Threat

Peretas Masuk ke Server LineageOS Melalui Kerentanan Yang Tidak Ditambal

May 4, 2020 by Winnie the Pooh

Peretas telah memperoleh akses ke infrastruktur inti LineageOS, sistem operasi seluler berbasis Android, yang digunakan untuk ponsel pintar, tablet, dan set-top box.

Gangguan itu terjadi pada hari Sabtu, sekitar jam 8 malam (pantai Pasifik AS), dan terdeteksi sebelum para penyerang dapat melakukan kerusakan, kata tim LineageOS dalam sebuah pernyataan yang diterbitkan kurang dari tiga jam setelah insiden tersebut.

Tim LineageOS mengatakan kode sumber sistem operasi itu tidak terpengaruh, dan begitu pula sistem operasi apa pun yang dibangun, yang telah dijeda sejak 30 April, karena masalah yang tidak berhubungan.

Developer di LineageOS mengatakan peretasan terjadi setelah penyerang menggunakan kerentanan yang belum ditambal untuk merusak instalasi Salt-nya.

Salt adalah kerangka kerja sumber terbuka yang disediakan oleh Saltstack yang biasanya digunakan untuk mengelola dan mengotomatisasi server di dalam pusat data, pengaturan cloud server, atau jaringan internal.

Pada awal minggu lalu, perusahaan keamanan cyber F-Secure mengungkapkan dua kerentanan utama dalam kerangka kerja Salt yang dapat digunakan untuk mengambil alih instalasi Salt. Kedua kerentanan tersebut adalah CVE-2020-11651 (bypass otentikasi) dan CVE-2020-11652 (sebuah traversal direktori), yang jika digabungkan, dapat memungkinkan penyerang memintas prosedur masuk dan menjalankan kode pada server master Salt yang dibiarkan terbuka di internet.

Berita selengkapnya dapat dibaca pada tautan di bawah ini:
Source: ZDNet

EventBot, Malware Android Baru Yang Mencuri Kata Sandi Perbankan Dan Kode Dua Faktor

May 3, 2020 by Winnie the Pooh

Peneliti keamanan telah menemukan malware Android baru yang menargetkan aplikasi perbankan dan dompet cryptocurrency.

Malware, yang diberi nama EventBot oleh peneliti di perusahaan keamanan Cybereason, menyamar sebagai aplikasi Android yang sah – seperti Adobe Flash atau Microsoft Word untuk Android – yang menyalahgunakan fitur aksesibilitas bawaan Android untuk mendapatkan akses yang dalam sistem operasi perangkat.

Setelah diinstal, aplikasi palsu yang terinfeksi EventBot secara diam-diam mencuri kata sandi pada lebih dari 200 aplikasi perbankan dan cryptocurrency – termasuk PayPal, Coinbase, CapitalOne dan HSBC – dan penyadapan pesan teks yang berisikan kode otentikasi dua faktor.

Dengan kata sandi korban dan kode dua faktor, peretas dapat membobol rekening bank, aplikasi dan dompet digital, dan mencuri uang korban.

Malware Android bukanlah hal baru, tetapi penyebarannya sedang meningkat. Peretas dan operator malware semakin menargetkan pengguna ponsel pintar karena banyak pemilik perangkat tersebut memiliki aplikasi perbankan, media sosial, dan layanan sensitif lainnya pada perangkat mereka.

Cybereason mengatakan belum melihat EventBot di toko aplikasi Android atau digunakan secara aktif dalam kampanye malware, membatasi paparan kepada calon korban – untuk saat ini.

Tetapi para peneliti mengatakan pengguna harus menghindari aplikasi yang tidak terpercaya dari situs dan toko pihak ketiga, banyak di antaranya tidak menyaring aplikasi mereka untuk malware.

Baca berita selengkapnya pada tautan di bawah ini:
Source: Tech Crunch

Hacker Membocorkan 15 Juta Data Pelanggan Tokopedia, Toko Online Terbesar Di Indonesia

May 2, 2020 by Winnie the Pooh

Seorang peretas telah membocorkan rincian data dari 15 juta pengguna yang terdaftar di Tokopedia pada hari Jumat lalu.

