Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

NUCLEUS:13 kerentanan berdampak pada peralatan medis & industri Siemens

by

Peneliti keamanan hari ini mengungkapkan satu set 13 kerentanan yang berdampak pada perpustakaan perangkat lunak penting Siemens yang disertakan dengan perangkat medis, otomotif, dan sistem industri.

Dinamakan NUCLEAUS:13, kerentanan berdampak pada Nucleus NET, tumpukan TCP/IP yang disertakan dengan Nucleus, sistem operasi real-time yang dimiliki oleh Siemens, yang biasanya berjalan pada papan system-on-a-chip (SoC) yang disertakan di dalam perangkat medis, mobil, smartphone, perangkat Internet of Things, PLC industri, dan banyak lagi.

Laporan Forescout dan Medigate Labs mengatakan kerentanan NUCLEUS:13 dapat digunakan untuk mengambil alih, mogok, atau membocorkan informasi dari perangkat yang menjalankan versi Nucleus RTOS yang lebih lama.

Kerentanan yang sangat mudah untuk dijadikan senjata adalah CVE-2021-31886, masalah eksekusi kode jarak jauh (RCE) yang menerima peringkat 9,8 dari 10 yang langka, terutama karena tingkat keparahannya.

ICS-CERT telah menerbitkan nasihat keamanan hari ini untuk meningkatkan kesadaran akan kerentanan NUCLEUS:13 di antara organisasi AS, sementara Siemens telah merilis pembaruan keamanan melalui portal CERT pribadinya, kepada semua pelanggannya.

Peneliti prakiraan Stanislav Dashevskyi juga menerbitkan demo bukti konsep yang menunjukkan bagaimana kerentanan NUCLEUS:13 dapat disalahgunakan dalam praktiknya untuk mengambil alih perangkat yang rentan. Seperti yang ditunjukkan Dashevskyi dalam video, penyerang hanya perlu memiliki semacam koneksi jaringan ke perangkat yang rentan, karena serangan hanya membutuhkan beberapa detik untuk dieksekusi.

Kerentanan NUCLEUS:13 adalah bagian kelima dan terakhir dari proyek penelitian bernama Project Memoria, di mana peneliti Forescout menganalisis tumpukan TCP/IP populer untuk kelemahan keamanan.

Secara total, Project Memoria menemukan 97 kerentanan yang memengaruhi 14 tumpukan TCP/IP. Daftar tersebut meliputi:

  • AMNESIA:33
  • NUMBER:JACK
  • NAME:WRECK
  • INFRA:HALT
  • NUCLEUS:13

Selengkapnya : The Record

Penangkapan Ransomware REvil, Penyitaan $6 juta dan Hadiah $10 juta

by

Departemen Kehakiman AS hari ini mengumumkan penangkapan pria Ukraina yang dituduh menyebarkan ransomware atas nama geng ransomware REvil, sebuah kolektif penjahat dunia maya berbahasa Rusia yang telah memeras ratusan juta dari organisasi korban. DOJ mengatakan telah menyita $6,1 juta dalam cryptocurrency yang dikirim ke afiliasi REvil lainnya, Departemen Luar Negeri AS sekarang menawarkan hingga $10 juta untuk nama atau lokasi setiap pemimpin REvil utama, dan hingga $5 juta untuk informasi tentang REvil afiliasi.

Yaroslav Vasinskyi, warga negara Ukraina berusia 22 tahun yang dituduh sebagai Afiliasi REvil #22. Vasinskyi ditangkap 8 Oktober di Polandia, Jaksa mengatakan Vasinskyi terlibat dalam sejumlah serangan ransomware REvil, termasuk serangan Juli 2021 terhadap Kaseya, sebuah perusahaan yang berbasis di Miami yang produknya membantu administrator sistem mengelola jaringan besar dari jarak jauh.

Vasinskyi menggunakan berbagai nama peretas, termasuk “Profcomserv” nama panggilan di balik layanan online yang membanjiri nomor telepon dengan panggilan sampah dengan biaya tertentu. Jaksa mengatakan Vasinskyi juga menggunakan moniker “Yarik45,” dan “Yaroslav2468.”

Dua nama panggilan terakhir ini sesuai dengan akun di beberapa forum kejahatan dunia maya teratas pada tahun 2013, di mana pengguna bernama “Yaroslav2468” mendaftar menggunakan alamat email yarik45@gmail.com.

Alamat email itu digunakan untuk mendaftarkan akun di Vkontakte (Facebook/Meta versi Rusia) dengan nama profil “Yaroslav ‘jual darah css’ Vasinskyi.” Profil Vkontakte Vasinskyi mengatakan kotanya saat ini pada 3 Oktober adalah Lublin, Polandia. Mungkin mengejek, halaman profil Vasinskyi juga mencantumkan nomor telepon 1-800 FBI sebagai nomor telepon kontaknya. Dia sekarang ditahan di Polandia, menunggu ekstradisi ke Amerika Serikat.

Bukti #2: Yevgeniy Igorevich Polyanin, warga negara Rusia berusia 28 tahun yang diduga sebagai Afiliasi REvil #23. DOJ mengatakan telah menyita $6,1 juta dana yang dapat dilacak ke dugaan pembayaran uang tebusan yang diterima oleh Polyanin, dan bahwa terdakwa telah terlibat dalam serangan ransomware REvil pada beberapa organisasi korban di AS.

The FBI’s wanted poster for Polyanin.

Surat dakwaan Polyanin (PDF) mengatakan dia juga menyukai banyak peretas, termasuk LK4D4, Damnating, Damn2life, Noolleds, dan Antunpitre. Beberapa nama panggilan ini sudah ada lebih dari satu dekade di forum kejahatan dunia maya Rusia, banyak di antaranya telah diretas dan dihapus dari basis data pengguna mereka selama bertahun-tahun.

Di antara mereka adalah carder[.]su, dan database forum itu mengatakan seorang pengguna dengan nama “Damnating” terdaftar di forum pada tahun 2008 menggunakan alamat email damnating@yandex.ru. Benar saja, ada profil Vkontakte yang terkait dengan alamat email itu dengan nama “Yevgeniy ‘sialan’ Polyanin” dari Barnaul, sebuah kota di wilayah Siberia selatan Rusia.

Departemen Luar Negeri AS mengatakan pihaknya menawarkan hadiah hingga $10 juta untuk informasi yang mengarah ke identifikasi atau lokasi setiap individu yang memegang posisi kepemimpinan kunci dalam grup ransomware REvil. Departemen tersebut mengatakan bahwa pihaknya juga menawarkan hadiah hingga $5 juta untuk informasi yang mengarah pada penangkapan dan/atau hukuman di negara mana pun dari individu mana pun yang berkonspirasi untuk berpartisipasi atau mencoba berpartisipasi dalam insiden ransomware REvil.

krebsonsecurity

Kelompok peretas mengatakan telah menemukan kunci enkripsi yang diperlukan untuk membuka kunci PS5

by

Kelompok peretas Fail0verflow mengumumkan pada Minggu malam bahwa mereka telah memperoleh “kunci root” enkripsi untuk PlayStation 5, langkah pertama yang penting dalam upaya apa pun untuk membuka kunci sistem dan memungkinkan pengguna menjalankan software buatan sendiri.

Pengumuman yang di-tweet termasuk gambar dari apa yang tampak sebagai file firmware terdekripsi PS5, menyoroti kode yang merujuk pada “secure loader” sistem.

Menganalisis firmware yang didekripsi itu dapat membuat Fail0verflow (atau peretas lain) merekayasa balik kode dan membuat firmware khusus dengan kemampuan memuat perangkat lunak PS5 buatan.

Selain kunci enkripsi/dekripsi simetris yang tampaknya telah ditemukan, kunci asimetris terpisah diperlukan untuk memvalidasi perangkat lunak buatan agar dilihat sebagai asli oleh sistem.

Mengekstrak perangkat lunak sistem PS5 dan menginstal pengganti keduanya memerlukan semacam exploit yang menyediakan akses baca dan/atau tulis ke kernel PS5 yang biasanya aman.

Posting Fail0verflow tidak merinci eksploitasi yang digunakan grup, tetapi tweet tersebut mengatakan bahwa kunci tersebut “diperoleh dari perangkat lunak,” menunjukkan bahwa grup tersebut tidak perlu melakukan modifikasi apa pun pada perangkat keras itu sendiri.

Secara terpisah akhir pekan ini, peretas PlayStation terkenal theFlow0 mentweet tangkapan layar yang menunjukkan opsi “Pengaturan Debug” di tengah daftar pengaturan PS5 yang biasa.

Seperti yang dijelaskan oleh situs berita peretasan konsol Wololo, pengaturan debug ini sebelumnya hanya terlihat pada perangkat keras pengembangan, di mana GUI terlihat sangat berbeda.

Tetapi tweet TheFlow0 tampaknya berasal dari fungsi berbagi bawaan dari PS5 ritel, menunjukkan bahwa ia juga telah menggunakan eksploitasi untuk mengaktifkan flag internal yang membuka kunci mode pada perangkat keras konsumen standar.

Selengkapnya: Ars Technica

Penipu mencuri lebih dari $500.000 menggunakan Google Ads untuk dompet kripto palsu

by

Analis keamanan di Check Point Research melaporkan bahwa scammers telah menipu lebih dari $500.000 dalam cryptocurrency hanya dalam beberapa hari selama akhir pekan.

Scammer merancang Google Ads agar terlihat layaknya situs web dompet resmi seperti Phantom App atau MetaMask. Para peneliti bahkan melihat penipuan yang meniru pertukaran crypto seperti Pancake Swap. Karena ini adalah iklan, mereka muncul di atas hasil pencarian yang sebenarnya, jadi mereka adalah hal pertama yang dilihat korban dan sangat meyakinkan dalam penampilan.

Mengklik iklan akan membawa pengguna ke laman web yang dirancang seperti situs web resmi. Pengguna diminta untuk masuk kemudian mereka mencuri kredensial untuk digunakan scammer nanti. Apa yang lebih berbahaya adalah korban disajikan dengan frasa sandi ke akun yang dikontrol penyerang saat membuat dompet baru. Dengan kata lain, titipan langsung masuk ke tangan pelaku tanpa harus berbuat apa-apa.

Sementara hasil pencarian dan halaman web mungkin terlihat cukup asli, URL memberikan penipuan. Misalnya, CPR mengatakan melihat beberapa varian untuk domain phantom.app, termasuk phanton.app, phantonn.app, dan bahkan phantonn.pw. URL jelas salah, tetapi beberapa orang mungkin tidak menyadarinya.

“Dalam hitungan hari, kami menyaksikan pencurian kripto senilai ratusan ribu dolar,” kata Kepala Riset Kerentanan Produk Check Point, Oded Vanunu. “Kami memperkirakan bahwa cyrpto senilai lebih dari $500 ribu telah dicuri akhir pekan lalu saja. Saya yakin kita sedang menghadapi tren kejahatan dunia maya baru, di mana scammer akan menggunakan Google Penelusuran sebagai vektor serangan utama untuk mencapai dompet kripto, alih-alih secara tradisional phishing melalui email.”

Beberapa grup scammer telah mengajukan bid dengan Google Ads untuk kata kunci yang terkait dengan cryptocurrency. Check Point yakin ini menunjukkan bahwa metode tersebut telah terbukti cukup efektif untuk investasi lebih lanjut.

Kuncinya di sini adalah sangat berhati-hati dan waspada ketika berhadapan dengan dompet kripto. Scammers sudah menempatkan iklan palsu untuk lembaga perbankan tradisional seperti Wells Fargo, jadi mengapa tidak untuk crypto.

Lewati Google Ads di hasil pencarian Anda. Gunakan pemblokir iklan seperti AdGuard atau gulir ke bawah ke tempat hasil sebenarnya dimulai. Perhatikan URL-nya, dan pastikan URL tersebut tidak dibuat dengan kesalahan ejaan yang cerdik seperti phantum.app, dan ketahui ekstensi Anda. Domain MetaMask adalah metamask.io. Pergi ke hasil seperti metamask.com kemungkinan akan membawa Anda ke scam.

Selengkapnya : Tech Spot

Serangan phishing lebih sulit dikenali di ponsel cerdas Anda. Itu sebabnya peretas lebih sering menggunakannya

by

Terjadi lonjakan serangan phishing seluler yang menargetkan sektor energi karena penyerang dunia maya mencoba membobol jaringan yang digunakan untuk menyediakan layanan termasuk listrik dan gas.

Keinginan untuk membobol jaringan ini telah menghasilkan peningkatan tajam dalam serangan phishing terhadap sektor energi, khususnya serangan siber yang menargetkan perangkat seluler, demikian peringatan sebuah laporan oleh peneliti keamanan siber di Lookout.

Menurut laporan tersebut, telah terjadi peningkatan 161% dalam serangan phishing seluler yang menargetkan sektor energi sejak paruh kedua tahun lalu. Serangan yang menargetkan organisasi energi mencapai 17% dari semua serangan seluler secara global – menjadikannya sektor yang paling ditargetkan, di depan keuangan, pemerintah, farmasi, dan manufaktur.

Kerja jarak jauh telah meningkat pesat selama 18 bulan terakhir. Dan sementara peningkatan kerja seluler memungkinkan bisnis untuk terus beroperasi, peningkatan penggunaan perangkat pribadi dan kerja jarak jauh juga meningkatkan risiko keamanan – menurut Lookout, 41% perangkat seluler di industri energi tidak dikelola oleh pemberi kerja.

Situasi itu dapat menempatkan pengguna pada risiko serangan siber termasuk phishing dan malware yang dapat digunakan untuk membantu mendapatkan akses ke jaringan yang lebih luas.

Menyesuaikan email phishing ke perangkat seluler dapat membuatnya lebih sulit dikenali karena layar yang lebih kecil memberikan lebih sedikit kesempatan untuk memeriksa ulang bahwa tautan dalam email adalah sah, sementara ponsel cerdas dan tablet mungkin tidak diamankan secara menyeluruh seperti laptop dan PC desktop, memberikan penyerang kesempatan untuk mengkompromikan jaringan.

Selengkapnya: ZDNet

Peretas meminta maaf kepada keluarga kerajaan Arab karena membocorkan data mereka

by

Pada bulan Oktober, geng ransomware terkenal yang dikenal sebagai Conti merilis ribuan file yang dicuri dari toko perhiasan Inggris Graff.

Sekarang, para peretas ingin dunia tahu bahwa mereka menyesali keputusan mereka, mungkin sebagian karena mereka merilis file milik orang yang sangat kuat.

Di antara data yang dibocorkan Conti, ada file sensitif milik selebriti seperti David Beckham, Oprah Winfrey, dan Donald Trump, menurut The Daily Mail. Ada juga, menurut peretas itu sendiri, informasi milik keluarga kerajaan UEA, Qatar, dan Saudi.

Dan para peretas benar-benar tidak ingin membuat mereka kesal.

“Kami menemukan bahwa data sampel kami tidak ditinjau dengan benar sebelum diunggah ke blog,” tulis para peretas dalam pengumuman yang diterbitkan pada hari Kamis. “Conti menjamin bahwa informasi apa pun yang berkaitan dengan anggota keluarga Arab Saudi, UEA, dan Qatar akan dihapus tanpa paparan dan peninjauan apa pun.”

“Tim kami meminta maaf kepada Yang Mulia Pangeran Mohammed bin Salman dan setiap anggota Keluarga Kerajaan lainnya yang namanya disebutkan dalam publikasi atas ketidaknyamanan ini,” tambah para peretas.

Peretas juga mengatakan bahwa selain mempublikasikan data di situs mereka, mereka tidak menjual atau memperdagangkannya, dan mulai sekarang mereka akan “menerapkan proses peninjauan data yang lebih kaku untuk operasi apa pun di masa mendatang.”

Selengkapnya: Vice

Dugaan Peretasan Rusia dari Penyedia Layanan Microsoft Menyoroti Cacat Keamanan Siber

by

Pakar keamanan siber mengatakan pengungkapan Microsoft baru-baru ini bahwa peretas Rusia yang diduga berhasil menyerang beberapa penyedia layanan TI tahun ini adalah tanda bahwa banyak perusahaan TI A.S. kurang berinvestasi dalam langkah-langkah keamanan yang diperlukan untuk melindungi diri dan pelanggan mereka dari gangguan.

Tetapi asosiasi profesional TI yang berbasis di AS mengatakan upaya industri untuk memerangi serangan peretasan asing terhambat oleh pelanggan mereka yang tidak mempraktikkan kebiasaan dunia maya yang baik dan oleh pemerintah federal yang tidak cukup bertindak untuk menghukum dan menghalangi para peretas.

Dalam posting blog 24 Oktober, Microsoft mengatakan kelompok peretas negara-bangsa Rusia yang disebut Nobelium menghabiskan tiga bulan menyerang perusahaan yang menjual kembali, menyesuaikan dan mengelola layanan cloud Microsoft dan teknologi digital lainnya untuk pelanggan publik dan pribadi.

Microsoft mengatakan telah memberi tahu 609 perusahaan tersebut, yang dikenal sebagai penyedia layanan terkelola, atau MSP, bahwa mereka telah diserang 22.868 kali oleh Nobelium dari 1 Juli hingga 19 Oktober tahun ini.

Nobelium adalah kelompok yang sama yang dikatakan Microsoft bertanggung jawab atas serangan siber tahun lalu terhadap perusahaan perangkat lunak AS, SolarWinds. Serangan itu melibatkan penyisipan kode berbahaya ke dalam sistem pemantauan kinerja TI SolarWinds, Orion, dan memberi para peretas akses ke jaringan ribuan organisasi publik dan swasta AS yang menggunakan Orion untuk mengelola sumber daya TI mereka.

Salah satu praktik keamanan siber yang harus diadopsi lebih banyak oleh MSP adalah berbagi informasi dengan pihak berwenang AS tentang insiden peretasan, kata James Curtis, direktur program keamanan siber di Webster University di Missouri, dalam percakapan dengan Layanan Rusia VOA.

Curtis, pensiunan perwira cyber Angkatan Udara AS dan mantan eksekutif industri TI, mengatakan MSP tidak suka mengakui bahwa mereka telah diretas.

Namun Charles Weaver, kepala eksekutif Asosiasi Penyedia Layanan Cloud dan Terkelola Internasional yang berbasis di AS, juga dikenal sebagai MSPAlliance, mengatakan bahwa kritik terhadap MSP karena tidak memberikan perhatian yang cukup pada keamanan siber adalah salah tempat.

“MSP telah mendesak pelanggan mereka untuk melakukan perbaikan yang mudah dan murah seperti mengadopsi otentikasi multifaktor untuk mencadangkan data mereka ke cloud,” kata Weaver. “Tapi saya pribadi telah menyaksikan banyak ketidaksesuaian di antara pelanggan. Merekalah yang pada akhirnya harus membayar dan mengizinkan MSP untuk menerapkan perbaikan tersebut.”

Selengkapnya: VOA

Mobile Phishing di Sektor Energi Melonjak 161%

by Leave a Comment

Serangan phishing seluler yang menargetkan karyawan di industri energi telah meningkat 161% dibandingkan data tahun lalu (H2 2020), dan trennya tidak menunjukkan tanda-tanda melambat.

Meskipun bahaya perangkat usang dan rentan mengganggu semua sektor, sebuah laporan baru oleh perusahaan keamanan siber Lookout menunjukkan bahwa energi adalah yang paling ditargetkan, diikuti oleh keuangan, farmasi, pemerintah, dan manufaktur.

Dalam hal penargetan geografis, Asia-Pasifik menempati urutan teratas, diikuti oleh Eropa dan kemudian Amerika Utara. Namun, ada tren peningkatan serangan phishing yang menargetkan industri energi global di seluruh dunia.

Mobile phishing juga melonjak pada paruh pertama tahun 2021, dengan hampir 20% dari semua karyawan di sektor energi menjadi sasaran serangan mobile phishing, yang mengarah ke peningkatan 161% selama enam bulan sebelumnya.

Panen kredensial lewat VPN

Dengan begitu banyak orang yang bekerja dari rumah karena pandemi COVID-19, banyak karyawan menggunakan VPN untuk mengakses jaringan perusahaan. Sayangnya, akses jarak jauh ke jaringan perusahaan ini menjadi target yang menarik bagi pelaku ancaman, yang menggunakan phishing untuk mencuri kredensial VPN atau kredensial domain.

Untuk melakukan kampanye ini, penyerang menggunakan email, SMS, aplikasi phishing, dan halaman login di situs perusahaan palsu.

Sumber: Lookout

Kredensial ini memungkinkan mereka untuk mendapatkan akses ke jaringan internal, yang kemudian dapat digunakan untuk gerakan lateral lebih lanjut dan menemukan titik pivot tambahan.

Dari sana, mereka dapat menemukan sistem yang rentan dan meluncurkan serangan terhadap sistem kontrol industri yang biasanya memuat kelemahan yang tak ditemukan selama bertahun-tahun.

Permasalahan Android

Menurut laporan dari Lookout, permukaan serangan paling signifikan berasal dari 56% pengguna Android yang menjalankan versi OS yang kedaluwarsa dan rentan.

“Versi lama sistem operasi Google dan Apple masih digunakan di seluruh industri energi. Versi lama memaparkan organisasi pada ratusan kerentanan yang dapat dieksploitasi oleh pelaku jahat yang mencari akses ke lingkungan organisasi,” jelas laporan dari Lookout.

Tepat setahun setelah Android 11 dirilis, telemetri Lookout menunjukkan bahwa hanya 44,1% perangkat Android aktif yang menggunakannya.

Sumber: Lookout

Sebaliknya, iPhone lebih kurang rentan terhadap eksploitasi, karena sebagian besar pengguna iOS menjalankan versi terbaru.

Riskware >>> Malware

Aplikasi yang meminta izin dan mengakses data sensitif pada perangkat sekarang menjadi masalah yang lebih besar daripada malware “murni”, karena jauh lebih mudah untuk melewati pemeriksaan appstore.

Banyak dari aplikasi ini terhubung ke server yang tidak jelas dan mengirim berbagai jenis data yang tidak relevan dengan fungsi intinya tetapi masih merupakan risiko besar bagi pengguna dan organisasi tempatnya bekerja.

Spyware, keyloggers, trojan, dan bahkan ransomware dropper tetap menjadi masalah, tetapi lebih mungkin digunakan dalam serangan yang sangat tertarget, sehingga volume distribusinya secara signifikan lebih kecil.

Dengan demikian, pelatihan karyawan sangat penting dalam meminimalkan penyimpangan keamanan, karena faktor manusia tetap menjadi risiko terbesar untuk menginstal riskware dan mengklik/mengetuk tautan yang mencurigakan.

Lookout melaporkan bahwa satu sesi pelatihan anti-phishing menghasilkan klik 50% lebih sedikit ke tautan phishing selama 12 bulan ke depan.

Sumber: Bleepingcomputer