Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Apa Perbedaan Antara Keamanan Siber & Ketahanan Siber?

by

Perbedaan utama di antara mereka adalah fokus respons. Di Cybersecurity, kami memiliki DR/BCP untuk memastikan organisasi dapat melanjutkan operasi secepat mungkin. Namun, fokus utama Cybersecurity masih pada kontrol preventif.

Ketahanan Cyber berbeda dengan Cybersecurity. Ini tentang mengetahui hal-hal buruk akan terjadi. Pertanyaannya bukan tentang jika tetapi kapan. Untuk menjadi tangguh cyber, cakupan perlindungan akan lebih dari “Permata Mahkota.” Ini melibatkan cakupan yang lebih luas: ekosistem bisnis atau organisasi.

Sistem ketahanan siber memiliki langkah-langkah keamanan atau perlindungan “di dalam” sebagai dasar arsitektur dan desainnya, yang memungkinkannya untuk bertahan dari serangan, kesalahan, dan kegagalan siber dan terus beroperasi bahkan dalam keadaan terdegradasi atau lemah untuk melaksanakan fungsi misi-esensial organisasi.

Fokus saat ini pada ketahanan, di sisi lain, tidak melupakan keunggulan kompromi awal musuh, bahkan ketika fokus bergeser ke tempat lain untuk menghilangkan kemungkinan dampak dari seluruh rantai serangan. Jadi, alih-alih sangat bergantung pada kontrol pencegahan, sasaran keamanan berbasis ketahanan melihat secara holistik pada rangkaian lengkap kontrol keamanan yang tersedia.

Akibatnya, seluruh infrastruktur keamanan dapat secara tidak proporsional meningkatkan biaya usaha, materi, dan waktu yang harus diinvestasikan musuh untuk maju dengan serangan sambil mengurangi kemungkinan bahwa serangan tersebut akan berakhir dengan gangguan bisnis atau operasi.

Selengkapnya: Medium

Wawancara AP: Departemen Kehakiman melakukan tindakan keras dunia maya

by

Departemen Kehakiman Amerika Serikat meningkatkan tindakan untuk memerangi ransomware dan kejahatan dunia maya melalui penangkapan dan tindakan lainnya, pejabat No. 2 mengatakan kepada The Associated Press, ketika pemerintahan Biden meningkatkan tanggapannya terhadap apa yang dianggapnya sebagai masalah ekonomi dan nasional yang mendesak. ancaman keamanan.

Wakil Jaksa Agung Lisa Monaco mengatakan bahwa “dalam beberapa hari dan minggu mendatang, Anda akan melihat lebih banyak penangkapan,” lebih banyak penyitaan pembayaran uang tebusan kepada peretas dan operasi penegakan hukum tambahan.

“Jika Anda datang untuk kami, kami akan datang untuk Anda,” kata Monaco dalam sebuah wawancara dengan AP minggu ini. Dia menolak untuk menawarkan secara spesifik tentang siapa yang mungkin menghadapi penuntutan.

Tindakan tersebut dimaksudkan untuk membangun langkah-langkah yang diambil dalam beberapa bulan terakhir, termasuk ekstradisi baru-baru ini ke AS dari tersangka penjahat dunia maya Rusia dan penyitaan pada bulan Juni sebesar $2,3 juta dalam cryptocurrency yang dibayarkan kepada peretas.

Mereka datang ketika AS terus menanggung apa yang disebut Monaco sebagai serangan “denyut gendang yang stabil” meskipun ada peringatan Presiden Joe Biden musim panas lalu kepada mitra Rusia Vladimir Putin setelah serentetan serangan menguntungkan yang terkait dengan geng peretas yang berbasis di Rusia.

Selengkapnya: AP News

AS Menargetkan Ransomware DarkSide dan Rebranding dengan Hadiah $10juta

by

Pemerintah AS menargetkan ransomware DarkSide dan rebranding dengan hadiah hingga $10.000.000 untuk informasi yang mengarah pada identifikasi atau penangkapan anggota operasi.

