Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Pusat Keamanan Siber Inggris menerbitkan panduan baru untuk memerangi smishing

by

Pusat Keamanan Siber Nasional Inggris (NCSC) telah menerbitkan panduan baru untuk diikuti organisasi saat berkomunikasi dengan pelanggan melalui SMS atau panggilan telepon.

Tujuan dari pedoman baru ini adalah untuk mempersulit scammers untuk mengelabui publik dan mengarahkan pengguna ke situs phishing.

Tindakan ini dilakukan sebagai tanggapan atas peningkatan mengkhawatirkan dalam penipuan yang menipu merek-merek populer, dengan pengiriman parsel palsu menjadi tema yang dominan.

Panduan mengirim pesan :

  • Gunakan nomor lima digit alih-alih nomor telepon biasa.
  • Gunakan SenderID yang muncul sebagai pengganti nomor pengirim dan secara konsisten di semua komunikasi dan daftarkan ke MEF.
  • Gunakan sesedikit mungkin penyedia distribusi SMS, dan audit semua pesan untuk memvalidasi konten.

Panduan panggilan telepon kepada konsumen :

  • Dorong pelanggan untuk menelepon Anda dan memberikan informasi tentang cara melakukannya di situs resmi.
  • Pastikan bahwa penyedia layanan mengikuti ‘Ketentuan Umum Kepemilikan’.
  • Pertahankan konsistensi dengan menggunakan nomor yang sama untuk menelepon orang.
  • Nomor yang digunakan hanya untuk penerimaan panggilan harus ditambahkan ke daftar ‘Jangan Asal’.

Konsumen juga perlu melakukan bagian mereka dengan mengingat hal-hal berikut:

  • Pesan yang sah biasanya konsisten dan lugas.
  • Nomor telepon dan alamat email yang digunakan minimal.
  • SenderID yang valid biasanya tidak menampilkan karakter khusus.
  • Validitas alamat dan nomor pengirim harus mudah diverifikasi di situs web resmi entitas.

Secara umum, jika ada yang salah saat berbicara dengan seseorang, tanyakan namanya dan tutup telepon. Kemudian, hubungi organisasi secara mandiri menggunakan nomor yang akan Anda temukan di situs web mereka dan mintalah untuk berbicara dengan agen yang menghubungi Anda.

Sumber : Bleeping Computer

Conti Ransomware Menambahkan Bank Indonesia Ke Dalam Daftar Korbannya

by

Bank Indonesia, yang merupakan bank sentral Indonesia, diumumkan sebagai korban ransomware Conti, dalam sebuah posting yang diterbitkan oleh pelaku ancaman. Postingan tersebut dipublikasikan di situs kebocoran dark web geng ransomware Conti, bersama dengan 838 file dengan ukuran 487,09 megabyte.

Menurut catatan yang dibuat oleh geng ransomware Conti, ini hanya mewakili satu persen dari total data yang telah dicuri. Jika itu benar, volume yang dicuri berjumlah seratus kali lipat, atau 48,7 gigabyte.

Dilaporkan oleh Bleeping Computer, Bank Indonesia (BI) telah mengkonfirmasi bahwa serangan ransomware memang menyerang jaringannya bulan lalu.

Selama insiden tersebut, para penyerang mencuri “data non-kritis” milik pegawai Bank Indonesia sebelum menyebarkan muatan ransomware di lebih dari selusin sistem di jaringan bank, seperti yang dilaporkan CNN Indonesia.

Namun, menurut juru bicara bank, insiden itu telah dimitigasi sebelum berdampak pada layanan publik BI, seperti yang dilaporkan pertama kali oleh Reuters.

Conti adalah operasi Ransomware-as-a-Service (RaaS) yang memiliki kaitan dengan kelompok kejahatan dunia maya Wizard Spider Rusia, yang juga dikenal dengan malware terkenal lainnya, termasuk Ryuk, TrickBot, dan BazarLoader.

Afiliasi grup ransomware melanggar jaringan target setelah perangkat perusahaan terinfeksi malware BazarLoader atau TrickBot, memberi mereka akses jarak jauh ke sistem yang disusupi.

Setelah mendapatkan akses ke jaringan internal korban, operator Conti akan mengkompromikan perangkat lain yang menyebar melalui jaringan korban.

Malware BHUNT baru menargetkan wallet dan kata sandi crypto Anda

by

Malware pencuri crypto-wallet modular baru yang dijuluki ‘BHUNT’ telah terlihat menargetkan konten dompet cryptocurrency, kata sandi, dan frasa keamanan.

Ini adalah pencuri crypto lainnya yang ditambahkan ke tumpukan besar malware yang menargetkan mata uang digital, tetapi patut mendapat perhatian khusus karena sifatnya yang tersembunyi.

Penemuan dan analisis malware BHUNT baru berasal dari Bitdefender, yang membagikan temuan mereka dengan Bleeping Computer sebelum dipublikasikan.

Untuk menghindari deteksi dan memicu peringatan keamanan, BHUNT dikemas dan sangat dienkripsi menggunakan Themida dan VMProtect, dua pengemas mesin virtual yang menghalangi adanya reverse engineering dan analisis oleh para peneliti.

Pelaku ancaman menandatangani malware yang dapat dieksekusi dengan tanda tangan digital yang dicuri dari Piriform, pembuat CCleaner. Namun, karena pengembang malware menyalinnya dari executable yang tidak terkait, itu ditandai sebagai tidak valid karena ketidakcocokan binary.

Bitdefender menemukan bahwa BHUNT disuntikkan ke explorer.exe dan kemungkinan dikirimkan ke sistem yang disusupi melalui unduhan KMSpico, utilitas populer untuk mengaktifkan produk Microsoft secara ilegal.

Komponen utama BHUNT adalah ‘mscrlib.exe,’ yang mengekstrak modul lebih lanjut yang diluncurkan pada sistem yang terinfeksi untuk melakukan perilaku jahat yang berbeda.

Modul saat ini termasuk dalam executable ‘mscrlib.exe’ BHUNT dijelaskan di bawah ini:

  • blackjack – mencuri isi file wllet, mengkodekannya dengan basis 64, dan mengunggahnya ke server C2
  • chaos_crew – mengunduh muatan
  • golden7 – mencuri kata sandi dari clipboard dan mengunggah file ke server C2
  • Sweet_Bonanza – mencuri informasi dari browser (Chrome, IE, Firefox, Opera, Safari)
  • mrpropper – membersihkan jejak (file argumen)

Dompet yang ditargetkan adalah Exodus, Electrum, Atomic, Jaxx, Ethereum, Bitcoin, dan Litecoin.

Selengkapnya: Bleeping Computer

Aplikasi Olimpiade Cina Yang Wajib Diinstal Memiliki Dua Lubang Keamanan

by

Penggunaan aplikasi Olimpiade China, MY2022, adalah wajib bagi semua orang yang menghadiri Olimpiade tahun ini di Beijing, baik sebagai atlet atau hanya menonton dari stadion.

Aplikasi ini mengumpulkan data pribadi yang sensitif – seperti detail paspor, data medis, dan riwayat perjalanan – dan analisis oleh peneliti keamanan mengungkapkan bahwa kode tersebut memiliki dua lubang keamanan yang dapat mengungkap informasi ini:

Citizen Lab, yang juga memainkan peran kunci dalam mengidentifikasi ponsel yang disusupi oleh spyware Pegasus, melakukan analisis.

[Kami menemukan] dua kerentanan keamanan di MY2022 terkait dengan keamanan transmisi data pengguna. Pertama, kami menjelaskan kerentanan di mana MY2022 gagal memvalidasi sertifikat SSL, sehingga gagal memvalidasi kepada siapa ia mengirim data terenkripsi yang sensitif. Kedua, kami menjelaskan transmisi data yang gagal dilindungi oleh MY2022 dengan enkripsi apa pun.

Selain itu, versi Android berisi daftar kata-kata terlarang – meskipun ini belum digunakan secara aktif.

Dibundel dengan MY2022 versi Android, kami menemukan file bernama “illegalwords.txt” yang berisi daftar 2.442 kata kunci yang umumnya dianggap sensitif secara politik di China. Namun, meskipun disertakan dalam aplikasi, kami tidak dapat menemukan fungsi apa pun di mana kata kunci ini digunakan untuk melakukan penyensoran. Tidak jelas apakah daftar kata kunci ini sepenuhnya tidak aktif, dan, jika demikian, apakah daftar tersebut sengaja tidak aktif. Namun, aplikasi berisi fungsi kode yang dirancang untuk menerapkan daftar ini ke arah penyensoran, meskipun saat ini fungsi ini tampaknya tidak dipanggil.

Selengkapnya: 9to5mac

Senat Italia Tak Sengaja Mainkan Video NSFW Tifa Lockhart

by

Selama pandemi, rapat Zoom telah menjadi sarana komunikasi yang disukai. Terutama karena itu berarti tidak ada yang terkena penyakit yang berpotensi mematikan, tetapi juga karena itu berarti bahwa fungsi vital negara masih dapat dilakukan dari kenyamanan rumah Anda sendiri. Oleh karena itu, rapat Zoom adalah berapa banyak pemerintah negara bagian yang melakukan bisnis akhir-akhir ini.

Namun, itu juga memunculkan bentuk baru cybervandalism. Zoombombing, seperti yang disebut, adalah ketika seorang hacker berhasil menyerang pertemuan Zoom dan kemudian mengambil alih layar presenter, sering memainkan materi cabul atau ofensif segera setelah mereka mendapatkan kendali. Inilah yang terjadi selama pertemuan baru-baru ini antara senator Italia.

Seperti dicatat oleh AnimeClickIT, konferensi ini diselenggarakan senin oleh pemenang Hadiah Nobel Giorgio Parisi dan menampilkan beberapa senator Italia. Pada titik tertentu selama panggilan Zoom, seorang pengguna bernama Alex Spence masuk ke panggilan dan mulai menyiarkan video hentai. Yang pertama menampilkan Tifa Lockhart, yang telah berada di garis depan video hentai buatan penggemar selama beberapa dekade.

Setelah video mendapat teriakan alarm (termasuk setidaknya satu “oh Christo” dari senator Maria Laura Mantovani) tim teknologi konferensi berusaha untuk mendapatkan kembali kendali, hanya untuk memiliki video hentai lain yang diputar yang menampilkan Xiangling Genshin Impact. Alex kemudian ditendang dari panggilan konferensi.

Mantovani bersumpah untuk melaporkan insiden itu ke polisi, tetapi bisa sangat sulit untuk mengadili kasus-kasus ini karena seringkali pengacau tidak tinggal di negara yang sama.

Jika Anda ingin mengalami kepanikan dan kebingungan yang sama dengan senator Italia, sayangnya Anda harus menggulir beberapa posting dari tautan ini di sini untuk menemukannya. Dan jika deskripsi di atas tidak membuat hal-hal sangat jelas, konten yang akan Anda alami harus dibatasi untuk pemirsa dewasa. Dan juga penonton yang ingin melihat Tifa Lockhart dalam pergolakan gairah sementara senator Italia berteriak untuk mematikannya. Saya berharap ini menjadi kategori PornHub yang anehnya segera.

Sumber: THEGAMER

Olimpiade Musim Dingin: Atlet Disarankan Menggunakan Pembakar Telepon Beijing

by

Aplikasi Olimpiade Musim Dingin Beijing yang harus digunakan semua peserta Olimpiade mengandung kelemahan keamanan yang membuat pengguna terkena pelanggaran data, kata para analis.

Aplikasi My2022 akan digunakan oleh atlet, anggota audiens dan media untuk pemantauan Covid setiap hari.

Aplikasi ini juga akan menawarkan obrolan suara, transfer file, dan berita Olimpiade.

Tetapi kelompok cybersecurity Citizen Lab mengatakan aplikasi itu gagal memberikan enkripsi pada banyak filenya. China telah menepis kekhawatiran tersebut.

Pertanyaan tentang aplikasi datang di tengah meningkatnya peringatan tentang keamanan teknologi pengunjung menjelang Olimpiade, yang dimulai pada 4 Februari.

Orang-orang yang menghadiri Olimpiade Beijing harus membawa ponsel pembakar dan membuat akun email untuk waktu mereka di China, perusahaan keamanan cyber Internet 2.0 mengatakan pada hari Selasa.

Beberapa negara juga dilaporkan telah mengatakan kepada para atlet untuk meninggalkan perangkat utama mereka di rumah.

Masalah sensor

Laporan Citizen Lab mengatakan telah menemukan daftar “kata kunci sensor” yang dibangun ke dalam aplikasi, dan fitur yang memungkinkan orang untuk menandai ekspresi “sensitif secara politik” lainnya.

Daftar kata-kata termasuk nama-nama pemimpin Cina dan lembaga pemerintah, serta referensi untuk pembunuhan 1989 demonstran pro-demokrasi di Lapangan Tiananmen, dan kelompok agama Falun Gong, yang dilarang di Cina.

Para analis mencatat bahwa fitur dan kelemahan keamanan ini tidak jarang terjadi pada aplikasi di China tetapi menimbulkan risiko bagi pengguna.

Analis mengatakan file “kata-kata ilegal” tampaknya saat ini tidak aktif, tetapi tidak jelas.

Semua pengunjung Ke Olimpiade diharuskan mengunduh aplikasi 14 hari sebelum keberangkatan mereka ke China, dan menggunakannya untuk merekam setiap hari status Covid mereka.

Untuk pengunjung asing mereka juga perlu mengunggah informasi sensitif yang sudah diserahkan kepada pemerintah China – seperti rincian paspor dan riwayat perjalanan dan medis.

Citizen Lab mengatakan kelemahan transmisi dalam perangkat lunak aplikasi dapat menyebabkan eksploitasi data yang mudah oleh peretas, jika ditargetkan.

Dalam sebuah laporan pada hari Selasa, outlet media pemerintah China Global Times menepis kekhawatiran tentang aplikasi tersebut, dengan mengatakan “semua informasi pribadi akan dienkripsi untuk memastikan privasi”.

Ini membandingkan aplikasi dengan aplikasi yang telah digunakan di Olimpiade Tokyo.

Sumber: BBC

Hacks Terburuk tahun 2021

by

2021 adalah musim terbuka bagi penyerang di seluruh dunia. Geng Ransomware sangat agresif, menargetkan fasilitas perawatan kesehatan, sekolah, dan infrastruktur penting pada tingkat yang mengkhawatirkan. Dengan pandemi yang masih berkobar di latar belakang, administrator sistem, penanggap insiden, penegak hukum global, dan semua jenis praktisi keamanan bekerja tanpa lelah untuk melawan rentetan serangan.

Inilah retrospektif tentang pelanggaran terburuk tahun ini, kebocoran, paparan data, serangan ransomware, kampanye peretasan yang disponsori negara, dan kekacauan digital.

Colonial Pipeline
Pada awal Mei, ransomware menghantam Colonial Pipeline, yang mengoperasikan pipa sepanjang 5.500 mil yang membawa hampir setengah dari bahan bakar Pantai Timur—bensin, solar, dan gas alam—dari Texas hingga New Jersey. Sebagai akibat dari serangan tersebut, perusahaan menutup sebagian jalur pipa baik untuk menampung malware maupun karena serangan tersebut membuat sistem penagihannya offline. Colonial Pipelines membayar tebusan 75 bitcoin—bernilai lebih dari $4 juta pada saat itu—dalam upaya untuk menyelesaikan insiden tersebut.

Kaseya
Pada awal Juli, peretas yang terkait dengan geng ransomware REvil yang berbasis di Rusia mengeksploitasi kelemahan pada alat Administrator Sistem Virtual Kaseya. REvil menetapkan uang tebusan sekitar $45.000 untuk banyak korban hilir dan sebanyak $5 juta untuk penyedia layanan terkelola itu sendiri. Geng juga menawarkan untuk merilis alat dekripsi universal untuk sekitar $70 juta. Tapi pada akhir Juli, Kaseya memperoleh decryptor universal dan mulai mendistribusikannya ke target. Pada awal November, Departemen Kehakiman AS mengumumkan bahwa mereka telah menangkap salah satu pelaku utama serangan Kaseya, seorang warga negara Ukraina yang ditangkap pada bulan Oktober.

Twitch
Layanan streaming langsung Twitch mengkonfirmasi bahwa entitas yang tidak dikenal merilis 128 GB data kepemilikan yang dicuri dari perusahaan. Pelanggaran itu termasuk kode sumber lengkap Twitch. Perusahaan mengatakan pada saat itu bahwa insiden itu adalah hasil dari “perubahan konfigurasi server yang memungkinkan akses yang tidak tepat oleh pihak ketiga yang tidak sah.” Twitch membantah bahwa kata sandi terungkap dalam pelanggaran tersebut, tetapi mengakui bahwa informasi tentang pendapatan masing-masing streamer telah dicuri. Selain kode sumber itu sendiri dan data pembayaran streamer sejak 2019, harta karun itu juga berisi informasi tentang sistem internal Twitch Amazon Web Services dan SDK berpemilik.

Peretasan Microsoft Exchange
Kelompok peretas yang didukung negara China yang dikenal sebagai Hafnium menangis mengeksploitasi sekelompok kerentanan dalam perangkat lunak Microsoft Exchange Server. Peretasan itu mengenai berbagai korban, termasuk usaha kecil dan pemerintah daerah. Dan kampanye tersebut juga mempengaruhi sejumlah besar organisasi di luar AS, seperti Parlemen Norwegia dan Otoritas Perbankan Eropa. Microsoft mengeluarkan tambalan darurat pada 2 Maret untuk mengatasi kerentanan, tetapi peretasan sudah berjalan dan banyak organisasi membutuhkan waktu berhari-hari atau berminggu-minggu untuk menginstal perbaikan, jika mereka melakukannya sama sekali.

Meretas Dengan Alat Grup NSO
Platform komunikasi WhatsApp dan Apple menggugat NSO pada 2019 setelah serangkaian pengungkapan bahwa NSO menciptakan alat untuk menginfeksi target iOS dengan spyware Pegasus andalannya dengan mengeksploitasi kelemahan pada platform komunikasi iMessage Apple. Para peneliti mempelajari daftar bocoran 50.000 nomor telepon yang terkait dengan aktivis, jurnalis, eksekutif, dan politisi yang semuanya merupakan target pengawasan potensial. NSO Group telah membantah klaim tersebut. Pada bulan Desember, peneliti Google menyimpulkan bahwa kecanggihan malware NSO setara dengan peretas elit negara bangsa.

JBS USA
JBS SA mengalami serangan ransomware besar-besaran pada akhir Mei. Anak perusahaannya JBS USA mengatakan “itu adalah target serangan keamanan siber terorganisir, yang memengaruhi beberapa server yang mendukung sistem TI Amerika Utara dan Australia.”. Fasilitas JBS di Australia, AS, dan Kanada menghadapi gangguan, dan serangan tersebut menyebabkan serangkaian dampak di seluruh industri daging yang menyebabkan penutupan pabrik, karyawan yang dipulangkan, dan ternak yang harus dikembalikan ke petani. Insiden itu terjadi hanya beberapa minggu setelah serangan Colonial Pipeline, yang menggarisbawahi kerapuhan infrastruktur kritis dan rantai pasokan global yang vital.

Accelion
Vendor firewall Accellion merilis patch pada akhir Desember untuk mengatasi sekelompok kerentanan di salah satu penawaran peralatan jaringannya. Namun, tambalan tidak datang atau diinstal dengan cukup cepat untuk lusinan organisasi di seluruh dunia. Banyak yang mengalami pelanggaran data dan menghadapi upaya pemerasan sebagai akibat dari kerentanan. Para korban termasuk Reserve Bank of New Zealand, negara bagian Washington, Australian Securities and Investments Commission, firma keamanan siber Qualys, telekomunikasi Singapura Singtel, firma hukum terkenal Jones Day, jaringan toko grosir Kroger, dan University of Colorado. .

Honorable Mention: T-Mobile dan Neiman Marcus
Operator nirkabel T-Mobile mengakui pada bulan Agustus bahwa data dari lebih dari 48 juta orang telah dibobol dalam pelanggaran bulan itu. Para korban dicuri nama, tanggal lahir, nomor jaminan sosial, dan detail SIM mereka. Selain itu, 850.000 pelanggan dengan paket prabayar memiliki nama, nomor telepon, dan PIN yang diambil dalam pelanggaran tersebut.

Pelanggar berulang lainnya adalah jaringan department store Neiman Marcus. Perusahaan mengungkapkan insiden pada bulan Oktober, yang mengungkap nama korban, alamat, dan informasi kontak lainnya, ditambah kredensial login dan pertanyaan/jawaban keamanan dari akun Neiman Marcus online, nomor kartu kredit dan tanggal kedaluwarsa, dan nomor kartu hadiah.

Selengkapnya : WIRED

Bug Pusat Kontak Cisco yang Kritis Mengancam Kerusakan Layanan Pelanggan

by

Bug keamanan kritis yang memengaruhi portofolio Unified Contact Center Enterprise (UCCE) Cisco dapat memungkinkan peningkatan hak istimewa dan pengambilalihan platform.

Cisco UCCE adalah platform layanan pelanggan lokal yang mampu mendukung hingga 24.000 agen layanan pelanggan menggunakan saluran yang mencakup suara masuk, suara keluar, respons suara interaktif keluar (IVR), dan saluran digital. Ini juga menawarkan umpan balik melalui IVR pasca-panggilan, email, dan survei intersep web; dan berbagai opsi pelaporan untuk mengumpulkan informasi tentang kinerja agen untuk digunakan dalam menetapkan metrik dan menginformasikan intelijen bisnis.

Bug yang dimaksud (CVE-2022-20658) adalah yang sangat buruk, dengan peringkat kritis 9,6 dari 10 pada skala kerentanan-keparahan CVSS, dan dapat memungkinkan penyerang jarak jauh yang diautentikasi untuk meningkatkan hak istimewa mereka menjadi administrator, dengan kemampuan untuk membuat akun administrator lain.

Ini secara khusus ada di antarmuka manajemen berbasis web dari Cisco Unified Contact Center Management Portal (Unified CCMP) dan Cisco Unified Contact Center Domain Manager (Unified CCDM) dan berasal dari fakta bahwa server bergantung pada mekanisme otentikasi yang ditangani oleh sisi klien. Itu membuka pintu bagi penyerang yang memodifikasi perilaku sisi klien untuk melewati mekanisme perlindungan.

Dipersenjatai dengan akun admin tambahan, penyerang dapat mengakses dan memodifikasi telepon dan sumber daya pengguna di semua platform yang terkait dengan Cisco Unified CCMP yang rentan.

Seseorang dapat memperkirakan malapetaka operasional dan identitas merek yang dapat ditimbulkan oleh penyerang dengan melumpuhkan sistem layanan pelanggan perusahaan besar belum lagi kerusakan yang dapat dilakukan dengan akses ke kumpulan data informasi pribadi yang harus disimpan oleh sistem di perusahaan ‘ pelanggan, termasuk komunikasi telepon dan email.

Namun, untuk berhasil mengeksploitasi kerentanan, penyerang memerlukan kredensial “Pengguna Tingkat Lanjut” yang valid, sehingga bug perlu dirantai dengan yang lain untuk akses awal.

Ada tambalan yang tersedia untuk masalah ini, tetapi tidak ada solusi. Informasi patch adalah sebagai berikut:

Versi 11.6.1 dan sebelumnya: Rilis tetap adalah 11.6.1 ES17
Versi 12.0.1: Rilis tetap adalah 12.0.1 ES5
Versi 12.5.1: Rilis tetap adalah 12.5.1 ES5
Versi 12.6.1: Tidak terpengaruh

Tidak ada eksploitasi publik yang diketahui sejauh ini, menurut raksasa jaringan itu.

Sumber : Threat Post