Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

QNAP Mundur Pada Cakupan Bug NAS Kritis

by

Dampak dari bug kritis yang awalnya diyakini dapat membuka 30.000 perangkat QNAP network-attached storage (NAS) untuk menyerang, kemungkinan besar dilebih-lebihkan. Para peneliti sekarang mengatakan bug injeksi kode arbitrer QNAP, dengan skor CVSS 9,8, menimbulkan sedikit ancaman bagi pengguna QNAP.

Para peneliti di Censys, yang melaporkan minggu lalu bahwa 98% perangkat QNAP (QTS 5.0.1 dan QuTS hero h5.0.1), mewakili lebih dari 30.000 instans yang sedang digunakan, tidak ditambal dan rentan terhadap serangan melalui internet. Censys sekarang memberi tahu SC Media bahwa karena QNAP kemungkinan gagal mengidentifikasi kisaran model NAS yang terpengaruh dengan benar, tidak ada perangkat perusahaan yang tampak rentan terhadap serangan melalui bug kritis (CVE-2022-27596).

Marc Light, wakil presiden ilmu data dan penelitian di Censys, mengatakan para peneliti membangun pengamatan mereka pada apa yang diposting QNAP di lampiran yang dikodekan JSON, bersama dengan penasehat NVD dari NIST.

Parkin menambahkan apapun yang terjadi dalam kasus ini, solusinya tidak berubah. Dia setuju dengan Censys bahwa perusahaan harus mengaktifkan fitur pembaruan otomatis. Parkin juga mengatakan perusahaan harus melakukan pemindaian kerentanan secara teratur, melakukan tes pena jika mereka mampu membayar biaya beberapa ribu dolar, dan mengikuti praktik terbaik.

“Yang saya maksud di sini adalah untuk perusahaan yang melakukan layanan media dan menjalankan transfer file agar tidak membuka fungsi admin ke internet publik,” kata Parkin. “Uji pena bisa bagus, tetapi sebagian besar bisnis kecil tidak memiliki sumber daya untuk membelinya.”

Penyimpanan yang terhubung ke jaringan QNAP cenderung digunakan oleh profesional TI dan pembuat konten serta profesional media di perusahaan dengan karyawan di bawah 1.000. Profesional TI menggunakan QNAP NAS untuk menambahkan lebih banyak penyimpanan atau mencadangkan server, dan profesional media menggunakan QNAP NAS untuk menyimpan dan memproses file video dan audio berukuran besar.

selengkapnya : scmagazine

Kegunaan ESXiArgs-Recover untuk memulihkan Virtual Machine Terserang Ransomware

by

ESXiArgs-Recover adalah alat untuk memungkinkan organisasi mencoba memulihkan virtual machine yang terkena serangan ransomware ESXiArgs.

CISA mengetahui bahwa beberapa organisasi telah melaporkan keberhasilan memulihkan file tanpa membayar uang tebusan. CISA menyusun alat ini berdasarkan sumber daya yang tersedia untuk umum, termasuk tutorial oleh Enes Sonmez dan Ahmet Aykac. Alat ini bekerja dengan merekonstruksi metadata virtual machine dari disk virtual yang tidak dienkripsi oleh malware. Untuk informasi selengkapnya, lihat Panduan Pemulihan virtual machine ESXiArgs Ransomware CISA.

disclaimer
Skrip ESXiArgs CISA didasarkan pada temuan yang diterbitkan oleh peneliti pihak ketiga yang disebutkan di atas. Setiap organisasi yang ingin menggunakan skrip pemulihan ESXiArgs CISA harus meninjau skrip dengan hati-hati untuk menentukan apakah skrip tersebut sesuai untuk lingkungan mereka sebelum menerapkannya. Skrip ini tidak berusaha untuk menghapus file konfigurasi terenkripsi, melainkan berusaha membuat file konfigurasi baru yang memungkinkan akses ke VM. Meskipun CISA bekerja untuk memastikan bahwa skrip seperti ini aman dan efektif, skrip ini dikirimkan tanpa jaminan, baik implisit maupun eksplisit. Jangan gunakan skrip ini tanpa memahami bagaimana hal itu dapat memengaruhi sistem Anda. CISA tidak bertanggung jawab atas kerusakan yang disebabkan oleh skrip ini.