Departemen Luar Negeri AS hari ini mengumumkan bahwa mereka sekarang menawarkan hadiah $ 10.000.000 untuk identifikasi atau lokasi anggota ransomware DarkSide yang beroperasi di posisi kepemimpinan utama.

Hadiah sebesar $5.000.000 juga ditawarkan untuk informasi yang mengarah pada penangkapan setiap individu yang mencoba untuk berpartisipasi dalam serangan Darkside.

“Selain itu, Departemen juga menawarkan tawaran hadiah hingga $5.000.000 untuk informasi yang mengarah pada penangkapan dan/atau hukuman di negara mana pun dari individu mana pun yang berkonspirasi untuk berpartisipasi atau mencoba berpartisipasi dalam insiden ransomware varian DarkSide,” mengumumkan Departemen Luar Negeri.

Tips dapat dikirimkan ke FBI di https://tips.fbi.gov atau melalui WhatsApp, Telegram, dan Signal.

Saat pengumuman menyatakan “ransomware varian DarkSide,” hadiah ini juga akan berlaku untuk perubahan merek DarkSide, termasuk operasi BlackMatter terbaru geng ransomware.

Ketika operasi ransomware mulai merasakan panasnya penegakan hukum setelah menyerang organisasi yang sangat sensitif, biasanya mereka mengubah citra dengan nama yang berbeda.

DarkSide berganti nama menjadi BlackMatter setelah menyerang Colonial Pipeline dan merasakan pengawasan penuh dari penegakan hukum internasional.

Demikian pula, operasi ransomware lain juga telah berganti nama di masa lalu, termasuk:
-GandCrab ke REvil
-Labirin ke Egregor
-Bitpaymer ke DoppelPaymer ke Duka
-Nemty ke Nefilim ke Karma

Kamis (4/11/21) BleepingComputer melaporkan bahwa BlackMatter juga menutup operasi mereka setelah merasakan “tekanan dari pihak berwenang” dan anggota geng hilang.

Hadiah Departemen Luar Negeri hari ini di DarkSide dengan jelas menunjukkan bahwa beralih ke nama ransomware yang berbeda tidak akan menghentikan penegakan hukum untuk mengejar mereka.

Hadiah ini ditawarkan sebagai bagian dari Program Hadiah Kejahatan Terorganisir Transnasional (TOCRP) Departemen Luar Negeri.

Pemerintah AS juga menawarkan hadiah $ 10 juta untuk informasi tentang peretas yang disponsori negara yang menargetkan infrastruktur penting AS.

Dengan imbalan besar ini, pemerintah AS berharap para peretas akan saling menyerang dan mendapatkan pembayaran yang legal dan bebas stres.

sumber: Bleeping Computer

CISA Mendesak Vendor untuk Menyelesaikan Patch Bug BrakTooth

by

Para peneliti telah merilis kode eksploitasi publik dan alat bukti konsep untuk menguji perangkat Bluetooth terhadap bug keamanan System-on-a-Chip (SoC) yang berdampak pada beberapa vendor, termasuk Intel, Qualcomm, Texas Instruments, dan Cypress.

Secara kolektif dikenal sebagai BrakTooth, 16 kelemahan ini berdampak pada tumpukan Bluetooth komersial pada lebih dari 1.400 chipset yang digunakan di miliaran perangkat seperti smartphone, komputer, perangkat audio, mainan, perangkat IoT, dan peralatan industri.

Daftar perangkat dengan SoC yang rentan termasuk desktop dan laptop Dell, MacBook dan iPhone, beberapa model laptop Microsoft Surface, smartphone Sony dan Oppo, sistem infotainment Volo.

(Kamis, 4/11/21)CISA meminta vendor untuk menambal kerentanan ini setelah peneliti keamanan merilis bukti alat konsep untuk menguji perangkat Bluetooth terhadap eksploitasi BrakTooth.

federal agency juga mendorong produsen dan pengembang untuk meninjau rincian kerentanan yang diterbitkan oleh para peneliti pada bulan Agustus dan “memperbarui aplikasi Bluetooth System-on-a-Chip (SoC) yang rentan atau menerapkan solusi yang sesuai.”

