Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Backdoor pada HP Device Manager telah ditemukan

by

HP Device Manager, perangkat lunak yang memungkinkan IT administrator untuk mengelola perangkat HP Thin Client, ternyata mempunyai backdoor di akun user database yang merusak keamanan jaringan, konsultan yang berbasis di Inggris memperingatkan.

Akun dapat dieksploitasi untuk mencapai eskalasi hak istimewa dan, sehubungan dengan kekurangan lainnya, dapat menjalankan eksekusi perintah jarak jauh yang tidak sah sebagai SISTEM. Belum ada tambalan tersedia meskipun ada mitigasi yang disarankan.

“Siapapun yang memiliki akses ke server tempat HP Device Manager diinstal dapat menggunakan akun pengguna ini untuk mendapatkan kendali penuh atas server,” kata Nicky Bloor, pendiri Cognitous Cyber Security, mencatat bahwa ini akan memenuhi syarat sebagai eskalasi hak istimewa lokal.

HP tidak merespons pada saat Bloor melaporkan hal ini dan dia menjelaskan bahwa dia berencana menerbitkan detail kerentanan dalam 30 hari jika perusahaan terus diam. Bloor melaporkannya pada tanggal 19 Agustus 2020.

Hanya mitigasi yang ditawarkan pada tahap ini. Salah satunya adalah dengan menghapus akun yang dilanggar dari database dm_postgres, dan yang lainnya adalah membatasi dan / atau memfilter koneksi yang masuk.

Kami juga sangat menyarankan, pertama, untuk masuk ke semua server yang menjalankan HP Device Manager dan menetapkan kata sandi yang kuat untuk pengguna “dm_postgres” dari database “hpdmdb” Postgres pada port TCP 40006 1/4

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Register

Situs crack software palsu digunakan untuk menyebarkan Exorcist 2.0 Ransomware

by

Menurut peneliti keamanan Nao_Sec, Malvertising PopCash mengarahkan pengguna dari situs resmi ke situs crack software palsu.

Misalnya, pada gambar di bawah, situs tersebut berpura-pura menawarkan ‘Windows 10 Activator 2020’ yang memungkinkan Anda mengaktifkan Windows 10 secara gratis.

sumber: BleepingComputer

File yang diunduh berisi file zip lain yang dilindungi kata sandi dan file teks yang berisi kata sandi arsip.

Arsip yang dilindungi sandi memungkinkan pengunduhan dilakukan tanpa terdeteksi oleh Google Safe Browsing, Microsoft SmartScreen, atau perangkat lunak keamanan yang diinstal.

Jika setup program dijalankan, pengguna akan menemukan bahwa file mereka menjadi terenkripsi dan bukannya menginstal aktivator Windows 10 gratis, seperti yang ditunjukkan di bawah ini.

sumber: BleepingComputer

Di dalam folder terenkripsi akan ada catatan tebusan yang berisi tautan unik ke situs pembayaran Tor di mana korban dapat memperoleh informasi tentang cara membayar tebusan.

Dengan ini sangat dianjurkan bagi pengguna untuk tidak mengunduh sembarang file dari situs yang menyajikan file gratis ilegal.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Konfigurasi Default VPN FortiGate Memungkinkan Serangan MitM

by

Menurut SAM IoT Security Lab, klien FortiGate SSL-VPN hanya memverifikasi bahwa sertifikat yang digunakan untuk otentikasi klien diterbitkan oleh Fortinet atau otoritas sertifikat tepercaya lainnya.

Peneliti menemukan bahwa pencarian Shodan menemukan lebih dari 230.000 peralatan FortiGate yang rentan menggunakan fungsionalitas VPN. Dari jumlah tersebut, 88 persen penuh, atau lebih dari 200.000 bisnis, menggunakan konfigurasi default dan dapat dengan mudah dilanggar dalam serangan MitM.

Sementara masalah ada di konfigurasi default klien FortiGard SSL-VPN, Fortinet tidak menganggap masalah sebagai kerentanan, karena pengguna memiliki kemampuan untuk mengganti sertifikat secara manual untuk mengamankan koneksi mereka dengan tepat.

Peneliti SAM mencatat bahwa pendekatan Fortinet “mungkin masuk akal untuk ruang perusahaan,” tetapi “bisnis kecil (misalnya firma hukum kecil) mungkin tidak memiliki pengetahuan atau waktu untuk mengkonfigurasinya.”