Skrip ini disediakan “sebagaimana adanya” hanya untuk tujuan informasi. CISA tidak mendukung produk atau layanan komersial apa pun, termasuk subjek analisis apa pun. Referensi apa pun untuk produk, proses, atau layanan komersial tertentu oleh merek layanan, merek dagang, pabrikan, atau lainnya, bukan merupakan atau menyiratkan dukungan, rekomendasi, atau dukungan oleh CISA.

selengkapnya : github

Siswa Virginia Barat Kembali ke Kelas Setelah Pemadaman Selama Berhari-hari Setelah CyberAttack

by Leave a Comment

Hampir 20.000 siswa di Virginia Barat terpaksa bolos pada hari Senin karena serangan siber yang melumpuhkan sekolah mereka.

Berkeley County Schools mengatakan pada hari Jumat pihaknya mengalami pemadaman internet dan telepon pada hari Jumat dan menghabiskan akhir pekan untuk mengatasi masalah yang terkait dengan serangan dunia maya.

Inspektur Ronald Stephens menulis catatan kepada siswa dan orang tua yang mengatakan operasi TI di seluruh distrik dibatasi karena serangan dunia maya dan mencatat bahwa lembaga penegak hukum telah dihubungi.

Pada hari Minggu, Stephens mengonfirmasi bahwa kelas-kelas dibatalkan dan semua kegiatan sekolah akan ditunda.

Kelas akan dilanjutkan pada hari Selasa tetapi distrik tersebut masih bekerja untuk memulihkan sistem operasi dan menyelidiki serangan dunia maya, menurut pernyataan dari Berkeley County Schools pada Senin sore.

Berkeley County Schools adalah distrik sekolah terbesar kedua di West Virginia dan county – yang berjarak sekitar dua jam dari Washington DC – memiliki populasi sekitar 120.000.

Sekolah tidak menanggapi permintaan komentar tentang apakah mereka menderita serangan ransomware.

Orang tua mengungkapkan keprihatinannya kepada MetroNews karena sekolah membawa banyak informasi sensitif terkait perintah perlindungan anak dan data lain tentang kontak darurat.

Pihak sekolah mengatakan perangkat siswa tidak terpengaruh oleh serangan itu tetapi menjelaskan bahwa pertemuan Dewan Pendidikan yang dijadwalkan pada Senin tidak akan disiarkan lagi karena pemadaman teknologi.

CISA mengatakan jumlah insiden siber K-12 yang dilaporkan antara 2018 dan 2021 meningkat setiap tahun, dari 400 menjadi lebih dari 1.300. Pakar ransomware Emsisoft Brett Callow menjelaskan bahwa 45 distrik dengan 1.981 sekolah terkena dampak ransomware pada tahun 2022.

Serangan di Berkeley County Schools adalah insiden keenam yang dilaporkan pada tahun 2023.

selengkapnya : therecord.media

Geng Ransomware LockBit Mengklaim Serangan Cyber Royal Mail

by

Operasi ransomware LockBit telah mengklaim cyberattack pada layanan pengiriman surat terkemuka di Inggris, Royal Mail, yang memaksa perusahaan untuk menghentikan layanan pengiriman internasionalnya karena “gangguan layanan yang parah”

Ini terjadi setelah LockBitSupport, perwakilan publik geng ransomware, sebelumnya memberi tahu BleepingComputer bahwa grup cybercrime LockBit tidak menyerang Royal Mail.

Sebaliknya, mereka menyalahkan pelaku penyerabgan lain yang menggunakan pembuat ransomware LockBit 3.0 yang bocor di Twitter pada September 2022.