Vendor Masih Mengerjakan Patch BrakTooth
Dampak yang terkait dengan bug BrakTooth adalah penolakan layanan (DoS) dengan merusak firmware perangkat atau membekukannya dengan memblokir komunikasi Bluetooth hingga eksekusi kode arbitrer yang dapat menyebabkan pengambilalihan total tergantung pada SoC rentan yang digunakan dalam target.

Pelaku ancaman yang mungkin ingin meluncurkan serangan BrakTooth hanya memerlukan papan ESP32 siap pakai yang harganya kurang dari $15, firmware Link Manager Protocol (LMP) kustom, dan komputer untuk menjalankan proof-of-concept (PoC) alat.

Sementara beberapa vendor telah mengeluarkan patch keamanan untuk mengatasi kerentanan BrakTooth, akan memakan waktu berbulan-bulan untuk menyebar ke semua perangkat yang belum ditambal.

Dalam kasus lain, vendor masih menyelidiki masalah, masih mengerjakan patch, atau belum mengumumkan status patch mereka.

Daftar vendor yang terkena dampak yang dilacak oleh peneliti dan status patch dapat ditemukan di tabel yang disematkan di bawah.

sumber: BLEEPING COMPUTER

Menerima Email Berisi Link Google Drive Misterius? Jangan Dibuka!

by Leave a Comment

Kampanye phishing baru mencari korban dengan mengirim supplier list palsu berisi ransomware MirCop yang meminta tebusan. Dapat mengenkripsi sistem target dalam waktu kurang dari lima belas menit.

Gambar Supplier List yang Diburamkan (sumber: bleeping computer)

Para pelaku memulai serangan dengan mengirimkan email yang tidak diminta korban. Email berisi gambar yang diburamkan dan link Google Drive yang dapat di klik.

Badan email berisi hyperlink ke URL Google Drive yang jika diklik akan mengunduh file MHT (arsip halaman web) ke perangkat korban.

Google Drive digunakan untuk memberikan legitimasi ke email dan sangat selaras dengan praktik pekerja sehari-hari.

Mereka yang membuka file tersebut hanya dapat melihat gambar buram dari apa yang seharusnya merupakan daftar pemasok, dicap dan ditandatangani untuk sentuhan legitimasi ekstra.

Ketika file MHT dibuka, itu akan mengunduh arsip RAR yang berisi pengunduh malware .NET dari “hXXps://a[.]pomf[.]cat/gectpe.rar”.

Arsip RAR berisi file EXE, yang menggunakan skrip VBS untuk menjatuhkan dan menjalankan muatan MirCop ke sistem yang terinfeksi.

Ransomware langsung aktif dan mulai mengambil tangkapan layar, mengunci file, mengubah latar belakang menjadi gambar bertema zombie yang mengerikan, dan menawarkan petunjuk kepada korban tentang apa yang harus dilakukan selanjutnya.

Menurut Cofense, seluruh proses ini memakan waktu kurang dari 15 menit sejak korban membuka email phishing.

Setelah itu, pengguna hanya diperbolehkan membuka browser web tertentu untuk berkomunikasi dengan pelaku dan mengatur pembayaran uang tebusan.

Para pelaku tidak tertarik untuk menyelinap ke dalam mesin korban secara sembunyi-sembunyi atau tinggal lama di sana untuk melakukan spionase dunia maya atau mencuri file untuk pemerasan.

Sebaliknya, serangan itu terjadi dengan cepat, dan sumber masalah menjadi jelas bagi korbannya

MicroCop adalah jenis ransomware lama yang digunakan untuk memberikan tuntutan tebusan yang tidak masuk akal kepada para korbannya.

Namun Michael Gillespie berhasil memecahkan enkripsinya dan merilis decryptor yang berfungsi secara gratis.

