Cybersecurity

Risiko keamanan siber: Jumlah karyawan yang menangani keamanan TI mungkin mengejutkan Anda

July 23, 2021 by Winnie the Pooh

Bulan lalu, perusahaan keamanan siber Hysolate menerbitkan laporan tentang “Paradoks Keamanan Perusahaan,” menyoroti tantangan yang terkait dengan memungkinkan kebebasan TI sambil memastikan prosedur keamanan yang ketat. Temuan merinci tindakan penyeimbangan yang kompleks antara tim TI dan pengguna jaringan. Mengkalibrasi keseimbangan ini sangat menantang di era kerja jarak jauh karena karyawan masuk dan berkolaborasi secara virtual melalui sejumlah solusi digital.

“COVID-19 telah memperburuk keadaan secara signifikan karena kebutuhan untuk berkolaborasi dari jarak jauh telah meningkat secara signifikan. Alat kolaborasi yang khas (dokumen bersama, konferensi video, obrolan, dll.) sering diblokir oleh pembatasan TI perusahaan, yang menghambat kolaborasi tersebut,” kata Marc Gaffan, CEO di Hysolate.

Secara keseluruhan, survei Hysolate menemukan bahwa hampir semua karyawan (93%) “melakukan pembatasan TI,” dan hanya 7% mengatakan mereka “puas dengan pembatasan TI perusahaan mereka.” Menariknya, informasi tentang solusi TI ini tidak sesuai dengan harapan para pemimpin keamanan dan TI. Misalnya, para pemimpin keamanan percaya bahwa 43% pengguna “dalam kebanyakan kasus bekerja di sekitar pembatasan TI” dan responden TI percaya 23% pengguna bekerja “di sebagian besar waktu,” menurut laporan tersebut.

Sebagian dari laporan berfokus pada mendukung pengguna dengan peningkatan kebebasan TI dan dampak penerapan strategi ini. Hampir semua responden (87%) mengatakan mereka “ingin meningkatkan kebebasan TI karyawan,” dan dampak positif teratas terkait dengan penerapan strategi ini termasuk peningkatan produktivitas karyawan, peningkatan “sentimen karyawan [terhadap] kebijakan TI” dan penurunan frustrasi di antara karyawan, per Hisolat.

selengkapnya : www.techrepublic.com

Malware XLoader mencuri login dari sistem macOS dan Windows

July 22, 2021 by Winnie the Pooh

Malware yang sangat populer untuk mencuri informasi dari sistem Windows telah dimodifikasi menjadi jenis baru yang disebut XLoader, yang juga dapat menargetkan sistem macOS.

XLoader saat ini ditawarkan di forum bawah tanah sebagai layanan pemuat botnet yang dapat “memulihkan” kata sandi dari web browser dan beberapa klien email (Chrome, Firefox, Opera, Edge, IE, Outlook, Thunderbird, Foxmail).

Berasal dari pencuri info Formbook untuk Windows, XLoader muncul Februari lalu dan semakin populer, diiklankan sebagai botnet lintas platform (Windows dan macOS) tanpa dependency.

Hubungan antara dua bagian malware dikonfirmasi setelah anggota komunitas XLoader merekayasa balik dan menemukan bahwa itu memiliki executable yang sama dengan Formbook.

Pengiklan menjelaskan bahwa pengembang Formbook berkontribusi banyak dalam pembuatan XLoader, dan kedua malware tersebut memiliki fungsi yang serupa (mencuri kredensial login, menangkap tangkapan layar, mencatat penekanan tombol, dan mengeksekusi file berbahaya).

Pelanggan dapat menyewa versi malware macOS seharga $49 (satu bulan) dan mendapatkan akses ke server yang disediakan penjual. Dengan menjaga infrastruktur komando dan kontrol terpusat, penulis dapat mengontrol bagaimana klien menggunakan malware.

Versi Windows lebih mahal karena penjual meminta $59 untuk lisensi satu bulan dan $129 untuk tiga bulan.

Peneliti Check Point mengatakan bahwa XLoader cukup tersembunyi sehingga sulit bagi pengguna non-teknis biasa untuk menemukannya.

Mereka merekomendasikan penggunaan Autorun macOS untuk memeriksa nama pengguna di OS dan untuk melihat ke folder LaunchAgents [/Users/[username]/Library/LaunchAgents] dan menghapus entri dengan nama file yang mencurigakan (nama yang tampak acak).