LockBitSupp gagal menjelaskan mengapa catatan tebusan Royal Mail yang dicetak yang dilihat oleh BleepingComputer menyertakan tautan ke situs negosiasi Tor dan kebocoran data LockBit daripada yang dioperasikan oleh aktor ancaman lain.

Lockbit Black ransom note printer during the attack on Royal Mail (Daniel Card)

Royal Mail belum mengakui bahwa itu berurusan dengan serangan ransomware yang kemungkinan dapat menyebabkan pelanggaran data karena operator ransomware LockBit dikenal mencuri data dan membocorkannya secara online jika permintaan tebusan mereka tidak dipenuhi.

Untuk saat ini, perusahaan tersebut masih menggambarkan serangan tersebut sebagai “insiden dunia maya” dan mengatakan bahwa mereka telah memulihkan beberapa layanan yang terkena dampak serangan tersebut.

sumber : bleepingcomputer

Tim Keamanan Siber, Berhati-hatilah: Dilema Pembela adalah Kebohongan

by

Hampir setiap profesional keamanan pernah mengalami “dilema pembela” dalam karir mereka. Bunyinya seperti ini: “Pembela harus benar setiap saat. Penyerang hanya perlu benar sekali.”

Hal bohong lainnya adalah gagasan bahwa penyerang memiliki semua keuntungan dan bahwa pembela harus pasif dan menunggu sesuatu untuk ditanggapi secara praktis merupakan aksioma keamanan dunia maya.

Mendasarkan strategi keamanan pada dilema pembela HAM akan membahayakan program keamanan. Berawal dari premis yang salah mengarah pada keputusan yang buruk.

Jika mempercayai kebohongan dari dilema pembela, maka ada kebohongan lain yang harus dipercayai juga karena dilema pembela bergantung padanya.

Berikut adalah beberapa kebohongan pembela, yaitu Pertahanan dan pelanggaran terpisah, Pembela harus bertugas 24/7, Pembela harus bermain adil, dan sebagainya.

Selengkapnya: Tech Chrunch+

Polisi Melakukan Penangkapan dan Menyita Obat-obatan Setelah Hack Aplikasi Perpesanan Terenkripsi Exclu

by

Polisi Eropa telah menutup layanan pesan terenkripsi yang digunakan oleh ribuan orang termasuk anggota kelompok kejahatan terorganisir.

Sebuah operasi gabungan yang dipimpin oleh polisi Belanda dan Jerman telah menyebabkan lebih dari 45 penangkapan menyusul penyelidikan multi-negara terhadap layanan pesan terenkripsi Exclu.

Polisi diam-diam membaca komunikasi yang didekripsi di aplikasi selama lima bulan sebelum meluncurkan penggerebekan terkoordinasi, menurut serangkaian pengumuman pada Senin 6 Februari 2023.

Exclu mengklaim di situs webnya untuk menawarkan “protokol enkripsi paling aman”, yang katanya telah diaudit oleh pakar kriptografi untuk memastikan mereka tidak mengandung kerentanan pintu belakang.

“Enkripsi end-to-end memastikan hanya Anda dan orang yang berkomunikasi dengan Anda yang dapat membaca apa yang dikirim, dan tidak ada orang di antaranya, bahkan Exclu,” klaimnya.

Pelanggan dapat membeli langganan enam bulan ke layanan tersebut, memungkinkan mereka untuk berbagi pesan teks, gambar, dan video, menurut pernyataan dari badan peradilan Eropa Eurojust.

“Aplikasi tersebut dipuji oleh pengguna karena tingkat keandalan dan layanannya yang tinggi,” katanya.

Layanan pesan terenkripsi memiliki 3.000 pengguna, termasuk 750 penutur bahasa Belanda.

selengkapnya : computerweekly

Eksploitasi dirilis untuk GoAnywhere MFT Zero-day yang Dieksploitasi Secara Aktif

by

Kode eksploit telah dirilis untuk kerentanan zero-day yang dieksploitasi secara aktif yang memengaruhi konsol administrator MFT GoAnywhere yang terpapar Internet.