Bleeping Computer belum menguji apakah dekripsi lama itu berfungsi dengan muatan yang dijatuhkan di kampanye terbaru, tetapi ada kemungkinan bahwa itu masih dapat membuka kunci file.

Cofense mengatakan varian yang sama telah beredar sejak Juni tahun ini, jadi MicroCop masih ada di luar sana, dan orang harus berhati-hati dalam menangani email yang tidak diminta.

sumber: BLEEPING COMPUTER

Pengguna NPM Library ‘coa’ Siap-siap Ganti Sandi!

by

Jumat, 5 November 2021 NPM Library ‘coa’ dibajak, terdapat kode berbahaya yang berdampak pada pipeline React di seluruh dunia dipastikan kata sandi pengguna dicuri.

Library ‘coa’, kependekan dari Command-Option-Argument, menerima sekitar 9 juta unduhan mingguan di npm, dan digunakan oleh hampir 5 juta repositori open source di GitHub. Beberapa jam setelah penemuan ini, komponen npm lain yang umum digunakan ‘rc’ juga ditemukan telah dibajak. Pustaka ‘rc’ rata-rata mendapatkan 14 juta unduhan per minggu.

Kode Berbahaya Disuntikkan dalam Rilis ‘coa’
Hari ini, pengembang di seluruh dunia dibuat terkejut melihat rilis baru untuk npm library ‘coa’—proyek yang belum tersentuh selama bertahun-tahun, tiba-tiba muncul di npm. ‘coa’ adalah parser opsi baris perintah untuk proyek Node.js. Versi stabil terakhir 2.0.2 untuk proyek ini dirilis pada Desember 2018. Namun, beberapa versi mencurigakan 2.0.3, 2.0.4, 2.1.1, 2.1.3, dan 3.1.3 mulai muncul di npm beberapa jam yang lalu, merusak paket React yang bergantung pada ‘coa’.

“Saya tidak yakin mengapa atau apa yang terjadi tetapi 10 menit yang lalu ada rilis (meskipun perubahan terakhir di GitHub adalah pada 2018). Apa pun yang dilakukan rilis ini, itu merusak internet,” kata Roberto Wesley Overdijk, pengembang React. Pengguna GitHub lain dengan pegangan ElBidouilleur melihat salah satu dari versi ‘coa’ ini, 2.1.3 merusak build mereka:

Beberapa pengembang bergabung dalam diskusi, membenarkan mengalami masalah dengan build mereka sejak rilis ‘coa’ baru mencapai npm. Tak lama setelah menerbitkan bagian ini, BleepingComputer juga menemukan klaim bahwa perpustakaan npm populer lainnya, ‘rc’ juga dibajak, dengan versi jahat 1.2.9, 1.3.9, dan 2.3.9 muncul di npm.

Apa yang Harus Dilakukan Pengguna COA dan RC?
Sangat disarankan agar semua pengguna perpustakaan “coa” dan “rc” memeriksa proyek mereka untuk perangkat lunak berbahaya.

Periksa keberadaan compile.js, compile.bat, sdd.dll dan menghapus file jika ditemukan.

Karena varian “sdd.dll” ini juga telah diidentifikasi sebagai trojan di VirusTotal, dan yang dijatuhkan oleh “ua-parser-js” adalah pencuri kredensial, pengguna yang terinfeksi juga harus menganggap perangkat mereka sepenuhnya disusupi dan mengubah kata sandi, kunci , dan merefresh token, karena kemungkinan telah disusupi dan dikirim ke pelaku ancaman.

Sumber: BLEEPING COMPUTER

Eksploitasi Microsoft Exchange ProxyShell yang digunakan untuk menyebarkan ransomware Babuk

by

Aktor ancaman baru meretas server Microsoft Exchange dan menerobos jaringan perusahaan menggunakan kerentanan ProxyShell untuk menyebarkan Ransomware Babuk.

Serangan ProxyShell terhadap server Microsoft Exchange yang rentan dimulai beberapa bulan yang lalu, dengan LockFile dan Conti menjadi salah satu kelompok ransomware pertama yang mengeksploitasinya.

