “pemeriksaan medis, diagnosis, pengobatan dan perawatan” dari beberapa individu.

“Pada atau sekitar 28 April 2018, di dalam Distrik Alaska dan di tempat lain, terdakwa, MATTHEW PHILBERT, dengan sengaja menyebabkan dan berusaha menyebabkan transmisi program, informasi, kode, dan perintah, dan, sebagai akibat dari perilaku tersebut, dengan sengaja menyebabkan dan berusaha menyebabkan kerusakan tanpa otorisasi ke komputer yang dilindungi yang dimiliki oleh Negara Bagian Alaska, dan pelanggaran yang disebabkan dan akan, jika selesai, telah menyebabkan: (a) modifikasi, gangguan, dan modifikasi potensial dan gangguan pemeriksaan medis, diagnosis, pengobatan dan perawatan 1 atau lebih individu; (b) ancaman terhadap kesehatan dan keselamatan masyarakat; dan, (c) kerusakan yang mempengaruhi 10 atau lebih komputer yang dilindungi selama periode 1 tahun.

Mencari laporan serangan cyber yang menghantam organisasi terkait perawatan kesehatan dalam jangka waktu yang diberikan dalam dakwaan dan menemukan pemberitahuan pelanggaran dari Departemen Kesehatan dan Layanan Sosial negara bagian.

Intrusi, yang disematkan hingga 26 April, mengakibatkan pengungkapan informasi pribadi milik lebih dari 500 orang. Biasanya, ransomware digunakan pada tahap terakhir serangan setelah penyusup menentukan komputer apa yang akan dienkripsi.

Terlepas dari rincian yang cocok, BleepingComputer tidak dapat menentukan apakah serangan ransomware yang gagal dalam dakwaan Philbert sama dengan yang ada dalam pemberitahuan pelanggaran dari Departemen Kesehatan dan Layanan Sosial Alaska.

Bahkan jika dakwaan Philbert di AS menyebutkan serangan ransomware yang gagal, penyelidikan dari Polisi Provicial Ontario menetapkan bahwa terdakwa menyebarkan “banyak serangan ransomware” yang berdampak pada bisnis swasta dan lembaga pemerintah di Kanada.

Di AS, Philbert didakwa dengan satu tuduhan konspirasi untuk melakukan penipuan dan aktivitas terkait sehubungan dengan komputer dan satu tuduhan penipuan dan aktivitas terkait sehubungan dengan komputer.

Di Kanada, terdakwa menghadapi dakwaan atas kepemilikan perangkat untuk mendapatkan penggunaan sistem komputer yang tidak sah atau untuk melakukan kerusakan, penipuan, dan penggunaan komputer yang tidak sah.

Pada penangkapan Philbert, polisi di Kanada menyita komputer desktop dan laptop, tablet, beberapa perangkat penyimpanan, ponsel, frase benih untuk dompet Bitcoin, dan kartu kosong dengan strip magnetik.

Selama penyelidikannya, OPP menerima bantuan dari Unit Koordinasi Cybercrime Nasional Kepolisian Royal Canadian Mounted (NC3) dan Europol, yang menunjukkan bahwa Philbert mungkin telah terlibat dalam serangan ransomware di luar AS dan Kanada.

Sumber: Bleepingcomputer

Google Mengganggu Botnet Glupteba Besar-besaran, Menuntut Operator Rusia

by

Google mengumumkan hari ini bahwa mereka telah mengambil tindakan untuk mengganggu botnet Glupteba yang sekarang mengendalikan lebih dari 1 juta PC Windows di seluruh dunia, tumbuh oleh ribuan perangkat baru yang terinfeksi setiap hari.

Glupteba adalah malware yang mendukung blockchain dan modular yang telah menargetkan perangkat Windows di seluruh dunia setidaknya sejak 2011, termasuk AS, India, Brasil, dan negara-negara dari Asia Tenggara.

Aktor ancaman di balik strain malware ini terutama mendistribusikan muatan ke perangkat target melalui jaringan pay-per-install (PPI) dan lalu lintas yang dibeli dari sistem distribusi lalu lintas (TDS) yang disamarkan sebagai “perangkat lunak, video, atau film gratis yang dapat diunduh.”

Setelah menginfeksi host, ia dapat menambang cryptocurrency, mencuri kredensial dan cookie pengguna, dan menyebarkan proxy pada sistem Windows dan perangkat IoT, yang kemudian dijual sebagai ‘proxy perumahan’ ke penjahat dunia maya lainnya.

Sebagai bagian dari upaya bersama Google untuk mengganggu botnet, perusahaan mengambil alih infrastruktur perintah dan kontrol utama Glupteba (C2), yang menggunakan mekanisme cadangan blockchain Bitcoin untuk menambah ketahanan jika server C2 utama berhenti merespons.

“Kami percaya tindakan ini akan berdampak signifikan pada operasi Glupteba,” kata Shane Huntley dan Luca Nagy dari Google Threat Analysis Group.

“Namun, operator Glupteba kemungkinan akan mencoba untuk mendapatkan kembali kendali atas botnet menggunakan perintah cadangan dan mekanisme kontrol yang menggunakan data yang dikodekan pada blockchain Bitcoin.”

Tindakan hukum terhadap gangguan botnet

Google juga mengajukan perintah penahanan sementara dan pengaduan di Distrik Selatan New York terhadap dua terdakwa Rusia (Dmitry Starovikov dan Alexander Filippov) dan 15 orang tak dikenal lainnya.

Keluhan tersebut mengklaim bahwa 17 terdakwa adalah orang-orang yang mengoperasikan dan mengkoordinasikan serangan Glupteba dengan tujuan akhir mencuri akun pengguna dan info kartu kredit, menjual penempatan iklan dan akses proxy pada perangkat yang terinfeksi, dan menambang cryptocurrency dalam penipuan dan penyalahgunaan komputer, pelanggaran merek dagang, dan skema lainnya.

Di antara layanan online yang ditawarkan oleh operator botnet Glupteba, Google menyebutkan “menjual akses ke mesin virtual yang sarat dengan kredensial curian (jangan [.] farm), akses proxy (awmproxy), dan menjual nomor kartu kredit (extracard) untuk digunakan untuk kegiatan berbahaya lainnya seperti menayangkan iklan berbahaya dan penipuan pembayaran di Google Ads.

“Sifat blockchain yang terdesentralisasi memungkinkan botnet pulih lebih cepat dari gangguan, membuat mereka jauh lebih sulit untuk ditutup. “Kami bekerja sama dengan industri dan pemerintah saat kami memerangi perilaku semacam ini, sehingga bahkan jika Glupteba kembali, internet akan lebih terlindungi darinya.”

Pada hari Senin, Microsoft juga menyita puluhan situs berbahaya yang digunakan oleh kelompok peretasan yang berbasis di Nickel China (alias KE3CHANG, APT15, Vixen Panda, Royal APT, dan Playful Dragon) untuk menargetkan server milik organisasi pemerintah, entitas diplomatik, dan organisasi non-pemerintah (LSM) di AS dan 28 negara lain di seluruh dunia.

Sumber: Bleepingcomputer

Phishing, ransomware, dan kesalahan manusia dipandang sebagai ancaman keamanan terbesar

by

Penelitian baru dari rumah perangkat lunak Python STX Next menemukan bahwa CTO melihat kesalahan manusia, ransomware, dan phishing sebagai ancaman keamanan terbesar.

Studi terhadap 500 CTO secara global menunjukkan 59 persen masih melihat kesalahan manusia sebagai ancaman keamanan utama bagi bisnis mereka, di samping kekhawatiran utama lainnya seperti ransomware (49 persen) dan phishing (36 persen).

Namun, meskipun menyadari ancaman tersebut, hanya 26 persen yang mengatakan bahwa mereka memiliki tim keamanan siber khusus dan hanya 50 persen yang melakukan outsourcing tanggung jawab siber.

Di antara temuan lainnya adalah bahwa adopsi otentikasi multifaktor kuat, dengan 88 persen organisasi menggunakannya dalam beberapa cara. Namun, 47 persen belum menerapkan perlindungan ransomware, dan 58 persen tidak menggunakan security information and event management (SIEM), dan 41 persen tidak menggunakan privileged access management (PAM).

Sebagai catatan positif, 92 persen telah menerapkan kemampuan pemulihan bencana seperti pencadangan otomatis.

Dziergwa menambahkan, “Kehadiran yang kuat dari perencanaan pemulihan bencana menunjukkan bahwa organisasi berjalan dengan baik dalam hal tanggung jawab yang lebih menyeluruh yang memastikan bisnis tangguh dalam menghadapi gangguan yang tidak terduga.

Langkah selanjutnya adalah bagi para pemimpin untuk menerapkan pendekatan ini ke elemen keamanan siber yang lebih terperinci, termasuk alat anti-ransomware.”

Selengkapnya: Beta News

14 serangan baru terdeteksi pada web browser

by

Pakar keamanan TI telah mengidentifikasi 14 jenis serangan baru pada web browser yang dikenal sebagai kebocoran lintas situs, atau XS-Leaks.

Menggunakan XS-Leaks, situs web jahat dapat mengambil data pribadi dari pengunjung dengan berinteraksi dengan situs web lain di latar belakang.

Para peneliti dari Ruhr-Universität Bochum (RUB) dan Niederrhein University of Applied Sciences menguji seberapa baik 56 kombinasi browser dan sistem operasi terlindungi dari 34 XS-Leaks yang berbeda. Untuk tujuan ini, mereka mengembangkan situs web XSinator.com, yang memungkinkan mereka memindai browser secara otomatis untuk mencari kebocoran ini.

Peramban populer seperti Chrome dan Firefox, misalnya, rentan terhadap sejumlah besar XS-Leaks. “XS-Leaks seringkali merupakan bug browser yang harus diperbaiki oleh pabrikan,” kata Lukas Knittel, salah satu penulis makalah Bochum.

Para peneliti mempublikasikan temuan mereka secara online dan di “ACM Conference on Computer and Communications Security”, yang diadakan sebagai acara virtual pada pertengahan November 2021.

XS-Leaks melewati apa yang disebut sebagai same-origin policy, salah satu pertahanan utama browser terhadap berbagai jenis serangan. Tujuan dari same-origin policy adalah untuk mencegah informasi dicuri dari situs web tepercaya. Dalam kasus XS-Leaks, penyerang tetap dapat mengenali detail kecil individu dari sebuah situs web. Jika detail ini terkait dengan data pribadi, data tersebut dapat bocor.

Misalnya, email di kotak masuk email web dapat dibaca dari situs jahat, karena fungsi pencarian akan merespons dengan cara yang berbeda tergantung pada apakah ada hasil untuk istilah pencarian atau tidak.

Selengkapnya: RUB