Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Penjahat dunia maya mendaftarkan domain baru untuk memangsa SVB, korban Credit Suisse

by

Flashpoint telah melihat sekitar 20 domain berbahaya baru seperti login-svb[.]com terdaftar, dengan pelaku ancaman juga membuat domain untuk bank pesaing seperti Revolut.

“Aktor ancaman yang bermotivasi finansial akan bertindak oportunistik, menggunakan teknik akses awal tingkat rendah yang sama seperti phishing, untuk memangsa mereka yang paling terkena dampak kegagalan,” kata analis intelijen senior Flashpoint, Ashley Alloca.

Alloca memberikan wawasan dan komentar tentang masalah di bawah ini:

“Aktor ancaman yang bermotivasi finansial sering bertindak oportunistik, berusaha memanfaatkan peristiwa yang layak diberitakan. Peristiwa ini dapat memengaruhi tema berbagai taktik rekayasa sosial yang digunakan untuk mendapatkan akses awal ke korban kompromi. Secara umum, pelaku ancaman cenderung mengeksekusi serangan rekayasa sosial bertema SVB atau Credit Suisse dengan penekanan pada penipuan phishing dan umpan malware. Kami melihat potensi penggunaan domain yang baru didaftarkan yang dapat digunakan dalam serangan phishing untuk mengumpulkan informasi sensitif atau memaksa korban untuk berbagi informasi atau mengirim dana ke akun yang dikendalikan aktor.”

“Kami telah melihat aktor ancaman telah mendaftarkan domain baru ini agar terlihat seperti halaman sah yang berafiliasi dengan SVB. Misalnya, pada hari Sabtu 11 Maret, hari setelah SVB runtuh, domain baru seperti login-svb[.]com, svbbailout[.]com, svbdividendpayout[.]com, dan svbfail[.]com didaftarkan. Setidaknya 16 domain lain yang menggunakan ‘SVB’ telah didaftarkan. Sangat mungkin tidak semua domain ini akan dimanfaatkan untuk tujuan jahat, tetapi jelas dalam kasus login-svb[.]com bahwa halaman tersebut kemungkinan akan berubah menjadi halaman login untuk afiliasi SVB, berbahaya atau lainnya.”

Selengkapnya: IT Wire

Perpesanan yang tidak terlalu pribadi: Aplikasi WhatsApp dan Telegram yang di-Trojan mengejar dompet mata uang kripto

by

Peneliti ESET telah menemukan lusinan peniru Telegram dan situs web WhatsApp yang menargetkan terutama pengguna Android dan Windows dengan versi trojan dari aplikasi pesan instan ini. Sebagian besar aplikasi jahat yang kami identifikasi adalah pemangkas – jenis malware yang mencuri atau mengubah konten papan klip.

Semuanya mengejar dana cryptocurrency korban, dengan beberapa dompet cryptocurrency penargetan. Ini adalah pertama kalinya peneliti melihat gunting Android yang berfokus secara khusus pada perpesanan instan.

Selain itu, beberapa aplikasi ini menggunakan pengenalan karakter optik (OCR) untuk mengenali teks dari tangkapan layar yang disimpan di perangkat yang disusupi, yang merupakan yang pertama untuk malware Android.

Sebelum pembentukan Aliansi Pertahanan Aplikasi, peneliti menemukan pemangkas Android pertama di Google Play, yang membuat Google meningkatkan keamanan Android dengan membatasi operasi papan klip di seluruh sistem untuk aplikasi yang berjalan di latar belakang untuk Android versi 10 dan lebih tinggi.

Seperti yang sayangnya ditunjukkan oleh temuan terbaru peneliti, tindakan ini tidak berhasil menghilangkan masalah sepenuhnya: peneliti tidak hanya mengidentifikasi pemotong pesan instan pertama, peneliti menemukan beberapa kelompoknya.

Tujuan utama clippers yang peneliti temukan adalah untuk mencegat komunikasi perpesanan korban dan mengganti alamat dompet cryptocurrency yang dikirim dan diterima dengan alamat milik penyerang. Selain aplikasi Android WhatsApp dan Telegram yang di-trojan, peneliti juga menemukan versi Windows yang di-trojan dari aplikasi yang sama.

Tentu saja, ini bukan satu-satunya aplikasi peniru yang mengejar mata uang kripto – baru pada awal tahun 2022, peneliti mengidentifikasi pelaku ancaman yang berfokus pada pengemasan ulang aplikasi mata uang kripto sah yang mencoba mencuri frase pemulihan dari dompet korban mereka.

Selengkapnya: We Live Security

Ukraina Berjuang untuk Rancangan Undang-Undang Siber, Melegalkan Pasukan Peretas Relawannya

by

Pemerintah Ukraina sedang menyusun undang-undang baru untuk membawa brigade peretas sukarelawannya, Angkatan Darat IT, ke dalam angkatan bersenjata, yang bertujuan untuk mengakhiri ketidakpastian tentang statusnya di wilayah abu-abu hukum yang telah menarik peringatan tajam dari Palang Merah.

Tentara IT Ukraina telah mengaku bertanggung jawab atas serangan dunia maya seperti melumpuhkan situs web media negara Rusia selama pidato tahunan Negara Bangsa Presiden Vladimir Putin baru-baru ini. Namun kelompok peretas, yang telah merekrut sukarelawan asing yang hanya membutuhkan komputer atau smartphone untuk bergabung dalam pertempuran, juga menuai kritik karena menyerang rumah sakit Rusia dan sasaran sipil lainnya.

Tentara TI telah diangkat sebagai contoh bagi negara lain. Jika undang-undang itu disahkan, Ukraina akan bergabung dengan segelintir negara Barat lainnya, dipimpin oleh Finlandia dan Estonia, yang memiliki pasukan siber cadangan skala penuh untuk menambah militer reguler mereka, meskipun beberapa negara lagi memiliki unit militer cadangan dengan kemampuan siber.

“Undang-undang tentang pembentukan dan fungsi pasukan dunia maya di dalam Kementerian Pertahanan Ukraina harus diadopsi sesegera mungkin,” kata Nataliya Tkachuk, Sekretaris Pusat Koordinasi Keamanan Siber Nasional Ukraina, kepada Newsweek dalam tanggapan tertulis atas pertanyaan terperinci. Pusat itu adalah bagian dari Dewan Keamanan dan Pertahanan Nasional Presiden Volodymyr Zelenskiy.

Selengkapnya: Newsweek

Badan federal diretas oleh 2 grup berkat cacat yang tidak ditambal selama 4 tahun

by

Berbagai aktor ancaman—salah satunya bekerja atas nama negara-bangsa—mendapatkan akses ke jaringan agen federal AS dengan mengeksploitasi kerentanan berusia empat tahun yang masih belum ditambal, pemerintah AS memperingatkan.

Aktivitas eksploitasi oleh satu kelompok kemungkinan besar dimulai pada Agustus 2021 dan Agustus lalu oleh kelompok lain, menurut sebuah penasehat yang diterbitkan bersama oleh Cybersecurity and Infrastructure Security Agency, FBI, dan Pusat Analisis dan Berbagi Informasi Multi-State. Dari November lalu hingga awal Januari, server menunjukkan tanda-tanda kompromi.

Kedua grup mengeksploitasi kerentanan eksekusi kode yang dilacak sebagai CVE-2019-18935 di alat pengembang yang dikenal sebagai antarmuka pengguna Telerik (UI) untuk ASP.NET AJAX, yang terletak di server web Microsoft Internet Information Services (IIS) agensi. Penasihat itu tidak mengidentifikasi badan tersebut selain mengatakan bahwa itu adalah Badan Cabang Eksekutif Sipil Federal di bawah otoritas CISA.

UI Telerik untuk ASP.NET AJAX dijual oleh perusahaan bernama Progress, yang berkantor pusat di Burlington, Massachusetts, dan Rotterdam di Belanda. Alat ini menggabungkan lebih dari 100 komponen UI yang dapat digunakan pengembang untuk mengurangi waktu yang diperlukan untuk membuat aplikasi Web kustom. Pada akhir 2019, Progress merilis versi 2020.1.114, yang menambal CVE-2019-18935, kerentanan deserialisasi tidak aman yang memungkinkan eksekusi kode dari jarak jauh pada server yang rentan. Kerentanan membawa peringkat keparahan 9,8 dari kemungkinan 10. Pada tahun 2020, NSA memperingatkan bahwa kerentanan sedang dieksploitasi oleh aktor yang disponsori negara China.

“Eksploitasi ini, yang menghasilkan akses interaktif dengan server web, memungkinkan pelaku ancaman berhasil mengeksekusi kode jarak jauh di server web yang rentan,” jelas penasehat hari Kamis. “Meskipun pemindai kerentanan agensi memiliki plugin yang sesuai untuk CVE-2019-18935, ia gagal mendeteksi kerentanan karena perangkat lunak Telerik UI dipasang di jalur file yang biasanya tidak dipindai. Ini mungkin terjadi pada banyak penginstalan perangkat lunak, karena jalur file sangat bervariasi tergantung pada organisasi dan metode penginstalan.”

Selengkapnya: ars TECHNICA

Grup Ransomware Mengklaim Peretasan Cincin Amazon

by

Geng ransomware mengklaim telah melanggar cincin perusahaan kamera keamanan yang sangat populer, yang dimiliki oleh Amazon. Geng ransomware mengancam akan merilis data Ring. Ring memberi tahu Motherboard bahwa ia tidak memiliki bukti pelanggaran sistemnya sendiri, tetapi mengatakan vendor pihak ketiga telah terkena ransomware.
ALPHV lebih dari sekadar mengunci file korban, dan memiliki situs web yang menamai dan mempermalukan korbannya dalam upaya untuk memeras mereka. Jika target tersebut tidak membayar, ALPHV mengancam akan merilis data yang dicuri dari mereka secara publik. Situs ALPHV menonjol karena bagian situsnya yang menerbitkan data yang diretas, yang disebut “Koleksi”, lebih mudah dicari daripada beberapa situs grup peretasan lainnya.

Motherboard memverifikasi bahwa daftar penamaan Cincin saat ini ada di situs pembuangan data ALPHV. Kolektif keamanan siber VX Underground men-tweet tangkapan layar dari daftar tersebut sebelumnya pada hari Senin.

Setelah publikasi, satu orang membagikan tautan ke artikel ini di saluran internal Amazon Slack, dan menulis “Jangan membahas apa pun tentang ini. Tim keamanan yang tepat dilibatkan.”

Tidak jelas data spesifik apa yang dapat diakses oleh ALPHV. Dalam sebuah pernyataan, Ring memberi tahu Motherboard, “Saat ini kami tidak memiliki indikasi bahwa Ring telah mengalami peristiwa ransomware.” Tetapi perusahaan menambahkan bahwa mereka mengetahui vendor pihak ketiga yang telah mengalami peristiwa ransomware, dan Ring bekerja sama dengan perusahaan tersebut untuk mempelajari lebih lanjut. Ring mengatakan vendor ini tidak memiliki akses ke catatan pelanggan.

Amazon telah bermitra dengan setidaknya dua ribu departemen kepolisian di seluruh negeri untuk memudahkan pengguna berbagi rekaman dengan penegak hukum. Kamera — dan rekaman yang mereka ambil, yang sering diposting online — telah menjadi sangat populer sehingga Amazon meluncurkan acara televisi yang disebut “Ring Nation”, yang merupakan acara ragam yang sebagian besar terdiri dari blooper yang diambil oleh kamera Ring.

Meskipun Ring sendiri tidak dikompromikan selama insiden tersebut, para peretas memang memanfaatkan kelemahan dalam pengaturan keamanan default Ring. Sejak peretasan tersebut, Ring telah mengubah beberapa praktik keamanannya untuk mempermudah dan memperjelas bagi pengguna untuk memeriksa pengaturan keamanan mereka.

selengkapnya : vice

ChatGPT Terintegrasi Ke Dalam Produk Keamanan Siber Saat Industri Menguji Kemampuannya

by

Perusahaan keamanan Kubernetes Armo telah mengintegrasikan AI generatif ChatGPT ke dalam platformnya untuk memudahkan pengguna membuat kebijakan keamanan berdasarkan Open Policy Agent (OPA).

“Armo Custom Controls melatih ChatGPT dengan Regos keamanan dan kepatuhan dan konteks tambahan, memanfaatkan dan memanfaatkan kekuatan AI untuk menghasilkan kontrol yang dibuat khusus yang diminta melalui bahasa alami. Pengguna mendapatkan aturan OPA lengkap yang dihasilkan oleh ChatGPT, serta deskripsi bahasa alami dari aturan tersebut dan perbaikan yang disarankan untuk memperbaiki kontrol yang gagal — dengan cepat, sederhana, dan tanpa perlu mempelajari bahasa baru, ”kata perusahaan itu.

Logpoint baru-baru ini mengumumkan integrasi ChatGPT untuk solusi LogPoint SOAR (orkestrasi keamanan, otomasi, dan respons) di lingkungan lab.

“Integrasi ChatGPT baru untuk Logpoint SOAR memungkinkan pelanggan menyelidiki potensi penggunaan playbook SOAR dengan ChatGPT dalam keamanan siber,” kata perusahaan itu.

Perusahaan perangkat lunak konvergensi keamanan fisik-cyber AlertEnterprise telah meluncurkan chatbot yang didukung oleh ChatGPT. Ini memungkinkan pengguna untuk dengan cepat mendapatkan informasi tentang akses fisik, manajemen akses identitas, manajemen pengunjung, analitik pembaca pintu, dan pelaporan keamanan dan keselamatan. Pengguna dapat mengajukan pertanyaan chatbot seperti “berapa banyak lencana karyawan baru yang kami terbitkan bulan lalu?” atau “tunjukkan masa berlaku pelatihan karyawan yang akan datang untuk akses area terbatas”.

Accenture Security telah menganalisis kemampuan ChatGPT untuk mengotomatiskan beberapa tugas terkait pertahanan dunia maya.

Perusahaan keamanan siber seperti Coro dan Trellix juga sedang menjajaki kemungkinan menyematkan ChatGPT dalam penawaran mereka.

Selengkapnya: Security Week

Apa yang terjadi jika Anda ‘menutupi’ infeksi ransomware? Untuk Blackbaud, biaya $3 juta

by

Blackbaud telah setuju untuk membayar $3 juta untuk menyelesaikan tuduhan bahwa ia membuat pengungkapan yang menyesatkan tentang infeksi ransomware tahun 2020 di mana penjahat mencuri lebih dari satu juta file di sekitar 13.000 pelanggan pembuat perangkat lunak cloud.

Menurut pengawas keuangan Amerika, SEC, Blackbaud akan mengeluarkan uang tunai – tanpa mengakui atau menyangkal temuan regulator – dan akan berhenti melakukan pelanggaran lebih lanjut.

“Blackbaud dengan senang hati menyelesaikan masalah ini dengan SEC dan menghargai kolaborasi dan umpan balik konstruktif dari Komisi karena perusahaan terus meningkatkan kebijakan pelaporan dan pengungkapannya,” kata Tony Boor, kepala keuangan perusahaan tersebut, kepada The Register.

“Blackbaud terus memperkuat program keamanan sibernya untuk melindungi pelanggan dan konsumen, serta meminimalkan risiko serangan siber dalam lanskap ancaman yang selalu berubah,” tambah Boor.

Sebagai perspektif: perusahaan yang berbasis di South Carolina – yang menyediakan, antara lain, alat manajemen donor untuk organisasi nirlaba – menghasilkan pendapatan $1,1 miliar pada tahun 2022, yang mengakibatkan kerugian $45,4 juta. Penyelesaian ini adalah yang paling tidak menjadi perhatian bisnis, kami bayangkan.

Inilah yang terjadi: pada bulan Mei 2020, Blackbaud mengalami infeksi ransomware, diam-diam melunasi para penjahat, dan tidak memberi tahu pelanggan tentang pelanggaran keamanan hingga Juli 2020. Dan ketika perusahaan perangkat lunak memberi tahu pelanggan, mereka meyakinkan mereka bahwa ” penjahat dunia maya tidak mengakses…informasi rekening bank, atau nomor jaminan sosial,” menurut perintah SEC.

Namun, pada akhir bulan itu, SEC mengklaim bahwa personel Blackbaud menemukan bahwa penjahat telah mengakses informasi rekening bank donor dan nomor jaminan sosial yang tidak terenkripsi. Tetapi karyawan diduga tidak memberi tahu manajemen senior tentang pencurian data sensitif pelanggan karena Blackbaud “tidak memiliki kebijakan atau prosedur yang dirancang untuk memastikan mereka melakukannya,” kata dokumen pengadilan.

Selengkapnya: The Register

AT&T memberi tahu 9 juta pelanggan tentang pelanggaran data setelah peretasan vendor

by

AT&T memberi tahu sekitar 9 juta pelanggan bahwa beberapa informasi mereka terungkap setelah vendor pemasaran diretas pada bulan Januari.

“Informasi Jaringan Kepemilikan Pelanggan dari beberapa akun nirkabel terungkap, seperti jumlah saluran pada akun atau paket tarif nirkabel,” AT&T memberi tahu BleepingComputer.

“Informasi tersebut tidak mengandung informasi kartu kredit, Nomor Jaminan Sosial, kata sandi akun, atau informasi pribadi sensitif lainnya. Kami memberi tahu pelanggan yang terpengaruh.”

Sementara pemberitahuan pelanggaran data tidak membagikan jumlah pelanggan yang terkena dampak, AT&T memberi tahu BleepingComputer bahwa “sekitar 9 juta akun nirkabel telah mengakses Informasi Jaringan Kepemilikan Pelanggan mereka.”

Data CPNI yang terekspos mencakup nama depan pelanggan, nomor akun nirkabel, nomor telepon nirkabel, dan alamat email.

“Sebagian kecil pelanggan yang terkena dampak juga memiliki paparan nama paket tarif, jumlah yang lewat jatuh tempo, jumlah pembayaran bulanan, berbagai biaya bulanan dan/atau menit yang digunakan. Informasi tersebut sudah berumur beberapa tahun,” kata AT&T.

Perusahaan menambahkan bahwa sistemnya tidak dikompromikan dalam insiden keamanan vendor dan bahwa data yang terbuka sebagian besar terkait dengan kelayakan peningkatan perangkat.

“​Kami telah memberi tahu penegak hukum federal tentang akses tidak sah CPNI Anda seperti yang dipersyaratkan oleh Komisi Komunikasi Federal,” kata AT&T dalam surat pemberitahuan pelanggaran CPNI, pertama kali ditemukan oleh DataBreaches.net dan dikirim dari att@message.att-mail. com.

“Laporan kami kepada penegak hukum tidak berisi informasi spesifik tentang akun Anda, hanya akses tidak sah yang terjadi.”

Pelanggan disarankan untuk menonaktifkan pembagian data CPNI di akun mereka dengan membuat Permintaan Pembatasan CPNI untuk mengurangi risiko paparan di masa mendatang jika AT&T menggunakannya untuk tujuan pemasaran vendor pihak ketiga.

Selengkapnya: Bleeping Computer