Peretas mengklaim data itu diperoleh dalam intrusi yang terjadi pada Maret 2020 dan hanya sebagian kecil dari seluruh database pengguna situs yang diperoleh dalam peretasan tersebut.

Peretas membagikan sampel 15 juta pengguna dengan harapan seseorang dapat membantu memecahkan kata sandi pengguna, sehingga kata sandi tersebut dapat digunakan untuk mengakses akun pengguna.

Dilansir dari ZDNet, file tersebut adalah dump database PostgreSQL, yang berisi informasi pengguna seperti nama lengkap, email, nomor telepon, kata sandi hash, tanggal lahir, dan detail terkait profil Tokopedia (tanggal pembuatan akun, login terakhir, kode aktivasi email, kode setel ulang kata sandi, detail lokasi, nomor messenger, hobi, pendidikan, tentang-saya, dan banyak lagi).

Hash kata sandi yang tidak dapat diretas oleh peretas diamankan dengan algoritma hashing SHA2-384, yang saat ini dianggap aman, meskipun tidak sempurna.

Pengguna Tokopedia sangat disarankan untuk mengganti kata sandi nya segera.

Berita selengkapnya dapat dibaca pada tautan di bawah ini:
Source: ZDNet

Waspadai Ancaman Android Baru Dari Malware Berbahaya

April 30, 2020 by Winnie the Pooh

Tim peneliti keamanan di Check Point membahas mengenai malware family ‘Black Rose Lucy’ yang menyerang Android pada Blog yang diterbitkannya pada hari Selasa lalu.

Awalnya ditemukan pada bulan September 2018 oleh Check Point, Lucy adalah botnet dan dropper Malware-as-a-Service (MaaS) untuk perangkat Android. Namun, hampir dua tahun kemudian, Lucy kembali dengan kemampuan baru, yang memungkinkannya mengendalikan perangkat korban untuk melakukan berbagai perubahan dan memasang aplikasi jahat.

Lucy dibagikan melalui social messaging dan menyamar sebagai aplikasi pemutar media video. Saat diluncurkan, aplikasi meminta pengguna untuk mengaktifkan “pengoptimal streaming video.” Ini adalah senjatanya. Pengguna tidak boleh mengaktifkan layanan tersebut. Trik ini digunakan untuk memberikan malware akses ke layanan aksesibilitas perangkat. Lucy kemudian menggunakan akses ini untuk memberikan dirinya sendiri hak administratif pada perangkat. Setelahnya, Lucy memulai mengenkripsi file pengguna.

Saat malware selesai mengenkripsi, ia menampilkan catatan tebusan di jendela browser yang mengklaim sebagai pesan resmi dari FBI, menuduh korban memiliki konten porno di perangkatnya. Akibatnya, semua konten pada perangkat dienkripsi dan dikunci. Pesan itu juga menyatakan bahwa selain mengunci perangkat, detail pengguna telah diunggah ke Pusat Data Departemen Kejahatan Dunia Maya FBI, disertai dengan daftar pelanggaran hukum yang dituduhkan. Korban kemudian diinstruksikan untuk membayar “denda” US $500 melalui informasi kartu kredit yang mereka berikan, dan tidak menggunakan BitCoin seperti pada umumnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini:
Source: Forbes

Perusahaan Riset ‘Frontline’ COVID-19 Tiongkok, Diretas, Data Sekarang Dijual Di Dark Web

April 28, 2020 by Winnie the Pooh

Huiying Medical dilaporkan menemukan dirinya menjadi sasaran para peretas, setelah perusahaan tersebut mengembangkan sistem berbasis AI yang dapat mengidentifikasi gejala infeksi COVID-19.

Seperti segala sesuatu yang berkaitan dengan virus, apakah itu distribusi dana stimulus atau memberikan informasi terbaru tentang infeksi, penjahat cyber telah memutar aktivitas mereka untuk fokus pada pandemi global.