Menurut sebuah laporan oleh para peneliti di Cisco Talos, afiliasi ransomware Babuk yang dikenal sebagai ‘Tortilla’ telah bergabung dengan klub pada bulan Oktober, ketika aktor tersebut mulai menggunakan web shell ‘China Chopper’ di server Exchange yang dilanggar.

Nama Tortilla didasarkan pada executable berbahaya yang terlihat dalam kampanye menggunakan nama Tortilla.exe.

Dimulai dengan Exchange

Serangan ransomware Babuk dimulai dengan DLL, atau .NET executable yang dijatuhkan di server Exchange menggunakan kerentanan ProxyShell. Proses pekerja Exchange IIS w3wp.exe kemudian mengeksekusi muatan berbahaya ini untuk menjalankan perintah PowerShell yang dikaburkan yang menampilkan perlindungan titik akhir yang melewati, yang akhirnya menjalankan permintaan web untuk mengambil pemuat muatan bernama ‘tortilla.exe.’

Pemuat ini akan terhubung ke ‘pastebin.pl’ dan mengunduh muatan yang dimuat ke dalam memori dan disuntikkan ke dalam proses NET Framework, yang pada akhirnya mengenkripsi perangkat dengan Babuk Ransomware.

Infection chain diagram
Source: Cisco

Meskipun analis Cisco menemukan bukti eksploitasi kerentanan ProxyShell di sebagian besar merupakan infeksi, terutama web shell ‘China Chopper’, data telemetri mencerminkan spektrum luas dari upaya eksploitasi.

Lebih khusus lagi, Tortilla mengikuti jalur ini untuk menghapus modul DLL dan NET:

  • Microsoft Exchange menemukan upaya pemalsuan permintaan sisi server secara otomatis
  • Upaya eksekusi kode jarak jauh injeksi Atlassian Confluence OGNL
  • Upaya eksekusi kode jarak jauh Apache Struts
  • Akses wp-config.php WordPress melalui upaya traversal direktori
  • Upaya bypass otentikasi SolarWinds Orion
  • Upaya eksekusi perintah jarak jauh Oracle WebLogic Server
  • Upaya deserialisasi objek Java sewenang-wenang Liferay

Serangan ini bergantung pada kerentanan yang ditambal, maka sangat disarankan agar admin meningkatkan server mereka ke versi terbaru untuk mencegahnya dieksploitasi dalam serangan.

Menggunakan Babuk dalam serangan baru

Babuk Locker adalah operasi ransomware yang diluncurkan pada awal 2021 ketika mulai menargetkan bisnis dan mengenkripsi data mereka dalam serangan pemerasan ganda.

Setelah melakukan serangan terhadap Departemen Kepolisian Metropolitan (MPD) Washinton DC, dan merasakan panas dari penegakan hukum AS, geng ransomware menutup operasi mereka.

Setelah kode sumber untuk versi pertama Babu dan pembuatnya bocor di forum peretasan, pelaku ancaman lainnya mulai memanfaatkan ransomware untuk meluncurkan serangan mereka sendiri.

Tidak jelas apakah Tortilla adalah afiliasi dari Babuk saat RaaS aktif atau apakah mereka hanya mengambil kode sumber strain ketika keluar untuk melakukan serangan baru.

Namun, karena catatan tebusan yang digunakan dalam serangan ini meminta uang $10.000 yang rendah di Monero, kemungkinan itu tidak dilakukan oleh operasi Babuk yang asli, yang menuntut uang tebusan yang jauh lebih besar dalam Bitcoin.

Tortilla’s ransom note
Source: Cisco

Menargetkan AS

Meskipun peneliti Talos melihat beberapa serangan di Jerman, Thailand, Brasil, dan Inggris, sebagian besar target Tortilla berbasis di AS.

I.P. alamat server unduhan terletak di Moskow, Rusia, yang dapat menunjukkan asal serangan ini, tetapi tidak ada kesimpulan atribusi dalam laporan tersebut. Domain ‘pastebin.pl’ yang digunakan untuk tahap pembongkaran sebelumnya telah disalahgunakan oleh kampanye distribusi AgentTesla dan FormBook.

