Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Peretas yang didukung negara melanggar perusahaan telekomunikasi dengan malware khusus

by

Aktor yang disponsori negara yang sebelumnya tidak dikenal sedang menyebarkan perangkat baru dalam serangan yang menargetkan penyedia telekomunikasi dan perusahaan TI di Asia Selatan.

Tujuan kelompok tersebut — dilacak sebagai Harvester oleh para peneliti di Symantec yang menemukannya — adalah untuk mengumpulkan intelijen dalam kampanye spionase yang sangat bertarget yang berfokus pada TI, telekomunikasi, dan entitas pemerintah.

Alat berbahaya Harvester belum pernah ditemukan di alam liar sebelumnya, menunjukkan bahwa ini adalah aktor ancaman tanpa koneksi ke musuh yang diketahui.

Berikut ringkasan alat yang digunakan oleh operator Harvester dalam serangan mereka:

  • Backdoor.Graphon – pintu belakang khusus yang menggunakan infrastruktur Microsoft untuk aktivitas C&C-nya
  • Custom Downloader – menggunakan infrastruktur Microsoft untuk aktivitas C&C-nya
  • Custom Screenshotter – secara berkala mencatat tangkapan layar ke file
  • Cobalt Strike Beacon – menggunakan infrastruktur CloudFront untuk aktivitas C&C-nya (Cobalt Strike adalah alat siap pakai yang dapat digunakan untuk menjalankan perintah, menyuntikkan proses lain, meningkatkan proses saat ini, atau meniru proses lain, serta mengunggah dan mengunduh file)
  • Metasploit – kerangka kerja modular siap pakai yang dapat digunakan untuk berbagai tujuan jahat pada mesin korban, termasuk eskalasi hak istimewa, tangkapan layar, untuk menyiapkan pintu belakang persisten, dan banyak lagi.

Sementara analis Symantec tidak dapat mengetahui vektor infeksi awal, ada beberapa bukti bahwa URL jahat digunakan untuk tujuan itu.

Graphon memberi aktor akses jarak jauh ke jaringan dan menyamarkan kehadirannya dengan memadukan aktivitas komunikasi perintah-dan-kontrol (C2) dengan lalu lintas jaringan yang sah dari CloudFront dan infrastruktur Microsoft.

Poin menarik ditemukan dalam cara custom downloader bekerja, membuat file yang diperlukan pada sistem, menambahkan nilai registri untuk titik muat baru, dan akhirnya membuka browser web tertanam di hxxps://usedust[.]com.

Symantec memperingatkan bahwa Harvester masih aktif di luar sana, kebanyakan menargetkan organisasi di Afghanistan saat ini.

Selengkapnya: Bleeping Computer

Windows 10, iOS 15, Ubuntu, Chrome jatuh di kontes peretasan Tianfu China

by

Peneliti keamanan China membawa pulang $ 1,88 juta setelah meretas beberapa perangkat lunak paling populer di dunia di Piala Tianfu, kompetisi peretasan terbesar dan paling bergengsi di negara itu.

Kontes, yang berlangsung selama akhir pekan 16 dan 17 Oktober di kota Chengdu, dimenangkan oleh peneliti dari perusahaan keamanan China Kunlun Lab, yang membawa pulang $654.500, sepertiga dari total dompet.

Kompetisi, sekarang pada edisi keempat, berlangsung menggunakan aturan klasik yang ditetapkan oleh kontes peretasan Pwn2Own.

Pada bulan Juli, penyelenggara mengumumkan serangkaian target, dan peserta memiliki waktu tiga hingga empat bulan untuk mempersiapkan eksploitasi yang akan mereka lakukan pada perangkat yang disediakan oleh penyelenggara di panggung kontes.

Para peneliti memiliki tiga upaya 5 menit untuk menjalankan eksploitasi mereka, dan mereka dapat mendaftar untuk meretas beberapa perangkat jika mereka ingin meningkatkan kemenangan mereka.

Edisi tahun ini mencakup daftar 16 kemungkinan target dan merupakan salah satu edisi Piala Tianfu yang paling sukses, dengan 11 peserta memasang eksploitasi yang berhasil terhadap 13 target.

Satu-satunya yang tidak berhasil diretas termasuk Synology DS220j NAS, smartphone Xiaomi Mi 11, dan kendaraan listrik China yang mereknya tidak pernah diungkapkan — yang bahkan tidak ada peserta yang mendaftar untuk mencoba mengeksploitasinya.

Di sisi lain, eksploitasi berhasil dipasang terhadap hampir semua hal lainnya, berikut list nya:

  • Windows 10 – diretas 5 kali
  • Adobe PDF Reader – 4 kali
  • Ubuntu 20 – 4 kali
  • Paralel VM – 3 kali
  • iOS 15 – 3 kali
  • Apple Safari – 2 kali
  • Google Chrome – 2 kali
  • Router ASUS AX56U – 2 kali
  • Docker CE – 1 kali
  • VMWare ESXi – 1 kali
  • VMWare Workstation – 1 kali
  • qemu VM – 1 kali
  • Microsoft Exchange – 1 kali

Selengkapnya: The Record

Geng TrickBot Memasuki Cybercrime Elite dengan Afiliasi Baru

by

Penjahat dunia maya di balik trojan TrickBot yang terkenal telah menandatangani dua afiliasi distribusi tambahan, dijuluki Hive0106 (alias TA551) dan Hive0107 oleh IBM X-Force. Hasilnya? Meningkatnya serangan ransomware pada perusahaan, terutama menggunakan ransomware Conti.

Perkembangan ini juga berbicara tentang peningkatan kecanggihan geng TrickBot dan berdiri di bawah tanah kejahatan dunia maya, peneliti IBM mengatakan: “Perkembangan terbaru ini menunjukkan kekuatan koneksinya dalam ekosistem kejahatan dunia maya dan kemampuannya untuk memanfaatkan hubungan ini untuk memperluas jumlah organisasi yang terinfeksi. malware-nya.”

Malware TrickBot mulai hidup sebagai trojan perbankan pada tahun 2016, tetapi dengan cepat berkembang menjadi ancaman layanan penuh modular. TrickBot mampu melakukan berbagai fungsi pintu belakang dan pencurian data, dapat memberikan muatan tambahan, dan memiliki kemampuan untuk bergerak cepat secara lateral di seluruh perusahaan.

Untuk mengurangi kemungkinan menderita kerusakan besar akibat infeksi (atau serangan ransomware lanjutan), IBM merekomendasikan untuk mengambil langkah-langkah berikut:

  • Pastikan Anda memiliki redundansi cadangan, disimpan secara terpisah dari zona jaringan yang dapat diakses penyerang dengan akses hanya baca. Ketersediaan cadangan yang efektif merupakan pembeda yang signifikan bagi organisasi dan dapat mendukung pemulihan dari serangan ransomware.
  • Terapkan strategi untuk mencegah pencurian data yang tidak sah, terutama yang berlaku untuk mengunggah data dalam jumlah besar ke platform penyimpanan cloud yang sah yang dapat disalahgunakan oleh penyerang.
  • Gunakan analitik perilaku pengguna untuk mengidentifikasi potensi insiden keamanan. Saat terpicu, anggap telah terjadi pelanggaran. Audit, pantau, dan lakukan tindakan cepat atas dugaan penyalahgunaan yang terkait dengan akun dan grup istimewa.
  • Gunakan otentikasi multi-faktor pada semua titik akses jarak jauh ke dalam jaringan perusahaan.
  • Amankan atau nonaktifkan remote desktop protocol (RDP). Beberapa serangan ransomware telah diketahui mengeksploitasi akses RDP yang lemah untuk mendapatkan entri awal ke dalam jaringan.

Selengkapnya: Threat Post

Total $590 juta pembayaran ransomware dilaporkan ke A.S. pada tahun 2021 saat serangan melonjak

by

Data baru yang keluar pada hari Jumat menunjukkan $590 juta dalam pembayaran terkait ransomware dilaporkan ke otoritas AS pada paruh pertama tahun 2021, menetapkan kecepatan untuk mengalahkan total untuk dekade sebelumnya ketika pemerasan dunia maya sedang booming.

Menurut laporan Departemen Keuangan AS, angka tersebut 42 persen lebih tinggi dari jumlah yang dilaporkan oleh lembaga keuangan sepanjang tahun 2020.

“Jika tren saat ini berlanjut, (laporan) yang diajukan pada tahun 2021 diproyeksikan memiliki nilai transaksi terkait ransomware yang lebih tinggi daripada (laporan) yang diajukan dalam gabungan 10 tahun sebelumnya,” kata Departemen Keuangan.

Kejahatan itu melibatkan pembobolan jaringan entitas untuk mengenkripsi datanya, kemudian menuntut tebusan, biasanya dibayar melalui cryptocurrency dengan imbalan kunci digital untuk membukanya.

Washington telah berusaha untuk menindak peningkatan tajam dalam serangan, termasuk mengeluarkan sanksi pertamanya terhadap pertukaran online di mana operator gelap diduga menukar cryptocurrency dengan uang tunai.

Data baru tentang skala pembayaran yang terkait dengan peretasan muncul setelah lebih dari dua lusin negara memutuskan untuk bersama-sama memerangi ransomware selama pertemuan puncak yang dipimpin Washington.

Amerika Serikat mengumpulkan negara-negara – dengan pengecualian Rusia – untuk menyatukan dan meningkatkan upaya memerangi kejahatan dunia maya yang transnasional, meningkat dan berpotensi menghancurkan.

Keamanan digital yang lebih kuat dan pencadangan offline serta secara kolektif menargetkan pencucian hasil serangan diidentifikasi sebagai langkah penting dalam pertarungan.

Selengkapnya: Japan Today

Perusahaan Berebut Untuk Menerapkan Zero Trust Security

by

Rekor tingkat ransomware, serangan rantai pasokan, dan berbagai jenis pelanggaran memotivasi organisasi untuk memprioritaskan keamanan “tanpa kepercayaan” pada tahun 2021.

Zero trust adalah inisiatif strategis yang membantu mencegah pelanggaran data yang berhasil dengan menghilangkan konsep kepercayaan dari arsitektur jaringan organisasi. Zero trust bukan tentang membuat sistem dipercaya; ini adalah tentang menghilangkan kepercayaan sepenuhnya.

Laju upaya pelanggaran dan serangan siber yang tak henti-hentinya terus meningkat, membuat adopsi berbasis zero trust semakin mendesak bagi perusahaan, menurut survei baru-baru ini terhadap para profesional keamanan siber.

Delapan puluh persen organisasi mengatakan mereka berencana untuk menerapkan zero trust security dalam waktu kurang dari 12 bulan; 83% setuju bahwa zero trust secara strategis diperlukan untuk bisnis mereka yang berkelanjutan.

Selain itu, Departemen Pertahanan sekarang diberi mandat untuk beralih ke pendekatan zero trust, menandai pertama kalinya persyaratan strategi dunia maya global telah ditetapkan untuk lembaga pemerintah utama.

Survei Dinamika Pasar Zero Trust pertama Ericom menilai persepsi pasar tentang kerangka zero trust security, mengeksplorasi rencana organisasi untuk adopsi dan implementasi, dan mengidentifikasi masalah utama yang menghambat pergerakan mereka ke zero trust.

Sekitar 1.300 profesional keamanan dan risiko berpartisipasi dalam survei Ericom Juli 2021.

Kerangka kerja keamanan tanpa kepercayaan sekarang menjadi topik reguler di tingkat dewan dan Eksekutif tingkat C. Eksekutif menuntut lebih banyak visibilitas dan kontrol di seluruh jaringan mereka hingga endpoint. Dengan mempertimbangkan dinamika pasar tersebut, wawasan utama dari Survei Dinamika Pasar Zero Trust Ericom meliputi:

  • Delapan puluh dua persen profesional S&R (Security & Risk) mengatakan zero trust adalah strategi penting untuk organisasi mereka, dan 56% berencana untuk beralih ke zero trust dalam enam bulan atau kurang.
  • Eksekutif tingkat C mengatakan anggaran mereka mencerminkan peningkatan penekanan pada infrastruktur cloud multi-cloud dan hybrid karena organisasi mereka berusaha untuk menjadi sepenuhnya virtual
  • Lima puluh dua persen profesional S&R mengadopsi zero trust security untuk mencapai pendekatan yang lebih proaktif untuk mengamankan operasi bisnis inti mereka.

Selengkapnya: Venturebeat

Ransomware REvil tutup lagi setelah situs Tor dibajak

by

Operasi ransomware REvil kemungkinan telah ditutup sekali lagi setelah orang tak dikenal membajak portal pembayaran Tor dan blog kebocoran data mereka.

Situs Tor offline, dengan aktor ancaman yang berafiliasi dengan operasi REvil memposting ke forum peretasan XSS bahwa seseorang membajak domain geng.

Hal ini pertama kali ditemukan oleh Dmitry Smilyanets dari Recorded Future, dan menyatakan bahwa orang yang tidak dikenal membajak layanan tersembunyi Tor (domain onion) dengan kunci pribadi yang sama dengan situs Tor REvil dan kemungkinan memiliki cadangan situs tersebut.

Aktor ancaman mengatakan bahwa mereka tidak menemukan tanda-tanda kompromi ke server mereka tetapi akan mematikan operasi untuk sementara.

Pelaku ancaman kemudian mengatakan kepada afiliasi untuk menghubunginya untuk mendapatkan kunci dekripsi melalui Tox, kemungkinan agar afiliasi dapat terus memeras korban mereka dan memberikan dekripsi jika uang tebusan dibayarkan.

Untuk meluncurkan layanan tersembunyi Tor (domain .onion), Anda perlu membuat pasangan kunci privat dan publik, yang digunakan untuk menginisialisasi layanan.

Kunci pribadi harus diamankan dan hanya dapat diakses oleh admin tepercaya, karena siapa pun yang memiliki akses ke kunci ini dapat menggunakannya untuk meluncurkan layanan .onion yang sama di server mereka sendiri.

Karena pihak ketiga dapat membajak domain, itu berarti mereka juga memiliki akses ke kunci pribadi layanan tersembunyi.

Malam ini, 0_neday sekali lagi memposting ke topik forum peretasan, tetapi kali ini mengatakan bahwa server mereka telah disusupi dan bahwa siapa pun yang melakukannya menargetkan pelaku ancaman.

Saat ini, tidak diketahui siapa yang mengkompromikan server mereka.

Ketika Bitdefender dan penegak hukum memperoleh akses ke kunci master dekripsi REvil dan merilis dekripsi gratis, beberapa pelaku ancaman percaya bahwa FBI atau penegak hukum lainnya telah memiliki akses ke server sejak itu diluncurkan kembali.

Karena tidak ada yang tahu apa yang terjadi pada Unknown, ada kemungkinan juga pelaku ancaman mencoba untuk mendapatkan kembali kendali atas operasi tersebut.

Selengkapnya: Bleeping Computer

Mantan Analis Keamanan Microsoft Mengklaim Office 365 Sengaja Menghosting Malware Selama Bertahun-tahun

by

Pada hari Jumat, peneliti keamanan siber TheAnalyst menjelaskan di Twitter bagaimana malware BazarLoader mengarah ke ransomware yang dapat sangat memengaruhi industri kesehatan, di antara industri lainnya.

Dia kemudian memanggil Microsoft, menanyakan apakah perusahaan memiliki “tanggung jawab dalam hal ini ketika mereka TAHU bahwa mereka meng-hosting ratusan file yang mengarah ke hal ini,” di samping hal yang tampaknya menjadi file berbahaya yang di-host di OneDrive.

Untuk mendukung ini, mantan analis keamanan Microsoft Kevin Beaumont menjawab, mengatakan bahwa Microsoft tidak dapat menyebut dirinya sebagai pemimpin keamanan karena penyalahgunaan Office365 dan OneDrive terjadi selama bertahun-tahun.

Dia melanjutkan, menjelaskan bahwa menghapus sesuatu dari OneDrive adalah proses mimpi buruk dengan waktu reaksi yang agak lambat, menjadikan Microsoft “hoster malware terbaik di dunia selama sekitar satu dekade, karena O365.”

Namun, ini bukan masalah eksklusif Microsoft atau masalah baru, karena kita juga telah melihat malware yang dihosting di platform lain di masa lalu.

Menurut penelitian oleh Bern University of Applied Sciences, Google dan Cloudflare saat ini berada di antara jaringan hosting malware online teratas. Dengan demikian, seluruh industri teknologi harus lebih baik dalam menemukan konten berbahaya yang dihosting di servernya sebelum mencari masalah di tempat lain.

Bagaimanapun, semoga, insiden ini akan mendorong Microsoft untuk mengambil tindakan tegas yang dapat membantu melindungi jutaan orang dan ribuan organisasi dari serangan malware.

Sumber: Hot Hardware

Wanita Diduga Meretas Sekolah Penerbangan, Mengizinkan Pesawat Dengan Masalah Pemeliharaan untuk Terbang

by

Seorang wanita diduga meretas sistem sekolah pelatihan penerbangan di Florida untuk menghapus dan merusak informasi yang terkait dengan pesawat sekolah. Dalam beberapa kasus, pesawat yang sebelumnya memiliki masalah perawatan telah “diizinkan” untuk terbang, menurut laporan polisi. Peretasan itu, menurut CEO sekolah, bisa membahayakan pilot.

Lauren Lide, 26 tahun yang pernah bekerja di sekolah Pelatihan Penerbangan Melbourne, mengundurkan diri dari posisinya sebagai Manajer Operasi Penerbangan pada akhir November 2019, setelah perusahaan memecat ayahnya. Berbulan-bulan kemudian, dia diduga meretas ke dalam sistem bekas perusahaannya, menghapus dan mengubah catatan, dalam upaya nyata untuk membalas mantan majikannya, menurut catatan pengadilan yang diperoleh dari Motherboard pelaku.

Derek Fallon, CEO Melbourne Flight Training menelepon polisi pada 17 Januari 2020, dan melaporkan bahwa lima hari sebelumnya, dia masuk ke akunnya untuk Flight Circle, aplikasi yang digunakan perusahaannya untuk mengelola dan melacak pesawatnya, dan menemukan bahwa ada informasi yang hilang.

Fallon menemukan bahwa seseorang telah menghapus catatan terkait pesawat dengan masalah perawatan dan pengingat inspeksi semuanya telah dihapus, “artinya pesawat yang mungkin tidak aman untuk terbang sengaja dibuat ‘layak terbang,'” menurut dokumen yang ditulis oleh Polisi Bandara Melbourne petugas.

“Antara waktu data diubah dan diperbaiki, itu adalah situasi yang bisa membahayakan kehidupan manusia,” kata Fallon dalam pernyataan tertulis. Fallon kemudian menghentikan semua penerbangan.

Selengkapnya: Vice