Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Software / Application

Software / Application

Penelitian Menunjukkan Alat Keamanan Data Gagal Melawan Ransomware 60%

by

Hari ini, penyedia keamanan data, Titaniam Inc., merilis State of Data Exfiltration & Extortion Report, yang mengungkapkan bahwa meskipun lebih dari 70% organisasi memiliki serangkaian solusi pencegahan, deteksi, dan pemulihan, hampir 40% telah terkena serangan ransomware dalam setahun terakhir.

Temuan menunjukkan bahwa alat keamanan data tradisional, seperti alat pencadangan dan pemulihan yang aman, solusi yang menawarkan enkripsi saat istirahat dan dalam perjalanan, tokenisasi dan penyembunyian data, gagal melindungi data perusahaan dari ancaman ransomware sebanyak 60%.

Di atas segalanya, penelitian ini menyoroti bahwa organisasi tidak dapat bergantung pada alat keamanan data tradisional saja untuk bertahan melawan eksfiltrasi data dan serangan ransomware pemerasan ganda, mereka harus dapat mengenkripsi data yang sedang digunakan untuk menghentikan pelaku jahat di jalur mereka.

Masalah dengan alat keamanan data tradisional

Masalah dengan alat keamanan data tradisional bukan karena mereka tidak memiliki langkah-langkah keamanan yang kuat, tetapi penyerang dapat menghindari kontrol ini dengan mencuri kredensial untuk mendapatkan akses istimewa ke aset data penting.

“Dalam skenario ini, saat penyerang bergerak melalui jaringan, mereka dapat menggunakan kredensial mereka untuk mendekripsi, mendetokenisasi, dan membuka kedok data seperti yang dilakukan pengguna atau administrator yang sah saat mereka melakukan pekerjaan sehari-hari. Setelah data didekripsi, penyerang mengekstraknya dan menggunakannya sebagai pengungkit untuk pemerasan,” kata Raman.

Satu-satunya cara untuk bertahan melawan intrusi khas serangan ransomware modern adalah bagi organisasi untuk menyebarkan solusi keamanan data dengan enkripsi yang sedang digunakan. Enkripsi sedang digunakan dapat membantu mengaburkan data sehingga tidak dapat dieksfiltrasi oleh penyerang yang telah memperoleh akses istimewa ke sumber daya perusahaan.

Pasar enkripsi data

Kebutuhan akan perlindungan data yang ditingkatkan telah berkontribusi pada pertumbuhan yang signifikan di pasar enkripsi data, yang menurut peneliti bernilai $9,43 miliar pada tahun 2020 dan diperkirakan akan mencapai nilai $42,3 miliar pada tahun 2030, karena lebih banyak organisasi berusaha untuk mencegah pengguna yang tidak sah.

Sumber: VentureBeat

Peretas Tiongkok Mendistribusikan Alat Pengebom SMS dengan Malware Tersembunyi Di Dalam

by

Tropic Trooper telah terlihat menggunakan malware yang sebelumnya tidak terdokumentasi yang dikodekan dalam bahasa Nim untuk menyerang target sebagai bagian dari kampanye yang baru ditemukan.

Muatan baru, dijuluki Nimbda, “dibundel dengan alat ‘SMS Bomber’ greyware berbahasa China yang kemungkinan besar didistribusikan secara ilegal di web berbahasa China,” kata perusahaan keamanan siber Israel Check Point dalam sebuah laporan.

SMS Bomber, seperti namanya, memungkinkan pengguna untuk memasukkan nomor telepon (bukan milik mereka sendiri) untuk membanjiri perangkat korban dengan pesan dan berpotensi membuatnya tidak dapat digunakan dalam serangan denial-of-service (DoS).

Fakta bahwa biner berfungsi ganda sebagai Pengebom SMS dan pintu belakang menunjukkan bahwa serangan tidak hanya ditujukan pada mereka yang merupakan pengguna alat, tetapi juga sangat ditargetkan di alam liar.

Tropic Trooper, juga dikenal dengan sebutan Earth Centaur, KeyBoy, dan Pirate Panda, memiliki rekam jejak menyerang target yang berlokasi di Taiwan, Hong Kong, dan Filipina, terutama berfokus pada pemerintah, perawatan kesehatan, transportasi, dan industri teknologi tinggi.

Trend Micro tahun lalu menunjukkan kemampuan grup untuk mengembangkan TTP agar tetap berada di bawah radar dan mengandalkan berbagai alat khusus untuk mengkompromikan targetnya.

Biner yang diambil adalah versi upgrade dari trojan bernama Yahoyah yang dirancang untuk mengumpulkan informasi tentang jaringan nirkabel lokal di sekitar mesin korban serta metadata sistem lainnya dan mengekstrak detailnya kembali ke server command-and-control (C2).

Yahoyah juga bertindak sebagai saluran untuk mengambil malware tahap akhir, yang diunduh dalam bentuk gambar dari server C2. Payload yang dikodekan secara steganografi adalah pintu belakang yang dikenal sebagai TClient dan telah digunakan oleh grup dalam kampanye sebelumnya

“Biasanya, ketika alat pihak ketiga jinak (atau tampak jinak) dipilih sendiri untuk dimasukkan ke dalam rantai infeksi, mereka dipilih untuk menjadi yang paling tidak mencolok; pilihan alat ‘SMS Bomber’ untuk tujuan ini adalah meresahkan, dan menceritakan keseluruhan cerita saat seseorang berani memperkirakan motif dan korban yang dituju.”

Sumber: The Hacker News

Peretas SideWinder menanam aplikasi VPN Android palsu di Google Play Store

by

Kampanye phishing yang dikaitkan dengan aktor ancaman tingkat lanjut bernama SideWinder melibatkan aplikasi VPN palsu untuk perangkat Android yang dipublikasikan di Google Play Store bersama dengan alat khusus yang memfilter korban untuk penargetan yang lebih baik.

SideWinder adalah grup APT yang sudah aktif setidaknya sejak 2012, diyakini sebagai aktor asal India dengan tingkat kecanggihan yang relatif tinggi.

Peneliti keamanan di Kaspersky mengaitkan hampir 1.000 serangan dengan kelompok ini dalam dua tahun terakhir. Di antara target utamanya adalah organisasi di Pakistan, Cina, Nepal, dan Afghanistan.

Musuh mengandalkan infrastruktur yang cukup besar yang mencakup lebih dari 92 alamat IP, terutama untuk serangan phishing, menampung ratusan domain dan subdomain yang digunakan sebagai server perintah dan kontrol.

Infrastruktur grup APT SideWinder, sumber: Group-IB

Kampanye phishing baru-baru ini yang dikaitkan dengan SideWinder (alias RattleSnake, Razor Tiger, T-APT-04, APT-C-17, Hardcore Nationalist) menargetkan organisasi di Pakistan baik di sektor publik maupun swasta.

Para peneliti di perusahaan keamanan siber Group-IB awal tahun ini mendeteksi dokumen phishing yang memikat para korban dengan dokumen yang mengusulkan “diskusi formal tentang dampak penarikan AS dari Afghanistan terhadap keamanan maritim.”

Umpan yang digunakan oleh grup APT SideWinder dalam kampanye phishing, sumber: Group-IB

Dalam laporan yang dibagikan dengan BleepingComputer, Group-IB mengatakan bahwa SideWinder juga telah diamati di situs web pemerintah yang mengkloning sebelumnya (misalnya portal pemerintah di Sri Lanka) untuk mencuri kredensial pengguna.

Kampanye phishing baru-baru ini juga menggunakan metode ini terhadap target, karena aktor tersebut membuat beberapa situs web yang meniru domain sah pemerintah Pakistan:
Selengkapnya

Selama penyelidikan, para peneliti menemukan tautan phishing yang dialihkan ke domain sah “securevpn.com.” Tujuannya masih belum jelas, tetapi bisa jadi untuk memilih target yang menarik dan mengarahkan mereka ke situs jahat.

Tautan lain yang ditemukan oleh Group-IB diunduh dari Google Play, toko aplikasi Android resmi, versi palsu dari aplikasi ‘VPN Aman’, yang masih ada di Google Play pada saat penulisan dan memiliki lebih dari 10 unduhan.

Aplikasi VPN Aman Palsu di Google Play yang digunakan oleh SiderWinder APT dalam kampanye phishing, sumber: BleepingComputer

Para peneliti mencatat bahwa deskripsi yang tersedia untuk aplikasi Secure VPN palsu SideWinder telah disalin dari aplikasi NordVPN yang sah.

Saat runtime, aplikasi Secure VPN palsu membuat beberapa permintaan ke dua domain yang kemungkinan dimiliki oleh penyerang tetapi ini tidak tersedia selama penyelidikan dan permintaan ke direktori root dialihkan ke domain NordVPN yang sah.

Sayangnya, para peneliti tidak dapat mengkonfirmasi tujuan dari aplikasi VPN palsu atau apakah itu berbahaya atau tidak. Namun, SideWinder telah menggunakan aplikasi palsu di Google Play di masa lalu, seperti yang ditunjukkan oleh penelitian sebelumnya dari Trend Micro.

Daftar tindakan yang dapat dilakukan oleh aplikasi palsu sebelumnya dari SideWinder untuk mengumpulkan dan mengirim ke perintah dan mengontrol informasi server seperti:
Selengkapnya

aplikasi mereka mampu mengumpulkan sejumlah parameter pada host yang ditargetkan dan mengirim informasi kembali ke C2 mereka. Parameter tersebut meliputi: Lokasi, Status baterai, File di perangkat, Daftar aplikasi yang diinstal, Informasi perangkat, Informasi sensor, Informasi kamera, Tangkapan layar, Akun, informasi Wifi, Data WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail, dan Chrome .

Group-IB juga menemukan bahwa musuh menggunakan alat khusus yang baru saja ditambahkan ke gudang senjata mereka, dilacak secara internal oleh Group-IB sebagai SideWinder.AntiBot.Script.

Jika skrip mendeteksi pengunjung dari IP di Pakistan, skrip akan dialihkan ke lokasi berbahaya. Parameter berikut diperiksa untuk menentukan apakah pengunjung merupakan target potensial atau tidak:

  • Posisi geografis
  • Versi sistem operasi
  • Data tentang agen pengguna
  • Pengaturan bahasa sistem

Itu juga dapat menentukan jumlah prosesor logis pada sistem dan kartu video yang digunakan oleh host, serta mengakses wadah kredensial di browser web, yang dapat mengembalikan kata sandi yang disimpan.

Memeriksa kartu video kemungkinan akan menentukan apakah host digunakan untuk tujuan analisis malware, karena dibandingkan dengan ukuran layar perangkat.

Fungsi lain dalam skrip, yang paling signifikan, digunakan untuk menyajikan file berbahaya dan untuk mengarahkan target non-minat ke sumber daya yang sah.

Sumber: Bleeping Computer

Microsoft Teams di Windows 11 diretas pada hari pertama Pwn2Own

by

Selama hari pertama Pwn2Own Vancouver 2022, kontestan memenangkan $800.000 setelah berhasil mengeksploitasi 16 bug zero-day untuk meretas beberapa produk, termasuk sistem operasi Microsoft Windows 11 dan platform komunikasi Teams.

Yang pertama jatuh adalah Microsoft Teams dalam kategori komunikasi perusahaan setelah Hector Peralta mengeksploitasi cacat konfigurasi yang tidak tepat.

