Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Ransomware HelloKitty di balik serangan siber CD Projekt Red, pencurian data

by

Serangan ransomware terhadap CD Projekt Red dilakukan oleh grup ransomware yang bernama ‘HelloKitty,’ dan ya, itulah nama yang digunakan oleh pelaku ancaman.

Proyek CD mengungkapkan bahwa mereka adalah target serangan ransomware yang mengenkripsi perangkat di jaringan mereka dan menyebabkan pencurian file yang tidak terenkripsi.

Sebagai bagian dari pengumuman tersebut, CD Projekt juga merilis tangkapan layar dari catatan tebusan yang ditinggalkan oleh para penyerang.

Sumber: BleepingComputer

Menurut Fabian Wosar dari Emisoft, ransomware yang bertanggung jawab atas serangan siber ini disebut ‘HelloKitty’. Operasi ransomware ini telah aktif sejak November 2020 dan telah menargetkan perusahaan besar lainnya, seperti perusahaan listrik Brazil CEMIG tahun lalu.

Ransomware HelloKitty diberi nama setelah mutex bernama ‘HelloKittyMutex’ yang digunakan saat program jahat yang dapat dieksekusi diluncurkan.

Sumber: BleepingComputer

Setelah diluncurkan, HelloKitty akan berulang kali menjalankan taskkill.exe untuk menghentikan proses yang terkait dengan perangkat lunak keamanan, server email, server basis data, perangkat lunak cadangan, dan perangkat lunak akuntansi, seperti QuickBooks.

Setelah mematikan berbagai proses dan layanan yang ditargetkan, HelloKitty akan mulai mengenkripsi file di komputer. Saat mengenkripsi file, HelloKitty akan menambahkan ekstensi .crypted ke nama file terenkripsi, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Tidak diketahui seberapa besar permintaan tebusan untuk geng ransomware ini dan apakah para korban telah membayar di masa lalu. Saat ini, tidak ada kelemahan yang memungkinkan korban untuk mendekripsi file mereka secara gratis.

Sumber: Bleeping Computer

Microsoft Februari 2021 Patch Tuesday memperbaiki 56 bug, termasuk Windows zero-day

by

Microsoft telah merilis pembaruan keamanan bulanan, yang dikenal sebagai Patch Tuesday. Bulan ini, pembuat OS telah memperbaiki 56 kerentanan keamanan, termasuk bug Windows yang dieksploitasi di alam liar sebelum patch hari ini.

Dilacak sebagai CVE-2021-1732, Windows zero-day adalah peningkatan bug hak istimewa di Win32k, komponen inti dari sistem operasi Windows.

Bug itu dieksploitasi setelah penyerang memperoleh akses ke sistem Windows untuk mendapatkan akses level SISTEM.

Menurut laporan dari perusahaan keamanan China DBAPPSecurity, zero-day tersebut digunakan oleh aktor ancaman tingkat lanjut yang dikenal sebagai Bitter, dengan sejarah panjang serangan yang menargetkan organisasi dan pengguna Pakistan dan China.

DBAPPSecurity mengatakan exploit zero-day yang awalnya mereka deteksi telah dikompilasi pada Mei 2020 dan dirancang untuk menargetkan sistem operasi Windows10 1909 64-bit, tetapi tes selanjutnya mengungkapkan bahwa bug juga memengaruhi Windows10 20H2 64-bitsOS terbaru juga.

Secara total, enam bug produk Microsoft telah diposting detailnya secara online sebelum patch hari ini. Ini termasuk:

  • CVE-2021-1721 – .NET Core and Visual Studio Denial of Service Vulnerability
  • CVE-2021-1733 – Sysinternals PsExec Elevation of Privilege Vulnerability
  • CVE-2021-26701 – .NET Core Remote Code Execution Vulnerability
  • CVE-2021-1727 – Windows Installer Elevation of Privilege Vulnerability
  • CVE-2021-24098 – Windows Console Driver Denial of Service Vulnerability
  • CVE-2021-24106 – Windows DirectX Information Disclosure Vulnerability

Bulan ini, Microsoft juga telah merilis perbaikan untuk tiga kerentanan di TCP/IP stack Windows, yang memungkinkan sistem operasi untuk terhubung ke internet.

Dua dari bug ini (CVE-2021-24074, CVE-2021-24094) menerapkan perbaikan untuk kerentanan eksekusi kode jarak jauh yang dapat memungkinkan penyerang untuk mengambil alih sistem Windows dari jarak jauh.

Selengkapnya: ZDNet

Bahaya Tersembunyi dari Power Automate dan eDiscovery Tools Microsoft 365

by

Ketika organisasi semakin merangkul lingkungan cloud hybrid, para aktor siber mengambil keuntungan dengan menggunakan akses istimewa dan aplikasi yang sah untuk melakukan serangan dan melakukan tindakan jahat.

Dengan tenaga kerja yang semakin tersebar dan adopsi cepat aplikasi berbasis cloud untuk mengakomodasi pekerja jarak jauh, Microsoft Office 365, sekarang disebut Microsoft 365, telah menjadi salah satu alat kolaborasi dan produktivitas yang paling kuat dan banyak digunakan di dunia, dengan lebih dari 250 juta pengguna.

Namun, Microsoft 365 terus menjadi salah satu lingkungan yang paling menantang dan kompleks untuk dipantau dan dikontrol, meskipun adopsi otentikasi multifaktor (MFA) dan kontrol keamanan lainnya ditingkatkan.

Power Automate dan eDiscovery Compliance Search, alat aplikasi yang disematkan di Microsoft 365, telah muncul sebagai target berharga bagi penyerang. Studi Vectra mengungkapkan bahwa 71% akun yang dipantau telah memperhatikan aktivitas mencurigakan menggunakan Power Automate, dan 56% akun mengungkapkan perilaku mencurigakan yang serupa menggunakan alat eDiscovery.

Di bawah ini adalah data yang ditampilkan dari waktu ke waktu dan relatif terhadap penerapan total Microsoft 365.

Sumber: Vectra AI

Penggunaan jahat Power Automate baru-baru ini menjadi yang terdepan ketika Microsoft mengumumkan menemukan pelaku ancaman tingkat lanjut dalam organisasi multinasional besar yang menggunakan alat tersebut untuk mengotomatiskan eksfiltrasi data. Insiden ini tidak terdeteksi selama lebih dari 200 hari.

Yang tidak kalah penting adalah eDiscovery Compliance Search, yang merupakan alat penemuan elektronik yang memungkinkan pengguna mencari informasi di semua konten dan aplikasi Microsoft 365 menggunakan satu perintah sederhana. Penyerang dapat menggunakan eDiscovery sebagai alat eksfiltrasi data. Misalnya, pencarian sederhana untuk “kata sandi” akan memunculkan hasil dari Microsoft Outlook, Teams, SharePoint, OneDrive, dan OneNote.

Power Automate dan eDiscovery secara aktif digunakan bersama di seluruh siklus hidup serangan. Setelah pelaku ancaman mendapatkan akses menggunakan Power Automate dan eDiscovery, mereka dapat mengonfigurasi ulang pengaturan email, membahayakan penyimpanan file SharePoint dan OneDrive, serta menyiapkan kemampuan pengintaian dan eksfiltrasi persisten dalam hitungan menit.

Selengkapnya: Dark Reading

Singapura berupaya menutupi celah dalam sistem TI pemerintah

by

Singapura sedang meluncurkan alat dan langkah-langkah untuk menutupi beberapa “kelemahan TI” yang disorot dalam laporan, termasuk kontrol yang lemah dan proses peninjauan yang tidak memadai atas aktivitas pengguna yang memiliki hak istimewa.

Upaya telah dilakukan untuk mengatasi celah TI sejak tahun lalu, dengan alat otomasi mengambil pusat perhatian, menurut laporan terbaru oleh Public Accounts Committee. Langkah-langkah ini direncanakan pada Januari tahun lalu, ketika komite mencaci sektor publik karena penyimpangan TI yang berulang dalam laporan tahun 2020.

