Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Bagaimana InfoSec Harus Menggunakan Daftar Periksa Produk Aman Minimum yang Layak

by

Sebuah tim perusahaan teknologi termasuk Google, Salesforce, Slack, dan Okta baru-baru ini merilis daftar periksa Minimum Viable Secure Product (MVSP), garis dasar keamanan netral vendor yang mencantumkan persyaratan keamanan minimum yang dapat diterima untuk perangkat lunak B2B dan pemasok outsourcing proses bisnis.

Berita itu datang pada saat banyak organisasi semakin khawatir tentang keamanan alat dan proses pihak ketiga yang mereka gunakan.

Tren ini telah mendorong percakapan yang lebih luas tentang rantai pasokan TI dan bagaimana perusahaan berinteraksi dengan vendor untuk menentukan keamanan produk pihak ketiga.

Banyak organisasi secara historis menggunakan kuesioner tinjauan keamanan vendor untuk menentukan kekuatan keamanan perangkat lunak vendor, kata Royal Hansen, wakil presiden keamanan di Google, yang ia catat merilis Kuesioner Penilaian Keamanan Vendor open source pada tahun 2016.

“Meskipun kuesioner ini dapat membantu, seringkali panjang, kompleks, dan memakan waktu,” kata Hansen. “Akibatnya, pendeteksian pemblokir serius sering kali terlambat dalam sebuah proyek untuk membuat perubahan, sehingga mereka tidak efektif untuk RFP dan tinjauan tahap awal.”

Bisnis juga telah membuat daftar tindakan keamanan mereka sendiri, terkadang sewenang-wenang, tambah Jim Alkove, chief trust officer di Salesforce.

Ini menciptakan sakit kepala bagi vendor yang kemudian harus memenuhi ribuan persyaratan yang berpotensi berbeda, tambahnya. Dalam kasus ini, apabila kesalahan terjadi, akan menimbulkan vektor serangan baru.

“Itu sifat manusia,” kata Alkove. “Banyak keamanan siber datang untuk melakukan hal-hal umum yang tidak biasa dengan baik. Namun, tidak ada standar universal untuk apa ‘hal-hal umum’ itu.”

Selengkapnya: Dark Reading

Inersia Adalah Musuh Keamanan Siber

by

Manusia adalah makhluk kebiasaan, dan sistem digital memiliki “manusia dalam lingkaran” yang secara inheren ingin melakukan sesuatu dengan cara yang selalu mereka lakukan.

Ini adalah langkah pembatas laju untuk transformasi digital, dan penghalang besar dan kurang dihargai untuk meningkatkan keamanan siber.

Ini adalah preferensi manusia yang sederhana untuk melakukan besok apa yang Anda lakukan kemarin yang mengarahkan pengguna untuk mengulangi kata sandi, menunda pemasangan tambalan, dan tetap menggunakan perangkat lunak lama karena mereka merasa nyaman dengannya.

Penyerang dunia maya tahu bahwa kelambanan perilaku ini sering kali merupakan mata rantai terlemah, jadi mereka mengeksploitasinya.

Serangan phishing berhasil karena email sepertinya berasal dari teman atau bisnis yang sudah dikenal, dan halaman web palsu yang menghosting malware membodohi orang karena pengguna mengenali tampilan dan nuansanya dan cukup mengeklik atau memasukkan data tanpa berpikir.

Bukan hanya inersia perilaku individu yang memudahkan aktor jahat. Kelambanan organisasi juga merupakan masalah, dan seringkali organisasi terbesar yang paling macet di jalan mereka.

Selengkapnya: The Hill

Penawaran Hadiah Bagi Pembawa Informasi Co-Conspirator Variant Ransomware DarkSide ke Pengadilan

by

Departemen Luar Negeri AS mengumumkan tawaran hadiah hingga $10.000.000 untuk informasi yang mengarah ke identifikasi atau lokasi setiap individu yang memegang posisi kepemimpinan kunci dalam kelompok kejahatan terorganisir transnasional varian ransomware DarkSide.

Selain itu, Departemen juga menawarkan tawaran hadiah hingga $5.000.000 untuk informasi yang mengarah pada penangkapan dan/atau hukuman di negara mana pun dari individu mana pun yang berkonspirasi untuk berpartisipasi atau mencoba berpartisipasi dalam insiden ransomware varian DarkSide.

Grup ransomware DarkSide bertanggung jawab atas insiden ransomware Colonial Pipeline Company pada Mei 2021, yang menyebabkan keputusan perusahaan untuk secara proaktif dan sementara menutup pipa sepanjang 5.500 mil yang membawa 45 persen bahan bakar yang digunakan di Pantai Timur Amerika Serikat.

Dalam menawarkan hadiah ini, Amerika Serikat menunjukkan komitmennya untuk melindungi korban ransomware di seluruh dunia dari eksploitasi oleh penjahat cyber.

Amerika Serikat mencari negara-negara yang menampung penjahat ransomware yang bersedia membawa keadilan bagi bisnis dan organisasi korban yang terkena ransomware.

Hadiah ini ditawarkan di bawah Program Hadiah Kejahatan Terorganisir Transnasional (TOCRP) Departemen Luar Negeri.

Departemen mengelola TOCRP dalam koordinasi yang erat dengan mitra penegak hukum federal kami sebagai bagian dari keseluruhan upaya pemerintah untuk mengganggu dan membongkar kejahatan terorganisir transnasional secara global, termasuk kejahatan dunia maya.

Lebih dari 75 penjahat transnasional dan pengedar narkoba utama telah diadili di bawah TOCRP dan Program Hadiah Narkotika (NRP) sejak 1986. Departemen telah membayar hadiah lebih dari $135 juta hingga saat ini.

Selengkapnya: US Departement of State

Intel Menonaktifkan DirectX 12 untuk Beberapa CPU Karena Kelemahan Keamanan

by

Karena potensi kerentanan keamanan, Intel telah menonaktifkan dukungan antarmuka pemrograman aplikasi DirectX 12 di driver grafis terbarunya untuk prosesor ‘Haswell’ Core Generasi ke-4.

Mulai dari driver grafis Intel versi 15.40.44.5107, aplikasi yang berjalan secara eksklusif di DirectX 12 API tidak lagi bekerja dengan GPU yang terintegrasi ke dalam prosesor Intel Core Generasi ke-4 serta chip Celeron dan Pentium yang didukung oleh arsitektur Haswell. GPU yang dimaksud didasarkan pada arsitektur Intel Gen7.

Intel mengatakan bahwa beberapa GPU terintegrasinya mengandung kerentanan keamanan yang memungkinkan peningkatan hak istimewa.

Dalam upaya untuk mengurangi kelemahan tersebut, Intel memutuskan untuk menonaktifkan dukungan DirectX 12 API pada platform Haswell, yang secara alami berarti bahwa game DirectX 12 tidak akan lagi bekerja pada sistem berbasis Haswell yang menggunakan GPU terintegrasi.

Mereka yang perlu menjalankan aplikasi DirectX 12 berdasarkan GPU tersebut disarankan untuk menurunkan versi driver ke versi 15.40.42.5063 atau lebih lama.

Selengkapnya: Tom’s Hardware

Geng Ransomware ‘Groove’ Adalah Tipuan

by

Groove pertama kali diumumkan pada 22 Agustus di RAMP, forum cybercrime darknet berbahasa Rusia yang baru dan cukup eksklusif.

“GROOVE adalah yang pertama dan terutama organisasi kriminal agresif bermotivasi finansial yang berurusan dengan spionase industri selama sekitar dua tahun,” tulis administrator RAMP “Oranye” dalam sebuah posting yang meminta anggota forum untuk bersaing dalam kontes merancang situs web untuk grup baru.

Menurut sebuah laporan yang diterbitkan oleh McAfee, Orange meluncurkan RAMP untuk menarik pelaku ancaman terkait ransomware yang dikeluarkan dari forum kejahatan dunia maya utama karena terlalu beracun, atau kepada penjahat dunia maya yang mengeluhkan perubahan singkat atau kaku sama sekali oleh program afiliasi ransomware yang berbeda. .

Laporan itu mengatakan RAMP adalah produk dari perselisihan antara anggota geng ransomware Babuk, dan bahwa anggotanya kemungkinan memiliki koneksi ke grup ransomware lain yang disebut BlackMatter.

“[McAfee] percaya, dengan keyakinan tinggi, bahwa geng Groove adalah mantan afiliasi atau subkelompok geng Babuk, yang bersedia bekerja sama dengan pihak lain, selama ada keuntungan finansial bagi mereka,” kata laporan itu. “Jadi, kemungkinan berafiliasi dengan geng BlackMatter.”

Pada minggu pertama bulan September, Groove memposting di blog darknetnya hampir 500.000 kredensial masuk untuk pelanggan produk Fortinet VPN, nama pengguna, dan kata sandi yang dapat digunakan untuk terhubung dari jarak jauh ke sistem yang rentan. Fortinet mengatakan kredensial dikumpulkan dari sistem yang belum menerapkan tambalan yang dikeluarkan pada Mei 2019.

Beberapa pakar keamanan mengatakan posting nama pengguna dan kata sandi Fortinet VPN ditujukan untuk menarik afiliasi baru ke Groove. Tapi sepertinya kredensial itu diposting untuk menarik perhatian peneliti keamanan dan jurnalis.

Suatu saat dalam seminggu terakhir, blog darknet Groove menghilang. Dalam sebuah posting di forum kejahatan dunia maya Rusia XSS, seorang penjahat dunia maya yang mapan menggunakan pegangan “Boriselcin” menjelaskan bahwa Groove tidak lebih dari sebuah proyek hewan peliharaan untuk mengacaukan industri media dan keamanan.

Selengkapnya: Krebs on Security

Organisasi Diserang oleh Pelaku Ransomware Selama Acara Pembelian dan Penggabungan, FBI Memperingatkan

by

FBI memperingatkan bahwa aktor ancaman di balik kampanye ransomware menyerang organisasi yang mengambil bagian dalam peristiwa keuangan penting seperti penggabungan dan akuisisi perusahaan, untuk memeras target mereka dengan lebih mudah.

Pada hari Senin, FBI mengeluarkan pemberitahuan industri swasta yang memperingatkan bahwa pelaku ancaman ransomware akan memanfaatkan data keuangan yang diperoleh sebelum serangan sebagai pengaruh untuk menekan korban agar membayar uang tebusan yang diminta.

FBI menyatakan: “FBI menilai pelaku ransomware kemungkinan besar menggunakan peristiwa keuangan yang signifikan, seperti merger dan akuisisi, untuk menargetkan dan memanfaatkan perusahaan korban untuk infeksi ransomware.”

“Selama fase pengintaian awal, penjahat dunia maya mengidentifikasi informasi yang tidak tersedia untuk umum, yang mereka ancam untuk dilepaskan atau digunakan sebagai pengungkit selama pemerasan untuk membujuk korban agar mematuhi tuntutan tebusan.”

“Peristiwa yang akan datang yang dapat mempengaruhi nilai saham korban, seperti pengumuman, merger, dan akuisisi, mendorong pelaku ransomware untuk menargetkan jaringan atau menyesuaikan garis waktu mereka untuk pemerasan di mana akses dibuat.”

Selengkapnya: Heimdal Security

Trojan Perbankan Mekotio Muncul Kembali Dengan Kode Yang Diubah, Kampanye Tersembunyi

by

Trojan perbankan Amerika Latin Mekotio bangkit kembali setelah beberapa geng yang mengoperasikannya ditangkap di Spanyol. Lebih dari 100 serangan dalam beberapa minggu terakhir telah menampilkan rutinitas infeksi baru, yang menunjukkan bahwa kelompok tersebut terus secara aktif memperlengkapi kembali.

“Kampanye baru dimulai tepat setelah Pengawal Sipil Spanyol mengumumkan penangkapan 16 orang yang terlibat dengan distribusi Mekotio [alias Metamorfo] pada bulan Juli,” menurut Check Point Research (CPR). “Tampaknya komplotan di belakang malware mampu mempersempit celah dengan cepat dan mengubah taktik untuk menghindari deteksi.”

Mekotio, seperti trojan perbankan Amerika Latin lainnya, mencuri login perbankan online dan kredensial keuangan lainnya dari korban yang tidak menaruh curiga. Tapi mereka terus berkembang untuk menghindari deteksi.

Dalam kasus ini, vektor infeksi Mekotio yang diperbarui mengandung “elemen yang belum pernah terjadi sebelumnya” untuk menjaga tingkat deteksi tetap rendah, menurut analisis perusahaan, yang dikeluarkan Rabu.

Hal tersebut adalah:File batch tersembunyi dengan setidaknya dua lapisan kerumitan; Skrip PowerShell tanpa file baru yang berjalan langsung di memori;Penggunaan Themida v3 untuk mengemas muatan DLL akhir.

“Dalam tiga bulan terakhir, kami melihat sekitar 100 serangan menggunakan teknik kebingungan baru yang sederhana, dengan bantuan sandi substitusi, untuk menyembunyikan modul serangan pertama,” menurut CPR. “Teknik kebingungan sederhana ini memungkinkannya untuk tidak terdeteksi oleh sebagian besar produk antivirus.”

Selengkapnya: Threat Post

NSO Group: Perusahaan spyware Israel ditambahkan ke daftar hitam perdagangan AS

by Leave a Comment

Perusahaan Israel di balik spyware Pegasus yang kontroversial telah ditambahkan ke daftar hitam perdagangan AS.

Pegasus dilaporkan telah digunakan oleh negara-negara untuk menargetkan telepon para aktivis hak asasi dan jurnalis.

AS kini telah menempatkan pembuatnya, NSO Group, pada “daftar entitas”, yang melarang transaksi bisnis dengan mereka.

NSO Group mengatakan “kecewa” dengan keputusan itu, menambahkan bahwa teknologinya membantu menjaga keamanan nasional AS dengan “mencegah terorisme dan kejahatan”.

Telah lama dipertahankan bahwa perangkat lunaknya hanya dijual kepada militer, penegak hukum dan badan intelijen dari negara-negara dengan catatan hak asasi manusia yang baik.

Tetapi awal tahun ini, ia dituduh telah menjual teknologinya kepada pemerintah otoriter, yang kemudian menargetkan orang-orang yang tidak bersalah.

Departemen Perdagangan AS mengatakan keputusan itu “berdasarkan bukti bahwa entitas ini mengembangkan dan memasok spyware ke pemerintah asing yang menggunakan alat ini untuk secara jahat menargetkan pejabat pemerintah, jurnalis, pebisnis, aktivis, akademisi, dan pekerja kedutaan.

“Alat-alat ini juga memungkinkan pemerintah asing melakukan represi transnasional, yang merupakan praktik pemerintah otoriter yang menargetkan para pembangkang, jurnalis, dan aktivis di luar batas kedaulatan mereka untuk membungkam perbedaan pendapat. Praktik semacam itu mengancam tatanan internasional berbasis aturan,” katanya.

Ia juga mengatakan pengumuman itu adalah bagian dari upaya Presiden Biden untuk “membendung proliferasi alat digital yang digunakan untuk penindasan”.

Perusahaan Rusia dan Singapura – yang menciptakan alat peretasan – juga ditambahkan ke daftar hitam perdagangan AS.

Secara terpisah, Departemen Luar Negeri AS mengatakan tidak akan mengambil tindakan terhadap Israel, Rusia atau Singapura, berdasarkan tindakan masing-masing perusahaan.

Selengkapnya: BBC News