Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Region / US

US

Aturan Pelaporan Pelanggaran yang Baru untuk Bank di US Mulai Berlaku 1 Mei

by

Aturan pelaporan insiden dunia maya baru akan mulai berlaku di AS pada 1 Mei. Bank-bank di negara itu akan diminta untuk memberi tahu regulator dalam 36 jam pertama setelah sebuah organisasi mengalami “insiden keamanan komputer” yang memenuhi syarat. Peraturan tersebut pertama kali disahkan pada November 2021.

Layanan dan institusi keuangan, yang merupakan tulang punggung ekonomi A.S., adalah salah satu sektor yang paling ditargetkan oleh musuh dunia maya global, Marcus Fowler, wakil presiden senior keterlibatan strategi dan ancaman di perusahaan keamanan siber AI Darktrace, mengatakan kepada Information Security Media Group.

“Undang-undang ini sangat penting karena pemberitahuan tepat waktu memainkan peran penting dalam membatasi skala serangan, terutama untuk institusi yang bergantung pada intelijen ancaman untuk kemampuan bertahan,” katanya.

“Meskipun waktu pelaporan 36 jam adalah jendela yang lebih kecil daripada yang biasa digunakan kebanyakan orang, FDIC telah mereferensikan kesederhanaan proses pemberitahuan karena ‘tidak menetapkan konten atau format tertentu’ serta memulai pemberitahuan 36 jam setelah Anda menentukan bahwa Anda memiliki insiden keamanan aktual, bukan potensial, “kata Brickhouse.

“Insiden keamanan komputer,” katanya, adalah kejadian yang “mengakibatkan kerusakan nyata pada kerahasiaan, integritas, atau ketersediaan sistem informasi atau informasi yang diproses, disimpan, atau dikirimkan oleh sistem.” Sebuah insiden yang memerlukan pemberitahuan selanjutnya, kata badan-badan tersebut, didefinisikan sebagai “insiden keamanan komputer” yang telah mengganggu atau menurunkan operasi organisasi perbankan dan kemampuannya untuk memberikan layanan ke “bagian material dari basis pelanggannya” dan lini bisnis.

Contoh Pemberitahuan

Badan-badan tersebut, dalam penyusunan aturan, mengatakan bahwa mereka meninjau data dan laporan aktivitas mencurigakan yang diajukan ke Jaringan Penegakan Kejahatan Keuangan Departemen Keuangan pada tahun 2019 dan 2020. Berdasarkan ini, mereka mencantumkan insiden berikut sebagai contoh pemberitahuan:

  • Serangan DDoS skala besar mengganggu akses akun selama lebih dari empat jam;
  • Penyedia layanan bank mengalami pemadaman sistem yang meluas;
  • Pemutakhiran sistem yang gagal mengakibatkan pemadaman pengguna yang meluas;
  • Kegagalan sistem yang tidak dapat dipulihkan yang mengakibatkan aktivasi rencana pemulihan berkelanjutan atau bencana;
  • Insiden peretasan komputer yang melumpuhkan operasi perbankan untuk waktu yang lama;
  • Malware pada jaringan bank yang menimbulkan ancaman langsung terhadap lini bisnis inti atau operasi kritis;
  • Serangan Ransomware yang mengenkripsi sistem perbankan inti atau data cadangan.

36 Jam: Ya atau Tidak?

NYDFS, dan bahkan GDPR Eropa, memiliki batas waktu pemberitahuan pelanggaran 72 jam. Apakah 36 jam merupakan rentang waktu yang terlalu singkat, terutama untuk organisasi perbankan yang memiliki sistem dan alur kerja yang kompleks yang mungkin memerlukan waktu untuk memantau, mendeteksi, dan memahami pelanggaran?

“Sulit untuk mengukurnya,” kata Tim Erlin, wakil presiden strategi di Tripwire. “Sulit untuk mengatakan apakah 36 jam adalah waktu yang tepat atau tidak. Pelaporan yang lebih cepat memiliki pro dan kontra. FDIC harus menerapkan tujuan yang terukur dan bersedia menyesuaikan persyaratan untuk mencapai tujuan mereka dengan lebih baik.”

“Harus melaporkan gangguan pelanggan selama empat jam atau lebih kepada pelanggan sama agresifnya dengan yang saya lihat. Dari sudut pandang pelanggan, itu adalah hal yang hebat – sangat tepat waktu. Tapi dari perspektif pelaporan perusahaan – sangat agresif,” Grimes memberitahu Grup Media Keamanan Informasi.

Menurutnya, hal terbesar yang dikhawatirkan korporasi dengan jadwal pelaporan yang ketat adalah jika mereka dapat melaporkan informasi yang akurat. “Terburu-buru untuk melaporkan sesuatu dengan cepat berarti kemungkinan besar seseorang akan melaporkan sesuatu secara tidak akurat, dan itu meningkatkan risiko tanggung jawab,” katanya.

Selengkapnya: Gov Info Security

Stormous: Geng Ransomware Pro-Rusia Menargetkan AS dan Ukraina

by

Sebagai bagian dari penelitian Dark Web dan cybercriminal reguler kami, Trustwave SpiderLabs telah menemukan dan menganalisis postingan dari grup ransomware pro-Rusia yang bermotivasi politik bernama Stormous. Kelompok tersebut baru-baru ini menyatakan dukungan untuk Rusia dalam perangnya dengan Ukraina, menyerang Kementerian Luar Negeri Ukraina dan diduga memperoleh dan membuat nomor telepon umum, alamat email, dan kartu identitas nasional. Kelompok itu juga mengklaim memiliki operasi ransomware yang sukses terhadap merek-merek besar Amerika Coca-Cola, Mattel dan Danaher. Secara total, Stormous mengklaim telah mengakses dan merusak 700 situs web AS dan menyerang 44 perusahaan Amerika.

Siapa Stormous?

Stormous, yang mungkin telah mulai beroperasi pada pertengahan 2021, telah memposting pernyataan misi yang menyatakan tujuannya adalah untuk menyerang target di AS dan negara-negara barat lainnya. Tujuan ini bergeser pada tahun 2022, menambahkan Ukraina dan India ke daftar targetnya. Cara mereka mendiskusikan negara sebagai target mereka dibandingkan dengan bisnis atau industri tertentu menunjukkan bahwa politik lebih memengaruhi perubahan target ini daripada keuntungan finansial.

Analisis awal kami terhadap Stormous menunjukkan geng tersebut kemungkinan memiliki anggota yang berlokasi di negara-negara Timur Tengah dan Rusia. Beberapa postingan kelompok itu ditulis dalam bahasa Arab bersama dengan sikap publiknya yang pro-Rusia, yang konsisten dengan wilayah tersebut. Apalagi, dua anggota kelompok yang ditangkap berasal dari negara-negara timur tengah.

Grup berkomunikasi melalui saluran Telegram dan situs web .onion di Tor. Ada sedikit obrolan di saluran Telegram, dengan percakapan yang sebagian besar terdiri dari proklamasi grup. Meskipun grup tersebut mengidentifikasi dirinya sebagai grup ransomware, grup tersebut tidak beroperasi sebagai Ransomware-as-a-Service (RaaS), dan tidak diketahui jenis ransomware apa yang mungkin digunakan dalam kampanye mereka.

Era Baru Penjahat Dunia Maya

Gaya baru kelompok ancaman Stormous yang tidak takut — dan bahkan mencari pujian publik — dapat membuat anggotanya lebih rentan untuk ditemukan dan ditangkap.

Meskipun mungkin ada sisi positif dari perspektif pengaruh dan branding untuk membuat aktivitas peretasan menjadi publik, penegak hukum dapat menggunakan informasi komunikasi untuk membawa penjahat dunia maya lebih cepat ke pengadilan.

Trustwave SpiderLabs akan terus melacak ancaman Stormous dan aktivitas grup saat lebih banyak informasi tersedia.

