Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

519 pemberitahuan pelanggaran data termasuk 33 dari entitas pemerintah Australia

by

Entitas Australia yang dicakup oleh Privacy Act melaporkan 519 kasus pelanggaran data dalam enam bulan hingga Desember 2020, meningkat 5% dari paruh pertama tahun ini.

Pemberitahuan pelanggaran data ke Kantor Komisaris Informasi Australia (OAIC) menjadi wajib di bawah skema Notifiable Data Breaches (NDB) pada Februari 2018.

Sejak mandat tersebut, kesehatan telah menjadi sektor yang paling terpengaruh; Laporan terbaru tidak menunjukkan perubahan, dengan perhitungan kesehatan sebanyak 123 pemberitahuan, diikuti oleh bagian keuangan dengan 83 pemberitahuan. Pemerintah Australia memasuki lima sektor teratas untuk pertama kalinya, terhitung 6% dari total, dengan 33 pemberitahuan.

Menggali lebih dalam tentang kecerobohan pemerintah, kesalahan manusia adalah penyebab dari 29 dari total pemberitahuan sektor, dua berasal dari serangan jahat atau kriminal, satu dikaitkan dengan “insiden siber”, dan yang lainnya disebabkan rekayasa sosial/peniruan identitas.

“Insiden siber” dikonfirmasi sebagai serangan brute force pada entitas yang tidak disebutkan namanya.

Jenis kesalahan manusia yang paling umum disalahkan atas pemberitahuan pemerintah adalah informasi pribadi yang dikirim ke penerima yang salah. Kegagalan untuk menyunting adalah penyebab lima pemberitahuan.

Selengkapnya: ZDNet

Pihak berwenang berencana untuk menghapus Emotet secara massal dari host yang terinfeksi pada 25 April 2021

by

Petugas penegak hukum di Belanda sedang dalam proses mengirimkan pembaruan Emotet yang akan menghapus malware dari semua komputer yang terinfeksi pada 25 April 2021.

Pembaruan ini terjadi setelah lembaga penegak hukum dari delapan negara mengatur penghapusan terkoordinasi minggu ini untuk menyita server dan menangkap individu di belakang Emotet, yang dianggap sebagai botnet malware terbesar saat ini.

Sementara server terletak di beberapa negara, pejabat Belanda mengatakan bahwa dua dari tiga server komando dan kendali utama (C&C) Emotet terletak di dalam perbatasannya.

Pejabat polisi Belanda mengatakan bahwa mereka menggunakan akses mereka ke dua server penting ini untuk menyebarkan pembaruan Emotet yang di-boobytrap ke semua host yang terinfeksi.

Menurut laporan publik, juga dikonfirmasi oleh ZDNet dengan dua firma keamanan siber yang secara historis melacak operasi Emotet, pembaruan ini berisi kode seperti bom waktu yang akan menghapus malware Emotet pada 25 April 2021, pada pukul 12:00, waktu lokal setiap komputer.

Selengkapnya: ZDNet

Bot Telegram Menjual Info Pengguna Facebook yang Dicuri seharga $ 20 per Pop

by

Nomor telepon (dan ID situs terkait) dari sekitar 500 juta pengguna Facebook sekarang tampaknya dijual di forum kejahatan siber.

Penjahat atau sekelompok penjahat yang bertanggung jawab telah membangun bot Telegram untuk bertindak sebagai fungsi pencarian data.

Calon pembeli kini dapat menggunakan bot untuk menyaring data guna menemukan nomor telepon yang sesuai dengan ID pengguna — atau sebaliknya — dengan informasi lengkap dibuka kuncinya setelah membayar kueri “kredit”. Kredit tersebut mulai dari $20 untuk satu pencarian dan menjadi lebih murah jika dibeli dalam jumlah besar.

Aktivitas tersebut ditemukan oleh Alon Gal, salah satu pendiri dan CTO perusahaan keamanan siber Hudson Rock, yang memposting tentang skema tersebut di akun Twitter-nya, dan dilaporkan oleh Joseph Cox, di Motherboard.

Sumber: Gizmodo

TeamTNT Cloaks Malware Dengan Open-Source Tool

by

Alat penghindaran deteksi, libprocesshider, menyembunyikan malware TeamTNT dari program informasi proses.

Grup ancaman TeamTNT telah menambahkan alat penghindaran deteksi baru ke gudang senjatanya, membantu perangkat lunak perusak cryptomining oleh tim pertahanan.

Grup kejahatan dunia maya TeamTNT dikenal karena serangan berbasis cloud, termasuk menargetkan kredensial Amazon Web Services (AWS) untuk masuk ke cloud dan menggunakannya untuk menambang cryptocurrency Monero. Ini juga sebelumnya menargetkan instance cloud Docker dan Kubernetes.

Alat penghindaran deteksi baru, libprocesshider, disalin dari repositori sumber terbuka. Open-Source Tool, dari tahun 2014 telah ditempatkan di Github, dan dideskripsikan memiliki kemampuan untuk “menyembunyikan proses di Linux menggunakan prapemuat ld.”

Alat baru ini dikirimkan dalam skrip base64-encoded, tersembunyi di biner cryptominer TeamTNT, atau melalui bot Internet Relay Chat (IRC), yang disebut TNTbotinger, yang mampu melakukan serangan distributed denial of service (DDoS).

Dari waktu ke waktu, TeamTNT terlihat menyebarkan berbagai pembaruan pada malware cryptomining, termasuk pemuat memori baru yang ditemukan beberapa minggu yang lalu, yang didasarkan pada Ezuri dan ditulis dalam GOlang.

Pada bulan Agustus, worm cryptomining TeamTNT ditemukan menyebar melalui cloud AWS dan mengumpulkan kredensial. Kemudian, setelah jeda, grup TeamTNT kembali pada bulan September untuk menyerang instance cloud Docker dan Kubernetes dengan menyalahgunakan alat pemantauan cloud yang sah yang disebut Weave Scope.

selengkapnya :ThreatPost

ASIC melaporkan adanya server yang dibobol melalui kerentanan Accellion

by

Komisi Sekuritas dan Investasi Australia (ASIC) mengatakan salah satu servernya dibobol pada 15 Januari.

“Insiden ini terkait dengan perangkat lunak Accellion yang digunakan oleh ASIC untuk mentransfer file dan lampiran,” kata regulator perusahaan dalam pemberitahuan yang diposting pada malam sebelum hari libur.

“Ini melibatkan akses tidak sah ke server yang berisi dokumen yang terkait dengan aplikasi lisensi kredit Australia baru-baru ini.”

ASIC mengatakan sementara beberapa “informasi terbatas” telah dilihat, ASIC tidak melihat bukti bahwa formulir aplikasi telah diunduh atau dibuka. Regulator mengatakan akses ke server telah dinonaktifkan dan mereka sedang bekerja pada pengaturan lain.

“ASIC bekerja dengan Accellion dan telah memberi tahu agensi terkait serta pihak yang terkena dampak untuk menanggapi dan mengelola insiden tersebut.”

Selengkapnya: ZDNet

Otoritas AS dan Bulgaria mengganggu operasi ransomware NetWalker

by

Badan penegak hukum dari Bulgaria dan AS telah mengganggu infrastruktur NetWalker minggu ini, salah satu geng ransomware paling aktif tahun 2020.

Pejabat Bulgaria menyita server yang digunakan untuk menghosting portal web gelap untuk geng NetWalker, sementara pejabat di AS menuntut seorang warga negara Kanada yang diduga menghasilkan setidaknya $ 27,6 juta dari perusahaan yang menginfeksi dengan ransomware NetWalker.

Server yang disita digunakan untuk menghosting halaman tempat korban serangan NetWalker diarahkan untuk berkomunikasi dengan penyerang dan menegosiasikan tuntutan tebusan.

Server yang sama juga menjadi tuan rumah bagian blog tempat geng NetWalker membocorkan data yang mereka curi dari perusahaan yang diretas, dan yang menolak untuk membayar permintaan tebusan – sebagai bentuk balas dendam dan mempermalukan publik.

Rincian tentang warga negara Kanada yang didakwa hari ini belum tersedia selain nama dan tempat tinggalnya – Sebastien Vachon-Desjardins, dari Gatineau.

Vachon-Desjardins saat ini diyakini sebagai “afiliasi”, seseorang yang menyewa kode ransomware dari pencipta NetWalker.

Jenis bisnis ini disebut Ransomware-as-a-Service, atau RaaS, dan merupakan pengaturan umum yang digunakan oleh banyak geng ransomware saat ini.

Sebelum penghapusan hari ini, NetWalker beroperasi melalui topik yang diposting di beberapa forum bawah tanah oleh pengguna bernama Bugatti. Pengguna ini mengiklankan fitur ransomware dan mencari “mitra” (alias afiliasi) yang akan melanggar jaringan perusahaan, mencuri data untuk digunakan sebagai pengungkit selama negosiasi, dan menginstal ransomware untuk mengenkripsi file.

Jika korban membayar, Bugatti dan afiliasinya akan membagi pembayaran tebusan sesuai dengan perjanjian yang telah dinegosiasikan sebelumnya.

Menurut otoritas AS, NetWalker telah memengaruhi setidaknya 305 korban dari 27 negara berbeda, termasuk 203 di AS.

selengkapnya : ZDNET

Empat vendor keamanan mengungkapkan insiden terkait SolarWinds

by

Seperti yang diramalkan sebagian besar ahli bulan lalu, dampak dari serangan rantai pasokan SolarWinds semakin besar seiring berjalannya waktu, dan perusahaan memiliki waktu untuk mengaudit jaringan internal dan log DNS.

Minggu ini, empat vendor keamanan siber baru – Mimecast, Palo Alto Networks, Qualys, dan Fidelis – telah menambahkan nama mereka ke daftar perusahaan yang telah menginstal versi trojan dari aplikasi SolarWinds Orion.

Dua minggu lalu, Mimecast mengungkapkan pelanggaran keamanan besar di mana peretas membobol jaringannya dan menggunakan sertifikat digital yang digunakan oleh salah satu produk keamanannya untuk mengakses akun Microsoft 365 dari beberapa pelanggannya.

Dalam pembaruan di blognya, Mimecast mengatakan pihaknya menautkan insiden ini ke aplikasi SolarWinds Orion yang terinstal di jaringannya.

Vendor keamanan besar lainnya yang mengungkapkan insiden terkait SolarWinds adalah Palo Alto Networks, vendor perangkat lunak keamanan siber dan peralatan jaringan. Palo Alto Networks mengatakan mendeteksi dua insiden keamanan pada September dan Oktober 2020 yang terkait dengan perangkat lunak SolarWinds.

Laporan Forbes juga mengutip temuan Erik Hjelmvik, pendiri perusahaan keamanan jaringan Netresec, yang menerbitkan pada sebuah laporan hari Senin yang merinci 23 domain baru yang digunakan oleh peretas SolarWinds untuk menyebarkan muatan tahap kedua ke jaringan yang terinfeksi yang mereka anggap bernilai tinggi.

Dua dari 23 domain baru ini adalah “corp.qualys.com”, yang menunjukkan bahwa raksasa audit keamanan siber Qualys mungkin telah menjadi sasaran para penyerang.

Pengungkapan besar keempat dan terbaru datang dari Fidelis Cybersecurity dalam bentuk posting blog dari CISO perusahaan, Chris Kubic. Eksekutif Fidelis mengatakan bahwa mereka juga telah menginstal versi trojan dari aplikasi SolarWinds Orion pada Mei 2020 sebagai bagian dari “evaluasi perangkat lunak”.

Selengkapnya: ZDNet

Layanan cloud Google baru bertujuan untuk menghadirkan zero trust security ke web

by

Google telah mengumumkan ketersediaan umum BeyondCorp Enterprise, layanan keamanan baru dari Google Cloud berdasarkan prinsip merancang jaringan zero trust security.

Ketika perusahaan keamanan AS menerima peretasan rantai pasokan SolarWinds, Google dan Microsoft membicarakan kemampuan mereka di cloud dengan tidak adanya kepercayaan.

Microsoft minggu lalu mendesak pelanggan untuk mengadopsi “mentalitas tanpa kepercayaan” dan meninggalkan asumsi bahwa segala sesuatu di dalam jaringan TI aman dan sekarang Google telah meluncurkan layanan BeyondCorp Enterprise berdasarkan konsep yang sama.

“zero trust security mengasumsikan tidak ada kepercayaan implisit yang diberikan kepada aset atau akun pengguna hanya berdasarkan lokasi fisik atau jaringan mereka (yaitu, jaringan area lokal versus internet) atau berdasarkan kepemilikan aset (perusahaan atau milik pribadi),” jelas National Institute Standar dan Teknologi (NIST).

“Otentikasi dan otorisasi (baik subjek dan perangkat) adalah fungsi terpisah yang dilakukan sebelum sesi ke sumber daya perusahaan dibuat.”

selengkapnya :ZDNET