Victim heatmap
Source: Cisco

Meskipun decryptor sebelumnya dirilis untuk ransomware Babuk, ia hanya dapat mendekripsi korban yang kunci pribadinya merupakan bagian dari kebocoran kode sumber.

Oleh karena itu, pelaku ancaman dapat terus menggunakan ransomware Babuk untuk meluncurkan operasi mereka sendiri, seperti ypelaku ancaman Tortilla.

SUMBER : Bleeping Computer

Cisco memperbaiki kredensial hard-code dan masalah kunci SSH default

by

Cisco telah merilis pembaruan keamanan untuk mengatasi kelemahan keamanan kritis yang memungkinkan penyerang yang tidak diautentikasi untuk masuk menggunakan kredensial hard-code atau kunci SSH default untuk mengambil alih perangkat yang belum ditambal.

CISA juga mendorong pengguna dan administrator hari ini untuk meninjau saran Cisco dan menerapkan semua pembaruan yang diperlukan untuk memblokir upaya untuk mengambil alih sistem yang terkena dampak.

Catalyst PON Switch kredensial hard-coded

Yang pertama dari dua kelemahan yang ditambal pada hari Rabu (dilacak sebagai CVE-2021-34795) hadir dengan skor CVSS 10/10 yang sempurna dan ditemukan di Cisco Catalyst Passive Optical Network (PON) Series Switches Optical Network Terminal (ONT).

“Kerentanan dalam layanan Telnet Cisco Catalyst PON Series Switches ONT dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi masuk ke perangkat yang terpengaruh dengan menggunakan akun debugging yang memiliki kata sandi default dan statis,” perusahaan menjelaskan dalam sebuah nasihat yang diterbitkan kemarin. .

Untungnya, kerentanan ini hanya dapat dieksploitasi dengan membuat sesi Telnet ke perangkat yang rentan dan masuk dengan kredensial hard-coded.

Karena Telnet tidak diaktifkan secara default pada perangkat yang terpengaruh, ini secara drastis membatasi jumlah target yang dapat diserang oleh aktor ancaman.

Daftar perangkat yang terpengaruh termasuk sakelar CGP-ONT-1P, CGP-ONT-4P, CGP-ONT-4PV, CGP-ONT-4PVC, dan CGP-ONT-4TVCW Catalyst PON.

Cisco mengkonfirmasi bahwa CVE-2021-34795 tidak berdampak pada Catalyst PON Switch CGP-OLT-8T dan Catalyst PON Switch CGP-OLT-16T.
Kunci SSH default di Cisco Policy Suite

Cacat keamanan kritis kedua yang ditambal kemarin dilacak sebagai CVE-2021-40119 dan disebabkan oleh penggunaan kembali kunci SSH statis di seluruh instalasi Cisco Policy Suite.

“Kerentanan dalam mekanisme otentikasi SSH berbasis kunci dari Cisco Policy Suite dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk masuk ke sistem yang terpengaruh sebagai pengguna root,” jelas Cisco.

“Seorang penyerang dapat mengeksploitasi kerentanan ini dengan mengekstrak kunci dari sistem di bawah kendali mereka.”

Perangkat lunak Cisco Policy Suite merilis 21.2.0 dan yang lebih baru akan secara otomatis membuat kunci SSH baru selama proses instalasi tetapi tidak selama peningkatan.

Untuk menghasilkan kunci SSH baru dan menyebarkannya ke semua mesin, Anda dapat menggunakan langkah-langkah yang dirinci di bagian Rilis Tetap dari saran Cisco.

Tim Respons Insiden Keamanan Produk Cisco (PSIRT) mengatakan bahwa tidak ada kode eksploitasi konsep publik yang tersedia secara online untuk kedua kerentanan ini dan menambahkan bahwa mereka tidak mengetahui adanya eksploitasi yang sedang berlangsung di alam liar.

SUMBER : Bleeping Computer