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post

Malware ‘Alien’ baru dapat mencuri kata sandi dari 226 aplikasi Android

by

Peneliti keamanan telah menemukan dan menganalisis jenis baru malware Android yang hadir dengan beragam fitur yang memungkinkannya mencuri kredensial dari 226 aplikasi.

Dinamakan Alien, trojan baru ini telah aktif sejak awal tahun dan telah ditawarkan sebagai Malware-as-a-Service (MaaS) di forum peretasan bawah tanah.

Menurut peneliti ThreatFabric, Alien bukanlah benar-benar potongan kode baru tetapi sebenarnya didasarkan pada kode sumber dari geng malwar bernama Cerberus.

Alien tidak hanya dapat menampilkan layar login palsu dan mengumpulkan kata sandi untuk berbagai aplikasi dan layanan, tetapi juga dapat memberikan akses peretas ke perangkat untuk menggunakan kredensial tersebut atau bahkan melakukan tindakan lain.

Malware ini dilengkapi dengan kemampuan untuk memberikan akses jarak jauh ke perangkat setelah menginstal TeamViewer, memanen, mengirim, atau meneruskan pesan SMS, mencuri kontak, mengumpulkan detail perangkat dan daftar aplikasi, mengumpulkan data geo-lokasi, memasang dan memulai aplikasi lain dan masih banyak lagi.

Sebagian besar dari halaman login palsu yang dibuat ditujukan untuk mencegat kredensial untuk aplikasi e-banking, jelas ini adalah target utama mereka.

“Metode lain yang diamati untuk digunakan adalah SMS, setelah mereka menginfeksi perangkat mereka mengumpulkan daftar kontak yang kemudian mereka gunakan kembali untuk menyebarkan kampanye malware mereka ke lebih banyak korban,” kata peneliti.

Para peneliti memperkirakan lebih banyak keluarga malware baru, berdasarkan kode Cerberus, akan muncul pada kuartal terakhir tahun 2020.

Kami menyarankan kepada pengguna ponsel pintar untuk tidak mengunduh aplikasi dari sumber pihak ketiga dan tidak memberikan akses admin kepada aplikasi tersebut.

Source: ZDNet

Pengguna Mac dan Linux Ditargetkan oleh Varian Baru FinSpy

by

Spyware komersial FinSpy kembali dalam kampanye yang baru-baru ini diamati terhadap organisasi dan aktivis di Mesir.

Sementara spyware sebelumnya menargetkan pengguna Windows, iOS, dan Android, para peneliti telah menemukan kampanye ini menggunakan varian baru yang menargetkan pengguna macOS dan Linux.

FinSpy adalah rangkaian perangkat lunak pengawasan lengkap, yang memiliki kemampuan untuk mencegat komunikasi korban, mengakses data pribadi, dan merekam audio dan video, menurut Amnesty International, yang mengungkap varian baru ini. Dan telah digunakan oleh penegak hukum dan lembaga pemerintah di seluruh dunia sejak 2011.

Namun, para peneliti baru-baru ini menemukan sampel FinSpy yang belum pernah dilihat sebelumnya yang telah digunakan dalam kampanye sejak Oktober 2019. Sampel ini mencakup “Jabuka.app,” varian FinSpy untuk macOS, dan “PDF”, varian FinSpy untuk Linux. Keduanya diungkapkan kepada publik Jumat lalu untuk pertama kalinya.

Peneliti mengatakan bahwa sampel FinSpy untuk macOS “menggunakan rantai yang cukup kompleks untuk menginfeksi sistem, dan pengembang mengambil tindakan untuk memperumit analisisnya.”

Sementara muatan Linux sangat mirip dengan versi macOS, yang menurut para peneliti menunjukkan potensi basis kode bersama. Namun, launcher dan rantai infeksi disesuaikan untuk bekerja pada sistem Linux, dengan file “PDF” yang diperoleh dari server menjadi skrip pendek yang berisi binari yang dikodekan untuk Linux 32bit dan 64bit.

Varian malware untuk macOS dan Linux menyertakan modul dengan kemampuan keylogging, penjadwalan, dan perekaman layar. Mereka juga memiliki kemampuan untuk mencuri email dengan memasang add-on berbahaya ke Apple Mail dan Thunderbird, yang mengirimkan email untuk dikumpulkan oleh FinSpy, dan kemampuan mengumpulkan informasi tentang jaringan Wi-Fi.

