Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

NCR sedang Menyelidiki Insiden Ransomware yang Menyebabkan Pemadaman POS

by

Raksasa pemrosesan pembayaran NCR mengungkapkan serangan ransomware akhir pekan ini yang menyebabkan pemadaman pada teknologi titik penjualannya yang digunakan secara luas oleh restoran.

NCR menemukan serangan ransomware saat pemadaman pusat data berdampak pada beberapa pelanggan mereka pada 13 April.

Insiden tersebut memengaruhi layanan Aloha perusahaan yang menyediakan restoran dengan sistem untuk mengelola perangkat keras tempat penjualan, pesanan online, alat pemasaran, dan lainnya.

Juru bicara menegaskan bahwa serangan ransomware telah mempengaruhi kemampuan beberapa restoran untuk mengelola fungsi administratif. Perusahaan sekarang bekerja untuk menciptakan alternatif bagi pelanggan tersebut dan memulihkan alat yang terkena dampak.

NCR merespon insiden ini dengan menghubungi pelanggan, memberlakukan protokol keamanan sibernya dan melibatkan pakar dari luar untuk mengatasi insiden tersebut dan memulai proses pemulihan.

Investigasi atas insiden tersebut termasuk pakar NCR, pakar keamanan dunia maya forensik eksternal, dan penegak hukum federal, ”kata seorang juru bicara.

Pada 15 April, pakar keamanan dunia maya Dominic Alvieri mengatakan grup ransomware BlackCat/AlphV mengambil pujian atas serangan tersebut, memposting perusahaan di situs kebocorannya.

Cuitan twitter pakar keamanan siber Dominic Alvieri mengenai grup ransomware BlackCat/AlphV
Cuitan twitter pakar keamanan siber Dominic Alvieri mengenai grup ransomware BlackCat

Grup tersebut berbagi pesan yang diduga antara perwakilan NCR dan peretas BlackCat, mengklaim bahwa meskipun tidak ada data yang dicuri selama serangan, mereka dapat mencuri kredensial yang digunakan pelanggan untuk mengakses sistem mereka.

Selengkapnya: The Record

Peneliti keamanan menemukan ransomware LockBit dapat menargetkan perangkat macOS

by

Salah satu geng ransomware paling terkenal tampaknya baru-baru ini mulai menargetkan komputer Mac untuk pertama kalinya. Dalam serangkaian tweet yang ditemukan oleh 9to5Mac, sekelompok peneliti keamanan yang dikenal sebagai MalwareHunterTeam mengatakan pada hari Sabtu bahwa mereka baru-baru ini menemukan bukti build ransomware Lockbit yang dirancang untuk mengkompromikan perangkat macOS.

Sejauh yang diketahui grup, pengumuman hari Sabtu menandai pemberitahuan publik pertama bahwa ransomware Lockbit dapat digunakan untuk melawan komputer Apple, meskipun tampaknya geng tersebut telah menawarkan kemampuan itu sejak musim gugur yang lalu.

“Saya pikir ini adalah pertama kalinya salah satu pemain ransomware utama membidik OS Apple,” kata analis keamanan Brett Callow, menunjuk pada pentingnya pengungkapan tersebut. Sebagai catatan 9to5Mac, geng LockBit secara historis berfokus pada Windows, Linux, dan mesin host virtual. Alasannya karena sistem operasi tersebut banyak digunakan oleh bisnis yang menjadi target mitra grup.

Bagi mereka yang tidak tahu, geng Lockbit menjalankan apa yang dikenal sebagai operasi “ransomware-as-a-service”. Grup tersebut tidak secara langsung melibatkan diri dalam bisnis pengambilan uang tebusan dari bisnis. Apa yang dilakukannya adalah membangun dan mempertahankan afiliasi malware yang dapat membayar untuk digunakan melawan organisasi.

Menurut dakwaan Departemen Kehakiman AS yang dibuka pada musim gugur lalu, LockBit adalah “salah satu varian ransomware paling aktif dan merusak di dunia.” Hingga akhir 2022, perangkat lunak tersebut telah menginfeksi sistem komputer dari setidaknya 1.000 korban, termasuk Hotel Holiday Inn di Turki.Diyakini mitra geng tersebut telah mengklaim puluhan juta dolar dari para korban.

