Threat

Malware Android baru menargetkan pengguna Netflix, Instagram, dan Twitter

November 11, 2021 by Mally

Malware Android baru yang dikenal sebagai MasterFred menggunakan overlay login palsu untuk mencuri informasi kartu kredit pengguna Netflix, Instagram, dan Twitter.

Trojan perbankan Android ini juga menargetkan pelanggan bank dengan overlay login palsu khusus dalam berbagai bahasa.

Sampel MasterFred pertama kali dikirimkan ke VirusTotal pada Juni 2021 dan pertama kali terlihat pada Juni. Analis malware Alberto Segura juga membagikan sampel kedua secara online satu minggu lalu yang menunjukkan bahwa itu digunakan oleh pengguna Android dari Polandia dan Turki.

“Dengan memanfaatkan toolkit Aksesibilitas Aplikasi yang diinstal di Android secara default, penyerang dapat menggunakan aplikasi untuk menerapkan serangan Overlay untuk mengelabui pengguna agar memasukkan informasi kartu kredit untuk pembobolan akun palsu di Netflix dan Twitter,” kata Avast.

Penggunaan jahat dari layanan Aksesibilitas bukanlah sesuatu yang baru karena pembuat malware telah menggunakannya untuk mensimulasikan ketukan dan menavigasi UI Android menginstal muatan mereka, mengunduh dan menginstal malware lain, dan menjalankan berbagai operasi di latar belakang.

Namun, ada beberapa hal yang membuat MasterFred menonjol. Salah satunya adalah aplikasi jahat yang digunakan untuk menyebarkan malware di perangkat Android juga menggabungkan lapisan HTML yang digunakan untuk menampilkan formulir login palsu dan mengambil informasi keuangan korban.

Malware ini juga menggunakan gerbang web gelap Onion.ws (alias proxy Tor2Web) untuk mengirimkan informasi yang dicuri ke server jaringan Tor di bawah kendali operatornya.

Karena setidaknya salah satu aplikasi berbahaya yang menggabungkan bankir MasterFred baru-baru ini tersedia di Google Play Store, aman untuk mengatakan bahwa operator MasterFred juga kemungkinan menggunakan toko pihak ketiga sebagai saluran pengiriman untuk malware baru ini.

Selengkapnya : Bleeping Computer

Peretas TeamTNT Menargetkan Server Docker Yang Tidak Dikonfigurasi Dengan Baik

November 11, 2021 by Mally

Server Docker yang dikonfigurasi dengan buruk sedang aktif ditargetkan oleh grup peretasan TeamTNT dalam kampanye yang sedang berlangsung dimulai dari bulan lalu.

Menurut sebuah laporan oleh para peneliti di TrendMicro, para aktor memiliki tiga tujuan berbeda: untuk menginstal cryptominers Monero, memindai instance Docker yang rentan terhadap Internet, dan melakukan pelarian container-to-host untuk mengakses jaringan utama.

Seperti yang diilustrasikan dalam alur kerja serangan, serangan dimulai dengan membuat wadah pada host yang rentan menggunakan Docker REST API yang terbuka.

Alamat IP yang digunakan untuk infrastruktur TeamTNT saat ini (45[.]9[.]148[.]182) telah dikaitkan dengan beberapa domain yang melayani malware di masa lalu.

TrendMicro melaporkan bahwa kampanye ini juga menggunakan akun Docker Hub yang disusupi yang dikendalikan oleh TeamTNT untuk menghapus gambar Docker yang berbahaya.

Menggunakan akun Docker Hub yang disusupi membuat titik distribusi lebih andal bagi para aktor, karena lebih sulit untuk dipetakan, dilaporkan, dan dihapus.

TeamTNT adalah aktor canggih yang terus-menerus mengembangkan tekniknya, mengubah fokus penargetan jangka pendek tetapi tetap menjadi ancaman konstan bagi sistem Docker yang rentan.

Mereka pertama kali membuat worm untuk mengeksploitasi Docker dan Kubernetes secara massal pada Agustus 2020.

Selengkapnya: Bleeping Computer

MediaMarkt terkena ransomware Hive, tebusan awal $240 juta

November 11, 2021 by Mally

Raksasa ritel elektronik MediaMarkt telah menderita ransomware Hive dengan permintaan tebusan awal sebesar $240 juta, menyebabkan sistem TI ditutup dan operasi toko terganggu di Belanda dan Jerman.

MediaMarkt adalah pengecer elektronik konsumen terbesar di Eropa, dengan lebih dari 1.000 toko di 13 negara. MediaMarkt mempekerjakan sekitar 53.000 karyawan dan memiliki total penjualan €20,8 miliar.

