Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Rusia Tuntut 8 Tersangka Anggota Geng Ransomware REvil

by

Delapan anggota operasi ransomware REvil yang telah ditahan oleh petugas Rusia saat ini menghadapi tuntutan pidana atas aktivitas ilegal mereka.

Pada hari Jumat, Dinas Keamanan Federal (FSB) Federasi Rusia – dinas intelijen domestik negara itu, mengumumkan penggerebekan di rumah 14 orang yang diduga menjadi bagian dari geng ransomware REvil.

Operasi itu dilakukan bekerja sama dengan Kementerian Dalam Negeri Rusia setelah pihak berwenang AS melaporkan pemimpin kelompok itu dan menuntut tindakan terhadap penjahat dunia maya yang tinggal di Rusia.

Nama-nama para tersangka tidak diketahui sampai hari ini ketika Pengadilan Tverskoi Moskow mengidentifikasi delapan orang dari dokumen penangkapan mereka:

  • Muromsky Romawi
  • Bessonov Andrey
  • Golovachuk Mikhail A.
  • Zayets Artem N.
  • Khansvyarov Ruslan A.
  • Korotayev Dmitry V.
  • Puzyrevsky D.D.
  • Malozemov Alexei V.

Para tersangka telah dipenjara selama dua bulan sebagai tindakan pencegahan dan semuanya diselidiki karena peredaran ilegal alat pembayaran (kartu kredit palsu dan dokumen pembayaran lainnya, cryptocurrency).

Yelisey Boguslavskiy, kepala penelitian di advIntel threat prevention, mengatakan bahwa individu yang ditangkap kemungkinan adalah afiliasi tingkat rendah dan bukan inti dari operasi REvil, yang mengembangkan malware dan mempertahankan operasi ransomware-as-a-service (RaaS).

Semua orang yang ditangkap dituduh melakukan kejahatan berdasarkan Bagian 2 dari Pasal 187 KUHP Federasi Rusia, kata Kantor Berita Rusia TASS, yang membawa hukuman antara lima dan delapan tahun penjara.

Menurut Martin Matishak dari The Record, seorang pejabat senior pemerintahan Biden mengatakan bahwa salah satu dari 14 tersangka yang digerebek juga bertanggung jawab atas serangan ransomware yang mengganggu operasi Colonial Pipeline. Malware ini digunakan oleh geng ransomware DarkSide, kemudian berganti nama menjadi BlackMatter.

Selengkapnya: Bleepingcomputer

Malware Perusak Menargetkan Organisasi Ukraina

by

Microsoft Threat Intelligence Center (MSTIC) telah mengidentifikasi bukti operasi malware destruktif yang menargetkan beberapa organisasi di Ukraina. Malware ini pertama kali muncul di sistem korban di Ukraina pada 13 Januari 2022.

Microsoft mengetahui peristiwa geopolitik yang sedang berlangsung di Ukraina dan wilayah sekitarnya dan mendorong organisasi untuk menggunakan informasi dalam postingan ini untuk secara proaktif melindungi dari aktivitas berbahaya apa pun.

Sementara penyelidikan berlanjut, MSTIC belum menemukan hubungan penting antara aktivitas yang diamati ini, yang dilacak sebagai DEV-0586, dan grup aktivitas lain yang diketahui.

MSTIC menilai bahwa malware, yang dirancang agar terlihat seperti ransomware tetapi tidak memiliki mekanisme pemulihan tebusan, dimaksudkan untuk merusak dan dirancang untuk membuat perangkat yang ditargetkan tidak dapat dioperasikan daripada untuk mendapatkan uang tebusan.

Saat ini dan berdasarkan visibilitas Microsoft, tim investigasi telah mengidentifikasi malware pada lusinan sistem yang terpengaruh dan jumlah itu dapat bertambah seiring investigasi kami berlanjut.

Sistem ini menjangkau beberapa organisasi pemerintah, nirlaba, dan teknologi informasi, semuanya berbasis di Ukraina. MSTIC tidak tahu tahap saat ini dari siklus operasional penyerang ini atau berapa banyak organisasi korban lainnya yang mungkin ada di Ukraina atau lokasi geografis lainnya.