Upaya untuk menutup kesenjangan dipimpin oleh Smart Nation and Digital Government Group (SNDGG), yang menggarisbawahi pentingnya pengawasan manusia, perubahan dalam proses, dan kepatuhan dari proses baru ini bersamaan dengan penerapan alat otomatisasi dan teknologi.

Badan pemerintah mengatakan sedang mengembangkan alat terpusat yang akan mencakup otomatisasi penghapusan akun pengguna yang tidak lagi digunakan, yang saat ini masih perlu diperiksa secara manual meskipun telah diterapkan aplikasi baru yang memperingatkan agen tentang pergerakan staf dan perubahan peran.

Pengembangan alat terpusat tersebut saat ini ditargetkan selesai pada akhir 2021, setelah itu lembaga harus mengintegrasikan semua sistem yang ada dengan platform terpusat selama tiga tahun ke depan.

Alat lain untuk membantu peninjauan aktivitas pengguna yang memiliki hak istimewa adalah alat yang dijadwalkan untuk diterapkan pada sistem prioritas tinggi pada Desember 2022, setelah uji coba – diluncurkan April lalu – yang melibatkan 15 lembaga pemerintah.

Menurut Komite Akun Publik, proses baru juga telah diterapkan di seluruh sektor publik untuk memfasilitasi “tanggapan yang lebih terkoordinasi dan efektif” terhadap insiden data.

Selengkapnya: ZDNet

Serangan ransomware menargetkan perusahaan IT Ness di Israel, AS, India

by

Serangan ransomware telah menargetkan perusahaan Ness Digital Engineering yang beroperasi di Israel, AS, dan India, menurut konsultan keamanan siber Einat Meyron.

Rincian serangan siber masih belum jelas, tetapi laporan awal menunjukkan bahwa serangan itu mungkin telah dimulai di Israel dan kemudian menyebar ke cabang Ness lainnya di seluruh dunia.

Shachar Efal, CEO Ness Technologies, mengatakan kepada Ynet bahwa semua sistem mereka telah diuji dan tidak ada gangguan ke dalam perusahaan atau pelanggannya, termasuk ratusan pelanggan di Israel.

Menurut Direktorat Siber Nasional, insiden itu tidak ada hubungannya dengan Israel.

Menurut Meyron, lebih dari 150 server di Israel dan sekitar 1.000 server di luar Israel sedang dipindai oleh McAfee sehubungan dengan serangan itu. Manajer perusahaan cabang India dilaporkan telah mulai mengelola insiden tersebut dan telah melibatkan perusahaan asuransi mereka, AIG.

Tangkapan layar dari pesan yang ditampilkan sebagai bagian dari serangan tersebut berbunyi “Halo ness-digital-engineering! Jika Anda membaca pesan ini, artinya jaringan Anda DITETRASI dan semua file serta data Anda telah DIENKRIPSI oleh RAGNAR LOCKER!” Pesan tersebut menginstruksikan perusahaan untuk menghubungi obrolan langsung yang disediakan dalam pesan untuk menyelesaikan kasus dan “membuat kesepakatan.”

Selengkapnya: Jpost

Peretas memodifikasi level kimia air minum di Florida

by

Seorang peretas tak dikenal telah mengakses sistem komputer untuk fasilitas pengolahan air di kota Oldsmar, Florida, dan telah memodifikasi tingkat kimiawi menjadi parameter berbahaya.

Intrusi terjadi pada hari Jumat, 5 Februari, ketika peretas mengakses sistem komputer yang diatur untuk memungkinkan kendali jarak jauh operasi pengolahan air.

Peretas pertama kali mengakses sistem ini pada jam 8 pagi, di pagi hari, dan kemudian lagi untuk gangguan kedua yang lebih lama pada jam 1:30 siang, di sore hari.

Gangguan kedua ini berlangsung selama sekitar lima menit dan langsung terdeteksi oleh operator yang memantau sistem dan melihat peretas menggerakkan kursor mouse di layar dan mengakses perangkat lunak yang bertanggung jawab untuk pengolahan air.

Staf kota Oldsmar mengatakan bahwa tidak ada air tercemar yang dikirim ke penduduk setempat karena serangan itu terjadi tepat waktu sebelum level alkali dapat digunakan.

Menurut Sheriff Gualtieri, peretas memutuskan sambungan segera setelah mereka memodifikasi tingkat alkali, dan seorang operator manusia mengatur tingkat bahan kimia kembali ke normal segera.

Pejabat tidak mengaitkan serangan itu dengan kelompok atau entitas peretas tertentu. Waktu serangan juga diperhatikan karena kota Oldsmar terletak di dekat pusat kota Tampa, yang menjadi tuan rumah pertandingan Super Bowl LV pada hari Minggu.

Selengkapnya: ZDNet

Google: Alat baru kami membuat bug keamanan sumber terbuka lebih mudah dikenali

by

Google telah meluncurkan situs web Open Source Vulnerabilities (OSV), menawarkan basis data kerentanan untuk membantu triase bug dalam proyek sumber terbuka dan membantu pengelola dan konsumen sumber terbuka.

Google berpendapat bahwa pengguna perangkat lunak sumber terbuka merasa sulit untuk memetakan kerentanan seperti entri Kerentanan Umum dan Eksposur ke versi paket yang mereka gunakan karena skema versi dalam standar kerentanan yang ada tidak dipetakan dengan baik dengan skema versi sumber terbuka yang sebenarnya, yang biasanya merupakan versi/tag dan melakukan hash. “Hasilnya adalah kerentanan yang terlewatkan yang memengaruhi konsumen,” Google memperingatkan.

OSV bertujuan untuk mengatasi masalah seputar triase bug yang baru ditemukan melalui otomatisasi.

Menurut Google, OSV dimaksudkan untuk memberikan data yang tepat tentang “di mana kerentanan diperkenalkan dan di mana kerentanan itu diperbaiki, sehingga membantu konsumen perangkat lunak sumber terbuka secara akurat mengidentifikasi apakah mereka terkena dampak dan kemudian melakukan perbaikan keamanan secepat mungkin.”

OSV adalah langkah lain dalam upaya Google untuk meningkatkan status keamanan dalam pengembangan perangkat lunak sumber terbuka sehubungan dengan serangan rantai pasokan baru-baru ini.

Selengkapnya: ZDNet

Bagaimana serangan phishing yang berhasil dapat merugikan organisasi Anda

by

Serangan phishing tampak seperti taktik yang relatif sederhana di pihak penjahat siber. Namun, di sisi penerima, kampanye phishing yang berhasil dapat merusak organisasi dengan lebih dari satu cara.

Sebuah laporan yang dirilis pada hari Minggu oleh penyedia keamanan Proofpoint melihat dampak serangan phishing dan menawarkan tip tentang cara melawannya.

Tahun 2020 terlihat sedikit peningkatan serangan phishing di antara pelanggan Proofpoint. Sekitar 57% mengatakan organisasi mereka terkena serangan yang sukses tahun lalu, naik dari 55% pada 2019. Lebih dari 75% responden mengatakan mereka menghadapi serangan phishing berbasis luas – baik yang berhasil maupun yang tidak – pada tahun 2020.

Serangan phishing yang berhasil dapat memengaruhi organisasi dalam beberapa cara. Kehilangan data adalah efek samping terbesar, dikutip oleh rata-rata 60% di antara mereka yang disurvei.

Akun atau kredensial yang disusupi adalah pengaruh terbesar kedua, yang disebutkan oleh 52% responden. Hasil tambahan dari serangan phishing termasuk infeksi ransomware sebanyak 47%, infeksi malware lainnya sebesar 29%, dan kerugian finansial atau penipuan transfer bank sebesar 18%.

Untuk membantu organisasi dan karyawan Anda menggagalkan kampanye phishing, Proofpoint menawarkan berbagai saran yang dapat Anda lihat disini.

Sumber: Tech Republic