Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Pusat keamanan siber Canberra mendapat lampu hijau

by

Ibu kota Australia, Canberra, membangun pusat keamanan siber untuk memajukan dan memamerkan keahlian kota sebagai ibu kota dunia maya di negara tersebut.

Pemerintah Australian Capital Territory (ACT) menginvestasikan $ 700.000 di Canberra Cyber Hub, yang juga bertujuan untuk memanfaatkan kemampuan dunia maya Canberra untuk menciptakan lebih banyak lapangan kerja dan lebih mendiversifikasi ekonomi ACT, sambil menumbuhkan sektor keamanan siber di wilayah tersebut.

Keamanan dunia maya adalah salah satu sektor dengan pertumbuhan tercepat di negara ini. Selama beberapa tahun ke depan, pengeluaran Australia di sektor ini diharapkan tumbuh 35 persen menjadi $ 7,6 miliar, sementara sekitar 7.000 pekerjaan keamanan siber tambahan akan tercipta.

Dr Michael Frater, sebelumnya dari University of New South Wales Canberra, akan memimpin pembentukan proyek Canberra Cyber Hub, yang akan berfokus pada empat tujuan utama:

  • mengembangkan jalur pelatihan keamanan siber Canberra
  • mempercepat SME untuk menumbuhkan koneksi dan menarik investasi
  • mempromosikan kemampuan penelitian ACT; dan
  • menampilkan kemampuan keamanan siber Canberra.

selengkapnya : www.smartcitiesworld.net

VISA: Semakin banyak peretas yang menggunakan web shell untuk mencuri kartu kredit

by

Pemroses pembayaran global VISA memperingatkan bahwa pelaku ancaman semakin banyak menggunakan web shell pada server yang disusupi untuk mengekstrak informasi kartu kredit yang dicuri dari pelanggan toko online.

Sepanjang tahun lalu, VISA telah melihat tren yang berkembang dari web shell yang digunakan untuk menyuntikkan skrip berbasis JavaScript yang dikenal sebagai skimmer kartu kredit ke toko online yang diretas dalam serangan skimming web (alias skimming digital, e-Skimming, atau Magecart).

Setelah digunakan, skimmer memungkinkan mereka untuk mencuri pembayaran, dan informasi pribadi yang dikirimkan oleh pelanggan toko online yang disusupi dan mengirimkannya ke server yang mereka kendalikan.

Pada bulan Februari, temuan VISA dikonfirmasi oleh tim Microsoft Defender Advanced Threat Protection (ATP), yang mengatakan bahwa jumlah web shell yang digunakan pada server yang disusupi hampir dua kali lipat sejak tahun lalu.

Peneliti keamanan perusahaan menemukan rata-rata 140.000 alat berbahaya semacam itu di server yang diretas setiap bulan, antara Agustus 2020 hingga Januari 2021.

Sebagai perbandingan, Microsoft mengatakan dalam laporan tahun 2020 bahwa mereka mendeteksi rata-rata 77.000 web shell setiap bulan, berdasarkan data yang dikumpulkan dari sekitar 46.000 perangkat berbeda antara Juli dan Desember 2019.

Selengkapnya: Bleeping Computer

REvil ransomware sekarang mengubah kata sandi menjadi auto-login dalam Mode Aman

by

Perubahan terbaru pada REvil ransomware memungkinkan pelaku ancaman untuk mengotomatiskan enkripsi file melalui Safe Mode setelah mengubah sandi Windows.

Pada akhir Maret, sampel baru REvil ransomware ditemukan oleh peneliti keamanan R3MRUM yang menyempurnakan metode enkripsi Safe Mode baru dengan mengubah kata sandi pengguna yang masuk dan mengkonfigurasi Windows untuk masuk secara otomatis (auto-login) saat reboot.

Dengan contoh baru ini, ketika argumen -smode digunakan, ransomware akan mengubah kata sandi pengguna menjadi ‘DTrump4ever.’

Ransomware kemudian mengkonfigurasi nilai Registry berikut sehingga Windows secara otomatis akan login dengan informasi akun baru.

Meskipun tidak diketahui apakah sampel baru pengenkripsi ransomware REvil terus menggunakan kata sandi ‘DTrump4ever’, setidaknya dua sampel yang diunggah ke VirusTotal dalam dua hari terakhir terus melakukannya.

Perubahan ini menggambarkan bagaimana geng ransomware terus mengembangkan taktik mereka untuk berhasil mengenkripsi perangkat korban dan memaksa pembayaran tebusan.

REvil juga baru-baru ini memperingatkan bahwa mereka akan melakukan serangan DDoS pada korban dan mengirim email ke mitra bisnis korban tentang data yang dicuri jika uang tebusan tidak dibayarkan.

Sumber: Bleeping Computer

Cisco memperbaiki bug yang memungkinkan eksekusi kode jarak jauh dengan hak akses root

by

Cisco telah merilis pembaruan keamanan untuk mengatasi kerentanan pra-otentikasi remote code execution (RCE) yang memengaruhi komponen manajemen jarak jauh SD-WAN vManage Software.

Perusahaan memperbaiki dua kerentanan keamanan tingkat tinggi lainnya dalam fungsi manajemen pengguna (CVE-2021-1137) dan transfer file sistem (CVE-2021-1480) dari produk yang sama yang memungkinkan penyerang untuk meningkatkan hak istimewa.

Eksploitasi yang berhasil dari kedua bug ini dapat memungkinkan pelaku ancaman yang menargetkan mereka untuk mendapatkan hak akses root pada sistem operasi yang mendasarinya.

Cacat keamanan kritis yang dilacak sebagai CVE-2021-1479 menerima skor keparahan 9,8 / 10. Hal ini memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk memicu buffer overflow pada perangkat yang rentan dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.

Kerentanan memengaruhi Cisco SD-WAN vManage rilis 20.4 dan yang lebih lama. Cisco telah membahasnya dalam pembaruan keamanan 20.4.1, 20.3.3, dan 19.2.4 yang diterbitkan hari ini dan menyarankan pelanggan untuk bermigrasi ke versi yang terbaru sesegera mungkin.

Sumber: Bleeping Computer

Sumber: Bleeping Computer

Ransomware Cring baru menyerang perangkat Fortinet VPN yang belum ditambal

by

Kerentanan yang memengaruhi Fortinet VPN sedang dieksploitasi oleh jenis ransomware baru yang dioperasikan oleh manusia yang dikenal sebagai Cring untuk menerobos dan mengenkripsi jaringan perusahaan sektor industri.

Cring ransomware (juga dikenal sebagai Crypt3r, Vjiszy1lo, Ghost, Phantom) ditemukan oleh Amigo_A pada bulan Januari dan dilihat oleh tim CSIRT dari penyedia telekomunikasi Swiss, Swisscom.

Operator Cring menjatuhkan sampel Mimikatz yang disesuaikan, diikuti oleh CobaltStrike setelah mendapatkan akses awal dan menerapkan muatan ransomware dengan mengunduh menggunakan pengelola sertifikat Windows CertUtil yang sah untuk melewati perangkat lunak keamanan.

Seperti yang diungkapkan para peneliti Kaspersky dalam sebuah laporan yang diterbitkan kemarin, para penyerang mengeksploitasi server Fortigate SSL VPN yang terpapar Internet tanpa patch terhadap kerentanan CVE-2018-13379, yang memungkinkan mereka untuk menembus jaringan target mereka.

“Korban serangan ini termasuk perusahaan industri di negara-negara Eropa,” kata peneliti Kaspersky.

“Setidaknya dalam satu kasus, serangan ransomware mengakibatkan penghentian sementara proses industri karena server yang digunakan untuk mengontrol proses industri menjadi terenkripsi.”

Sumber: Kaspersky

Selengkapnya: Bleeping Computer

Google Forms dan Telegram disalahgunakan untuk mengumpulkan kredensial phishing

by

Peneliti keamanan mencatat peningkatan metode alternatif untuk mencuri data dari serangan phishing, karena penipu mendapatkan info yang dicuri melalui Google Forms atau bot Telegram pribadi.

Email tetap menjadi metode yang disukai untuk mengekstrak info yang dicuri, tetapi saluran ini menunjukkan tren baru dalam evolusi kit phishing.

Menganalisis perangkat phishing selama setahun terakhir, para peneliti di perusahaan keamanan siber Group-IB memperhatikan bahwa lebih banyak dari alat ini memungkinkan pengumpulan data pengguna yang dicuri menggunakan Google Forms dan Telegram.

Ini dianggap sebagai metode alternatif untuk memperoleh data yang disusupi dan menyumbang hampir 6% dari apa yang ditemukan oleh analis Grup-IB, sebuah bagian yang kemungkinan besar akan meningkat dalam jangka pendek.

Menyimpan info dalam file lokal di sumber daya phishing juga merupakan bagian dari metode eksfiltrasi alternatif dan menyumbang persentase tertinggi dari semuanya.