Selengkapnya: Bleeping Computer

Malware Windows pencuri kata sandi ini didistribusikan melalui iklan di hasil pencarian

July 22, 2021 by Winnie the Pooh

Bentuk malware yang baru ditemukan yang dikirimkan kepada korban melalui iklan di hasil pencarian digunakan sebagai pintu gerbang untuk mencuri kata sandi, menginstal penambang cryptocurrency, dan mengirimkan malware trojan tambahan.

Dirinci oleh perusahaan keamanan siber Bitdefender, malware – yang menargetkan Windows – telah dijuluki MosaicLoader dan telah menginfeksi korban di seluruh dunia karena mereka yang berada di baliknya berusaha untuk mengkompromikan sebanyak mungkin sistem.

MosaicLoader dapat digunakan untuk mengunduh berbagai ancaman ke mesin yang disusupi, termasuk Glupteba, sejenis malware yang membuat pintu belakang ke sistem yang terinfeksi, yang kemudian dapat digunakan untuk mencuri informasi sensitif, termasuk nama pengguna dan kata sandi, serta informasi keuangan.

Tidak seperti banyak bentuk malware, yang didistribusikan melalui serangan phishing atau kerentanan perangkat lunak yang belum ditambal, MosaicLoader dikirimkan kepada korban melalui iklan.

Tautan ke malware muncul di bagian atas hasil pencarian saat orang mencari versi bajakan dari perangkat lunak populer. Sistem otomatis yang digunakan untuk membeli dan melayani ruang iklan kemungkinan berarti bahwa tidak seorang pun dalam rantai – selain penyerang – tahu bahwa iklan tersebut berbahaya sama sekali.

Perusahaan keamanan mengatakan bahwa karyawan yang bekerja dari rumah berisiko lebih tinggi mengunduh perangkat lunak bajakan.

Ada kemungkinan bahwa malware akan terdeteksi oleh perangkat lunak antivirus, tetapi banyak pengguna yang mengunduh perangkat lunak bajakan secara ilegal kemungkinan telah menonaktifkan perlindungan mereka untuk mengakses dan menginstal unduhan.

Pengguna harus berhati-hati dalam mengikuti petunjuk untuk mematikan perangkat lunak antivirus, karena hal itu dapat menyebabkan perangkat lunak berbahaya diizinkan untuk menyusup ke sistem.

Selengkapnya: ZDNet

Microsoft membagikan workaround untuk kerentanan SeriousSAM Windows 10

July 22, 2021 by Winnie the Pooh

Microsoft telah membagikan solusi untuk kerentanan zero-day Windows 10 yang dijuluki SeriousSAM yang dapat memungkinkan penyerang mendapatkan hak admin pada sistem yang rentan dan mengeksekusi kode dengan hak istimewa SISTEM.

Seperti yang dilaporkan oleh BleepingComputer sebelumnya, peningkatan lokal dari bug hak istimewa (dijuluki SeriousSAM) yang ditemukan di versi Windows yang baru dirilis memungkinkan pengguna dengan hak istimewa rendah untuk mengakses file database Registry yang sensitif.

Kerentanan, yang diungkapkan secara publik oleh peneliti keamanan Jonas Lykkegaard di Twitter dan belum menerima patch resmi, sekarang dilacak oleh Microsoft sebagai CVE-2021-36934.

Seperti yang diungkapkan Microsoft lebih lanjut, kerentanan zero-day ini berdampak pada rilis Windows sejak Oktober 2018, dimulai dengan Windows 10, versi 1809. Lykkegaard juga menemukan bahwa Windows 11 (OS Microsoft yang belum dirilis secara resmi) juga terpengaruh.

Berikut adalah langkah-langkah yang diperlukan untuk memblokir eksploitasi kerentanan ini untuk sementara:

Batasi akses ke konten %windir%\system32\config:

Buka Command Prompt atau Windows PowerShell sebagai administrator.
Jalankan perintah ini: icacls %windir%\system32\config\*.* /inheritance:e

Hapus shadow copies dari Volume Shadow Copy Service (VSS):

Hapus semua titik System Restore dan Shadow volumes yang ada sebelum membatasi akses ke %windir%\system32\config.
Buat titik System Restore baru (jika diinginkan).

Microsoft masih menyelidiki kerentanan ini dan sedang mengerjakan tambalan yang kemungkinan besar akan dirilis sebagai pembaruan keamanan out-of-band akhir pekan ini.

Selengkapnya: Bleeping Computer

Kerentanan Windows 10 baru memungkinkan siapa saja untuk mendapatkan hak istimewa admin

July 21, 2021 by Winnie the Pooh

Windows 10 dan Windows 11 rentan terhadap peningkatan kerentanan hak istimewa lokal setelah menemukan bahwa pengguna dengan hak istimewa rendah dapat mengakses file database Registry yang sensitif.

Registry Windows bertindak sebagai repositori konfigurasi untuk sistem operasi Windows dan berisi kata sandi hash, penyesuaian pengguna, opsi konfigurasi untuk aplikasi, kunci dekripsi sistem, dan banyak lagi.

File database yang terkait dengan Windows Registry disimpan di bawah folder C:\Windows\system32\config dan dipecah menjadi file yang berbeda seperti SYSTEM, SECURITY, SAM, DEFAULT, dan SOFTWARE.

Karena file ini berisi informasi sensitif tentang semua akun pengguna di perangkat dan token keamanan yang digunakan oleh fitur Windows, file tersebut harus dibatasi agar tidak dilihat oleh pengguna biasa tanpa hak istimewa yang lebih tinggi.

Hal ini terutama berlaku untuk file Security Account Manager (SAM) karena berisi kata sandi hash untuk semua pengguna di sistem, yang dapat digunakan oleh pelaku ancaman untuk mengasumsikan identitas mereka.

Peneliti keamanan Jonas Lykkegaard mengatakan kepada BleepingComputer bahwa dia menemukan file Registry Windows 10 dan Windows 11 yang terkait dengan Security Account Manager (SAM), dan semua database Registry lainnya, dapat diakses oleh grup ‘Pengguna’ yang memiliki hak istimewa rendah pada perangkat.

Dengan izin file yang rendah ini, aktor ancaman dengan hak istimewa terbatas pada perangkat dapat mengekstrak kata sandi hash NTLM untuk semua akun di perangkat dan menggunakan hash tersebut dalam serangan pass-the-hash untuk mendapatkan hak istimewa yang lebih tinggi.

Serangan ini ditunjukkan dalam video di bawah yang dibuat oleh Delpy dan dibagikan dengan BleepingComputer yang menunjukkan Mimikatz menggunakan hash NTLM untuk mendapatkan hak debug.

Selengkapnya: Bleeping Computer

Perusahaan keamanan siber Israel IntSights akan diakuisisi seharga $ 335 juta

July 21, 2021 by Winnie the Pooh

Perusahaan keamanan siber Amerika Rapid7 mengatakan pada hari Senin bahwa pihaknya mengakuisisi Israel’s IntSights Cyber Intelligence Ltd. untuk sekitar $ 335 juta.

IntSights, didirikan di Israel pada tahun 2015 oleh mantan perwira intelijen IDF, memberi klien intelijen tentang ancaman dunia maya eksternal dengan memantau dark web, di antara langkah-langkah lainnya.

Perusahaan mengambil data eksternal yang kompleks, mengubahnya menjadi kecerdasan kontekstual dan menyediakan langkah-langkah otomatis untuk melawan ancaman. Teknologi IntSight memungkinkan intelijen ancaman real-time terukur yang dapat diintegrasikan dengan program keamanan pelanggan yang ada, menurut sebuah pernyataan yang mengumumkan kesepakatan tersebut.

Rapid7 akan membayar jumlah untuk IntSights dalam bentuk tunai dan saham. IntSights akan bertindak sebagai pusat penelitian dan pengembangan Rapid7 di Israel, menurut harian bisnis Calcalist. Rapid7 diperdagangkan secara publik di bursa Nasdaq di bawah ticker RPD.

IntSights sebelumnya telah mengumpulkan sekitar $71 juta dalam pendanaan modal ventura.

Akuisisi tersebut dilakukan di tengah kesibukan perhatian internasional pada perusahaan keamanan siber Israel.

Investigasi internasional minggu ini mengklaim produk pengawasan dunia maya NSO Group digunakan oleh pemerintah di seluruh dunia untuk melacak pembangkang politik dan jurnalis, beberapa di antaranya terbunuh.

Selengkapnya: Times of Israeli

Pegasus: Amnesty Merilis Alat Baru Untuk Memeriksa Apakah Spyware Invasif Dipasang Secara Rahasia di Ponsel

July 21, 2021 by Winnie the Pooh

Amnesty International telah merilis toolkit untuk membantu orang mengetahui apakah ponsel mereka diam-diam dipantau oleh Pegasus, spyware kelas militer yang menargetkan aktivis hak asasi manusia, jurnalis, dan pengacara di seluruh dunia.

Perangkat lunak tersebut memindai perangkat untuk petunjuk kecil yang tertinggal jika telepon terinfeksi oleh spyware Pegasus.

Daftar 50.000 nomor telepon yang bocor diperoleh oleh jurnalisme non-profit Forbidden Stories dan Amnesty sebelum dibagikan ke media.

Spyware, yang dibangun oleh perusahaan Israel NSO Group, dapat digunakan untuk merekam panggilan, menyalin dan mengirim pesan atau bahkan merekam orang melalui kamera ponsel. Spyware ini dapat dan telah digunakan untuk menargetkan perangkat Apple iOS dan Android.

Versi awal perangkat lunak membutuhkan target untuk mengklik tautan berbahaya, memberikan akses kepada orang yang tidak berwenang ke data pribadi korban, termasuk kata sandi, panggilan, teks, dan email, tetapi para ahli percaya bahwa perangkat lunak telah lebih maju sehingga target tidak perlu mengklik tautan apa pun agar spyware terinstal.

Toolkit peneliti Amnesty, Mobile Verification Toolkit (MVT), berfungsi pada perangkat iOS dan Android untuk membantu pengguna mengetahui apakah mereka telah ditargetkan.

Ini menggunakan cadangan perangkat dan mencarinya untuk setiap indikator kompromi yang akan digunakan untuk mengirimkan Pegasus, seperti nama domain yang digunakan dalam infrastruktur NSO Group.

Ketika dijalankan, toolkit memindai cadangan telepon untuk mencari bukti bahwa ponsel telah diretas. Dibutuhkan satu atau dua menit untuk melakukannya, dan membuat sejumlah file yang menunjukkan hasil pemindaian – jika ponsel berpotensi disusupi, file tersebut akan mengatakan demikian.

Selengkapnya: Independent.co.uk

Investigasi menemukan spyware yang dirancang Israel digunakan untuk meretas jurnalis dan aktivis di seluruh dunia

July 19, 2021 by Winnie the Pooh

Tiga puluh tujuh smartphone milik jurnalis, aktivis hak asasi manusia, eksekutif bisnis, dan dua wanita yang terkait dengan jurnalis Saudi yang terbunuh Jamal Khashoggi menjadi sasaran “spyware kelas militer” yang dilisensikan oleh perusahaan Israel kepada pemerintah, menurut penyelidikan oleh konsorsium organisasi media, termasuk The Washington Post, diterbitkan hari Minggu.

The Post melaporkan hari Minggu bahwa ponsel itu “ada dalam daftar lebih dari 50.000 nomor yang terkonsentrasi di negara-negara yang diketahui terlibat dalam pengawasan warganya” dan diketahui sebagai klien perusahaan, NSO Group, yang spyware Pegasusnya seolah-olah dilisensikan untuk melacak teroris dan penjahat besar.

Surat kabar itu melaporkan bahwa melalui penyelidikan, yang juga dilakukan dengan bantuan Amnesty International dan Forbidden Stories, sebuah organisasi nirlaba jurnalisme yang berbasis di Paris, outlet tersebut “mampu mengidentifikasi lebih dari 1.000 orang yang tersebar di lebih dari 50 negara melalui penelitian dan wawancara di empat benua: beberapa anggota keluarga kerajaan Arab, setidaknya 65 eksekutif bisnis, 85 aktivis hak asasi manusia, 189 jurnalis, dan lebih dari 600 politisi dan pejabat pemerintah — termasuk menteri kabinet, diplomat, dan perwira militer dan keamanan. Nomor beberapa kepala negara dan perdana menteri juga muncul dalam daftar.”

Nomor telepon wartawan yang bekerja di luar negeri untuk CNN, The Associated Press, Voice of America, The New York Times, The Wall Street Journal, Bloomberg News, Le Monde Prancis, Financial Times Inggris dan Al Jazeera Qatar adalah beberapa nomor yang muncul di daftar, yang berasal dari 2016, menurut Post. Surat kabar itu tidak menyebutkan nama wartawan dalam ceritanya.

Spyware, yang dikembangkan satu dekade lalu dengan bantuan mantan mata-mata Israel, dirancang untuk dengan mudah menghindari tindakan privasi ponsel cerdas, “seperti kata sandi dan enkripsi yang kuat,” menurut Post, yang mengatakan dapat “menyerang ponsel tanpa peringatan kepada pengguna” dan “membaca apa pun di perangkat yang dapat dilakukan pengguna, sementara juga mencuri foto, rekaman, catatan lokasi, komunikasi, kata sandi, log panggilan, dan pos media sosial.”

Selengkapnya: CNN

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings