Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Aturan keamanan data baru dilembagakan untuk sistem pemrosesan pembayaran AS

by

Aturan keamanan data baru yang mengatur bagaimana uang berpindah tangan di AS telah berlaku hari ini, memaksa pemroses uang digital utama untuk membuat informasi rekening deposito tidak dapat dibaca dalam penyimpanan elektronik.

National Automated Clearinghouse Association (NACHA), badan yang meloloskan aturan, mengatur ACH Network, sistem pembayaran yang mendorong setoran langsung dan pembayaran langsung untuk hampir semua rekening bank dan serikat kredit AS. Lembaga kliring otomatis nasional memproses sejumlah besar transaksi kredit dan debit di AS dan menangani transaksi keuangan untuk konsumen, bisnis, dan pemerintah federal, negara bagian, dan lokal.

Mulai tanggal 30 Juni, jika nomor rekening digunakan untuk pembayaran ACH — konsumen atau perusahaan — nomor itu harus dibuat tidak terbaca saat disimpan secara elektronik, menurut NACHA, yang menambahkan bahwa setiap tempat di mana nomor rekening yang terkait dengan entri ACH disimpan adalah dalam ruang lingkup aturan.

“Ini termasuk sistem di mana otorisasi diperoleh atau disimpan secara elektronik, serta basis data atau platform sistem yang mendukung entri ACH. Sebagai contoh, untuk Penyedia Layanan Pihak Ketiga yang kliennya adalah lembaga keuangan, ini dapat mencakup platform yang melayani ACH. pergudangan dan posting transaksi, dan sistem pelaporan informasi klien,” jelas NACHA.

“Untuk Pengirim Asal dan Penyedia Layanan Pihak Ketiga mereka, sistem hutang dan piutang akan terpengaruh, seperti halnya sistem lain (misalnya, sistem manajemen klaim untuk perusahaan asuransi).”

Aturan ini juga berlaku untuk otorisasi kertas atau dokumen lain yang berisi nomor akun ACH yang dipindai untuk tujuan penyimpanan dan penyimpanan catatan elektronik.

selengkapnya : www.zdnet.com

Eksploitasi 0-hari Windows PrintNightmare publik memungkinkan pengambilalihan domain

by

Detail teknis dan eksploitasi proof-of-concept (PoC) telah bocor secara tidak sengaja untuk kerentanan yang saat ini belum ditambal di Windows yang memungkinkan eksekusi kode jarak jauh.

Terlepas dari kebutuhan untuk otentikasi, tingkat keparahan masalah ini sangat penting karena aktor ancaman dapat menggunakannya untuk mengambil alih server domain Windows untuk menyebarkan malware dengan mudah ke seluruh jaringan perusahaan.

Masalah ini memengaruhi Windows Print Spooler dan karena daftar panjang bug yang memengaruhi komponen ini selama bertahun-tahun [1, 2, 3, 4], para peneliti menamakannya PrintNightmare.

Beberapa peneliti telah menguji eksploitasi PoC yang bocor pada sistem Windows Server 2019 yang sepenuhnya ditambal dan dapat mengeksekusi kode sebagai SISTEM.

Kebocoran detail untuk kerentanan ini terjadi secara tidak sengaja, karena kebingungan dengan masalah lain, CVE-2021-1675, juga memengaruhi Print Spooler yang ditambal Microsoft dalam peluncuran pembaruan keamanan bulan ini.

Awalnya, Microsoft mengklasifikasikan CVE-2021-1675 sebagai masalah eskalasi hak istimewa dengan tingkat keparahan tinggi, tetapi beberapa minggu kemudian mengubah peringkat menjadi kritis dan berdampak pada eksekusi kode jarak jauh, tanpa memberikan detail apa pun.

Dikreditkan untuk pelaporan CVE-2021-1675 adalah peneliti dari tiga perusahaan cybersecurity (Tencent, AFINE, NSFOCUS) tetapi beberapa tim menganalisis Windows Print Spooler.

selengkapnya : www.bleepingcomputer.com

NVIDIA Menambal Bug Serangan Spoof GeForce Tingkat Tinggi

by

Perangkat lunak grafis game NVIDIA yang disebut GeForce Experience, dibundel dengan GPU GTX pembuat chip yang populer, memiliki kerentanan dan membuka pintu bagi penyerang jarak jauh yang dapat mengeksploitasi bug untuk mencuri atau memanipulasi data pada komputer Windows yang rentan.

NVIDIA memberi tahu pelanggan akhir minggu lalu tentang bug tersebut dan merilis tambalan perangkat lunak untuk cacat tersebut, yang ada dalam perangkat lunak Windows GeForce Experience (versi 3.21 dan sebelumnya). Pembaruan GeForce 3.23 sekarang tersedia untuk memitigasi bug.

Bug dilacak sebagai CVE‑2021‑1073, dengan peringkat keparahan CVSS 8.3 (tinggi). Perusahaan memperingatkan:

Perangkat lunak NVIDIA GeForce Experience mengandung kerentanan di mana, jika pengguna mengklik tautan berformat jahat yang membuka halaman login GeForce Experience di tab browser baru alih-alih aplikasi GeForce Experience dan memasukkan informasi login mereka, situs berbahaya tersebut bisa mendapatkan akses ke token sesi login pengguna. Serangan semacam itu dapat menyebabkan data pengguna yang ditargetkan ini diakses, diubah, atau hilang.

Mereka yang terpengaruh disarankan untuk mengunduh dan menginstal pembaruan perangkat lunak melalui halaman GeForce Experience Download atau cukup membuka klien perangkat lunak, yang kemudian akan memperbarui perangkat lunak secara otomatis.

GeForce Experience adalah perangkat lunak gratis yang dibundel dengan kartu grafis NVIDIA dan dirancang khusus untuk meningkatkan kinerja game PC. Ini memungkinkan pengguna untuk memantau dan mengoptimalkan kinerja sistem, mengambil tangkapan layar dalam game, dan merekam atau streaming langsung permainan game ke komunitas seperti Twitch.

Selengkapnya: Threat Post

Geng Ransomware sekarang membuat situs web untuk merekrut afiliasi

by

Sejak dua forum kejahatan dunia maya terkemuka berbahasa Rusia melarang topik terkait ransomware, operasi kriminal telah dipaksa untuk mempromosikan layanan mereka melalui metode alternatif.

Setidaknya dua geng ransomware yang membutuhkan peretas untuk menjalankan serangan telah menggunakan situs mereka untuk mengiklankan fitur alat enkripsi mereka untuk menarik anggota baru.

Sekitar seminggu yang lalu, geng ransomware LockBit mengumumkan versi utama baru untuk alat mereka, mengklaim peningkatan yang signifikan untuk kecepatan enkripsi.

Untuk mendukung klaim mereka, pelaku ancaman tampaknya menguji versi beberapa potongan ransomware dan mempublikasikan pengukuran mereka untuk kecepatan enkripsi file.

Dengan meluncurkan LockBit 2.0, pengembang ransomware juga mengumumkan sesi rekrutmen afiliasi baru, menyoroti bahwa enkripsi yang mereka gunakan tidak goyah sejak operasi dimulai pada September 2019.

Untuk menarik mitra, LockBit mengklaim menawarkan enkripsi tercepat dan alat pencurian file (StealBit) “di seluruh dunia.”

Langkah dari LockBit ini terjadi setelah aktor pada akhir Mei mencoba untuk mendapatkan pembicaraan ransomware kembali di forum berbahasa Rusia yang populer dengan mengusulkan bagian pribadi hanya untuk “pengguna otoritatif, di mana tidak ada keraguan.”

Perusahaan intelijen ancaman KELA mengatakan bahwa tidak semua kelompok ransomware sekeras ini dalam pencarian afiliasi mereka.

Geng REvil, misalnya, lebih suka beroperasi secara rahasia dan bergantung pada jaringan afiliasi dan koneksinya untuk mendapatkan mitra baru saat mereka membutuhkannya, kata KELA.

Selengkapnya: Bleeping Computer

Bank sentral Denmark terkena peretasan SolarWinds, kata laporan media

by

Bank sentral Denmark dikompromikan dalam operasi peretasan global SolarWinds tahun lalu, meninggalkan “pintu belakang” ke jaringannya terbuka selama tujuh bulan, media IT Version2 melaporkan pada hari Selasa, mengutip dokumen yang terkait dengan kasus tersebut.

Para peretas, yang dituduh oleh Amerika Serikat bekerja untuk intelijen Rusia, sangat hebat dan memodifikasi kode dalam perangkat lunak manajemen jaringan SolarWinds yang diunduh oleh 18.000 pelanggan di seluruh dunia.

Penyerang dapat menggunakan SolarWinds untuk masuk ke dalam jaringan dan kemudian membuat pintu belakang untuk akses lanjutan yang potensial.

Pintu belakang semacam itu terbuka di bank sentral Denmark selama tujuh bulan sampai ditemukan oleh perusahaan keamanan AS Fire Eye, Version2 mengatakan, mengutip berbagai dokumen yang diperolehnya berdasarkan permintaan kebebasan informasi, seperti email SolarWinds.

Bank sentral, yang mengelola transaksi bernilai miliaran dolar setiap hari, mengatakan dalam komentar email kepada Reuters bahwa “tidak ada tanda-tanda bahwa serangan itu memiliki konsekuensi nyata”.

“Serangan SolarWinds juga menghantam infrastruktur keuangan di Denmark. Sistem yang relevan ditampung dan dianalisis segera setelah kompromi SolarWinds Orion diketahui,” tambahnya.

Selengkapnya: Reuters

Bug Pengambilalihan Mesin Virtual yang Belum Ditambal Mempengaruhi Google Compute Engine

by

Kerentanan keamanan yang belum ditambal yang memengaruhi platform Compute Engine Google dapat disalahgunakan oleh penyerang untuk mengambil alih mesin virtual melalui jaringan.

“Ini dilakukan dengan meniru server metadata dari sudut pandang mesin virtual yang ditargetkan,” kata peneliti keamanan Imre Rad dalam sebuah analisis yang diterbitkan Jumat. “Dengan memasang eksploitasi ini, penyerang dapat memberikan akses ke dirinya sendiri melalui SSH (otentikasi kunci publik) sehingga mereka dapat masuk sebagai pengguna root.”

Google Compute Engine (GCE) adalah komponen infrastruktur sebagai layanan (IaaS) dari Google Cloud Platform yang memungkinkan pengguna membuat dan meluncurkan mesin virtual (VM) sesuai permintaan. GCE menyediakan metode untuk menyimpan dan mengambil metadata dalam bentuk server metadata, yang menawarkan titik pusat untuk mengatur metadata dalam bentuk pasangan nilai kunci yang kemudian diberikan ke mesin virtual saat runtime.

Dalam skenario dunia nyata, rantai serangan yang digunakan dapat disalahgunakan oleh musuh untuk mendapatkan akses penuh ke mesin virtual yang ditargetkan saat sedang di-boot ulang atau melalui internet jika firewall platform cloud dimatikan.

Google diberitahu tentang masalah ini pada 27 September 2020, yang sejak itu mengakui laporan tersebut, menggambarkannya sebagai “tangkapan yang bagus,” tetapi belum meluncurkan tambalan, atau memberikan garis waktu kapan koreksi akan tersedia.

Selengkapnya: The Hacker News

Ransomware baru menyoroti adopsi luas dari bahasa Golang oleh penyerang siber

by

Jenis ransomware baru yang menggunakan Golang menyoroti peningkatan adopsi bahasa pemrograman tersebut oleh aktor ancaman.

CrowdStrike mengamankan sampel varian ransomware baru, yang belum disebutkan namanya, yang meminjam fitur dari HelloKitty/DeathRansom dan FiveHands.

Jenis ransomware ini diperkirakan telah aktif sejak 2019 dan telah dikaitkan dengan serangan terhadap pembuat Cyberpunk 2077, CD Projekt Red (CDPR), serta organisasi perusahaan.

Sampel yang ditemukan mengungkapkan fungsi yang mirip dengan HelloKitty dan FiveHands, dengan komponen yang ditulis dalam C++, serta cara malware mengenkripsi file dan menerima argumen baris perintah.

Namun, tidak seperti HelloKitty dan FiveHands, jenis ransomware baru ini telah mengadopsi paket yang ditulis dalam Go yang mengenkripsi muatan ransomware C++-nya.

Menurut Intezer, malware yang memanfaatkan Go adalah kejadian langka sebelum 2019, tetapi sekarang, bahasa pemrograman tersebut adalah pilihan populer karena kemudahan kompilasi kode dengan cepat untuk berbagai platform dan kesulitannya untuk merekayasa balik. Tingkat sampel telah meningkat sekitar 2.000% dalam beberapa tahun terakhir.

Sampel CrowdStrike menggunakan Golang versi terbaru, v.1.16, yang dirilis pada Februari 2021.

Selain penggunaan Go, sampel berisi fungsi khas ransomware — termasuk kemampuan untuk mengenkripsi file dan disk, serta mengeluarkan permintaan pembayaran sebagai imbalan atas kunci dekripsi.

Selengkapnya: ZDNet

Pelanggaran Data LinkedIn dilaporkan mengekspos data 92% pengguna, termasuk gaji yang diperkirakan [U]

by

Pelanggaran besar kedua LinkedIn dilaporkan mengekspos data 700 juta pengguna, yang merupakan lebih dari 92% dari total 756 juta pengguna. Basis data untuk dijual di web gelap, dengan data termasuk nomor telepon, alamat fisik, data geolokasi, dan gaji yang diperkirakan.

Peretas yang memperoleh data telah memposting sampel 1 juta catatan, dan pemeriksaan mengonfirmasi bahwa data tersebut asli dan terbaru.

RestorePrivacy melaporkan bahwa peretas tampaknya telah menyalahgunakan LinkedIn API resmi untuk mengunduh data, metode yang sama yang digunakan dalam pelanggaran serupa pada bulan April.

Pada tanggal 22 Juni, seorang pengguna situs peretasan populer mengiklankan data dari 700 Juta pengguna LinkedIn untuk dijual. Pengguna forum memposting sampel data yang mencakup 1 juta pengguna LinkedIn. Kami memeriksa sampel dan menemukannya mengandung informasi berikut:

  • Alamat email
  • Nama lengkap
  • Nomor telepon
  • Alamat fisik
  • Catatan geolokasi
  • Nama pengguna dan URL profil LinkedIn
  • Pengalaman/latar belakang pribadi dan profesional
  • jenis kelamin
  • Akun media sosial dan nama pengguna lainnya

PrivacyShark

Tidak ada kata sandi yang ikut bocor, tetapi ini masih merupakan data berharga yang dapat digunakan untuk pencurian identitas dan upaya phishing yang tampak meyakinkan yang dapat digunakan sendiri untuk mendapatkan kredensial masuk untuk LinkedIn dan situs lainnya.

Saat dimintai keterangan, pihak LinkedIn membantah dengan mengatakan bahwa itu bukanlah pelanggaran data.

Sementara kami masih menyelidiki masalah ini, analisis awal kami menunjukkan bahwa kumpulan data tersebut mencakup informasi yang diambil dari LinkedIn serta informasi yang diperoleh dari sumber lain. Ini bukan pelanggaran data LinkedIn dan penyelidikan kami telah menetapkan bahwa tidak ada data pribadi anggota LinkedIn yang terpapar. Memotong data dari LinkedIn merupakan pelanggaran terhadap Ketentuan Layanan kami dan kami terus berupaya untuk memastikan privasi anggota kami terlindungi.

LinkedIn

Selengkapnya: 9to5mac