Sumber: Group-IB

Mengirim data curian yang dikumpulkan dari situs phishing ke Google Forms dilakukan melalui permintaan POST ke formulir online yang tautannya tertanam dalam kit phishing.

Dibandingkan dengan email, yang dapat diblokir atau dibajak dan lognya hilang, ini adalah metode yang lebih aman untuk mengekstrak informasi, kata Group – IB kepada BleepingComputer.

Selengkapnya: Bleeping Computer

Ponsel Android Gigaset terinfeksi oleh malware melalui server pembaruan yang diretas

by

Pemilik ponsel Android Gigaset telah berulang kali terinfeksi malware sejak akhir Maret setelah pelaku ancaman menyusupi server pembaruan vendor dalam serangan rantai pasokan.

Gigaset adalah pabrikan perangkat telekomunikasi asal Jerman, termasuk rangkaian smartphone yang menjalankan sistem operasi Android.

Mulai sekitar 27 Maret, pengguna tiba-tiba menemukan perangkat seluler Gigaset mereka berulang kali membuka browser web dan menampilkan iklan untuk situs game seluler.

Saat memeriksa aplikasi ponsel mereka yang sedang berjalan, pengguna menemukan aplikasi yang tidak dikenal bernama ‘easenf’ berjalan, yang ketika dihapus, secara otomatis akan diinstal kembali.

Menurut situs teknologi Jerman BornCity, aplikasi easenf diinstal oleh aplikasi pembaruan sistem perangkat. Aplikasi berbahaya lainnya yang ditemukan termasuk ‘gem’, ‘smart’, dan ‘xiaoan.’

Pengguna Gigaset mengunggah beberapa paket berbahaya ini ke VirusTotal [1, 2], di mana mereka terdeteksi sebagai adware atau pengunduh.

Sejak serangan dimulai, Malwarebytes telah mendukung pemilik Gigaset di forum mereka dan mendeteksi ancaman sebagai ‘Android / PUP.Riskware.Autoins.Redstone.’

Berdasarkan penelitian mereka, Malwarebytes menyatakan bahwa aplikasi ‘Android / PUP.Riskware.Autoins.Redstone’ akan mengunduh malware lebih lanjut pada perangkat yang terdeteksi sebagai ‘Android / Trojan.Downloader.Agent.WAGD.’

Sumber: Malwarebyte forum

Malwarebytes menyatakan bahwa aplikasi ini akan menampilkan iklan, menginstal aplikasi berbahaya lainnya, dan mencoba menyebar melalui pesan WhatsApp.

Selengkapnya: Bleeping Computer

Facebook mengaitkan 533 juta kebocoran data pengguna dengan “scraping” bukan peretasan

by

Facebook akhirnya telah menjelaskan kebocoran data baru-baru ini yang terdiri dari 533 juta profil pengguna Facebook yang kemudian datanya diposting di forum peretas minggu lalu.

Dalam pernyataan publik yang dirilis kemarin, perusahaan tersebut menyatakan bahwa kebocoran tersebut diakibatkan oleh scraping (pengumpulan) massal profil menggunakan sejumlah besar nomor telepon yang ditautkan ke profil ini, bukan dari peretasan platform:

“Ini adalah contoh lain dari hubungan permusuhan perusahaan teknologi yang sedang berlangsung dengan penipu yang dengan sengaja melanggar kebijakan platform untuk ‘scraping’ layanan internet.”

“Sebagai hasil dari tindakan yang kami ambil, kami yakin bahwa masalah khusus yang memungkinkan mereka mengumpulkan data ini pada tahun 2019 sudah tidak ada lagi,” kata Mike Clark, Direktur Manajemen Produk di Facebook dalam sebuah pernyataan.

Facebook percaya bahwa aktor jahat telah mengorek data bocor yang dipertanyakan dari profil Facebook orang-orang dengan menyalahgunakan fitur “pengimpor kontak” pada September 2019.

“Fitur ini dirancang untuk membantu orang dengan mudah menemukan teman-teman mereka untuk terhubung di layanan kami menggunakan daftar kontak mereka.”

“Saat kami mengetahui bagaimana aktor jahat menggunakan fitur ini pada tahun 2019, kami melakukan perubahan pada pengimpor kontak … untuk mencegah aktor jahat menggunakan perangkat lunak untuk meniru aplikasi kami dan mengunggah sejumlah besar nomor telepon untuk melihat mana yang cocok dengan Pengguna Facebook,” kata perusahaan itu.

Selengkapnya: Bleeping Computer