Selengkapnya: Microsoft

Lemahnya Microsoft Defender memungkinkan peretas melewati deteksi malware

by

Pelaku ancaman dapat memanfaatkan kelemahan yang memengaruhi antivirus Microsoft Defender di Windows untuk mempelajari lokasi yang dikecualikan dari pemindaian dan menanam malware di sana.

Masalah ini telah berlangsung setidaknya selama delapan tahun, menurut beberapa pengguna, dan memengaruhi Windows 10 21H1 dan Windows 10 21H2.

Seperti solusi antivirus lainnya, Microsoft Defender memungkinkan pengguna menambahkan lokasi (lokal atau di jaringan) pada sistem mereka yang harus dikecualikan dari pemindaian malware.

Orang biasanya membuat pengecualian untuk mencegah antivirus memengaruhi fungsionalitas aplikasi sah yang terdeteksi secara keliru sebagai malware.

Karena daftar pengecualian pemindaian berbeda dari satu pengguna ke pengguna lainnya, ini adalah informasi yang berguna bagi penyerang pada sistem, karena ini memberi mereka lokasi di mana mereka dapat menyimpan file berbahaya tanpa takut terdeteksi.

Peneliti keamanan menemukan bahwa daftar lokasi yang dikecualikan dari pemindaian Microsoft Defender tidak terlindungi dan setiap pengguna lokal dapat mengaksesnya.

Terlepas dari izin mereka, pengguna lokal dapat menanyakan registri dan mempelajari jalur yang tidak diizinkan oleh Microsoft Defender untuk memeriksa malware atau file berbahaya.

Antonio Cocomazzi, peneliti ancaman SentinelOne yang dikreditkan karena melaporkan kerentanan RemotePotato0, menunjukkan bahwa tidak ada perlindungan untuk informasi ini, yang harus dianggap sensitif, dan menjalankan perintah “permintaan reg” mengungkapkan semua yang tidak diperintahkan Microsoft Defender untuk memindai, baik itu file, folder, ekstensi, atau proses.

Selengkapnya: Bleeping Computer

Pengguna Android sekarang dapat menonaktifkan 2G untuk memblokir serangan Stingray

by

Google akhirnya meluncurkan opsi di Android yang memungkinkan pengguna untuk menonaktifkan koneksi 2G, yang datang dengan sejumlah masalah privasi dan keamanan yang dieksploitasi oleh simulator situs seluler.

Simulator situs seluler, juga dikenal sebagai “ikan pari” atau IMSI Catcher, adalah perangkat yang menyamar sebagai menara seluler, memaksa ponsel dalam jangkauannya untuk terhubung.

Koneksi ini memungkinkan operator ikan pari ini untuk melakukan serangan man-in-the-middle dan mencegat informasi pribadi yang sensitif seperti: Perangkat IMSI (identitas pelanggan seluler internasional), Metadata panggilan seperti nomor dan durasi yang dihubungi, SMS dan konten panggilan suara, Data penggunaan dan riwayat penelusuran web

Sayangnya, metode penyadapan data ini telah berulang kali dan tanpa pandang bulu digunakan oleh otoritas penegak hukum selama protes damai di negara-negara demokratis di mana undang-undang perlindungan data yang ketat berlaku.

Selain itu, kasus penyebaran pribadi “Stingray” yang terdokumentasi juga telah melimpah dalam beberapa tahun terakhir, sehingga penyalahgunaan kerentanan jaringan komunikasi tersebar luas.

Sebagian besar kerentanan ini telah diatasi dalam 4G, tetapi stasiun pangkalan yang disimulasikan memiliki cara untuk menurunkan koneksi perangkat terdekat ke 2G, pada dasarnya meletakkan dasar untuk mengeksploitasi kelemahan lama.

Selengkapnya: Bleeping Computer

Korea Utara mencuri rekor $400 juta dalam cryptocurrency tahun lalu, kata para peneliti

by

Korea Utara mencuri hampir $400 juta dalam cryptocurrency pada tahun 2021, khususnya ethereum, para peneliti telah menemukan, menunjukkan strategi nasional peretasan dan pencucian uang digital tetap berhasil.

Negara yang terisolasi, yang dilanda sanksi dari Amerika Serikat dan negara-negara lain, telah lama mengandalkan korps peretasnya untuk membobol lembaga keuangan di seluruh dunia untuk mencuri uang.

Dalam beberapa tahun terakhir, para peretas tersebut semakin fokus pada perusahaan yang menangani dan memperdagangkan mata uang kripto, yang disimpan dalam dompet digital dan dapat dengan mudah dikirim ke seluruh dunia jika seorang peretas memperoleh akses.

Sebuah laporan PBB tahun lalu menemukan bahwa Korea Utara telah meretas dan mencuri aset virtual senilai $316 juta antara 2019 dan 2020 untuk digunakan dalam program senjata nuklirnya.

Taktik itu sangat efektif tahun lalu, menurut para peneliti di Chainalysis, sebuah perusahaan yang memantau transaksi di blockchain, yang merupakan semacam catatan publik yang melacak semua transaksi untuk sebagian besar cryptocurrency. Peretas Korea Utara berhasil menembus setidaknya tujuh pertukaran mata uang kripto dan mencuci uangnya, kata perusahaan itu.

Korea Utara terus-menerus mencuci mata uang kripto yang diretas dalam jumlah sedang sambil mempertahankan sekitar $ 170 juta dari peretasan yang sebelumnya, katanya, memanfaatkan fakta bahwa mata uang kripto utama seperti bitcoin dan ethereum telah meningkat nilainya dalam beberapa tahun terakhir.

“Mereka sangat strategis. Mereka tidak terburu-buru dalam menguangkan, ”kata Plante. “Mereka melihat jumlah yang jauh lebih besar” karena mereka menunggu, katanya

Selengkapnya: NBC News

Ukraina terkena serangan siber besar-besaran yang menargetkan situs web pemerintah

by

Lusinan situs pemerintah Ukraina telah terkena serangan siber yang tidak menyenangkan, dengan peretas memperingatkan orang-orang untuk “takut dan mengharapkan yang terburuk.”

Serangan itu mengambil alih situs web Kementerian Luar Negeri, Kabinet menteri dan dewan keamanan dan pertahanan, memposting pesan di layar dalam bahasa Ukraina, Rusia, dan Polandia yang berbunyi: “Ukraina! Semua data pribadi Anda telah diunggah ke jaringan publik. Semua data di komputer hancur, tidak mungkin mengembalikannya.”

“Semua informasi tentang Anda telah menjadi publik, takut dan harapkan yang terburuk. Ini untuk masa lalu Anda, sekarang dan masa depan,” kata para peretas.

“Akibat serangan siber besar-besaran, situs web Kementerian Luar Negeri dan sejumlah lembaga pemerintah lainnya untuk sementara dinonaktifkan,” kata juru bicara Kementerian Luar Negeri di Twitter. “Spesialis kami sudah mulai memulihkan kerja sistem TI, dan polisi siber telah membuka penyelidikan.”

Pejabat di Kyiv belum mengatakan siapa yang berada di balik pelanggaran tersebut, tetapi di masa lalu, peretas Rusia telah disalahkan atas serangan serupa di Ukraina.

Perlu dicatat bahwa taktik siber serupa digunakan terhadap situs web pemerintah Georgia pada tahun 2008 selama konflik singkat antara Moskow dan Tbilisi atas Ossetia Selatan.

Dan pada tahun 2015, Sandworm, kelompok peretas Rusia, menyerang jaringan listrik Ukraina.

Selengkapnya: NPR

Layanan Keamanan Ukraina menangkap kelompok ransomware karena menyerang 50 perusahaan

by

Spesialis Siber Ukraina dari Dinas Keamanan Ukraina melakukan operasi bersama dengan polisi siber, mitra Amerika dan Inggris untuk melenyapkan sekelompok peretas yang kuat.

Dan mereka berhasil menahan lima penjahat yang tergabung dalam geng ransomware yang bertanggung jawab melancarkan serangan terhadap 50 perusahaan milik Amerika dan Eropa. Namun, geng ransomware milik mereka belum diungkapkan.

Penangkapan terjadi awal pekan ini dengan peretas utama adalah warga Kyiv berusia 36 tahun, pasangannya dan tiga orang lainnya. Penangkapan tersebut dibenarkan oleh kelompok-kelompok yang melakukan tindakan ilegal dan jahat terhadap badan-badan pemerintah dan swasta untuk mengenkripsi dan mencuri data, dengan serangan ransomware dan DDOS.

Sesuai pernyataan pihak berwenang Ukraina, Seluruh tindakan itu dilakukan dari perangkat pribadi mereka, dan untuk menghindari klaim ilegal, mereka menyamar dengan nama berbeda di jaringan Darknet.

Selain itu, mereka memiliki koneksi dan jaringan untuk mencuci uang dan keuntungan mereka ke kartu pembayaran yang dimiliki oleh individu fiktif.

Setelah beberapa analisis, pihak berwenang Ukraina mengklaim bahwa geng tersebut telah menghasilkan sekitar satu juta dollar dari serangan tersebut.

Pihak berwenang melakukan pencarian menyeluruh di sembilan lokasi berbeda yang penggerebekan dilakukan dengan bantuan dari lembaga penegak hukum AS dan Inggris. Peralatan yang disita meliputi laptop, desktop, ponsel, kartu kredit/debit, flash drive, dan tiga mobil.

Pihak berwenang dari negara lain juga siap untuk menahan dan menyelidiki para penjahat karena serangan itu juga dilakukan di luar negeri.

Namun, kita perlu apresiasi pihak berwenang Ukraina atas penyaringan berkelanjutan dan prosedur perang siber yang telah mereka lakukan sejak awal tahun 2021.

Selengkapnya: The Cybersecurity Times

Apple memperbaiki bug DoorLock yang dapat menonaktifkan iPhone dan iPad

by

Apple telah merilis pembaruan keamanan untuk mengatasi penolakan layanan (DoS) yang dijuluki doorLock yang akan menonaktifkan iPhone dan iPad yang menjalankan HomeKit di iOS 14.7 dan yang lebih baru.

HomeKit adalah protokol dan kerangka kerja Apple yang memungkinkan pengguna iOS dan iPadOS menemukan dan mengontrol peralatan rumah pintar di jaringan mereka.

Seperti yang dijelaskan perusahaan dalam penasihat keamanan yang dikeluarkan hari Rabu lalu, kerentanan doorLock yang dilacak sebagai CVE-2022-22588 akan merusak perangkat iOS dan iPadOS yang terpengaruh saat memproses nama aksesori HomeKit yang telah dicustom untuk tujuan kejahatan.

Apple telah mengatasi masalah ini di iOS 15.2.1 dan iPadOS 15.2.1 dengan menambahkan validasi input yang ditingkatkan yang tidak lagi memungkinkan penyerang menonaktifkan perangkat yang rentan.

Perangkat yang menerima pembaruan keamanan kali ini termasuk iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch (generasi ke-7).

Peneliti mengatakan penyerang harus mengubah nama perangkat HomeKit menjadi string besar hingga 500.000 karakter dan mengelabui target untuk menerima undangan Home.

Setelah target bergabung dengan jaringan HomeKit penyerang, perangkat mereka menjadi tidak responsif dan akhirnya crash.

Satu-satunya cara untuk pulih dari serangan semacam itu adalah dengan menyetel ulang pabrik perangkat yang dinonaktifkan, mengingat perangkat itu akan crash sekali lagi setelah memulai ulang dan masuk kembali ke akun iCloud yang ditautkan ke perangkat HomeKit.

Selengkanya: Bleeping Computer