Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Seseorang Meretas Para Peretas

by

Dalam serangkaian “hit” terbaru di forum dark web Rusia, situs kriminal terkemuka Maza tampaknya telah diretas oleh seseorang awal pekan ini.

Ini semacam berita besar karena Maza (sebelumnya disebut “Mazafaka”) telah lama menjadi tujuan berbagai macam aktivitas kriminal, termasuk distribusi malware, pencucian uang, carding (yaitu, penjualan informasi kartu kredit curian), dan banyak lagi perilaku buruk lainnya.

Siapa pun yang meretas Maza menjaring ribuan poin data tentang pengguna situs, termasuk nama pengguna, alamat email, dan sandi yang di-hash, sebuah laporan baru dari firma intelijen Flashpoint menunjukkan. Dua pesan peringatan kemudian terlihat di halaman beranda forum: “Data Anda telah bocor” dan “Forum ini telah diretas”.

KrebsOnSecurity melaporkan bahwa penyusup kemudian menempatkan data yang dicuri di dark web, memicu ketakutan di antara para penjahat bahwa identitas mereka mungkin terungkap (oh, ironisnya). Validitas data telah diverifikasi oleh firma intelijen ancaman Intel 471.

Beberapa pengguna situs Exploit berhipotesis secara bergantian bahwa penghapusan bukanlah hasil dari beberapa geng peretas saingan, melainkan tindakan penegakan hukum.

Siapa pun yang bertanggung jawab, tidak jelas apakah mereka telah memberikan pukulan telak ke Maza atau situs lain yang terpengaruh. Maza telah dilanggar sebelumnya (sebelumnya telah disusupi pada tahun 2011), dan pelanggaran semacam itu tidak selalu merupakan indikasi “penghentian permanen,” kata para peneliti Flashpoint.

Sumber: Gizmodo

Ransomware berbahaya ini menggunakan trik baru untuk mengenkripsi jaringan Anda

by

Versi baru ransomware Ryuk dilengkapi dengan kemampuan seperti worm untuk menyebarkan dirinya di sekitar jaringan yang terinfeksi, berpotensi membuatnya lebih berbahaya daripada sebelumnya.

Ryuk adalah salah satu bentuk ransomware paling produktif, dengan operator kriminal sibernya diperkirakan telah menghasilkan lebih dari $ 150 juta pembayaran tebusan Bitcoin dari organisasi korban di seluruh dunia.

Seperti bentuk ransomware lainnya, Ryuk mengenkripsi jaringan, membuat sistem tidak berguna, dan penjahat dunia maya di balik serangan tersebut menuntut pembayaran sebagai ganti kunci dekripsi. Permintaan ini bisa mencapai jutaan dolar.

Ransomware dapat menyebar ke seluruh jaringan menggunakan Wake-on-LAN, fitur yang memungkinkan komputer Windows dihidupkan dari jarak jauh oleh komputer lain di jaringan yang sama. Dengan menyebar ke setiap mesin yang dapat dijangkau di jaringan, serangan Ryuk bisa jauh lebih merusak.

Kemampuan ini ditemukan saat ANSSI menanggapi insiden ransomware Ryuk yang tidak dikenal awal tahun ini.

Makalah ANSSI menghangatkan bahwa Ryuk tetap sangat aktif dan bahwa “setidaknya salah satu operatornya menyerang rumah sakit selama pandemi”.

Rumah sakit tampaknya menjadi target khusus serangan ransomware Ryuk, meskipun – atau mungkin karena – pandemi COVID-19 yang sedang berlangsung, dengan akses ke jaringan yang penting untuk perawatan pasien. Dan mengingat situasi yang sedang berlangsung, beberapa rumah sakit menyerah pada permintaan tebusan, menganggap pendekatan itu sebagai cara termudah untuk tetap merawat pasien – meskipun membayar uang tebusan tidak menjamin kelancaran pemulihan jaringan.

selengkapnya : ZDNET

Ditemukan lubang keamanan jaringan Linux dengan tingkat keparahan tinggi, diperbaiki

by

Pengembang keamanan Linux muda dan sedang naik daun Alexander Popov dari Russia’s Positive Technologies menemukan dan memperbaiki satu set lima lubang keamanan dalam implementasi soket virtual kernel Linux. Penyerang dapat menggunakan kerentanan ini (CVE-2021-26708) untuk mendapatkan akses root dan melumpuhkan server dalam serangan Denial of Service (DoS).

Dengan skor dasar Common Vulnerability Scoring System (CVSS) v3 7.0, dengan tingkat keparahan yang tinggi, administrator Linux yang cerdas akan menambal sistem mereka sesegera mungkin.

Meskipun Popov menemukan bug di server Fedora 33 distribusi Linux komunitas Red Hat, bug tersebut ada di sistem yang menggunakan kernel Linux dari versi 5.5 November 2019 hingga kernel jalur utama saat ini versi 5.11-rc6.

Celah ini memasuki Linux ketika dukungan multi-transport soket virtual ditambahkan. Transportasi jaringan ini memfasilitasi komunikasi antara mesin virtual (VM) dan hostnya. Ini biasanya digunakan oleh agen tamu dan layanan hypervisor yang memerlukan saluran komunikasi yang independen dari konfigurasi jaringan VM. Dengan demikian, orang-orang yang menjalankan VM di cloud, yang merupakan hampir semua orang saat ini, sangat rentan.

Popov juga menyiapkan tambalan dan mengungkapkan kerentanan kepada tim keamanan kernel Linux. Greg Kroah-Hartman, kepala pengelola kernel Linux yang stabil, menerima tambalan ke Linux 5.10.13 pada tanggal 3 Februari. Sejak itu, tambalan tersebut telah digabungkan ke dalam kernel versi utama versi 5.11-rc7 dan di-backport ke pohon stabil yang terpengaruh.

Patch juga telah dimasukkan ke dalam distribusi Linux yang populer seperti Red Hat Enterprise Linux (RHEL) 8, Debian, Ubuntu, dan SUSE.

selengkapnya : ZDNET

Malaysia Airlines mengungkapkan pelanggaran data selama sembilan tahun

by

Malaysia Airlines mengalami pelanggaran data selama sembilan tahun yang mengungkap informasi pribadi anggota dalam program frequent flyer Enrich.

Mulai kemarin, Malaysia Airlines mulai mengirim email kepada anggota program hadiah Enrich mereka untuk memberitahukan bahwa mereka adalah termasuk korban dari pelanggaran data.

Menurut Malaysia Airlines, pelanggaran terjadi pada penyedia layanan TI pihak ketiga yang memberi tahu maskapai bahwa data anggota terungkap antara Maret 2010 dan Juni 2019.

Informasi anggota yang terungkap selama pelanggaran data termasuk nama anggota, informasi kontak, tanggal lahir, jenis kelamin, nomor penumpang setia, status dan tingkat penghargaan.

Data yang terungkap tidak termasuk rencana perjalanan anggota Enrich, reservasi, tiket, atau informasi kartu ID atau kartu pembayaran.

Meskipun Malaysia Airlines mengatakan bahwa tidak ada kata sandi yang terungkap dan tidak ada bukti penyalahgunaan, maskapai tersebut merekomendasikan agar pengguna tetap mengubah kata sandi mereka. Tidak diketahui berapa banyak anggota Enrich yang terpengaruh oleh pelanggaran ini.

Sumber: Bleeping Computer

Kit phishing Cash App digunakan di alam liar

by

Pengembang platform phishing 16Shop telah menambahkan komponen baru yang menargetkan pengguna layanan pembayaran seluler Cash App yang populer.

Penyebaran produk 16Shop baru dimulai segera setelah tersedia, memikat calon korban untuk memberikan detail sensitif yang akan memberi penipu akses ke akun dan informasi pembayaran terkait.

16Shop adalah kit phishing kompleks dari pengembang yang dikenal sebagai DevilScream, yang menyiapkan mekanisme perlindungan terhadap penggunaan tanpa izin dan aktivitas penelitian.

Kit ini tersedia secara komersial dan dilokalkan dalam berbagai bahasa. Hingga saat ini, ia menyediakan kode dan templat untuk mencuri kredensial login dan detail kartu pembayaran untuk PayPal, Amazon, Apple, dan American Express.

Peneliti keamanan dari perusahaan keamanan siber ZeroFOX memperoleh perangkat phishing Cash App baru pada tanggal 25 Februari, hanya sehari setelah waktu kompilasi terakhir.

ZeroFOX mengatakan bahwa kit tersebut memiliki kode dasar yang sama dengan yang lain, dan templatnya meniru situs Cash App yang sah dan alur masuk yang semirip mungkin.

Untuk membawa korban ke halaman phishing dilakukan melalui email dan pesan SMS yang memperingatkan tentang masalah keamanan yang menyebabkan penguncian akun Cash App.

Jika korban masuk ke dalam jebakan dan memberikan alamat emailnya hanya untuk melihat pemberitahuan keamanan tentang aktivitas tidak biasa yang menyebabkan penguncian akun. Untuk mendapatkan kembali akses, korban harus memberikan detail sensitif “untuk mengkonfirmasi identitas”. Ini termasuk:

  • PIN Cash App
  • alamat email
  • kata sandi
  • nama dan alamat lengkap
  • Nomor keamanan sosial
  • detail kartu pembayaran
  • dokumen identifikasi (KTP, SIM)
Sumber: Bleeping Computer

Detail tentang identitas pengembangnya telah dipublikasikan di masa lalu, berdasarkan jejak online-nya. Mereka semua menunjuk kepada seorang warga negara Indonesia bernama Riswanda Noor Saputra, yang memiliki sejarah dalam merusak situs web, mengembangkan perangkat phishing lainnya, dan merilis alat peretasan.

Setelah mempelajari kode tersebut, peneliti keamanan ZeroFOX menemukan bahwa ketika peringatan tentang aktivitas akun yang tidak biasa muncul, alamat email pengembang ada, tersembunyi di balik dialog.

Sumber: Bleeping Computer

Melihat aktivitas media sosial Riswanda mengungkapkan bahwa dia suka menampilkan kekayaannya kepada dunia dan juga memposting detail tentang pembaruan yang akan datang dan kit baru. Pada gambar di bawah, dia menunjukkan pengembangan kit 16 Shop American Express.

Sumber: Bleeping Computer

Sumber: Bleeping Computer

Ransomware ‘Povlsomware’ Mungkin Tidak Hanya Digunakan oleh Peneliti

by Leave a Comment

“Povlsomware” adalah bukti konsep ransomware yang tersedia di Github sejak November 2020, dirilis dengan tujuan menjadi alat untuk penelitian seperti menguji solusi anti-virus yang mengklaim menawarkan perlindungan ransomware.

Seperti yang diperingatkan oleh para peneliti dari tim Trend Micro, kompatibilitas Povlsomware dengan alat pasca-eksploitasi seperti Cobalt Strike sebenarnya membuat sampel tersebut berpotensi berharga di tangan pelaku jahat.

Saat didistribusikan, sampel ransomware memindai sistem file dan mengenkripsi file pribadi umum menggunakan AES256. Semua shadowcopies yang akan membantu memulihkan sistem dihapus, entri registri memastikan persistensi start-up, dan pop-up ditampilkan untuk memberi tahu pengguna yang terinfeksi. Kata sandi dekripsi adalah “blahblah”, sehingga peneliti dapat mengembalikan file uji mereka seolah-olah tidak ada yang terjadi.

Sumber: Guthub

Namun, menjadi proyek sumber terbuka, siapa pun dapat menggunakan Povlsomware dan memodifikasinya, membuatnya jauh lebih berbahaya daripada yang dimaksudkan oleh pembuatnya. Karena Povlsomware terintegrasi dengan Cobalt Strike, Povlsomware dapat dijalankan secara langsung di memori, bahkan tidak mengharuskannya untuk bersarang di memori korban atau menjatuhkan biner apa pun di sana.

Untuk saat ini, Trend Micro belum melihat insiden nyata yang melibatkan Povlsomware yang dimodifikasi, tetapi berdasarkan apa yang dapat disimpulkan dari semua faktor, ini hanya masalah waktu. Karena alasan ini, perusahaan keamanan memilih untuk memperingatkan komunitas, meskipun itu berarti mengalihkan perhatian penjahat siber ke Povlsomware.

Sumber: Tech Nadu

Kesalahan coding pemula sebelum peretasan Gab berasal dari CTO situs

by

Selama akhir pekan, muncul kabar bahwa seorang peretas menembus situs media sosial sayap kanan Gab dan mengunduh 70 gigabyte data dengan mengeksploitasi kelemahan keamanan menggunakan injeksi SQL.

Tinjauan singkat dari kode sumber terbuka Gab menunjukkan bahwa kerentanan kritis — atau setidaknya yang serupa — diperkenalkan oleh kepala petugas teknologi perusahaan (CTO).

Perubahan, yang dalam bahasa pengembangan perangkat lunak dikenal sebagai “git commit”, dilakukan sekitar bulan Februari dari akun Fosco Marotto, mantan insinyur perangkat lunak Facebook yang pada bulan November menjadi CTO Gab. Pada hari Senin, Gab menghapus git commit dari situsnya. Di bawah ini adalah gambar yang menunjukkan perubahan perangkat lunak bulan Februari, seperti yang ditunjukkan dari situs yang menyediakan snapshot commit yang disimpan.

Sumber: Ars Technica

Commit menunjukkan pengembang perangkat lunak yang menggunakan nama Fosco Marotto yang memperkenalkan dengan tepat jenis kesalahan pemula yang dapat menyebabkan jenis pelanggaran yang dilaporkan akhir pekan ini. Secara khusus, baris 23 menghapus kode “tolak” dan “filter”, yang merupakan fungsi API yang mengimplementasikan idiom pemrograman yang melindungi dari serangan injeksi SQL.

Idiom ini memungkinkan programmer untuk membuat kueri SQL dengan cara yang aman yang “membersihkan” masukan yang dimasukkan pengunjung situs web ke dalam kotak telusur dan bidang web lainnya untuk memastikan bahwa setiap perintah berbahaya dihapus sebelum teks diteruskan ke server backend.

Sebagai gantinya, pengembang menambahkan panggilan ke fungsi Rails yang berisi metode “find_by_sql”, yang menerima input unsanitized secara langsung dalam string kueri. Rails adalah toolkit pengembangan situs web yang banyak digunakan.

Selengkapnya: Ars Technica

Microsoft mengatakan peretas Cina telah mengeksploitasi bug untuk menargetkan perusahaan AS

by

Peretas pemerintah yang berbasis di Cina telah mengeksploitasi bug di perangkat lunak server email Microsoft untuk menargetkan organisasi AS, kata perusahaan itu.

Microsoft MSFT, -1,30% mengatakan bahwa kelompok yang disponsori negara “sangat terampil dan canggih” yang beroperasi dari Cina telah mencoba mencuri informasi dari sejumlah target Amerika, termasuk universitas, kontraktor pertahanan, firma hukum, dan peneliti penyakit menular.

Microsoft mengatakan telah merilis security upgrade untuk memperbaiki kerentanan perangkat lunak Exchange Server-nya, yang digunakan untuk layanan email dan kalender kantor, sebagian besar untuk organisasi besar yang memiliki server email in-person mereka sendiri.

Perusahaan itu mengatakan kelompok peretasan yang mereka sebut Hafnium mampu mengelabui server Exchange agar mengizinkannya mendapatkan akses. Para peretas kemudian menyamar sebagai seseorang yang seharusnya memiliki akses dan menciptakan cara untuk mengontrol server dari jarak jauh sehingga mereka dapat mencuri data dari jaringan organisasi.

Microsoft mengatakan grup tersebut berbasis di Cina tetapi beroperasi dari server pribadi virtual yang disewa di AS, yang membantunya menghindari deteksi.

Jika perusahaan Anda menggunakan server Exchange, segera terapkan security upgrade yang dirilis oleh Microsoft.

Selengkapnya: Market Watch | Microsoft Blog