Selengkapnya: engadget

Kerentanan Kritis dalam Produk Hikvision

by

Kerentanan tersebut dilacak sebagai CVE-2023-28808, telah dijelaskan oleh vendor sebagai masalah kontrol akses yang dapat dimanfaatkan untuk mendapatkan izin administrator dengan mengirimkan pesan yang dibuat khusus ke perangkat target.

Produk yang terpengaruh digunakan oleh organisasi untuk menyimpan data keamanan video, dan penyerang yang mengeksploitasi kerentanan dapat memperoleh akses ke data tersebut.

Dalam pemberitahuan yang dikirim oleh Hikvision kepada mitra – salinannya juga dibagikan dengan SecurityWeek – perusahaan mengatakan tidak mengetahui eksploitasi di alam liar.

“Meskipun Hikvision tidak mengetahui kerentanan ini dieksploitasi di lapangan, kami menyadari bahwa beberapa mitra kami mungkin telah memasang peralatan Hikvision yang terpengaruh oleh kerentanan ini dan kami sangat menganjurkan mereka untuk bekerja sama dengan pelanggan mereka untuk memasang tambalan dan memastikan perbaikan yang tepat. kebersihan dunia maya, ”perusahaan itu memberi tahu para mitra.

Hikvision mencatat dalam penasehatnya bahwa penyerang perlu memiliki akses jaringan ke perangkat yang ditargetkan untuk mengeksploitasi CVE-2023-28808.

Namun, Arko Dhar, CTO Redinent, perusahaan keamanan siber CCTV dan IoT yang berbasis di India yang dikreditkan untuk menemukan kerentanan tersebut, mengatakan kepada SecurityWeek bahwa banyak sistem yang terkena dampak terpapar ke internet dan eksploitasi jarak jauh dimungkinkan.

“Penyimpanan Hybrid SAN terutama dimaksudkan untuk menyimpan rekaman video CCTV. Tetapi juga dapat dikonfigurasi untuk menyimpan data bisnis. Dampaknya sangat luas – penyerang dapat menghapus rekaman video dan data bisnis pada saat yang sama, menghapus cadangan, dan menyebabkan dampak yang signifikan bagi bisnis,” Dhar memperingatkan.

Peneliti Redinent menemukan kerentanan tersebut pada akhir Desember 2022 dan cacat tersebut dilaporkan ke vendor melalui CERT India pada bulan Januari.

Hikvision mengumumkan pada 10 April bahwa patch disertakan dalam versi 2.3.8-8 untuk Hybrid SAN dan versi 1.1.4 untuk perangkat penyimpanan klaster. Vendor telah memberikan instruksi terperinci untuk menginstal pembaruan.

Selengkapnya: Security Week

Malware Android menyusup ke 60 aplikasi Google Play dengan 100 juta pemasangan

by

Malware Android baru bernama ‘Goldoson’ telah menyusup ke Google Play melalui 60 aplikasi resmi yang secara kolektif memiliki 100 juta unduhan.

Komponen malware jahat adalah bagian dari perpustakaan pihak ketiga yang digunakan oleh semua enam puluh aplikasi yang tanpa disadari pengembang ditambahkan ke aplikasi mereka.

Beberapa aplikasi yang terpengaruh adalah:

  • L.POINT with L.PAY
  • Swipe Brick Breaker
  • Money Manager Expense & Budget
  • GOM Player
  • LIVE Score, Real-Time Score
  • Pikicast
  • Compass 9: Smart Compass
  • GOM Audio – Music, Sync lyrics
  • LOTTE WORLD Magicpass
  • Infinite Slice
  • Bounce Brick Breaker
  • Korea Subway Info: Metroid
  • SomNote

Banyak aplikasi yang terpengaruh dibersihkan oleh pengembang mereka, yang menghapus perpustakaan yang melanggar, dan aplikasi yang tidak merespons tepat waktu dihapus dari Google Play karena tidak mematuhi kebijakan toko.

Google mengonfirmasi tindakan tersebut kepada BleepingComputer, menyatakan bahwa aplikasi tersebut melanggar kebijakan Google Play.

“Keamanan pengguna dan pengembang adalah inti dari Google Play. Saat kami menemukan aplikasi yang melanggar kebijakan kami, kami mengambil tindakan yang sesuai,” kata Google kepada BleepingComputer.

“Kami telah memberi tahu pengembang bahwa aplikasi mereka melanggar kebijakan Google Play dan perbaikan diperlukan agar sesuai.”

Pengguna yang memasang aplikasi yang terpengaruh dari Google Play dapat memulihkan risiko dengan menerapkan pembaruan terbaru yang tersedia.

Namun, Goldoson juga ada di toko aplikasi Android pihak ketiga, dan kemungkinan mereka masih menyimpan perpustakaan berbahaya itu tinggi.

selengkapnya : bleepingcomputer.com

Ransomware Vice Society menggunakan alat pencurian data PowerShell baru dalam serangan

by

Alat pencurian data baru ditemukan oleh Palo Alto Networks Unit 42 selama respons insiden pada awal 2023, saat responden memulihkan file bernama “w1.ps1” dari jaringan korban dan, lebih khusus lagi, direferensikan dalam ID Peristiwa 4104: Script Blokir acara Logging.

Skrip menggunakan PowerShell untuk mengotomatiskan eksfiltrasi data dan terdiri dari beberapa fungsi, termasuk Work(), Show(), CreateJobLocal(), dan fill().

Keempat fungsi ini digunakan untuk mengidentifikasi direktori potensial untuk eksfiltrasi, memproses grup direktori, dan akhirnya mengekstraksi data melalui permintaan HTTP POST ke server Vice Society.

Meskipun tampaknya ada beberapa fungsi otomatis dalam skrip untuk menentukan file apa yang dicuri, masih ada daftar pengecualian dan penyertaan master untuk membantu menyempurnakan file apa yang dicuri.

Misalnya, skrip tidak akan mencuri data dari folder yang namanya menyertakan string umum untuk cadangan, folder instalasi program, dan folder sistem operasi Windows.

Namun, ini secara khusus akan menargetkan folder yang berisi lebih dari 433 string dalam bahasa Inggris, Ceko, Jerman, Lituania, Luksemburg, Portugis, dan Polandia, menekankan bahasa Jerman dan Inggris.

Pada bulan Desember 2022, SentinelOne memperingatkan tentnag VIce Society yang telah beralih ke enkripsi file baru yang canggih yang dijuluki “PolyVice”, yang mungkin dipasok oleh pengembang kontrak yang juga menjual malware-nya ke ransomware Chilly dan SunnyDay.

Sayangnya,dengan pengadopsian alat yang canggih, Vice Society telah menjadi ancaman yang lebih besar bagi organisasi di seluruh dunia, memberikan lebih sedikit kesempatan bagi para pembela HAM untuk mendeteksi dan menghentikan serangan.

selengkapnya : bleepingcomputer.com

Linux kernel Logic Mengizinkan serangan Spectre pada ‘penyedia cloud utama’

by

Kerentanan Spectre yang menghantui pembuat perangkat keras dan perangkat lunak sejak 2018 terus menentang upaya untuk menguburnya.

Pada hari Kamis, Eduardo (sirdarckcat) Vela Nava, dari tim respons keamanan produk Google, mengungkapkan kelemahan terkait Spectre di versi 6.2 kernel Linux.

Bug, yang disebut tingkat keparahan sedang, awalnya dilaporkan ke penyedia layanan cloud – yang paling mungkin terpengaruh – pada 31 Desember 2022, dan ditambal di Linux pada 27 Februari 2023.

Pemburu bug yang mengidentifikasi masalah tersebut menemukan bahwa proses userspace Linux untuk bertahan melawan Spectre v2 tidak bekerja pada VM dari “setidaknya satu penyedia cloud utama”.

Seperti yang dijelaskan oleh pengungkapan, di bawah IBRS dasar, kernel 6.2 memiliki logika yang memilih keluar dari STIBP (Single Thread Indirect Branch Predictors), pertahanan terhadap pembagian prediksi cabang antara prosesor logis pada inti.

“Bit IBRS secara implisit melindungi dari injeksi target cabang lintas-utas,” laporan bug menjelaskan. “Namun, dengan IBRS lama, bit IBRS dihapus saat kembali ke ruang pengguna, karena alasan kinerja, yang menonaktifkan STIBP implisit dan membuat utas ruang pengguna rentan terhadap injeksi target cabang lintas-utas yang dilindungi oleh STIBP.”

Register memahami bahwa masalah ini muncul dari kesalahpahaman tentang IBRS yang ditingkatkan, yang tidak memerlukan STIBP untuk melindungi diri dari utas lain (serangan multithreading secara bersamaan).

Perbaikan menghapus IBRS dasar dari pemeriksaan spectre_v2_in_ibrs_mode() , agar STIBP tetap aktif secara default.

Cacat hantu diidentifikasi oleh Rodrigo Rubira Branco (BSDaemon), ketika dia berada di Google, dan José Luiz. KP Singh, bagian dari tim kernel Google, yang mengerjakan perbaikan dan berkoordinasi dengan pengelola Linux untuk mengatasi masalah tersebut.

selengkapnya : theregister.com

Bahaya Membeli Kotak TV Android: Mengapa Anda Harus Berhenti Sekarang

by

Video terbaru yang diposting oleh saluran YouTube “Tips Teknologi Linus” memperingatkan orang-orang agar tidak membeli kotak TV Android karena risiko keamanannya. Kotak plastik ini dapat dibeli seharga makanan cepat saji dan menjanjikan akses murah atau bahkan gratis ke konten berhak cipta tanpa keahlian teknis apa pun.

Saluran tersebut menemukan pintu belakang yang sudah diinstal sebelumnya pada kotak TV Android T95, yang membuat mereka bertanya-tanya apakah itu hanya satu kali atau apakah itu memengaruhi kotak Android serupa lainnya yang tersedia di Amazon dan AliExpress. Pintu belakang T95 hanyalah puncak gunung es, dan video menunjukkan bahwa kotak Android lainnya juga memiliki masalah keamanan.

Layar beranda kotak-kotak ini terlihat seperti Android TV, dan proses penyiapannya ramah pengguna. Namun, menjalankan Pi-hole, seperti desktop Echo, mengungkapkan tanda bahaya. Kotak mungkin mencoba melakukan ping ke alamat dengan FOTA di URL, yang merupakan singkatan dari firmware over the air dan merupakan perilaku standar Android. Apa yang relatif tidak standar adalah bahwa alamat IP yang ditunjuk oleh URL ada di China, di mana terdapat peraturan yang lebih longgar, terutama terkait warga negara asing. Tidak ada jaminan bahwa firmware yang diunduh akan bersih atau bahkan firmware sama sekali.

Dalam skenario terburuk, malware dapat menyuntikkan dirinya sendiri di samping aplikasi, melakukan root pada perangkat Anda, dan mengontrol aktivitas jaringan Anda. Sistem file perangkat yang menggunakan Android debug Bridge mengungkapkan bahwa hampir setengahnya memiliki folder Java inti yang sama dan file preferensi terbuka, bahkan jika mereka tidak segera mencoba mengakses URL yang dipertanyakan.

Selengkapnya: Linus Tech Tips

KFC, pemilik Pizza Hut mengungkapkan Pelanggaran Data setelah Serangan Ransomware

by

Nyam! Brands, pemilik merek dari rantai makanan cepat saji KFC, Pizza Hut, dan Taco Bell, mengirimkan surat pemberitahuan pelanggaran data ke sejumlah individu yang informasi pribadinya dicuri dalam serangan ransomware 13 Januari.

Yum! Brands mengungkapkan bahwa penyerang telah mencuri informasi pribadi beberapa individu, termasuk nama, nomor SIM, dan nomor kartu identitas lainnya. Sementara penyelidikan yang sedang berlangsung belum menemukan bukti bahwa data yang dicuri telah digunakan untuk pencurian atau penipuan identitas.

Ini terjadi setelah perusahaan mengatakan bahwa meskipun beberapa data dicuri dari jaringannya, tidak ada bukti bahwa penyerang mengeksfiltrasi informasi pelanggan apa pun.

Sebagai akibat langsung dari serangan ransomware bulan Januari, Yum! Brands terpaksa menutup sekitar 300 restoran di Inggris Raya karena berdampak pada sistem TI tertentu yang mengakibatkan penutupan kurang dari 300 restoran di satu pasar selama satu hari.

Nyam! Merek dan anak perusahaannya mengoperasikan atau mewaralabakan lebih dari 55.000 restoran di 155 negara dan wilayah dengan bantuan sekitar 36.000 karyawan di seluruh dunia.

Klarifikasi Yum! mengatakan bahwa perusahaan tidak menemukan bukti bahwa pelanggan terpengaruh oleh pelanggaran data ini.

Perusahaan juga belum mengungkapkan jumlah total karyawan yang datanya dicuri selama serangan ransomware.

Selengkapnya: BleepingComputer