Tim STAR Labs (Billy Jheng Bing-Jhong, Muhammad Alifa Ramdhan, dan Nguyễn Hoàng Thạch) juga mendemonstrasikan rantai eksploitasi tanpa klik dari 2 bug (injeksi dan penulisan file arbitrer).

Microsoft Teams diretas untuk ketiga kalinya oleh Masato Kinugawa, yang mengeksploitasi rantai 3-bug dari injeksi, kesalahan konfigurasi, dan pelarian sandbox.

Masing-masing dari mereka memperoleh $150.000 karena berhasil mendemonstrasikan tim Microsoft mereka zero-days.

STAR Labs juga mendapatkan tambahan $40.000 setelah meningkatkan hak istimewa pada sistem yang menjalankan Windows 11 menggunakan kelemahan Use-After-Free dan tambahan $40.000 dengan mencapai eskalasi hak istimewa di Oracle Virtualbox.

Setelah kerentanan keamanan ditunjukkan dan diungkapkan selama Pwn2Own, vendor perangkat lunak dan perangkat keras memiliki waktu 90 hari untuk mengembangkan dan merilis perbaikan keamanan untuk semua kelemahan yang dilaporkan.

Selama kontes Pwn2Own Vancouver 2022, peneliti keamanan akan menargetkan produk di browser web, virtualisasi, Peningkatan Hak Istimewa Lokal, server, komunikasi perusahaan, dan kategori otomotif.

Sumber: BleepingComputer

Google Menyoroti Keamanan dengan Branding Baru “Dilindungi oleh Android”

by

Video baru yang diunggah hari ini di saluran YouTube resmi Android adalah tentang memberi tahu Anda bahwa Anda “Dilindungi oleh Android,” dengan gambar orang-orang yang bahagia di ponsel mereka dan slide berisi teks pendek yang meyakinkan di antaranya. Tidak ada yang baru diumumkan di sini dengan video hanya melalui beberapa fitur keamanan terkenal sistem operasi. Play Protect memastikan bahwa Anda “aman dari malware dan aplikasi berbahaya”, meskipun keseluruhan omongan tentang “pembaruan tanpa henti” sedikit datar ketika dukungan perangkat lunak sangat bervariasi tidak hanya antara pembuat perangkat, tetapi juga seri perangkat.

Video Kampanye Dilindungi oleh Android

Kami berharap melihat lebih banyak merek baru “Dilindungi oleh Android” bersama dengan logo perisai hijau untuk muncul di seluruh OS dan di tempat lain mulai sekarang.

Video diakhiri dengan memercikkan layar dengan URL rias yang pada akhirnya mengarahkan pengguna ke bagian Keamanan situs web Android di mana fitur-fitur yang ditampilkan dalam video dijelaskan sedikit lebih detail.

Semua ini adalah bagian dari upaya terbaru Google untuk memberi tahu Anda seberapa fokusnya (lupakan Apple) pada privasi dan keamanan. Jika Anda menginginkan bukti substantif, menurut kami pencabutan izin otomatis dari Android 11 adalah contoh yang bagus. Dan jika Anda tidak yakin akan hal itu, Android 13 akan memudahkan Anda untuk memahami dan mengontrol pengaturan Anda dengan kombinasi menu keamanan dan privasi.

Sumber: Android Police

India Maju dengan VPN yang Ketat dan Melanggar Aturan Pengungkapan

by Leave a Comment

India maju dengan aturan keamanan siber baru yang akan mengharuskan penyedia layanan cloud dan operator VPN untuk mempertahankan nama pelanggan mereka dan alamat IP mereka dan menyarankan perusahaan yang tidak patuh untuk menarik diri dari pasar internet terbesar kedua di dunia.

Tim Tanggap Darurat Komputer India mengklarifikasi (PDF) pada hari Rabu bahwa penyedia server pribadi virtual (VPS), penyedia layanan cloud, penyedia layanan VPN, penyedia layanan aset virtual, penyedia pertukaran aset virtual, penyedia dompet kustodian, dan organisasi pemerintah akan mengikuti arahan, yang disebut Cyber ​​Security Directions, yang mengharuskan mereka untuk menyimpan nama pelanggan, alamat email, alamat IP, mengetahui catatan pelanggan Anda, transaksi keuangan untuk jangka waktu lima tahun.

Aturan baru yang diresmikan akhir bulan lalu dan mulai berlaku akhir Juni, tidak akan berlaku untuk VPN perusahaan.

New Delhi juga tidak melonggarkan aturan baru yang mengamanatkan perusahaan untuk melaporkan insiden penyimpangan keamanan seperti pelanggaran data dalam waktu enam jam setelah mengetahui kasus tersebut.

Rajeev Chandrasekhar, menteri TI junior India, mengatakan kepada wartawan pada hari Rabu bahwa India “sangat murah hati” dalam memberi perusahaan waktu enam jam untuk melaporkan insiden keamanan, menunjuk ke negara-negara seperti Indonesia dan Singapura yang menurutnya memiliki persyaratan yang lebih ketat.

“Jika Anda melihat prioritas di seluruh dunia — dan memahami bahwa keamanan siber adalah masalah yang sangat kompleks, di mana kesadaran situasional dari berbagai insiden memungkinkan kita untuk memahami kekuatan yang lebih besar di baliknya — melaporkan secara akurat, tepat waktu, dan wajib adalah bagian yang sangat penting. kemampuan CERT dan pemerintah untuk memastikan internet selalu aman,” ujarnya.

Beberapa penyedia VPN telah menyatakan kekhawatirannya tentang aturan keamanan siber baru India. NordVPN, salah satu operator VPN paling populer, sebelumnya mengatakan bahwa ia dapat menghapus layanannya dari India jika “tidak ada opsi lain yang tersisa.”

Penyedia layanan lain, termasuk ExpressVPN dan ProtonVPN, juga menyampaikan keprihatinan mereka. “Peraturan VPN India yang baru merupakan serangan terhadap privasi dan mengancam akan menempatkan warga di bawah pengawasan mikroskop. Kami tetap berkomitmen pada kebijakan larangan masuk kami,” kata ProtonVPN.

Chandrasekhar mengatakan bahwa penyedia VPN yang ingin menyembunyikan siapa yang menggunakan layanan mereka “harus keluar.” Dia juga mengatakan bahwa tidak akan ada konsultasi publik tentang aturan ini.

Awal bulan ini, kelompok advokasi hak digital yang berbasis di New Delhi, Internet Freedom Foundation, mengatakan arahan baru itu tidak jelas dan merusak privasi pengguna dan keamanan informasi, “bertentangan dengan mandat CERT.”

Di sisi lain, banyak yang membenarkan alasan di balik beberapa perubahan.

Toko grosir online India milik Tata, BigBasket, misalnya, mengalami dugaan pelanggaran data yang menumpahkan nama, alamat, dan nomor telepon sekitar 20 juta pengguna pada akhir 2020. Banyak pengguna mengonfirmasi bahwa data yang beredar memang tampak asli karena dalam banyak kasus mereka dapat menemukan detail mereka sendiri di data dump. BigBasket tetap bungkam tentang masalah ini.

Sumber: TechCrunch

Microsoft Meluncurkan Layanan Keamanan Siber untuk Membantu Klien Melawan Ransomware dan Serangan Lainnya

by

Bisnis keamanan Microsoft tumbuh lebih cepat daripada produk utamanya, dan sekarang perusahaan menambahkan bobot pada penawarannya dengan tiga layanan baru yang dirancang untuk membantu organisasi mengenali dan merespons insiden keamanan siber.

Microsoft adalah salah satu pemimpin dalam perangkat lunak dan infrastruktur cloud, yang berarti teknologinya telah menjadi tulang punggung bagi banyak bisnis dari semua ukuran. Itu menempatkan perusahaan dalam posisi untuk tidak hanya menyediakan perangkat lunak keamanan untuk basis kliennya, tetapi juga menawarkan layanan berorientasi konsultasi di pasar di mana permintaan jauh melebihi pasokan.

Investasi tersebut datang ketika organisasi meningkatkan pengeluaran keamanan mereka untuk mengelola peningkatan ancaman serangan ransomware dan peretasan jaringan. Tahun lalu, Microsoft dan perusahaan teknologi lainnya berjanji untuk membantu mengisi sekitar 500.000 pekerjaan keamanan siber di AS, dan CEO Microsoft Satya Nadella mengatakan pengeluaran penelitian dan pengembangan tahunan dalam keamanan siber akan melonjak menjadi $4 miliar dari $1 miliar.

Vasu Jakkal, wakil presiden perusahaan Microsoft yang berfokus pada keamanan, mengatakan kepada CNBC bahwa sebagian besar pengeluaran tambahan Microsoft adalah untuk orang.

“Kami hanya memperluas skala layanan karena tuntutan yang kami lihat,” kata Jakkal.

Di antara produk baru yang diluncurkan adalah Microsoft Defender Experts for Hunting. Ini akan melibatkan teknisi Microsoft yang menandai masalah yang mereka temukan di perangkat klien, instalasi perangkat lunak produktivitas Office 365, aplikasi cloud, dan program identitas, dengan biaya $3 per orang per bulan. Peluncuran ini akan menempatkan Microsoft dalam persaingan yang lebih langsung dengan perusahaan perangkat lunak keamanan murni seperti CrowdStrike.

Ada juga Microsoft Defender Experts untuk XDR, dengan biaya $14 per orang per bulan. Ini adalah layanan padat karya yang menugaskan karyawan Microsoft untuk membantu perusahaan mengambil tindakan terhadap ancaman. Jenis pekerjaan itu dilakukan oleh berbagai perusahaan saat ini, termasuk kantor akuntan empat besar.

Penawaran baru ketiga adalah Layanan Keamanan Microsoft untuk Perusahaan, yang mencakup serangkaian layanan berbasis orang yang lebih luas lagi.

Sumber: CNBC

Penggunaan VPN meroket di Rusia selama invasi Ukraina

by

Warga Rusia beralih ke jaringan pribadi virtual (VPN) berbondong-bondong dalam upaya untuk memotong pelaporan media yang dikendalikan negara tentang invasi ke negara tetangga Ukraina, kata laporan berita.

VPN – yang menyembunyikan identitas dan lokasi pengguna – diunduh di Rusia sebanyak ratusan ribu sehari setelah otoritas Rusia melancarkan tindakan keras terhadap media apa pun yang tidak mengikuti garis resmi perang, menurut The Washington Post.

Jutaan orang Rusia sekarang mendapatkan akses ke informasi di luar negeri dengan bantuan VPN, yang dapat menimbulkan masalah bagi pemerintah Presiden Rusia Vladimir Putin karena serangan terhadap Ukraina – yang digambarkan sebagai “operasi militer khusus” – mendekati bulan ketiga.

Lebih dari 1.000 situs internet telah dibatasi oleh otoritas Rusia – termasuk Facebook, Instagram, dan BBC News – sejak konflik dimulai, menurut survei oleh pelacak teknologi VPN.

“Kami tidak tahu apa yang terjadi di sekitar kami,” kata seorang pria bernama Konstantin seperti dikutip The Post. “Banyak orang di Rusia hanya menonton TV dan makan apa pun yang diberikan pemerintah kepada mereka. Aku ingin mencari tahu apa yang sebenarnya terjadi.”

Unduhan harian di Rusia dari 10 VPN paling populer melonjak dari sekitar 15.000 sebelum perang menjadi 475.000 pada bulan Maret, dan berlanjut dengan kecepatan hampir 300.000 per hari minggu ini, menurut data yang dikumpulkan untuk Post oleh perusahaan analitik Apptopia.

Selengkapnya: Aljazeera