MediaMarkt mengalami serangan ransomware Minggu malam hingga Senin pagi yang mengenkripsi server dan workstation dan menyebabkan penutupan sistem TI untuk mencegah penyebaran serangan.

Sementara penjualan online terus berfungsi seperti yang diharapkan, mesin kasir tidak dapat menerima kartu kredit atau mencetak tanda terima di toko yang terkena dampak. Pemadaman sistem juga mencegah pengembalian barang karena ketidakmampuan untuk mencari pembelian sebelumnya.

Media lokal melaporkan bahwa komunikasi internal MediaMarkt memberi tahu karyawan untuk menghindari sistem terenkripsi dan memutuskan mesin kasir dari jaringan.

BleepingComputer telah mengkonfirmasi bahwa operasi Hive Ransomware berada di balik serangan itu dan awalnya menuntut jumlah uang tebusan yang sangat besar, tetapi tidak realistis, $ 240 juta untuk menerima decryptor untuk file terenkripsi.

Meskipun tidak jelas apakah data yang tidak terenkripsi telah dicuri sebagai bagian dari serangan, ransomware Hive diketahui mencuri file dan mempublikasikannya di situs kebocoran data ‘HiveLeaks’ jika uang tebusan tidak dibayarkan.

Selengkapnya: Bleeping Computer

Perusahaan perangkat lunak medis mendesak pengaturan ulang kata sandi setelah serangan ransomware

November 10, 2021 by Mally

Medatixx, vendor perangkat lunak medis Jerman yang produknya digunakan di lebih dari 21.000 institusi kesehatan, mendesak pelanggan untuk mengubah kata sandi aplikasi mereka setelah serangan ransomware yang telah sangat mengganggu seluruh operasinya.

Perusahaan mengklarifikasi bahwa dampaknya belum mencapai klien dan terbatas pada sistem TI internal mereka dan tidak boleh memengaruhi PVS (sistem manajemen praktik) mereka.

Namun, karena tidak diketahui data apa yang dicuri selama serangan, pelaku ancaman mungkin telah memperoleh kata sandi pelanggan Medatixx.

Oleh karena itu, Medatixx merekomendasikan agar pelanggan melakukan langkah-langkah berikut untuk memastikan perangkat lunak manajemen praktik mereka tetap aman:

Ubah kata sandi pengguna pada perangkat lunak praktik (petunjuk).
Ubah kata sandi masuk Windows di semua workstation dan server (petunjuk).
Ubah kata sandi konektor TI (petunjuk).

Perusahaan menjelaskan bahwa langkah di atas adalah tindakan pencegahan, tetapi mereka harus diterapkan sesegera mungkin.

Serangan ransomware pada Mediatixx terjadi minggu lalu, dan perusahaan masih dalam pemulihan, sejauh ini hanya berhasil memulihkan sistem email dan telepon pusat.

Belum ada perkiraan kapan perusahaan akan kembali beroperasi normal.

Belum diketahui apakah pelaku berhasil melakukan eksfiltrasi data klien, dokter, atau pasien. Namun, perusahaan menyatakan bahwa mereka memberi tahu otoritas perlindungan data Jerman tentang insiden tersebut dan akan mengeluarkan pembaruan setelah penyelidikan selesai.

Selengkapnya: Bleeping Computer

Robinhood mengungkapkan pelanggaran data yang berdampak pada 7 juta pelanggan

November 10, 2021 by Mally

Platform perdagangan saham Robinhood telah mengungkapkan pelanggaran data setelah sistem mereka diretas dan aktor ancaman memperoleh akses ke informasi pribadi sekitar 7 juta pelanggan.

Serangan itu terjadi pada 3 November setelah seorang pelaku ancaman menelepon seorang karyawan dukungan pelanggan dan menggunakan rekayasa sosial untuk mendapatkan akses ke sistem dukungan pelanggan.

Setelah mengakses sistem pendukung, pelaku ancaman dapat mengakses informasi pelanggan, termasuk nama lengkap, alamat email, dan untuk sejumlah orang, data kelahiran, dan kode pos.

Singkatnya, pelanggaran data mengungkapkan:

Alamat email untuk 5 juta pelanggan.
Nama lengkap untuk 2 juta.
Nama, tanggal lahir, dan kode pos untuk 300 orang.
Informasi akun yang lebih detail untuk 10 orang.

Perusahaan menyatakan bahwa mereka tidak percaya ada nomor Jaminan Sosial, nomor rekening bank, atau nomor kartu debit yang terpapar dalam serangan itu.

Setelah mengetahui serangan itu dan mengamankan sistem mereka, RobinHood juga menerima permintaan pemerasan. Sementara Robinhood belum memberikan perincian apa pun mengenai permintaan pemerasan, kemungkinan ada ancaman bahwa data yang dicuri akan bocor jika tebusan Bitcoin tidak dibayarkan.

RobinHood mengatakan mereka terus menyelidiki insiden tersebut dengan bantuan Mandiant, sebuah perusahaan keamanan siber terkenal yang biasa digunakan untuk melakukan respons insiden setelah serangan.

Selengkapnya: Bleeping Computer

Ini bisa menjadi waktu yang tepat untuk menambal kernel Linux Anda

November 10, 2021 by Mally

Peneliti keamanan siber telah membantu memperbaiki kerentanan keamanan heap-overflow kritis di kernel Linux yang dapat dieksploitasi baik secara lokal atau melalui eksekusi kode jarak jauh (RCE) untuk membahayakan komputer Linux yang rentan.

Ditemukan oleh peneliti SentinelLabs Max Van Amerongen, kerentanan yang dilacak sebagai CVE-2021-43267 ada dalam modul Transparan Inter Process Communication (TIPC) kernel, khususnya dalam jenis pesan yang memungkinkan node untuk saling mengirim kunci kriptografi.

“Kerentanan ini dapat dieksploitasi baik secara lokal maupun jarak jauh. Sementara eksploitasi lokal lebih mudah karena kontrol yang lebih besar atas objek yang dialokasikan di tumpukan kernel, eksploitasi jarak jauh dapat dicapai berkat struktur yang didukung TIPC,” catat Amerongen.

Karena jenis pesan yang terpengaruh relatif baru, bug hanya ada di rilis kernel antara v5.10 dan v5.15.

Peneliti menjelaskan bahwa jenis pesan yang rentan, yang disebut MSG_CRYPTO, diperkenalkan pada September 2020, untuk bertukar kunci kriptografi.

Namun, Amerongen menemukan bahwa meskipun jenis pesan membuat berbagai alokasi untuk mentransfer kunci, ia gagal untuk memeriksa dan memvalidasi beberapa di antaranya.

Patch telah dirilis yang menambahkan pemeriksaan verifikasi ukuran yang sesuai ke proses, yang telah ditambahkan ke rilis utama Linux 5.15 Long Term Support (LTS).

Sumber: Tech Radar

Scammer Meyakinkan Instagram Bahwa Kepala Eksekutifnya Telah Meninggal

November 10, 2021 by Mally Leave a Comment

Seorang scammer berhasil mengunci sementara akun Instagram Adam Mosseri, kepala Instagram, dengan berpura-pura bahwa eksekutif itu sudah mati.

Akun Instagram Mosseri terkunci karena fitur memorialization Instagram, di mana pengguna dapat melaporkan kepada perusahaan bahwa pemilik akun Instagram telah meninggal. Sebagai tanggapan, Instagram akan memblokir siapa pun untuk masuk ke akun, dan menghentikan kemampuan untuk membuat perubahan apa pun pada konten yang sudah diunggah.

“Saya merasa konyol bagaimana Instagram membiarkan hal seperti itu terjadi di platform mereka sejak awal,” scammer yang mengaku bertanggung jawab atas penguncian akun Mosseri, dan yang menggunakan pegangan Syenrai, mengatakan kepada Motherboard dalam obrolan online. “Seluruh komunitas pelarangan perlu ditemukan dan dilaporkan ke Instagram sehingga mereka dapat mengakhiri ini—pada dasarnya ini adalah sisi gelap Instagram.”

Seorang juru bicara Instagram mengatakan kepada Motherboard melalui email bahwa “Seperti layanan internet lainnya, Instagram memiliki formulir online untuk membantu orang melaporkan aktivitas yang mencurigakan atau memberi tahu kami bahwa seorang teman atau anggota keluarga telah meninggal. Sayangnya, beberapa orang menyalahgunakan formulir ini, jadi kami mempekerjakan penyelidik dan spesialis keamanan siber untuk mendeteksi taktik scammer sehingga kami dapat meningkatkan dan mempersulit mereka.”

Instagram mengatakan bahwa tim yang meninjau permintaan memorialisasi melihat hal-hal seperti mencocokkan gambar, nama, dan tanggal lahir dalam obituari yang dikirimkan dengan akun masing-masing.

Instagram menawarkan formulir kepada orang-orang yang percaya bahwa akun mereka telah diabadikan secara tidak benar ketika mereka membuka aplikasi. “Kami hanya dapat memberi Anda akses ke akun ini jika kami dapat memverifikasi bahwa Anda adalah pemilik akun tersebut,” bunyi formulir tersebut.

“Sangat penting untuk memiliki tanggal lahir yang benar, dan setidaknya satu foto diri Anda diarsipkan, ini membantu membuktikan bahwa Anda adalah pemilik akun baik saat dihafal atau dicekal oleh seseorang,” kata Syenrai.

Sumber: Vice

Lembaga Keuangan Kecil: Kami Diperas oleh Praktik Keamanan Siber yang Buruk

November 10, 2021 by Mally Leave a Comment

Subkomite DPR mendapat kritik dari perwakilan bank kecil, serikat kredit, dan lembaga keuangan minoritas pada dengar pendapat tentang peningkatan keamanan siber dan privasi data pelanggan.

Apa yang didapat subkomite adalah serangkaian masalah, termasuk kebutuhan institusi kecil yang diabaikan oleh vendor mereka, kurangnya koordinasi antara lembaga federal yang mengatur tindakan siber mereka dan hampir monopoli oleh penyedia “prosesor inti” yang menangani sebagian besar dari setiap fungsi back-office lembaga keuangan.

Rep. Ed Perlmutter, D-Colo., ketua subkomite, mengutip peningkatan besar dalam serangan ransomware yang menargetkan lembaga keuangan sebagai motivasi diselenggarakannya dengar pendapat.

“Dalam bisnis dan kedokteran, ada berbagai versi aturan Sutton,” katanya, mengacu pada sindiran terkenal perampok bank Willie Sutton bahwa dia merampok bank karena “di situlah uangnya.”

Dia mengutip laporan Trend Micro yang dirilis pada bulan September yang mengatakan lembaga keuangan melihat peningkatan serangan ransomware 1,318% pada paruh pertama tahun 2021, dibandingkan dengan periode yang sama tahun lalu.

Robert E. James II, presiden dan CEO Carver Financial Corporation di Savannah, Georgia, dan ketua Asosiasi Bankir Amerika saat ini, mengatakan bahwa lembaga penyimpanan minoritas, atau MDI, seperti dia mendapatkan sangat sedikit bantuan dari vendor mereka.

“Kami sangat bergantung pada tiga prosesor inti besar,” katanya. “Sebagai bank terkecil, kami mendapatkan layanan terburuk dan inovasi paling sedikit.” Di dunia keuangan, prosesor inti menyediakan sistem back-end yang memproses transaksi perbankan harian, seperti penyetoran dan penarikan, pinjaman, dan pemrosesan kredit, bersama dengan antarmuka ke sistem buku besar dan alat pelaporan.

Carlos Vazquez, kepala petugas keamanan informasi untuk Canvas Credit Union di Colorado, menunjukkan keterbatasan tenaga kerja dalam keamanan siber. “Kekurangan besar terjadi pada profesional yang terampil,” katanya.

Dia memuji Badan Keamanan Cybersecurity dan Infrastruktur; Departemen Keamanan Dalam Negeri dan Pusat Berbagi; dan Analisis Informasi Layanan Keuangan dengan melakukan “pekerjaan yang bagus” seperti berbagi informasi tentang pelanggaran, kerentanan dan tambalan, dan ancaman persisten lanjutan yang muncul, atau APT. Namun, dia juga mengatakan bahwa vendor dan pemasok perangkat lunak perlu melakukan pekerjaan yang lebih baik dalam mengidentifikasi dan memperbaiki kekurangan lebih awal.

Vazquez juga meminta agar Administrasi Credit Union Nasional diberikan otoritas pengawasan undang-undang yang sama untuk organisasi layanan credit union dan vendor pihak ketiga yang melayani credit union seperti yang dimiliki FDIC, misalnya, atas bank.

“Vendor yang memiliki akses ke data anggota kami harus memenuhi standar yang sama” seperti yang mereka lakukan untuk bank, katanya.

Jeff Newgard, presiden dan CEO Bank of Idaho, berbicara atas nama Independent Community Bankers of America, mencatat bahwa baik bank besar maupun kecil akhirnya menanggung biaya untuk pelanggaran yang terjadi di perusahaan lain.

“Penyedia inti dan penyedia pihak ketiga, agen kredit, pengecer—mereka tidak tunduk pada standar dan pengawasan keamanan data federal [Gramm-Leach-Bliley Act, atau GLBA]. Biaya pelanggaran harus ditanggung oleh pihak yang mengalami pelanggaran; terlalu sering mereka menghindari tanggung jawab” dan meninggalkan pelanggan dan bank untuk membayar tagihan, katanya.

“Ancamannya lebih besar dari sebelumnya dan terus berkembang,” katanya. “Hanya tiga atau empat penyedia [prosesor inti] yang mendominasi [dan] itu menempatkan target di belakang mereka.”

Samir Jain, direktur kebijakan untuk Pusat Demokrasi dan Teknologi, berfokus pada tiga tantangan yang, meskipun mempengaruhi sektor lain, sangat terkait dengan sektor keuangan: lembaga keuangan sangat saling berhubungan, memberikan peluang bagi serangan siber untuk menyebar dengan cepat; kesenjangan dalam sumber daya keamanan siber antara institusi besar dan kecil; dan ketergantungan industri yang meningkat pada teknologi.

Jain mengatakan berbagi informasi tentang serangan siber adalah bagian mendasar dari pertahanan siber, tetapi “sulit dilakukan [karena] harus memisahkan sinyal dari kebisingan. Satu langkah yang harus dipertimbangkan Kongres adalah mengamanatkan agar sektor tersebut melaporkan insiden siber.”

Dia juga meminta GLBA untuk mencakup semua teknologi keuangan, atau fintech, perusahaan, bukan hanya bank, untuk memberikan setidaknya tingkat dasar perlindungan privasi.

“Waktunya telah tiba bagi Kongres untuk memberlakukan undang-undang privasi yang komprehensif untuk mengurangi jumlah data yang dibagikan,” katanya.

Selama interogasi, anggota subkomite tampak bersimpati pada permintaan saksi untuk bantuan tambahan.

“Kita harus meningkatkan tindakan kita untuk menangani keamanan siber, khususnya yang berkaitan dengan bank komunitas, MDI, dll.,” kata Maxine Waters, D-Calif., ketua komite penuh. “Saya pikir ini adalah kesempatan bagus untuk bekerja dengan sisi lain dari lorong.”

Blaine Luetkemeyer, R-Mo., setuju ini adalah topik di mana kedua partai politik memiliki kesamaan. Dia bertanya kepada Newgard bagaimana pihak ketiga menghindari tanggung jawab atas dampak dan biaya pelanggaran.

“Lembaga keuangan tunduk pada pemeriksaan, [tetapi] itu tidak mencakup seluruh sektor,” jawab Newgard. “Ketika pelanggan menerima informasi tentang pelanggaran, katakanlah, kartu debit mereka—ada sedikit insentif bagi pengecer atau prosesor untuk membantu. Mereka tidak menanggung biayanya, konsumen tidak menanggung biayanya, tetapi bank menanggungnya… Ada begitu banyak kelumpuhan di dunia konsumen—begitu banyak pelanggaran dan tidak ada pertanggungjawaban.”

Frank Lucas, R-Okla., bertanya bagaimana pemerintah federal dapat membantu. Newgard menyarankan beberapa cara.

“Kami berada di bawah keinginan penyedia inti. Kontraknya sangat mahal dan berjangka panjang. Jika kita pergi dalam dua atau tiga tahun [dan ingin berubah], sangat mahal untuk keluar dari itu, ”katanya. “Ada kesenjangan di dalam badan pengatur. Kami memiliki empat regulator berbeda untuk mencoba mengatasinya, dan terkadang mereka tidak sinkron atau bertentangan. Lebih banyak berbagi informasi di seluruh ekosistem sehingga kami bisa mendapatkan peringatan tentang ancaman ini. Dan kami ingin informasi lebih lanjut tentang kerentanan; kami merasa tertinggal setengah langkah.”

Menanggapi pertanyaan oleh Ayanna Pressley, D-Mass., tentang privasi data, Jain mengatakan dia yakin perusahaan tidak boleh terus menggunakan praktik “pemberitahuan dan persetujuan”. “Kami harus meminta mereka untuk mengumpulkan hanya informasi yang mereka butuhkan untuk produk atau layanan yang telah didaftarkan oleh pelanggan, dan jika perusahaan ingin menggunakannya dengan cara lain, itu harus kembali” dan meminta persetujuan lagi.

“Satu tindakan yang harus diambil Kongres adalah mengadopsi undang-undang privasi federal,” kata Jain. “Saya pikir ada hubungan yang sangat kuat antara undang-undang privasi dan keamanan siber yang lebih baik”.

Sumber: Nextgov

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings