Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Mengapa ancaman keamanan siber saat ini lebih berbahaya

by

Selama dua tahun terakhir, munculnya serangan ransomware besar-besaran dan pengungkapan infeksi rantai pasokan perangkat lunak berbahaya telah meningkatkan keamanan siber menjadi agenda utama pemerintah.

Pada saat yang sama, perusahaan Amerika dan bahkan masyarakat umum telah sadar akan bahaya digital baru yang ditimbulkan oleh aktor negara-bangsa dan organisasi kriminal.

Maka tidak mengherankan bahwa dua utas yang berjalan melalui Aspen Cyber Summit tahun ini adalah sifat rumit dari ancaman keamanan siber yang sekarang kita hadapi dan bagaimana mereka mungkin berbeda dari tantangan yang kita hadapi di masa lalu.

Tidak seperti 20 tahun yang lalu, bahkan ketika sistem TI yang ekstensif secara komparatif berdiri sendiri dan langsung, sistem yang saling ketergantungan sekarang membuat penanganan dan pertahanan terhadap ancaman menjadi proposisi yang jauh lebih sulit.

Salah satu variabel baru yang dilemparkan ke dalam campuran digital adalah pertumbuhan meteroik ransomware, yang membuatnya tampak bahwa serangan siber semakin buruk.

Terlebih lagi, permukaan serangan saat ini tidak hanya jauh lebih luas daripada sebelumnya, tetapi juga mencakup perangkat internet-of-things (IoT), yang, tidak seperti komputer mainframe dan laptop dan bahkan perangkat seluler, sulit diperbarui dari perspektif keamanan.

Jay Healey, peneliti senior di Universitas Columbia, mengatakan bahwa interkoneksi sektor infrastruktur kritis yang hampir ada di mana-mana saat ini dengan jaringan digital memang menimbulkan ancaman yang lebih gelap daripada Trojan dan virus.

Perubahan signifikan lainnya dari 20 tahun lalu adalah pergeseran sifat kejahatan dunia maya, kata Kevin Mandia, CEO FireEye. “Ketika Anda melihat para penjahat, saya pikir mungkin 20 tahun yang lalu mereka harus sangat teknis.” Sekarang hambatan masuk kejahatan dunia maya rendah dan kejahatan dunia maya menjadi layanan.

Selengkapnya: CSO Online

Dua operator ransomware ditangkap di Ukraina

by

Dua anggota geng ransomware ditangkap di Ukraina setelah operasi penegakan hukum internasional bersama dilakukan.

Penangkapan tersebut terjadi pekan lalu, pada 28 September, di Kyiv, ibu kota Ukraina, dan dilakukan oleh petugas Kepolisian Nasional Ukraina, dengan bantuan dari Gendarmerie Prancis, FBI, Europol, dan Interpol.

Dua tersangka ditangkap, termasuk seorang pria berusia 25 tahun yang diyakini sebagai anggota penting dari operasi ransomware besar.

Pejabat menolak menyebutkan afiliasi tersangka ke geng ransomware tertentu, mengutip penyelidikan resmi yang sedang berlangsung, kata juru bicara Europol kepada The Record.

Pejabat Ukraina mengatakan dalam siaran pers tersangka bertanggung jawab atas serangan terhadap lebih dari 100 perusahaan di seluruh dunia dan telah menyebabkan kerusakan lebih dari $150 juta.

Dalam siaran pers, Europol mengatakan para tersangka telah aktif sejak April 2020 dan bahwa kelompok mereka “dikenal karena tuntutan tebusan mereka yang terlalu tinggi (antara €5 hingga €70 juta).”

Beberapa peneliti keamanan menduga bahwa dua tersangka yang ditangkap minggu lalu adalah anggota geng ransomware REvil.

Selengkapnya: The Record

Ransomware Atom Silo baru menargetkan server Confluence yang rentan

by

Atom Silo, grup ransomware yang baru ditemukan, menargetkan kerentanan Confluence Server dan Pusat Data yang baru-baru ini ditambal dan dieksploitasi secara aktif untuk menyebarkan muatan ransomware mereka.

Atlassian Confluence adalah ruang kerja tim perusahaan berbasis web yang sangat populer yang membantu karyawan berkolaborasi dalam berbagai proyek.

Pada 25 Agustus, Atlassian mengeluarkan pembaruan keamanan untuk menambal kerentanan eksekusi kode jarak jauh (RCE) Confluence yang dilacak sebagai CVE-2021-26084 dan sedang aktif dieksploitasi.

Eksploitasi yang berhasil memungkinkan penyerang yang tidak diautentikasi untuk menjalankan perintah pada server yang belum ditambal dari jarak jauh.

Penemuan ini dibuat oleh para peneliti SophosLabs saat menyelidiki insiden baru-baru ini. Mereka juga menemukan bahwa ransomware yang digunakan oleh grup baru ini hampir identik dengan LockFile, yang sangat mirip dengan yang digunakan oleh grup ransomware LockBit.

Namun, operator Atom Silo menggunakan “beberapa teknik baru yang membuatnya sangat sulit untuk diselidiki, termasuk side-loading library dynamic-link berbahaya yang dirancang untuk mengganggu perangkat lunak perlindungan titik akhir.”

Setelah mengkompromikan server Confluence dan memasang backdoor, pelaku ancaman menjatuhkan backdoor tersembunyi tahap kedua menggunakan side-loading DLL untuk meluncurkannya pada sistem yang dilanggar.

Payload Ransomware yang disebarkan oleh Atom Silo juga dilengkapi dengan driver kernel berbahaya yang digunakan untuk mengganggu solusi perlindungan titik akhir dan menghindari deteksi.

Rincian teknis lebih lanjut tentang Atom Silo dan taktik gerakan lateral dapat ditemukan dalam laporan SophosLabs.

Sumber: Bleeping Computer

Perusahaan yang Mengarahkan Miliaran Pesan Teks Diam-diam Mengatakan Telah Diretas

by

Sebuah perusahaan yang merupakan bagian penting dari infrastruktur telekomunikasi global yang digunakan oleh AT&T, T-Mobile, Verizon dan beberapa lainnya di seluruh dunia seperti Vodafone dan China Mobile, diam-diam mengungkapkan bahwa peretas telah berada di dalam sistemnya selama bertahun-tahun, berdampak pada lebih dari 200 kliennya dan berpotensi memiliki jutaan pengguna ponsel di seluruh dunia.

Perusahaan, Syniverse, mengungkapkan dalam pengajuan tanggal 27 September dengan Komisi Keamanan dan Pertukaran AS bahwa “individu atau organisasi yang tidak dikenal memperoleh akses tidak sah ke basis data dalam jaringannya pada beberapa kesempatan, dan informasi masuk yang memungkinkan akses ke atau dari Data Elektroniknya. Lingkungan Transfer (EDT) dikompromikan untuk sekitar 235 pelanggannya.”

Seorang mantan karyawan Syniverse yang bekerja pada sistem EDT memberi tahu Motherboard bahwa sistem tersebut memiliki informasi tentang semua jenis catatan panggilan.

Syniverse berulang kali menolak untuk menjawab pertanyaan spesifik dari Motherboard tentang skala pelanggaran dan data spesifik apa yang terpengaruh, tetapi menurut orang yang bekerja di operator telepon, siapa pun yang meretas Syniverse dapat memiliki akses ke metadata seperti panjang dan biaya, penelepon dan nomor penerima, lokasi pihak dalam panggilan, serta isi pesan teks SMS.

Perusahaan menulis bahwa mereka menemukan pelanggaran pada Mei 2021, tetapi peretasan dimulai pada Mei 2016.

Syniverse menyediakan layanan tulang punggung untuk operator nirkabel seperti AT&T, Verizon, T-Mobile, dan beberapa lainnya di seluruh dunia.

Itu berarti pelanggaran data yang baru-baru ini ditemukan dan selama bertahun-tahun berpotensi mempengaruhi jutaan — jika bukan miliaran — pengguna ponsel, tergantung pada operator apa yang terpengaruh.

Sumber: Vice

Membuat Sinyal Nirkabel dengan Kabel Ethernet untuk Mencuri Data dari Sistem Air-Gapped

by

Mekanisme eksfiltrasi data yang baru ditemukan menggunakan kabel Ethernet sebagai “antena pemancar” untuk secara diam-diam menyedot data yang sangat sensitif dari air-gapped systems, menurut penelitian terbaru.

“Sangat menarik bahwa kabel yang datang untuk melindungi celah udara menjadi kerentanan celah udara dalam serangan ini,” Dr. Mordechai Guri, kepala R&D di Pusat Penelitian Keamanan Siber di Universitas Ben Gurion Negev di Israel, kepada The Hacker News.

Dijuluki “LANtenna Attack”, teknik baru ini memungkinkan kode berbahaya di komputer dengan celah udara untuk mengumpulkan data sensitif dan kemudian menyandikannya melalui gelombang radio yang berasal dari kabel Ethernet seolah-olah itu adalah antena.

Sinyal yang ditransmisikan kemudian dapat dicegat oleh penerima software-defined radio (SDR) terdekat secara nirkabel, memecahkan kode data, dan mengirimkannya ke penyerang yang berada di ruangan yang berdekatan.

“Khususnya, kode berbahaya dapat berjalan dalam proses mode pengguna biasa dan berhasil beroperasi dari dalam mesin virtual,” catat para peneliti dalam makalah berjudul “LANTENNA: Exfiltrating Data from Air-Gapped Networks via Ethernet Cables.”

Sebagai tindakan pencegahan, para peneliti mengusulkan pelarangan penggunaan penerima radio di dalam dan di sekitar jaringan yang memiliki celah udara dan memantau aktivitas lapisan tautan kartu antarmuka jaringan untuk setiap saluran rahasia, serta mengganggu sinyal, dan menggunakan pelindung logam untuk membatasi medan elektromagnetik agar tidak mengganggu atau memancar dari kabel berpelindung.

Sumber: The Hacker News

Pelaku Ancaman Menyalahgunakan Bot Telegram untuk Membahayakan Akun PayPal

by

Penjahat dunia maya menggunakan bot Telegram untuk mencuri token kata sandi satu kali (OTP) dan menipu orang melalui bank dan sistem pembayaran online, termasuk PayPal, Apple Pay, dan Google Pay, menurut penelitian baru.

Para peneliti dari Intel 471 menemukan kampanye tersebut telah beroperasi sejak Juni, dalam sebuah laporan yang diterbitkan Rabu.

“Otentikasi dua faktor adalah salah satu cara termudah bagi orang untuk melindungi akun online apa pun,” catat para peneliti dalam posting tersebut. “Jadi, tentu saja para penjahat berusaha menghindari perlindungan itu.”

Pelaku ancaman menggunakan bot dan channel Telegram dan berbagai taktik untuk mendapatkan informasi akun, termasuk menelepon korban, dan menyamar sebagai bank dan layanan yang sah, kata para peneliti.

Melalui rekayasa sosial, pelaku ancaman juga menipu orang untuk memberi mereka OTP atau kode verifikasi lainnya melalui perangkat seluler, yang kemudian digunakan penjahat untuk melakukan penipuan uang, kata mereka.

Memang, bot Telegram telah menjadi alat populer bagi penjahat dunia maya, yang telah menggunakannya dengan berbagai cara sebagai bagian dari penipuan pengguna. Kampanye serupa ditemukan pada bulan Januari, dijuluki Classiscam, di mana bot dijual sebagai layanan oleh penjahat dunia maya berbahasa Rusia dengan tujuan mencuri uang dan data pembayaran dari korban Eropa. Pelaku ancaman lain telah ditemukan menggunakan bot Telegram dengan cara yang agak unik sebagai perintah-dan-kontrol untuk spyware.

Dalam hal ini, peneliti Intel 471 mengamati dan menganalisis aktivitas kampanye terkait tiga bot—dijuluki SMSRanger, BloodOTPbot, dan SMS Buster.

Selengkapnya: The Threat Post

Conti Ransomware Memperluas Kemampuan untuk Meledakkan Cadangan

by

Pandai mengidentifikasi dan menghapus cadangan? Berbicara bahasa Rusia? Grup ransomware Conti yang terkenal mungkin menemukan Anda prospek perekrutan yang bagus.

Itu menurut sebuah laporan yang diterbitkan pada hari Rabu oleh perusahaan pencegahan risiko cyber Advanced Intelligence, yang merinci bagaimana Conti telah mengasah penghancuran cadangannya menjadi seni yang bagus – semakin baik untuk menemukan, menghancurkan, dan membunuh data yang dicadangkan. Bagaimanapun, cadangan adalah hambatan utama untuk mendorong pembayaran ransomware.

Palo Alto Networks telah menggambarkan geng itu sebagai geng yang menonjol, dan tidak dalam cara yang baik: “Ini adalah salah satu dari lusinan geng ransomware yang paling kejam yang kami ikuti,” kata perusahaan itu. Pada Juni, Conti telah menghabiskan lebih dari satu tahun menyerang organisasi di mana pemadaman TI dapat mengancam kehidupan: Rumah Sakit, operator pengiriman nomor darurat, layanan medis darurat, dan lembaga penegak hukum.

AdvIntel telah menemukan bahwa Conti membangun keahlian penghapusan cadangannya dari bawah ke atas, mulai dari “tingkat pengembangan tim”. Yaitu, ketika geng ransomware-as-a-service (RaaS) merekrut pekerja untuk menyerang jaringan, mereka jelas bahwa kandidat penguji penetrasi mereka membutuhkan keterampilan terbaik dalam menemukan dan menghapus cadangan.

Conti terutama berfokus pada pengembangan cara baru untuk mengkompromikan perangkat lunak cadangan dari perusahaan pemulihan bencana Veeam.

Selengkapnya: The Threat Post

Alat Spyware Terkenal Ditemukan Bersembunyi Di Bawah Empat Lapisan Obfuscation

by

FinFisher/FinSpy, spyware komersial yang terkenal dan sangat kontroversial yang dijual oleh perusahaan Jerman FinFisher ke negara-bangsa dan penegak hukum untuk tujuan pengawasan, sekarang membungkus dirinya dalam empat lapisan obfuscation dan metode penghindaran deteksi lainnya untuk menghindari penemuan dan analisis.

Para peneliti di perusahaan keamanan Kaspersky yang berbasis di Moskow membutuhkan waktu delapan bulan untuk melakukan reverse engineering dan analisis penuh untuk mengungkap versi baru spyware yang sangat tersembunyi ini untuk Windows, Mac OS, dan Linux.

Selain metode obfuscation empat lapis, spyware juga sekarang menggunakan bootkit UEFI (Unified Extensible Firmware Interface) untuk menginfeksi targetnya, dan juga mengenkripsi malware dalam memori, menurut para peneliti. Penelitian tim Kaspersky dimulai pada 2019, dan mereka akhirnya membagikan temuan mereka di KTT Analis Keamanan online Kaspersky.

Para peneliti sebelumnya telah menemukan installer berbahaya untuk TeamViewer, VLC Media Player, dan WinRAR yang tidak memiliki tautan ke malware yang diketahui. Tetapi ketika mereka menemukan situs web berbahasa Burma dengan installer yang sama, serta sampel FinFisher untuk Android, mereka berputar kembali ke installer sebelumnya dan menghubungkan titik-titik ke FinFisher/FinSpy.

Bagaimana FinSpy masuk ke mesin korban yang diteliti oleh para peneliti tidak diketahui, tetapi mungkin saja penyerang memiliki akses fisik atau mencuri kredensial administratif.

Igor Kuznetsov, peneliti keamanan utama di Tim Riset dan Analisis Global (GReAT) Kaspersky mengatakan para korban entah bagaimana mengunduh dan secara tidak sengaja menginstal malware tahap pertama.

Selengkapnya: Dark Reading