Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Bug ‘Sumber Trojan’ Mengancam Keamanan Semua Kode

by

Hampir semua program yang mengubah kode sumber yang dapat dibaca manusia menjadi kode mesin yang dapat dieksekusi komputer rentan terhadap serangan berbahaya di mana musuh dapat memasukkan kerentanan yang ditargetkan ke dalam perangkat lunak apa pun tanpa terdeteksi. Pengungkapan kerentanan dikoordinasikan dengan beberapa organisasi, beberapa di antaranya sekarang merilis pembaruan untuk mengatasi kelemahan keamanan.

Para peneliti di University of Cambridge menemukan bug yang memengaruhi sebagian besar kompiler kode komputer dan banyak lingkungan pengembangan perangkat lunak. Yang dipermasalahkan adalah komponen standar pengkodean teks digital Unicode, yang memungkinkan komputer untuk bertukar informasi terlepas dari bahasa yang digunakan. Unicode saat ini mendefinisikan lebih dari 143.000 karakter di 154 skrip bahasa yang berbeda (selain banyak set karakter non-skrip, seperti emoji).

Secara khusus, kelemahannya melibatkan algoritme bi-directional atau “Bidi” Unicode, yang menangani tampilan teks yang mencakup skrip campuran dengan urutan tampilan yang berbeda, seperti bahasa Arab — yang dibaca dari kanan ke kiri — dan bahasa Inggris (kiri ke kanan).

Tetapi sistem komputer perlu memiliki cara deterministik untuk menyelesaikan arah yang saling bertentangan dalam teks. Masukkan “Bidi override”, yang dapat digunakan untuk membuat teks dari kiri ke kanan dibaca dari kanan ke kiri, dan sebaliknya.

“Dalam beberapa skenario, urutan default yang ditetapkan oleh Algoritma Bidi mungkin tidak cukup,” tulis para peneliti Cambridge. “Untuk kasus ini, Bidi menimpa karakter kontrol yang memungkinkan pengalihan urutan tampilan grup karakter.”

Bidi menimpa memungkinkan bahkan karakter skrip tunggal untuk ditampilkan dalam urutan yang berbeda dari pengkodean logisnya. Seperti yang ditunjukkan oleh para peneliti, fakta ini sebelumnya telah dieksploitasi untuk menyamarkan ekstensi file malware yang disebarkan melalui email.

Inilah masalahnya: Sebagian besar bahasa pemrograman memungkinkan Anda menempatkan penggantian Bidi ini dalam komentar dan string. Ini buruk karena sebagian besar bahasa pemrograman mengizinkan komentar di mana semua teks — termasuk karakter kontrol — diabaikan oleh kompiler dan juru bahasa. Selain itu, ini buruk karena sebagian besar bahasa pemrograman mengizinkan literal string yang mungkin berisi karakter arbitrer, termasuk karakter kontrol.

“Jadi Anda dapat menggunakannya dalam kode sumber yang tampaknya tidak berbahaya bagi pengulas manusia [yang] sebenarnya dapat melakukan sesuatu yang buruk,” kata Ross Anderson, seorang profesor keamanan komputer di Cambridge dan rekan penulis penelitian. “Itu berita buruk untuk proyek-proyek seperti Linux dan Webkit yang menerima kontribusi dari orang-orang acak, membuat mereka ditinjau secara manual, kemudian memasukkannya ke dalam kode penting. Kerentanan ini, sejauh yang saya tahu, yang pertama mempengaruhi hampir semua hal.”

Makalah penelitian, yang menjuluki kerentanan “Sumber Trojan,” mencatat bahwa sementara komentar dan string akan memiliki semantik khusus sintaks yang menunjukkan awal dan akhir mereka, batas ini tidak dihormati oleh Bidi override. Dari kertas:

Anderson mengatakan serangan seperti itu bisa menjadi tantangan bagi peninjau kode manusia untuk dideteksi, karena kode sumber yang diberikan terlihat sangat dapat diterima.

“Jika perubahan logika cukup halus untuk tidak terdeteksi dalam pengujian berikutnya, musuh dapat memperkenalkan kerentanan yang ditargetkan tanpa terdeteksi,” katanya.

Yang juga memprihatinkan adalah bahwa karakter override Bidi bertahan melalui fungsi salin dan tempel di sebagian besar browser, editor, dan sistem operasi modern.

“Setiap pengembang yang menyalin kode dari sumber yang tidak tepercaya ke dalam basis kode yang dilindungi dapat secara tidak sengaja memperkenalkan kerentanan yang tidak terlihat,” kata Anderson kepada KrebsOnSecurity. “Penyalinan kode seperti itu adalah sumber signifikan dari eksploitasi keamanan dunia nyata.”

Gambaran Infrastruktur Digital (sumber: krebsonsecurity)

Matthew Green, seorang profesor di Institut Keamanan Informasi Johns Hopkins, mengatakan penelitian Cambridge dengan jelas menunjukkan bahwa sebagian besar kompiler dapat ditipu dengan Unicode untuk memproses kode dengan cara yang berbeda dari yang diharapkan pembaca untuk diproses.

“Sebelum membaca makalah ini, gagasan bahwa Unicode dapat dieksploitasi dengan cara tertentu tidak akan mengejutkan saya,” kata Green kepada KrebsOnSecurity. “Apa yang mengejutkan saya adalah berapa banyak kompiler yang akan dengan senang hati mengurai Unicode tanpa pertahanan apa pun, dan seberapa efektif teknik pengkodean kanan-ke-kiri mereka dalam menyelundupkan kode ke dalam basis kode. Itu trik yang sangat pintar yang saya bahkan tidak tahu itu mungkin. Astaga.”

Green mengatakan kabar baiknya adalah bahwa para peneliti melakukan pemindaian kerentanan yang meluas, tetapi tidak dapat menemukan bukti bahwa ada orang yang mengeksploitasi ini. Belum.

“Kabar buruknya adalah tidak ada pertahanan untuk itu, dan sekarang orang-orang mengetahuinya, mereka mungkin mulai mengeksploitasinya,” kata Green. “Semoga pengembang kompiler dan editor kode akan menambal ini dengan cepat! Tetapi karena beberapa orang tidak memperbarui alat pengembangan mereka secara teratur, setidaknya akan ada beberapa risiko untuk sementara waktu.”

Nicholas Weaver, seorang dosen di departemen ilmu komputer di University of California, Berkeley, mengatakan penelitian Cambridge menyajikan “serangan yang sangat sederhana dan elegan yang dapat membuat serangan rantai pasokan jauh, jauh lebih buruk.”

“Sudah sulit bagi manusia untuk mengatakan ‘ini baik-baik saja’ dari ‘ini jahat’ dalam kode sumber,” kata Weaver. “Dengan serangan ini, Anda dapat menggunakan pergeseran arah untuk mengubah bagaimana hal-hal dirender dengan komentar dan string sehingga, misalnya ‘Ini baik-baik saja’ adalah bagaimana itu dirender, tetapi ‘Ini’ oke adalah bagaimana itu ada dalam kode. Untungnya, ini memiliki tanda tangan yang sangat mudah untuk dipindai, sehingga kompiler dapat [mendeteksi] jika mereka menemukannya di masa mendatang.”

Paruh terakhir dari makalah Cambridge adalah studi kasus yang menarik tentang kompleksitas pengaturan pengungkapan kerentanan dengan begitu banyak bahasa pemrograman dan perusahaan perangkat lunak yang terpengaruh. Para peneliti mengatakan mereka menawarkan periode embargo 99 hari setelah pengungkapan awal mereka untuk memungkinkan produk yang terpengaruh diperbaiki dengan pembaruan perangkat lunak.

“Kami bertemu dengan berbagai tanggapan mulai dari menambal komitmen dan karunia bug hingga pemecatan cepat dan referensi ke kebijakan hukum,” tulis para peneliti. “Dari sembilan belas pemasok perangkat lunak yang terlibat dengan kami, tujuh menggunakan platform outsourcing untuk menerima pengungkapan kerentanan, enam memiliki portal web khusus untuk pengungkapan kerentanan, empat pengungkapan yang diterima melalui email terenkripsi PGP, dan dua pengungkapan yang diterima hanya melalui email non-PGP. Mereka semua mengkonfirmasi penerimaan pengungkapan kami, dan akhirnya sembilan dari mereka berkomitmen untuk merilis patch.”

Sebelas penerima memiliki program hadiah bug yang menawarkan pembayaran untuk pengungkapan kerentanan. Namun dari jumlah tersebut, hanya lima bounty yang dibayar, dengan pembayaran rata-rata $2.246 dan kisaran $4.475, para peneliti melaporkan.

Anderson mengatakan sejauh ini sekitar setengah dari organisasi yang memelihara bahasa pemrograman komputer yang terkena dampak yang dihubungi telah menjanjikan tambalan. Yang lain menyeret kaki mereka.

“Kami akan memantau penyebaran mereka selama beberapa hari ke depan,” kata Anderson. “Kami juga mengharapkan tindakan dari Github, Gitlab, dan Atlassian, sehingga alat mereka harus mendeteksi serangan terhadap kode dalam bahasa yang masih kekurangan pemfilteran karakter bidi.”

Adapun apa yang perlu dilakukan tentang Sumber Trojan, para peneliti mendesak pemerintah dan perusahaan yang mengandalkan perangkat lunak penting untuk mengidentifikasi postur pemasok mereka, memberikan tekanan pada mereka untuk menerapkan pertahanan yang memadai, dan memastikan bahwa setiap celah ditutupi oleh kontrol di tempat lain di mereka. rantai alat.

“Fakta bahwa kerentanan Sumber Trojan mempengaruhi hampir semua bahasa komputer menjadikannya peluang langka untuk perbandingan lintas-platform dan lintas-vendor yang valid secara ekologis dan seluruh sistem,” makalah itu menyimpulkan. “Karena serangan rantai pasokan yang kuat dapat diluncurkan dengan mudah menggunakan teknik ini, sangat penting bagi organisasi yang berpartisipasi dalam rantai pasokan perangkat lunak untuk menerapkan pertahanan.”

Weaver menyebut penelitian itu “pekerjaan yang sangat bagus untuk menghentikan sesuatu sebelum menjadi masalah.”

“Pelajaran pengungkapan terkoordinasi adalah studi yang sangat baik dalam apa yang diperlukan untuk memperbaiki masalah ini,” katanya. “Kerentanan itu nyata, tetapi juga menyoroti kerentanan yang lebih besar dari pergeseran stand dependensi dan paket yang diandalkan oleh kode modern kami.”

Rust telah merilis penasehat keamanan untuk kelemahan keamanan ini, yang dilacak sebagai CVE-2021-42574 dan CVE-2021-42694. Saran keamanan tambahan dari bahasa lain yang terpengaruh akan ditambahkan sebagai pembaruan di sini.

Penelitian Sumber Trojan tersedia di sini (PDF).

sumber: KREBSONSECURITY

UU Perlindungan Data Pribadi China Mulai Berlaku

by

Disahkan pada bulan Agustus, Undang-Undang Perlindungan Informasi Pribadi mulai berlaku pada tanggal 1 November. Berisiaturan seputar pengumpulan, penggunaan, dan penyimpanan data, serta apa yang harus dilakukan perusahaan internasional saat mereka mentransfer data ke luar negeri.

Personal Information Protection Law (PIPL) China sekarang berlaku, menetapkan aturan dasar tentang bagaimana data dikumpulkan, digunakan, dan disimpan. Ini juga menguraikan persyaratan pemrosesan data untuk perusahaan yang berbasis di luar China, termasuk lulus penilaian keamanan yang dilakukan oleh otoritas negara.

Perusahaan multinasional atau Multinational corporations (MNC) yang memindahkan informasi pribadi ke luar negeri juga harus mendapatkan sertifikasi perlindungan data dari lembaga profesional, menurut PIPL.

Undang-undang itu disahkan pada Agustus, setelah melalui beberapa revisi sejak pertama kali diajukan pada Oktober tahun lalu. Efektif mulai 1 November, undang-undang baru diperlukan untuk mengatasi “kekacauan” data yang telah dibuat, dengan platform online mengumpulkan data pribadi secara berlebihan, kata pemerintah China kemudian.

Informasi pribadi didefinisikan sebagai semua jenis data yang direkam baik secara elektronik atau bentuk lain, yang berhubungan dengan orang yang diidentifikasi atau dapat diidentifikasi. Itu tidak termasuk data yang dianonimkan.

PIPL juga berlaku untuk organisasi asing yang memproses data pribadi di luar negeri untuk tujuan, antara lain, menyediakan produk dan layanan kepada konsumen Tiongkok serta menganalisis perilaku konsumen Tiongkok. Mereka juga harus membentuk lembaga yang ditunjuk atau menunjuk perwakilan yang berbasis di China untuk bertanggung jawab atas hal-hal yang berkaitan dengan perlindungan data pribadi.

Undang-undang baru mencakup bab yang berlaku khusus untuk transfer data lintas batas, yang menyatakan bahwa perusahaan yang perlu memindahkan informasi pribadi keluar dari China harus terlebih dahulu melakukan “penilaian dampak perlindungan informasi pribadi”, menurut Kantor Komisaris Privasi untuk Pribadi Hong Kong. Data (PCPD).

Mereka juga perlu mendapatkan persetujuan terpisah dari individu terkait dengan transfer informasi pribadi mereka dan memenuhi salah satu dari beberapa persyaratan. Ini termasuk menyetujui “kontrak standar” yang dikeluarkan oleh pihak berwenang yang mengawasi masalah dunia maya dan memenuhi persyaratan yang digariskan dalam undang-undang dan peraturan lain yang ditetapkan oleh pihak berwenang, kata PCPD.

Perusahaan multinasional ini juga harus menerapkan langkah-langkah yang diperlukan untuk memastikan pihak asing lainnya yang terlibat dalam pemrosesan data mematuhi standar keamanan data yang ditetapkan oleh PIPL.

Belum Jelas Penilaian Keamanan Apa yang Dibutuhkan
Leo Xin, rekan senior dengan firma hukum Pinsent Masons, menggambarkan undang-undang tersebut sebagai “tonggak sejarah” dalam rezim hukum perlindungan data China dan mendesak perusahaan multinasional untuk memberikan perhatian khusus pada aturan tentang transfer data lintas batas.

Leo mengatakan dalam sebuah posting: “Masih ada area tertentu yang masih belum jelas dan memerlukan aturan implementasi yang terperinci, seperti bagaimana penilaian keamanan harus ditangani, seperti apa model klausul untuk transfer data yang dirumuskan oleh China Cyberspace Administration, seperti apa persetujuannya. prosedurnya adalah [jika] ada permintaan informasi pribadi oleh badan peradilan di luar negeri atau lembaga penegak hukum.”

Undang-undang lebih lanjut menyerukan penanganan data pribadi menjadi jelas, masuk akal, dan terbatas pada “lingkup minimum yang diperlukan” untuk mencapai tujuan mereka dalam memproses informasi.

Pengacara merekomendasikan agar perusahaan multinasional mulai mengevaluasi dampak potensial PIPL pada infrastruktur TI dan aktivitas pemrosesan data mereka.

Menurut PCPD, undang-undang baru ini juga mencakup pemrosesan data “pengambilan keputusan otomatis”, di mana sistem TI digunakan untuk secara otomatis menganalisis dan membuat keputusan tentang perilaku konsumen serta kebiasaan, minat, keuangan, dan kesehatan konsumen.

Di sini, perusahaan harus memastikan proses pengambilan keputusan tersebut transparan dan adil. Konsumen juga harus diberikan opsi untuk tidak menerima konten yang dipersonalisasi. Penilaian dampak keamanan harus dilakukan dan laporan ini disimpan setidaknya selama tiga tahun.

Perusahaan yang melanggar aturan PIPL dapat diberikan perintah untuk perbaikan atau peringatan. Pihak berwenang China juga dapat menyita “penghasilan yang melanggar hukum”, menurut PCPD.

Sanksi
Pelanggar yang gagal mematuhi perintah untuk memperbaiki pelanggaran akan menghadapi denda hingga 1 juta yuan ($ 150.000), sementara orang yang bertanggung jawab untuk memastikan kepatuhan dapat didenda antara 10.000 yuan ($ 1.500) dan 100.000 yuan ($ 15.000).

Untuk kasus-kasus “serius”, pihak berwenang China juga memberikan denda hingga 50 juta yuan ($ 7,5 juta) atau 5% dari omset tahunan perusahaan untuk tahun fiskal sebelumnya. Selain itu, kegiatan usahanya dapat dihentikan sementara atau izin usaha dan izinnya dicabut.

sumber: ZDNET

Patch Android November memperbaiki bug kernel yang dieksploitasi secara aktif

by

Google telah merilis pembaruan keamanan Android November 2021, yang mengatasi 18 kerentanan dalam kerangka kerja dan komponen sistem, dan 18 kelemahan lainnya pada komponen kernel dan vendor.

Di antara perbaikan, ada satu yang menghubungkan CVE-2021-1048, eskalasi lokal hak istimewa yang disebabkan oleh penggunaan setelah kelemahan gratis, yang menurut Google, berada di bawah eksploitasi terbatas dan ditargetkan. Belum banyak detail teknis yang dirilis terkait kekurangan ini, karena produsen peralatan asli (OEM) saat ini sedang berupaya menggabungkan tambalan dengan build khusus mereka, sehingga sebagian besar pengguna Android rentan.

Lima masalah kritis

Masalah paling parah yang ditangani oleh patch November 2021 adalah dua bug kritis System remote code execution (RCE) yang dilacak sebagai CVE-2021-0918 dan CVE-2021-0930.

Kelemahan ini memungkinkan penyerang untuk mengeksekusi kode arbitrer dalam konteks proses istimewa dengan mengirimkan transmisi yang dibuat khusus ke perangkat target.

Dua kelemahan keamanan kelemahan kritis yang diatasi dengan tambalan bulan ini adalah untuk CVE-2021-1924 dan CVE-2021-1975, keduanya berdampak pada komponen Qualcomm.

Perbaikan kelemahan kritis kelima terletak pada komponen “layanan jarak jauh” Android TV dan merupakan RCE yang dilacak sebagai CVE-2021-0889.

Memanfaatkan kelemahan ini akan memungkinkan penyerang di dekat perangkat untuk mengeksekusi kode tanpa hak istimewa atau interaksi pengguna.
Cara kerja level patch Android

Google merilis setidaknya dua di antaranya setiap bulan, dan untuk November, tanggal 21-11-01, 2021-11-05, dan 2021-11-06.

Mereka yang melihat peringatan pembaruan ditandai sebagai 2021-11-01, itu berarti mereka akan mendapatkan yang berikut:

  • Patch kerangka November
  • Patch kerangka Oktober
  • Vendor dan kernel Oktober

Mereka yang melihat level patch 2021-11-05 atau 2021-11-06 akan menerima semua hal di atas, ditambah vendor November dan patch kernel.

Ini adalah patch keamanan pertama untuk Android 12 yang baru saja dirilis, tetapi banyak perbaikan kembali ke versi 11, 10, dan 9, tergantung pada cakupan kerentanan yang ditangani. Jika Anda menggunakan versi Android yang lebih lama, Anda tidak tercakup oleh level patch ini, dan perangkat Anda rentan terhadap satu lagi kelemahan yang dieksploitasi secara aktif.

Terakhir, ini adalah level patch pertama yang tidak dikirimkan ke Pixel 3, yang menandai berakhirnya dukungan resmi untuk salah satu perangkat Google yang paling dicintai.

Selengkapnya: Bleeping Computer

Microsoft mengumumkan solusi keamanan titik akhir baru untuk UKM

by

Microsoft hari ini mengumumkan solusi keamanan titik akhir baru yang dijuluki Microsoft Defender for Business, yang dibuat khusus untuk bisnis kecil dan menengah.

Microsoft Defender for Business adalah solusi keamanan titik akhir yang membantu bisnis dengan hingga 300 karyawan melindungi dari ancaman keamanan siber, termasuk malware dan ransomware, dalam paket hemat biaya yang mudah digunakan.

Solusi perlindungan titik akhir ini dirilis sebagai tanggapan atas peningkatan 300% serangan ransomware pada tahun lalu, dengan lebih dari 50% di antaranya berdampak pada UKM, menurut Sekretaris Keamanan Dalam Negeri Alejandro Mayorkas. Defender for Business membantu UKM melindungi dari ancaman keamanan siber, termasuk namun tidak terbatas pada malware dan ransomware di perangkat Windows, macOS, iOS, dan Android.

Dilengkapi dengan konfigurasi klien yang disederhanakan melalui pengaturan yang digerakkan oleh wizard dan kebijakan keamanan yang direkomendasikan yang diaktifkan langsung untuk memudahkan pengelolaan bahkan untuk bisnis tanpa tim keamanan khusus.

“Microsoft Defender for Business dibuat khusus untuk menghadirkan keamanan titik akhir tingkat perusahaan untuk bisnis dengan hingga 300 karyawan, dalam solusi yang mudah digunakan dan hemat biaya.”

Fitur utama yang dibundel pada Defender for Business meliputi:

  • Penerapan dan manajemen yang disederhanakan untuk administrator TI yang mungkin tidak memiliki keahlian untuk menangani lanskap ancaman yang berkembang saat ini.
  • Perlindungan antivirus generasi berikutnya serta deteksi dan respons titik akhir untuk mendeteksi dan merespons serangan canggih dengan pemantauan perilaku.
  • Penyelidikan dan perbaikan otomatis untuk membantu pelanggan bereaksi dengan cepat terhadap ancaman.
  • Manajemen ancaman dan kerentanan secara proaktif memperingatkan pengguna tentang kelemahan dan kesalahan konfigurasi dalam perangkat lunak.
  • Integrasi Microsoft 365 Lighthouse dengan Microsoft Defender for Business untuk penyedia layanan TI untuk melihat peristiwa keamanan di seluruh pelanggan, dengan kemampuan tambahan yang akan datang.

“Usaha kecil dan menengah akan diberdayakan untuk meningkatkan keamanan mereka dengan beralih dari antivirus tradisional ke perlindungan generasi berikutnya, deteksi dan respons titik akhir, serta manajemen ancaman dan kerentanan semuanya sambil memanfaatkan penyiapan dan manajemen yang disederhanakan,” tambah Vasu Jakkal, Corporate Wakil Presiden, Keamanan, Kepatuhan, dan Identitas di Microsoft.

“Selain itu, Defender for Business juga bekerja dengan Microsoft 365 Lighthouse—sehingga, penyedia layanan TI dapat menambahkan perlindungan titik akhir yang kuat ini ke tampilan multipelanggan mereka tentang peristiwa keamanan.”

Microsoft mengatakan solusi keamanan titik akhir baru akan segera hadir untuk pratinjau bagi pelanggan dan mitra TI.

Setelah mencapai ketersediaan umum, Anda akan dapat membeli Defender for Business langsung dari Microsoft dan melalui saluran Penyedia Solusi Cloud (CSP) Mitra Microsoft sebagai penawaran mandiri, dengan harga $3 per pengguna per bulan, atau disertakan sebagai bagian dari Microsoft 365 Business Premium.

Sumber : Bleeping Computer

Laporan Serangan Terenkripsi Zscaler 2021 Mengungkapkan 314% Lonjakan Ancaman HTTPS

by

Zscaler, Inc. (NASDAQ: ZS), pemimpin dalam keamanan cloud mengumumkan rilis Laporan Serangan Terenkripsi tahunan, yang melacak dan menganalisis lebih dari 20 miliar ancaman yang diblokir melalui HTTPS, sebuah protokol yang awalnya dirancang untuk komunikasi aman melalui jaringan.

Studi tahun ini menemukan peningkatan lebih dari 314 persen tahun-ke-tahun di seluruh wilayah geografis yang mencakup APAC, Eropa, dan Amerika Utara, menggarisbawahi perlunya model keamanan tanpa kepercayaan dan inspeksi lalu lintas yang lebih besar daripada yang dapat dicapai kebanyakan perusahaan dengan model keamanan berbasis firewall lama.

Sementara penjahat dunia maya dapat menggunakan berbagai jenis serangan untuk bersembunyi di lalu lintas terenkripsi, konten berbahaya mewakili 91 persen serangan yang mengejutkan, meningkat 212 persen dibandingkan tahun lalu. Sebaliknya, malware cryptomining turun 20 persen, mencerminkan perubahan yang lebih luas dalam tren serangan, dengan ransomware menjadi pilihan yang lebih menguntungkan.

Laporan tersebut menemukan bahwa serangan terhadap perusahaan teknologi, ritel, dan grosir mengalami peningkatan ancaman yang signifikan. Serangan terhadap perusahaan teknologi meningkat secara mengejutkan 2.300 persen, dan serangan ritel dan grosir meningkat lebih dari 800 persen.

Zscaler ThreatLabz mengamati serangan di lebih dari 200 negara dan wilayah di seluruh dunia, termasuk negara-negara kecil yang bukan merupakan target umum seperti pulau-pulau di seluruh Karibia. Selain itu, peningkatan pekerjaan dari mana saja telah menyebabkan karyawan bercabang dari pusat teknologi raksasa seperti San Francisco Bay Area, New York, London, Paris, Sydney.

Lima negara yang paling menjadi sasaran serangan terenkripsi termasuk Inggris (5.446.549.767), AS (2.674.879.625), India (2.169.135.553), Australia (1.806.003.182), dan Prancis (519.251.819).

Secara keseluruhan, Eropa memimpin dengan 7.234.747.361 serangan, dengan APAC (4.924.732,36) dan Amerika Utara (2.778.360.051) melengkapi tiga besar.

Selengkapnya: Dark Reading

Peretas BlackShadow melanggar perusahaan hosting Israel dan memeras pelanggan

by

Kelompok peretas BlackShadow menyerang penyedia hosting Israel Cyberserve untuk mencuri basis data klien dan mengganggu layanan perusahaan.

Cyberserve adalah perusahaan pengembangan web dan perusahaan hosting Israel yang digunakan oleh berbagai organisasi, termasuk stasiun radio lokal, museum, dan lembaga pendidikan.

Mulai Jumat, ketika mencoba mengakses situs web yang dihosting di Cyberserve, pengunjung menemui kesalahan situs web atau pesan bahwa situs tersebut tidak dapat diakses karena insiden keamanan siber.

Sebuah kelompok peretasan yang dikenal sebagai BlackShadow mengaku bertanggung jawab atas serangan terhadap Cyberserve dan memeras perusahaan hosting dan pelanggannya dengan menuntut $ 1 juta dalam cryptocurrency untuk tidak membocorkan data yang dicuri.

Batas waktu permintaan pemerasan ini ditetapkan selama 48 jam, dimulai pada hari Sabtu, tetapi para aktor segera membocorkan sampel 1.000 catatan untuk membuktikan bahwa meraka benar-benar memiliki data perusahaan.

Termasuk dalam pencurian data adalah database yang berisi informasi pribadi dari situs LGBT besar bernama ‘Atraf,’ yang membuat insiden keamanan cukup mengerikan.

Mengekspos orang-orang LGBT yang hidup dalam masyarakat konservatif menempatkan mereka pada risiko yang signifikan, baik secara fisik maupun psikologis.

Pada saat penulisan, banyak situs web yang dihosting di CyberServe tidak dapat diakses, termasuk Atraf, yang menunjukkan bahwa perusahaan masih menanggapi serangan tersebut.

Direktorat Cyber Nasional setempat mengatakan kepada The Times of Israel bahwa mereka telah memperingatkan CyberServe tentang serangan cyber yang akan segera terjadi beberapa kali di hari-hari sebelumnya.

Tidak jelas apakah Cyberserve mengabaikan peringatan ini atau tidak dapat menemukan kerentanan keamanan yang digunakan oleh pelaku ancaman.

Selengkapnya: Bleeping Computer

NIST Mencari Masukan Publik tentang Pelabelan Perangkat Lunak Konsumen untuk Keamanan Siber

by

Dalam upaya meningkatkan kemampuan konsumen untuk membuat keputusan yang tepat tentang perangkat lunak yang mereka beli, National Institute of Standards and Technology (NIST) telah menyusun serangkaian kriteria keamanan siber untuk perangkat lunak konsumen.

Kriteria tersebut dimaksudkan untuk membantu dalam pengembangan dan penggunaan label secara sukarela untuk menunjukkan bahwa perangkat lunak menggabungkan tingkat langkah-langkah keamanan dasar.

Dokumen tersebut, yang secara resmi berjudul Draft Baseline Criteria for Consumer Software Cybersecurity Labeling, merupakan bagian dari tanggapan NIST terhadap Perintah Eksekutif (EO) 140128 12 Mei 2021 tentang Meningkatkan Keamanan Siber Negara.

EO menetapkan bahwa NIST “akan mengidentifikasi praktik atau kriteria pengembangan perangkat lunak yang aman untuk program pelabelan perangkat lunak konsumen” — kriteria yang mencerminkan tingkat dasar keamanan siber dan yang berfokus pada kemudahan penggunaan bagi konsumen.

Kriteria tersebut didasarkan pada saran dari publik melalui position papers, workshop, dan beberapa diskusi dengan pemangku kepentingan yang berkepentingan. NIST sedang mencari komentar publik tentang draf dokumen paling lambat 16 Desember 2021, untuk menginformasikan versi final yang akan dirilis NIST pada atau sebelum Februari. Draf ini adalah satu-satunya versi yang NIST rencanakan untuk dirilis sebelum publikasi final.

Bagian dari tantangannya adalah luasnya dan keragaman lanskap perangkat lunak konsumen. Perangkat lunak merupakan bagian integral dari sebagian besar kehidupan konsumen, dan perangkat lunak rentan terhadap kerentanan yang membahayakan keselamatan, properti, dan produktivitas pengguna — tetapi tidak ada pendekatan keamanan siber yang dapat diterapkan untuk semua jenis perangkat lunak konsumen.

Selengkapnya: NIST

Library NPM Berbahaya Memasang Ransomware Pencuri Kata Sandi

by

Paket NPM berbahaya yang berpura-pura menjadi library Roblox mengirimkan ransomware dan trojan pencuri kata sandi pada pengguna yang tidak menaruh curiga.

Kedua paket NPM diberi nama noblox.js-proxy dan noblox.js-proxies, dan menggunakan salah ketik untuk berpura-pura menjadi pembungkus Roblox API yang sah yang disebut noblox.js-proksi dengan mengubah satu huruf dalam nama library.

Malicious noblox.js-proxies NPM (sumber: Bleeping Computer)

Dalam laporan baru oleh perusahaan keamanan open source Sonatype dengan analisis lebih lanjut oleh BleepingComputer, NPM berbahaya ini menginfeksi korban dengan ransomware MBRLocker yang meniru ransomware GoldenEye yang terkenal, trollware, dan trojan pencuri kata sandi.

Kedua Library NPM berbahaya telah dihapus dan tidak lagi tersedia.

Kekacauan Aktivitas Malicious
Setelah libraby NPM berbahaya ditambahkan ke proyek dan diluncurkan, library akan menjalankan skrip postinstall.js. Skrip ini biasanya digunakan untuk menjalankan perintah yang sah setelah library diinstal, tetapi dalam kasus ini, skrip ini memulai rantai aktivitas jahat di komputer korban.

Seperti yang Anda lihat di bawah, skrip postinstall.js sangat dikaburkan untuk mencegah analisis oleh peneliti keamanan dan perangkat lunak.

Obfuscated postinstall.js script (sumber: Bleeping Computer)

Saat dieksekusi, skrip akan meluncurkan file batch yang sangat dikaburkan yang disebut ‘nobox.bat,’ yang ditunjukkan di bawah ini.

Obfuscated noblox.bat batch file (sumber: Bleeping Computer)

File batch ini didekodekan oleh peneliti keamanan Sonatype Juan Aguirre dan akan mengunduh berbagai malware dari Discord dan meluncurkannya dengan bantuan bypass UAC fodhelper.exe

File yang diunduh oleh file batch noblox.bat tercantum di bawah ini sesuai urutan penginstalannya, bersama dengan tautan VirusTotal dan deskripsi tindakannya.

exclude.bat – Menambahkan pengecualian Microsoft Defender untuk tidak memindai file di bawah drive C:\.
legion.exe – Menyebarkan trojan pencuri kata sandi yang mencuri riwayat browser, cookie, kata sandi yang disimpan, dan upaya untuk merekam video melalui webcam internal.
000.exe – Trollware yang mengubah nama pengguna saat ini menjadi ‘UR NEXT,’ memutar video, mengubah kata sandi pengguna, dan mencoba menguncinya dari sistem mereka.
tunamor.exe – Menginstal MBRLocker yang disebut ‘Monster Ransomware,’ yang meniru ransomware GoldenEye.

Rakasa Ransomware MBRLocker
Yang menarik adalah executable ‘tunamor.exe’, yang menginstal MBRLocker yang menyebut dirinya ‘Monster Ransomware.’

Ketika dieksekusi, ransomware akan melakukan restart paksa komputer dan kemudian menampilkan CHKDSK palsu dari sistem. Selama proses ini, ransomware diduga mengenkripsi disk di komputer.

Setelah selesai, komputer akan reboot dan menampilkan layar kunci tengkorak dan tulang bersilang yang awalnya ditemukan di keluarga ransomware Petya/GoldenEye.

Setelah menekan enter, korban diperlihatkan layar yang menyatakan bahwa hard disk mereka dienkripsi dan mereka harus mengunjungi situs http://monste3rxfp2f7g3i.onion/ Tor, yang sekarang sedang down, untuk membayar uang tebusan.

BleepingComputer menemukan string ‘qVwaofRW5NbLa8gj’, yang diterima sebagai kunci yang valid untuk mendekripsi komputer. Namun, sementara kuncinya diterima dan ransomware menyatakan itu mendekripsi komputer, Windows akan gagal untuk memulai sesudahnya.

Tidak jelas apakah string tambahan harus ditambahkan ke kunci itu untuk mendekripsi drive hard disk dengan benar atau apakah program ini hanya penghapus yang dirancang untuk menghancurkan sistem.

Ransomware ini tampaknya tidak tersebar luas dan hanya diketahui didistribusikan melalui paket NPM ini.

Berdasarkan aktivitas 000.exe trollware dan perilaku aneh ransomware Monster, kemungkinan paket ini dirancang untuk menghancurkan sistem daripada menghasilkan permintaan tebusan.

NPM berbahaya yang digunakan dalam serangan rantai pasokan, seperti ini, menjadi lebih umum.

Sonatype baru-baru ini menemukan tiga library NPM berbahaya yang digunakan untuk menyebarkan cryptominers di perangkat Linux dan Windows.

Jumat lalu, library UA-Parser-JS NPM yang sangat populer dibajak untuk menginfeksi pengguna dengan penambang dan trojan pencuri kata sandi.

sumber: Bleeping Computer