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post

Serangan DDoS semakin kuat karena penyerang mengubah taktik

by

Ada lonjakan serangan Distributed Denial of Service (DDoS) sepanjang tahun ini, dan serangan tersebut semakin kuat dan mengganggu.

Serangan DDoS diluncurkan terhadap situs web atau layanan web dengan tujuan mengganggu mereka sampai mematikan layanannya. Penyerang mengarahkan lalu lintas dari pasukan botnet yang terdiri dari ratusan ribu PC, server, dan perangkat lain yang terhubung ke internet yang telah mereka kendalikan melalui malware menuju target, dengan tujuan untuk membuatnya kewalahan.

Sebuah serangan dapat berlangsung hanya beberapa detik, atau jam atau hari dan mencegah pengguna yang sah mengakses layanan online.

Sebuah laporan intelijen ancaman baru oleh perusahaan keamanan siber Netscout menunjukkan bahwa penjahat siber telah meluncurkan lebih banyak serangan DDoS daripada sebelumnya karena adanya pandemi coronavirus ini. Perusahaan mengatakan telah mengamati 4,83 juta serangan DDoS pada paruh pertama tahun 2020, naik 15% dibandingkan dengan 2019.

Kabar buruknya adalah bahwa serangan DDoS juga semakin besar, dengan potensi serangan terkuat naik 2.851% sejak 2017 – memberi penyerang kemampuan untuk melumpuhkan jaringan jauh lebih cepat daripada sebelumnya.

Alasan serangan DDoS semakin kuat adalah karena serangan itu semakin kompleks, menggunakan berbagai jenis perangkat dan menargetkan berbagai bagian jaringan korban.

Salah satu elemen yang membantu serangan siber di balik botnet untuk serangan DDoS adalah banyak kode sumbernya tersedia secara gratis. Kasus paling terkenal dari ini adalah Mirai botnet, yang menyerang banyak layanan online pada akhir 2016. Kode sumber untuk Mirai dipublikasikan secara online dan telah berfungsi sebagai tulang punggung yang populer untuk membangun botnet sejak saat itu.

Meningkatnya jumlah perangkat yang terhubung juga berfungsi untuk meningkatkan potensi kekuatan botnet; tidak hanya penyerang dapat mengendalikan PC dan server yang tidak aman sebagai bagian dari serangan, tetapi peningkatan perangkat Internet of Things (IoT) – yang terhubung ke internet dan seringkali memiliki protokol keamanan minim atau tanpa protokol keamanan samasekali – dapat digunakan untuk memperkuat serangan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Ransomware dilaporkan menjadi penyebab pemadaman di jaringan rumah sakit AS

by

Universal Health Services, salah satu penyedia layanan kesehatan terbesar di AS, telah terkena serangan ransomware.

Serangan itu menghantam sistem UHS pada Minggu pagi, menurut dua orang yang mengetahui langsung insiden itu. Serangan itu mengunci komputer dan sistem telepon di beberapa fasilitas UHS di seluruh negeri, termasuk di California dan Florida.

Salah satu orang mengatakan layar komputer berubah dengan teks yang merujuk pada “shadow universe”, ciri khas ransomware Ryuk. “Setiap orang diberitahu untuk mematikan semua komputer dan tidak menyalakannya lagi,” kata orang itu. “Kami diberi tahu bahwa akan membutuhkan beberapa hari sebelum komputer menyala lagi.”

UHS menerbitkan pernyataan pada hari Senin, mengatakan jaringan TI-nya “saat ini sedang offline, karena masalah keamanan TI.”

“Kami menerapkan protokol keamanan TI yang ekstensif dan bekerja dengan rajin dengan mitra keamanan TI kami untuk memulihkan operasi TI secepat mungkin. Sementara itu, fasilitas kami menggunakan proses pencadangan yang sudah mapan termasuk metode dokumentasi offline. Perawatan pasien terus diberikan dengan aman dan efektif, ”kata pernyataan itu.

“Tidak ada data pasien atau karyawan yang tampaknya telah diakses, disalin, atau disusupi,” tambahnya.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Tech Crunch

Biaya Sebenarnya dari Pelanggaran Data untuk Brand Anda (dan Cara Terbaik Melindungi Diri Anda)

by Leave a Comment

Pelanggaran data bisa menjadi pemecah masalah bagi brand apa pun. Ada perjuangan langsung untuk menghentikan pendarahan, tetapi setelah pembersihan awal, efeknya dapat melumpuhkan perusahaan selama bertahun-tahun.

Bersikap proaktif terhadap ancaman ini sangat penting bagi kelangsungan hidup brand mana pun di abad ke-21. Mengenali biaya sebenarnya dari pelanggaran data hanyalah langkah pertama untuk menopang kerentanan brand Anda.

Mengambil tindakan untuk memastikan sistem pertahanan Anda diterapkan dengan baik akan menyelamatkan perusahaan Anda ketika Anda sedang diserang.

Kepercayaan pelanggan berkurang

Kepercayaan pelanggan adalah landasan kesuksesan brand apa pun, dan kegagalan keamanan data memengaruhi area yang sangat penting ini dengan cepat.

Butuh waktu bertahun-tahun untuk membangun basis pelanggan setia dengan benar, dan pelanggaran data dapat merusak ini dalam semalam.

Penjualan dan loyalitas brand pasti akan dipengaruhi oleh pelanggaran data, tetapi kerusakannya dapat melampaui aspek eksternal ini.

Rahasia dagang terbongkar

Kekayaan intelektual lah yang memberi Anda keunggulan atas pesaing Anda. Ini adalah salah satu dari sedikit cara yang dapat diharapkan oleh bisnis kecil untuk bersaing dengan raksasa industri yang memiliki lebih banyak dana dan pengalaman.

Jika rahasia yang diperoleh dengan susah payah ini terbongkar, tidak banyak yang bisa dilakukan untuk menahannya lagi. Internet tidak melupakan, dan setelah dipublikasikan, rahasia Anda akan tetap demikian.

Pelanggaran data dapat membuat hari yang menjanjikan langsung berantakan dan membuat bisnis Anda kesusahan lebih lama. Ini juga menghancurkan semua rasa aman bagi pelanggan Anda dan membuka lebar jalan untuk pesaing Anda. Cara terbaik untuk menangani kedua masalah tersebut adalah memastikan sistem internal Anda siap untuk menghadapi momen tersebut.

Informasi adalah benteng terbaik

Seiring pertumbuhan brand apa pun dalam cakupannya, Anda menjadi target yang lebih menguntungkan, dan tidak ada cara langsung untuk menghindarinya.

Tidak dapat dipungkiri bahwa upaya pelanggaran data akan dilakukan dalam skala waktu yang cukup lama. Jika Anda tidak dapat menghindari pukulan ini, maka brand Anda sebaiknya belajar menyerapnya.

Dale Walls, mitra pendiri Corsica Technologies dan sebelumnya adalah insinyur sistem untuk Korps Marinir Amerika Serikat, menawarkan rekomendasi ini:
“Tidak ada solusi tunggal yang dapat menghentikan pelanggaran data; yang Anda butuhkan adalah peta jalan keseluruhan dan beberapa redundansi sebagai pertahanan Anda. Dengan meningkatnya pekerjaan jarak jauh, Anda memiliki karyawan yang berpotensi menggunakan jaringan tidak aman di seluruh dunia dan, tentu saja, selalu ada ancaman peretas yang lebih aktif juga. Sistem keamanan Anda harus mengimbangi jenis perubahan ini jika Anda ingin menyimpan data Anda dengan aman.”

Sistem pertahanan siber yang sehat adalah yang memberitahu ketika sesuatu yang tidak normal terjadi dan memiliki data yang siap untuk memberi tahu Anda apa yang terjadi.

Setelah Anda memiliki kekuatan seperti ini, mengetahui seberapa banyak yang harus dibagikan dan kepada siapa adalah langkah selanjutnya.

Tetapkan hierarki akses yang jelas

Kepercayaan internal dalam suatu tim adalah kuncinya, dan membatasi akses ke dokumen sensitif kepada pihak-pihak penting secara alami menurunkan risiko pelanggaran data. Dengan jalan serangan yang lebih sedikit, risiko eksposur turun secara dramatis.

Buat sistem kontrol data sebelumnya, dan lihat sistem tersebut saat Anda menjumpai masalah. Ini pada akhirnya akan menghemat waktu perusahaan Anda dan memastikan bahwa hanya mereka yang perlu tahu.

Dengan menyadari risiko dan memperkuat pertahanan brand Anda dengan baik sebelum diuji, Anda dapat menghindari atau menanggung pelanggaran data tanpa menjadi akhir dari brand Anda.

Source: Entrepreneur