Peneliti dunia maya di Cyble sekarang melaporkan bahwa aktor ancaman yang mereka gambarkan sebagai “kredibel,” telah memperoleh akses ke “kode sumber teknologi deteksi COVID-19 perusahaan dan data eksperimen COVID-19.”

Menurut Cyble, aktor ancaman “THE0TIME” menjual data seharga 4 BTC, sekitar $30.000. Data itu dikatakan mencakup informasi pengguna, kode sumber teknologi, dan laporan percobaan.

Cyble mengatakan kepada Forbes bahwa tim peneliti “meninjau sampel eksklusif dan non-publik dan memverifikasi klaim seperti itu.” Tim menunjukkan kepada Forbes gambar rahasia perusahaan dari data yang dilanggar (data breach), yang tidak dipublikasikan.

Baca berita selengkapnya pada tautan di bawah:
Source: Forbes

Data Microsoft Teams Seluruh Perusahaan Anda Bisa Dicuri Menggunakan ‘Evil GIF’

April 28, 2020 by Winnie the Pooh

Zoom bukan satu-satu nya platform yang rentan dari segi keamanan. Sebagaimana dibuktikan oleh kelemahan yang ditemukan dalam platform kolaborasi dan videoconferencing Microsoft Teams, seperti yang diungkapkan pada hari Senin.

Setidaknya selama tiga minggu dari akhir Februari hingga pertengahan Maret, GIF berbahaya bisa saja mencuri data pengguna dari akun Microsoft Teams, mungkin di seluruh perusahaan, dan mengambil kendali “seluruh daftar akun Teams di suatu organisasi,” peneliti keamanan cyber telah memperingatkan.

Kerentanan tersebut telah diperbaiki pada 20 April, artinya pengguna sekarang aman dari serangan ini. Tetapi ini menunjukkan bahwa bukan hanya Zoom yang rentan terhadap kerentanan yang dapat menempatkan pengguna dalam risiko. Alat konferensi video lain yang telah menjadi sangat populer di kalangan populasi dalam lockdown COVID-19 dapat dan akan ditargetkan juga.

Kerentanan mempengaruhi setiap versi Microsoft Teams untuk desktop dan web browser. Masalahnya terletak pada cara Microsoft menangani token otentikasi untuk melihat gambar dalam Teams. Token tersebut ditangani oleh Microsoft di servernya yang terletak di teams.microsoft.com atau subdomain apa pun di bawah alamat itu. CyberArk menemukan bahwa mungkin untuk membajak dua subdomain itu – aadsync-test.teams.microsoft.com dan data-dev.teams.microsoft.com – sebagai bagian dari serangan.

Mereka menemukan bahwa jika seorang peretas dapat memaksa target untuk mengunjungi subdomain yang dibajak, token otentikasi dapat diteruskan ke server penyerang. Mereka kemudian dapat membuat token lain – “skype” token – yang memberi mereka akses untuk mencuri data akun Teams korban.

Baca berita selengkapnya pada tautan di bawah ini:
Source: Forbes

5 Kesalahan Umum Yang Akan Mengarah Ke Ransomware

April 28, 2020 by Winnie the Pooh

Sejak peraturan bekerja di rumah diterapkan karena pandemi coronavirus ini, jaringan yang harus dijaga oleh seorang administrator sitem sebuah perusahaan akan lebih menyebar luas. Bahkan jika karyawan menggunakan komputer pribadinya dan terhubung ke jaringan perusahaan, itu tetap akan menjadi tanggung jawab seorang administrator sitem. Dan itu masih merupakan target yang berharga bagi penjahat cyber.

Serangan Ransomware sering mengandalkan korban membuat beberapa kesalahan mendasar yang seringkali cukup tidak nyaman untuk dihadapi.

Berikut adalah 5 langkah yang dapat dilakukan agar terhindar dari hal tersebut:

1. Lindungi portal sistem Anda

Pelajari cara memindai jaringan Anda sendiri dari trafik yang tidak diinginkan dan pastikan bahwa setiap layanan yang terbuka dan mendengarkan koneksi (listening) ada di sana, dan bahwa mereka ada di daftar periksa keamanan reguler Anda.

2. Pilih kata sandi yang tepat

Banyak orang memulai dengan kata sandi dasar dengan setiap niat baik untuk memilih yang tepat segera, sampai semuanya terlambat. Mulai dengan kata sandi yang tepat sejak awal, dan aktifkan otentikasi dua faktor untuk meningkatkan keamanan Anda jika tersedia.

3. Periksa dengan teliti log sistem Anda

Sebagian besar serangan ransomware tidak terjadi secara instan atau tanpa peringatan – para penjahat biasanya membutuhkan waktu, seringkali berhari-hari dan kadang lebih lama, untuk mendapatkan gambaran seluruh jaringan Anda terlebih dahulu.

Jadi seringkali akan ada banyak tanda tanda di log Anda, seperti adanya alat peretas “grey hat” yang tidak Anda harapkan atau butuhkan oleh pengguna Anda sendiri. Periksa log Anda secara teratur selalu sangat disarankan.

4. Perhatikan peringatan

Jangan berasumsi bahwa peringatan yang menarik bisa diabaikan jika menyebutkan potensi ancaman sudah diblokir.

Seringkali, ancaman yang muncul di jaringan Anda bukan hanya peristiwa kebetulan, itu bukti bahwa penjahat sudah berkeliaran dengan hati-hati untuk melihat tindakan apa yang dapat memicu alarm, dengan harapan melakukan serangan yang jauh lebih besar di kemudian hari.

5. Pasang patch lebih awal, seringlah melakukan patch

Sementara penjahat memindai jaringan Anda untuk mendapatkan celah untuk masuk, mereka juga dapat memindai layanan yang dapat diakses secara eksternal yang tidak ditambal pada saat yang sama. Ini membantu para penjahat secara otomatis membuat daftar calon korban untuk kembali lagi nanti.

Artikel selengkapnya dapat dibaca pada tautan di bawah:
Source: Sophos Naked Security

Peneliti Keamanan Mengidentifikasi Grup APT Baru Yang Disebutkan Pada 2017 Shadow Brokers Leak

April 27, 2020 by Winnie the Pooh

Pada 14 April 2017, sekelompok peretas misterius yang dikenal dengan Shadow Brokers menerbitkan koleksi alat peretasan yang akhirnya mengubah internet selamanya.

Dikenal sebagai dump “Lost in Translation”, kumpulan file ini mencakup puluhan alat peretasan dan eksploitasi yang dicuri dari Badan Keamanan Nasional AS (NSA), eksploitasi yang banyak orang percaya digunakan oleh AS untuk meretas negara lain.

Diantara banyak file, ada satu file yang telah menghantui dan menyita perhatian komunitas keamanan cyber. Dinamai “sigs.py,” file ini adalah apa yang banyak orang anggap sebagai harta karun operasi spionase siber dan ancaman intelijen. File tersebut diyakini sebagai pemindai malware sederhana yang akan digunakan operator NSA pada komputer yang diretas dan digunakan untuk mencari keberadaan APT lainnya (ancaman persisten tingkat lanjut, istilah yang digunakan untuk menggambarkan grup peretasan negara-bangsa).

Isinya 44 signature untuk mendeteksi file (alat peretasan) yang digunakan oleh kelompok peretasan lain, diberi nomor dari #1 hingga #45, dengan nomor #42 hilang. File tersebut segera memikat para peneliti keamanan. Banyak yang menyadari bahwa mereka bahkan belum mendeteksi APT sebanyak NSA.

Juan Andres Guerrero-Saade, seorang mantan peneliti keamanan di Kaspersky dan Google, mengatakan bahwa setelah mengidentifikasi file yang terkait dengan signature ini, ia percaya signature #37 sebenarnya untuk melacak grup peretasan baru sekaligus, yang ia yakini mungkin berbasis di Iran. Ia memberi nama grup baru ini, Nazar APT, berdasarkan string yang ditemukan di dalam malware.

Berita selengkapnya dapat dibaca pada tautan di bawah:
Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings