Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Akun Backdoor ditemukan di lebih dari 100.000 firewall Zyxel, gateway VPN

by

Lebih dari 100.000 firewall Zyxel, gateway VPN, dan pengontrol titik akses berisi akun backdoor tingkat admin yang di-hardcode yang dapat memberi penyerang akses root ke perangkat melalui antarmuka SSH atau panel administrasi web.

Akun backdoor, yang ditemukan oleh tim peneliti keamanan Belanda dari Eye Control, dianggap seburuk kerentanannya.

Pemilik perangkat disarankan untuk memperbarui sistem segera setelah waktu memungkinkan.

Ini termasuk lini produk Zyxel seperti:

  • seri Advanced Threat Protection (ATP) – digunakan terutama sebagai firewall
  • seri Unified Security Gateway (USG) – digunakan sebagai firewall hibrid dan gateway VPN
  • seri USG FLEX – digunakan sebagai firewall hibrid dan gateway VPN
  • seri VPN – digunakan sebagai gateway VPN
  • seri NXC – digunakan sebagai pengontrol titik akses WLAN

sumber : ZDNET

Malware Emotet menyerang Pusat Kesehatan Umum Nasional Lituania

by

Jaringan internal Pusat Kesehatan Masyarakat Nasional (NVSC) Lituania dan beberapa kota telah terinfeksi malware Emotet setelah kampanye besar-besaran yang menargetkan lembaga negara bagian.

“Ketika penerima yang terinfeksi membuka pesan yang terinfeksi, virus memasuki jaringan internal institusi,” kata pejabat NVSC dalam sebuah pernyataan yang diterbitkan hari ini.

“Komputer yang terinfeksi, setelah mengunduh file tambahan, mulai mengirim email palsu atau terlibat dalam jenis aktivitas berbahaya lainnya.”

Pejabat pemerintah Lithuania, perwakilan kementerian, dan ahli diagnostik epidemiologi yang sebelumnya telah dihubungi oleh spesialis NVSC melalui email semuanya telah menerima email yang terinfeksi Emotet dari sistem yang terinfeksi.

Sistem email NVSC telah ditutup sementara pada hari Selasa untuk menghentikan penyebaran virus lebih lanjut.

Spesialis teknologi informasi NVSC, bersama dengan para ahli dari Pusat Telekomunikasi Negara Bagian dan Pusat Keamanan Siber Nasional saat ini bekerja untuk membersihkan sistem yang terkena infeksi Emotet, serta memulihkan email NVSC dan memulihkan akses email.

Ini adalah kampanye Emotet besar kedua yang menargetkan Lituania tahun ini, yang sebelumnya terdeteksi oleh NKSC pada bulan Oktober.

NKSC menerbitkan sebuah laporan pada saat itu yang merekomendasikan target potensial (termasuk namun tidak terbatas pada lembaga negara dan perusahaan) untuk mengaktifkan dan mengkonfigurasi otentikasi email Sender Policy Framework (SPF) dengan benar.

Sumber: Bleeping Computer

Data breach T-Mobile mengeskpos nomor telepon serta catatan panggilan

by

T-Mobile telah mengumumkan pelanggaran data yang mengekspos informasi jaringan milik pelanggan (CPNI), termasuk nomor telepon dan catatan panggilan.

Mulai kemarin, T-Mobile mulai mengirim pesan kepada pelanggan nya bahwa “insiden keamanan” membongkar informasi akun mereka.

Menurut T-Mobile, tim keamanannya baru-baru ini menemukan “akses tidak sah dan berbahaya” ke sistem mereka. Setelah membawa firma keamanan siber untuk melakukan penyelidikan, T-Mobile menemukan bahwa pelaku ancaman memperoleh akses ke informasi telekomunikasi yang dihasilkan oleh pelanggan, yang dikenal sebagai CPNI.

Informasi yang terungkap dalam pelanggaran ini termasuk nomor telepon, catatan panggilan, dan jumlah saluran pada akun.

T-Mobile menyatakan bahwa pelanggaran data ini tidak mengungkap nama pemegang akun, alamat fisik, alamat email, data keuangan, informasi kartu kredit, nomor jaminan sosial, ID pajak, kata sandi, atau PIN.

Dalam sebuah pernyataan kepada BleepingComputer, T-Mobile menyatakan bahwa pelanggaran ini mempengaruhi “sejumlah kecil pelanggan (kurang dari 0,2%)”. T-Mobile memiliki sekitar 100 juta pelanggan, yang setara dengan sekitar 200.000 orang yang terkena dampak pelanggaran ini.

Sumber: Bleeping Computer

Worm baru mengubah server Windows, Linux menjadi penambang Monero

by

Sebuah Malware berbasis Golang yang baru ditemukan dan menyebar sendiri telah secara aktif menjatuhkan penambang cryptocurrency XMRig di server Windows dan Linux sejak awal Desember.

Malware multi-platform ini juga memiliki kemampuan worm yang memungkinkannya menyebar ke sistem lain dengan melakukan brute-forcing pada layanan publik (mis., MySQL, Tomcat, Jenkins, dan WebLogic) dengan sandi yang lemah seperti yang diungkapkan oleh peneliti keamanan Intezer Avigayil Mechtinger.

Para penyerang di balik kampanye ini telah secara aktif memperbarui kemampuan worm melalui server command-and-control (C2) sejak pertama kali terlihat yang mengisyaratkan malware yang dipelihara secara aktif.

Server C2 digunakan untuk meng-host skrip bash atau PowerShell dropper (tergantung pada platform yang ditargetkan), worm berbasis Golang, dan penambang XMRig dikerahkan untuk secara diam-diam menambang cryptocurrency Monero yang tidak dapat dilacak pada perangkat yang terinfeksi.

Malware secara otomatis akan mati sendiri jika mendeteksi bahwa sistem yang terinfeksi mendengarkan pada port 52013. Jika port tersebut tidak digunakan, worm akan membuka soket jaringannya sendiri.

Sumber: BleepingComputer

Untuk bertahan dari serangan brute force yang diluncurkan oleh worm multi-platform baru ini, Anda harus membatasi login dan menggunakan sandi yang sulit ditebak pada semua layanan yang terpapar Internet, serta otentikasi dua faktor jika memungkinkan.

Sumber: Bleeping Computer

Peretas negara Korea Utara meretas entitas penelitian COVID-19

by

Peretas negara Korea Utara yang dilacak sebagai Lazarus Group baru-baru ini membobol organisasi yang terlibat dalam penelitian dan pengembangan vaksin COVID-19.

Untuk melakukan itu, mereka menyusup ke jaringan perusahaan farmasi dan kementerian kesehatan pemerintah pada bulan September dan Oktober.

Setelah menyusup ke jaringan mereka, peretas negara bagian Korea Utara menyebarkan Bookcode (secara eksklusif digunakan oleh Lazarus) dan malware wAgent dengan kemampuan backdoor.

Sumber: BleepingComputer

Dalam serangan yang terjadi pada 27 Oktober, malware wAgent memiliki “skema infeksi yang sama dengan malware yang digunakan oleh grup Lazarus sebelumnya dalam serangan terhadap bisnis cryptocurrency.”

Dalam serangan yang menargetkan perusahaan farmasi mulai 25 September, operator Lazarus menggunakan malware Bookcode untuk mengumpulkan informasi sistem, “registri sam dump yang berisi hash sandi”, dan info Active Directory.

Meskipun di masa lalu para peretas menyebarkan malware ini dalam serangan rantai pasokan dan melalui spearphishing, dalam hal ini vektor serangan tidak ditemukan.

Kaspersky tidak mengungkapkan identitas perusahaan farmasi yang dikompromikan dalam serangan ini, tetapi mereka mengatakan bahwa mereka terlibat dalam pengembangan vaksin COVID-19 dan juga “diberi wewenang untuk memproduksi dan mendistribusikan vaksin COVID-19”.

Sumber: Bleeping Computer

Whirlpool raksasa peralatan rumah tangga terkena serangan ransomware Nefilim

by

Whirlpool raksasa peralatan rumah tangga mengalami serangan ransomware oleh geng ransomware Nefilim yang mencuri data sebelum mengenkripsi perangkat.

Whirlpool adalah salah satu pembuat aplikasi rumah terbesar di dunia dengan peralatan di bawah namanya dan KitchenAid, Maytag, Brastemp, Consul, Hotpoint, Indesit, dan Bauknecht. Whirlpool mempekerjakan 77.000 orang di 59 pusat penelitian manufaktur & teknologi di seluruh dunia dan menghasilkan pendapatan sekitar $20 miliar untuk tahun 2019.

Selama akhir pekan, geng ransomware Nefilim menerbitkan file yang dicuri dari Whirlpool selama serangan ransomware. Data yang bocor termasuk dokumen terkait tunjangan karyawan, permintaan akomodasi, permintaan informasi medis, pemeriksaan latar belakang, dan banyak lagi.

Sumber: BleepingComputer

Sebuah sumber di industri keamanan siber mengatakan kepada BleepingComputer bahwa geng ransomware Nefilim menyerang Whirlpool pada akhir pekan pertama bulan Desember.

Sumber: BleepingComputer

Nefilim bukanlah operasi ransomware yang sangat aktif tetapi dikenal karena serangan terhadap korban besar dan terkenal lainnya di masa lalu. Korban lain yang diserang oleh Nefilim termasuk Orange S.A., Dussman Group, Luxottica, dan Toll Group.

Sumber: Bleeping Computer

Situs ‘WeLeakInfo’: Polisi Inggris Menangkap 21 Orang yang Diduga adalah Pengguna

by

Badan Kejahatan Nasional Inggris mengatakan 21 orang telah ditangkap karena dicurigai membeli informasi identitas pribadi dari situs WeLeakInfo. Pihak berwenang mengatakan situs tersebut menyediakan akses ke lebih dari 12 miliar catatan pribadi yang diambil dari 10.000 pelanggaran data.

Penangkapan, yang berlangsung selama lima minggu mulai bulan November, adalah bagian dari penyelidikan yang sedang berlangsung yang berasal dari penyitaan situs WeLeakInfo pada bulan Januari oleh lembaga penegak hukum dari AS, Inggris, dan Uni Eropa.

Selama beroperasi, domain WeLeakInfo mengembangkan reputasi untuk menjual nama, alamat email, nama pengguna, nomor telepon, dan kata sandi untuk akun online kepada penjahat, yang dapat membeli langganan hanya dengan $2 sehari, menurut Departemen Kehakiman AS (DOJ), yang membantu memfasilitasi penyitaan situs tersebut pada bulan Januari.

WeLeakInfo berfungsi sebagai database dan mesin pencari, mengindeks data yang dicuri untuk memudahkan pelanggan mencari melalui data yang dicuri, kata DOJ.

Para ahli mengatakan bahwa basis data terlalu sering membantu penjahat terlibat dalam apa yang disebut dengan serangan credential stuffing, di mana kredensial yang bocor dari pelanggaran satu situs dapat digunakan untuk mendapatkan akses ke situs lain.

21 orang yang ditangkap di Inggris diduga menggunakan situs WeLeakInfo untuk berbagai tujuan, termasuk pembelian dan penjualan alat siber berbahaya seperti Trojan akses jarak jauh, alias RAT, serta untuk membeli “cryptors”, yang dapat digunakan untuk mengaburkan kode di malware, menurut NCA.

Sumber: Data Breach Today

930.000 data Anak-Anak dalam Pelanggaran Data dari Yayasan Amal Bill & Melinda Gates, GetSchooled

by

Financial Times adalah yang pertama merilis berita (29 Desember 2020) mengenai pelanggaran data yang terjadi pada GetSchooled, sebuah badan amal yang didirikan oleh Bill & Melinda Gates Foundation yang bekerja sama dengan Viacom.

Pelanggaran ini terjadi saat GetSchooled (getschooled.com) membiarkan database mereka terbuka dan dapat diakses oleh siapa saja dengan browser dan koneksi internet.

Menurut TurgenSec, pelanggaran data tersebut berdampak pada 930 ribu individu, terdiri dari anak-anak (10-16 tahun), beberapa adalah dewasa muda, dan beberapa mahasiswa.

Informasi yang dibobol berisi detail pribadi ekstensif anak-anak, remaja, dan dewasa muda termasuk: alamat lengkap, sekolah, PII siswa lengkap termasuk nomor telepon dan email siswa, detail kelulusan, usia, jenis kelamin, dan banyak lagi.

Pelanggaran tersebut diungkapkan oleh TurgenSec (turgensec.com) kepada GetSchooled pada tanggal 18 November 2020 dan GetSchooled menutup pelanggaran pada tanggal 21 Desember, lebih dari sebulan kemudian.

Menurut Financial Times, Get Schooled membantah ukuran pelanggaran, dengan mengatakan bahwa hanya sekitar 250.000 akun dibiarkan terbuka. Mereka menambahkan bahwa di bawah sepertiga dari akun tersebut, sekitar 75.000, ditautkan ke alamat email yang tetap aktif. Diperkirakan sekitar 20.000 nomor telepon dan 12.000 alamat surat dapat diakses, tetapi tidak ada tanggal lahir atau rincian keuangan yang dimasukkan dalam database yang telah disusupi.

Sumber: Threat Technology