GoAnywhere MFT adalah alat transfer file berbasis web dan terkelola yang dirancang untuk membantu organisasi mentransfer file secara aman dengan mitra dan menyimpan log audit siapa yang mengakses file bersama.

Pengembangnya adalah Fortra (sebelumnya dikenal sebagai HelpSystems), pakaian di balik alat emulasi ancaman Cobalt Strike yang banyak disalahgunakan.

Fortra mengatakan bahwa “vektor serangan eksploit ini memerlukan akses ke konsol administratif aplikasi, yang dalam banyak kasus hanya dapat diakses dari dalam jaringan perusahaan swasta, melalui VPN, atau dengan alamat IP yang diizinkan (ketika berjalan di cloud lingkungan, seperti Azure atau AWS).”

Namun, pemindaian Shodan menunjukkan bahwa hampir 1.000 instans GoAnywhere terekspos di Internet, meskipun lebih dari 140 berada di port 8000 dan 8001 (yang digunakan oleh konsol admin yang rentan).

Untuk menonaktifkan server lisensi, admin harus mengomentari atau menghapus servlet dan konfigurasi pemetaan servlet untuk Servlet Respons Lisensi di file web.xml untuk menonaktifkan titik akhir yang rentan. Restart diperlukan untuk menerapkan konfigurasi baru.

“Ini termasuk kata sandi dan kunci yang digunakan untuk mengakses sistem eksternal apa pun yang terintegrasi dengan GoAnywhere.

“Pastikan bahwa semua kredensial telah dicabut dari sistem eksternal tersebut dan tinjau log akses relevan yang terkait dengan sistem tersebut. Ini juga termasuk kata sandi dan kunci yang digunakan untuk mengenkripsi file di dalam sistem.”

Fortra juga merekomendasikan untuk mengambil langkah-langkah berikut setelah mitigasi di lingkungan dengan kecurigaan atau bukti adanya serangan:

  • Rotate Master Encryption Key.
  • Reset credentials – keys and/or passwords – for all external trading partners/systems.
  • Review audit logs dan delete semua suspicious admin and/or web user accounts
  • kontak support via the portal https://my.goanywhere.com/, email goanywhere.support@helpsystems.com, atau telephone 402-944-4242 for further assistance.

sumber : bleepingcomputer

Microsoft: Aktor Negara Iran Meretas Charlie Hebdo Prancis

by

Clint Watts, manajer umum Pusat Analisis Ancaman Digital Microsoft, mengatakan bahwa para hacker yang menyebut diri mereka ‘Jiwa Suci’ adalah perusahaan keamanan siber Iran Emennet Pasargad.

Pada hari Jumat, Microsoft telah mengidentifikasi aktor negara Iran sebagai orang-orang di balik serangan siber baru-baru ini.

Holy Souls mengumumkan bahwa mereka telah memperoleh informasi pribadi lebih dari 200.000 pelanggan Charlie Hebdo, dan menerbitkan sampel data sebagai bukti pada awal Januari.

Serangan siber terjadi setelah Charlie Hebdo menerbitkan kartun Pemimpin Tertinggi Iran Ayatollah Ali Khamenei dalam edisi khusus untuk memperingati serangan tahun 2015 di kantornya di Paris yang menewaskan 12 orang.

Iran mengeluarkan peringatan resmi kepada Prancis atas kartun yang menghina dan tidak senonoh.

Emennet Pasargad adalah majikan dari dua warga Iran, Mohammad Hosein Musa Kazemi dan Sajjad Kashian, yang didakwa oleh Departemen Kehakiman Amerika Serikat pada November 2021.

Mereka diduga melakukan kampanye dunia maya untuk mengintimidasi dan mempengaruhi pemilih Amerika, dan merusak kepercayaan pemilih dan menabur perselisihan selama pemilihan presiden AS 2020.

Peretas Charlie Hebdo, yang operasinya dijuluki “Neptunium” oleh Microsoft, menawarkan basis data pelanggan yang dicuri untuk dijual secara online seharga 20 bitcoin.

Selengkapnya: The New Arabt