Sumber: Trustwave

Forum peretasan RaidForums disita oleh polisi, pemiliknya ditangkap

by

Forum peretas RaidForums, yang digunakan terutama untuk berdagang dan menjual basis data curian, telah ditutup dan domainnya disita oleh penegak hukum AS selama Operasi TOURNIQUET, tindakan yang dikoordinasikan oleh Europol yang melibatkan lembaga penegak hukum di beberapa negara.

Administrator RaidForum dan dua kaki tangannya telah ditangkap, dan infrastruktur pasar ilegal sekarang berada di bawah kendali penegakan hukum.

Administrator dan pendiri RaidForums, Diogo Santos Coelho dari Portugal, alias Mahakuasa, telah ditangkap pada 31 Januari di Inggris dan menghadapi tuntutan pidana. Dia telah ditahan sejak penangkapan, sambil menunggu resolusi dari proses ekstradisinya.

Departemen Kehakiman A.S. hari ini mengatakan bahwa Coelho berusia 21 tahun, yang berarti dia baru berusia 14 tahun ketika meluncurkan RaidForums pada tahun 2015.

Tiga domain hosting RaidForums telah disita: “raidforums.com,” “Rf.ws,” dan “Raid.Lol.”

Menurut DoJ, pasar menawarkan untuk dijual lebih dari 10 miliar catatan unik dari ratusan basis data curian yang memengaruhi orang-orang yang tinggal di AS.

Dalam pengumuman terpisah hari ini, Europol mengatakan bahwa RaidForums memiliki lebih dari 500.000 pengguna dan “dianggap sebagai salah satu forum peretasan terbesar di dunia”.

Pembongkaran forum dan infrastrukturnya merupakan hasil perencanaan satu tahun antara aparat penegak hukum di Amerika Serikat, Inggris, Swedia, Portugal, dan Rumania.

Badan penegak hukum Eropa membagikan beberapa detail dalam siaran persnya tetapi mencatat bahwa orang-orang yang menjalankan RaidForums bekerja sebagai administrator, pencuci uang, mencuri dan mengunggah data, dan membeli informasi yang dicuri.

Coelho diduga mengendalikan RaidForums sejak 1 Januari 2015, dakwaan mengungkapkan, dan dia mengoperasikan situs tersebut dengan bantuan beberapa administrator, mengatur strukturnya untuk mempromosikan pembelian dan penjualan barang curian.

Untuk mendapatkan keuntungan, forum membebankan biaya untuk berbagai tingkatan keanggotaan dan menjual kredit yang memungkinkan anggota untuk mengakses area istimewa situs atau data curian yang dibuang di forum.

Coelho juga bertindak sebagai perantara terpercaya antara pihak-pihak yang melakukan transaksi, untuk memberikan keyakinan bahwa pembeli dan penjual akan menghormati kesepakatan mereka.

Pelaku ancaman dan peneliti keamanan pertama kali menduga bahwa RaidForums disita oleh penegak hukum pada bulan Februari ketika situs tersebut mulai menampilkan formulir login di setiap halaman.

Namun, ketika mencoba masuk ke situs, itu hanya menampilkan halaman masuk lagi.

Hal ini membuat para peneliti dan anggota forum percaya bahwa situs tersebut disita dan bahwa permintaan login adalah upaya phishing oleh penegak hukum untuk mengumpulkan kredensial pelaku ancaman.

Pada tanggal 27 Februari 2022, server DNS untuk raidforums.com tiba-tiba berubah menjadi server berikut:

jocelyn.ns.cloudflare.com
plato.ns.cloudflare.com

Karena server DNS ini sebelumnya digunakan dengan situs lain yang disita oleh penegak hukum, termasuk weleakinfo.com dan doublevpn.com, para peneliti percaya bahwa ini menambahkan dukungan lebih lanjut bahwa domain tersebut disita.

Sebelum menjadi tempat favorit para peretas untuk menjual data curian, RaidForums memiliki awal yang lebih sederhana dan digunakan untuk mengatur berbagai jenis pelecehan elektronik, termasuk memukul target (membuat laporan palsu yang mengarah pada intervensi penegakan hukum bersenjata) dan “menyerang,” yang DoJ menggambarkan sebagai “memposting atau mengirim sejumlah besar kontak ke media komunikasi online korban.”

Situs ini menjadi terkenal selama beberapa tahun terakhir dan sering digunakan oleh geng ransomware dan pemeras data untuk membocorkan data sebagai cara untuk menekan korban agar membayar uang tebusan, dan digunakan oleh geng ransomware Babuk dan Lapsus$ kelompok pemerasan di masa lalu.

Pasar telah aktif sejak 2015 dan untuk waktu yang lama merupakan rute terpendek bagi peretas untuk menjual basis data curian atau membaginya dengan anggota forum.

Data sensitif yang diperdagangkan di forum termasuk informasi pribadi dan keuangan seperti perutean bank dan nomor rekening, kartu kredit, informasi login, dan nomor jaminan sosial.

Setelah Rusia menginvasi Ukraina, dan banyak aktor ancaman mulai memihak, RaidForums mengumumkan bahwa mereka melarang setiap anggota yang diketahui terkait dengan Rusia.

Sumber : Bleeping Computer

Geng ransomware LockBit mengintai di jaringan pemerintah AS selama berbulan-bulan

by

Sebuah badan pemerintah regional A.S. yang dikompromikan dengan ransomware LockBit memiliki aktor ancaman di jaringannya setidaknya selama lima bulan sebelum muatan disebarkan, menurut temuan peneliti keamanan.

Log yang diambil dari mesin yang disusupi menunjukkan bahwa dua kelompok ancaman telah mengkompromikan mereka dan terlibat dalam operasi pengintaian dan akses jarak jauh.

Para penyerang mencoba menghapus jejak mereka dengan menghapus Log Peristiwa tetapi potongan-potongan file tetap memungkinkan analis ancaman untuk melihat sekilas aktor dan taktik mereka.

Akses awal yang memungkinkan serangan itu adalah fitur pelindung yang salah satu teknisi agensi biarkan dinonaktifkan setelah operasi pemeliharaan.

Menurut peneliti di perusahaan keamanan siber Sophos, pelaku mengakses jaringan melalui port desktop jarak jauh (RDP) terbuka pada firewall yang salah konfigurasi dan kemudian menggunakan Chrome untuk mengunduh alat yang diperlukan dalam serangan itu.

Toolset termasuk utilitas untuk brute-forcing, scanning, VPN komersial, dan alat gratis yang memungkinkan manajemen file dan eksekusi perintah, seperti PsExec, FileZilla, Process Explorer, dan GMER.

Selain itu, para peretas menggunakan desktop jarak jauh dan perangkat lunak manajemen jarak jauh seperti ScreenConnect, dan kemudian dalam serangan itu, AnyDesk.

Dari sana, para penyerang menghabiskan waktu untuk bersembunyi dan hanya mencoba mencuri kredensial akun yang berharga untuk memperluas kompromi jaringan mereka.

Pada titik tertentu, mereka mengambil kredensial dari admin server lokal yang juga memiliki izin Administrator Domain, sehingga mereka dapat membuat akun baru di sistem lain dengan hak administrator.

Pada tahap kedua serangan, dimulai lima bulan setelah kompromi awal, aktor yang lebih canggih tampaknya telah mengambil alih, membuat Sophos berasumsi bahwa aktor tingkat yang lebih tinggi sekarang bertanggung jawab atas operasi tersebut.

Fase baru dimulai dengan menginstal alat pasca-eksploitasi Mimikatz dan LaZagne untuk mengekstrak set kredensial dari server yang disusupi.

Penyerang membuat kehadiran mereka lebih jelas dengan menghapus log dan melakukan reboot sistem melalui perintah jarak jauh, memperingatkan admin sistem yang membuat 60 server offline dan membagi jaringan.

Kesalahan kedua selama respons insiden ini menonaktifkan keamanan titik akhir. Dari titik ini, kedua pihak terlibat dalam konfrontasi terbuka tentang tindakan dan tindakan balasan.

Sophos bergabung dengan upaya respons dan mematikan server yang menyediakan akses jarak jauh ke musuh, tetapi bagian dari jaringan telah dienkripsi dengan LockBit.

Pada beberapa mesin, meskipun file telah diganti namanya dengan akhiran LockBit, tidak ada enkripsi yang terjadi, jadi memulihkannya adalah masalah membalikkan tindakan penggantian nama.

Para peneliti mengatakan bahwa menerapkan perlindungan otentikasi multi-faktor (MFA) akan menghasilkan hasil yang berbeda, karena akan menghentikan peretas untuk bergerak bebas atau setidaknya secara signifikan menghambat tindakan mereka di jaringan yang disusupi.

Fitur keamanan penting lainnya yang dapat memperlambat pelaku ancaman adalah aturan firewall yang memblokir akses jarak jauh ke port RDP.

Sumber : Bleeping Computer

AS mengatakan peretas negara Rusia mengintai di jaringan kontraktor pertahanan selama berbulan-bulan

by

Peretas yang didukung oleh pemerintah Rusia telah menembus jaringan beberapa kontraktor pertahanan AS dalam kampanye berkelanjutan yang telah mengungkapkan informasi sensitif tentang infrastruktur komunikasi pengembangan senjata AS, kata pemerintah federal pada hari Rabu.

Kampanye dimulai pada Januari 2020 dan berlanjut hingga bulan ini, menurut penasihat bersama oleh FBI, Badan Keamanan Nasional, dan Badan Keamanan Cybersecurity dan Infrastruktur. Para peretas telah menargetkan dan berhasil meretas kontraktor pertahanan yang dibersihkan, atau CDC, yang mendukung kontrak untuk Departemen Pertahanan AS dan komunitas intelijen.

“Selama periode dua tahun ini, para aktor ini telah mempertahankan akses terus-menerus ke beberapa jaringan CDC, dalam beberapa kasus setidaknya selama enam bulan,” tulis para pejabat dalam nasihat tersebut. “Dalam kasus ketika para aktor telah berhasil memperoleh akses, FBI, NSA, dan CISA telah mencatat pemusnahan email dan data secara teratur dan berulang. Misalnya, pada saat kompromi pada tahun 2021, pelaku ancaman melakukan eksfiltrasi ratusan dokumen terkait produk perusahaan, hubungan dengan negara lain, serta personel internal dan masalah hukum.”

Dokumen-dokumen yang diekstraksi telah memasukkan informasi eksklusif CDC dan dikendalikan ekspor yang tidak terklasifikasi. Informasi ini memberikan pemerintah Rusia “wawasan yang signifikan” ke dalam pengembangan platform senjata AS dan jadwal waktu penyebaran, rencana infrastruktur komunikasi, dan teknologi khusus yang digunakan oleh pemerintah dan militer AS. Dokumen tersebut juga mencakup email yang tidak diklasifikasikan di antara karyawan dan pelanggan pemerintah mereka yang membahas perincian kepemilikan tentang penelitian teknologi dan ilmiah.

Para peretas telah menggunakan berbagai metode untuk menembus target mereka. Metodenya termasuk memanen kata sandi jaringan melalui spear-phishing, pelanggaran data, teknik cracking, dan eksploitasi kerentanan perangkat lunak yang belum ditambal.

Setelah mendapatkan pijakan di jaringan yang ditargetkan, pelaku ancaman meningkatkan hak sistem mereka dengan memetakan Direktori Aktif dan menghubungkan ke pengontrol domain. Dari sana, mereka dapat mengekstrak kredensial untuk semua akun lain dan membuat akun baru.

Peretas menggunakan server pribadi virtual untuk mengenkripsi komunikasi mereka dan menyembunyikan identitas mereka, tambah penasihat itu. Mereka juga menggunakan perangkat “kantor kecil dan kantor rumah (SOHO), sebagai simpul operasional untuk menghindari deteksi.” Pada tahun 2018, Rusia ketahuan menginfeksi lebih dari 500.000 router konsumen sehingga perangkat tersebut dapat digunakan untuk menginfeksi jaringan tempat mereka terhubung, mengekstrak kata sandi, dan memanipulasi lalu lintas yang melewati perangkat yang disusupi.

“Dalam beberapa kasus, pelaku ancaman mempertahankan akses terus-menerus selama setidaknya enam bulan,” kata penasihat bersama. “Meskipun para pelaku telah menggunakan berbagai malware untuk mempertahankan persistensi, FBI, NSA, dan CISA juga telah mengamati intrusi yang tidak bergantung pada malware atau mekanisme persistensi lainnya. Dalam kasus ini, kemungkinan pelaku ancaman mengandalkan kepemilikan kredensial yang sah untuk bertahan, memungkinkan mereka untuk beralih ke akun lain, sesuai kebutuhan, untuk mempertahankan akses ke lingkungan yang disusupi.”

Penasihat berisi daftar indikator teknis yang dapat digunakan admin untuk menentukan apakah jaringan mereka telah disusupi dalam kampanye. Selanjutnya mendesak semua CDC untuk menyelidiki aktivitas mencurigakan di lingkungan perusahaan dan cloud mereka.

Sumber : Arstechnica

Seorang Pria Amerika Menghapus Internet Korea Utara Setelah Mereka Meretasnya

by

Selama dua minggu terakhir, Hampir semua situs web terputus secara massal, dari situs pemesanan maskapai Air Koryo hingga Naenara, halaman yang berfungsi sebagai portal resmi untuk diktator Kim. pemerintahan Jong-un.

Beberapa pengamat Korea Utara menunjukkan bahwa negara itu baru saja melakukan serangkaian uji coba rudal, menyiratkan bahwa peretas pemerintah asing mungkin telah meluncurkan serangan siber terhadap negara jahat itu untuk memintanya menghentikan serangan pedang.

Tetapi tanggung jawab atas pemadaman internet yang sedang berlangsung di Korea Utara sebenarnya adalah pekerjaan seorang pria Amerika dengan T-shirt yang secara berkala berjalan ke kantor rumahnya untuk memeriksa kemajuan program yang dia jalankan untuk mengganggu internet di seluruh negara.

P4x mengatakan dia menemukan banyak kerentanan tetapi belum ditambal dalam sistem Korea Utara yang memungkinkan dia untuk meluncurkan serangan “denial-of-service” sendirian di server dan router yang bergantung pada beberapa jaringan yang terhubung ke internet di negara itu. Dia menyebut salah satu contoh, bug yang dikenal di perangkat lunak server web NginX yang salah menangani header HTTP tertentu, memungkinkan server yang menjalankan perangkat lunak kewalahan dan offline. Dia juga menyinggung untuk menemukan versi “kuno” dari perangkat lunak server web Apache, dan mengatakan dia mulai memeriksa sistem operasi homebrew nasional Korea Utara, yang dikenal sebagai Red Star OS, yang dia gambarkan sebagai versi lama dan kemungkinan rentan dari Linux.

P4x mengatakan bahwa dia telah mengotomatiskan serangannya terhadap sistem Korea Utara, secara berkala menjalankan skrip yang menyebutkan sistem mana yang tetap online dan kemudian meluncurkan eksploitasi untuk menjatuhkannya. “Bagi saya, ini seperti ukuran pentest kecil hingga menengah,” kata P4x, menggunakan singkatan dari “penetration test,” jenis peretasan topi putih yang pernah dia lakukan di masa lalu untuk mengungkap kerentanan di jaringan klien .

Catatan dari layanan pengukuran waktu aktif Pingdom menunjukkan bahwa di beberapa titik selama peretasan P4x, hampir setiap situs web Korea Utara down.

Ali mengatakan dia melihat router-router utama untuk negara itu kadang-kadang mati, membawa mereka tidak hanya akses ke situs web negara itu, tetapi juga ke email dan layanan berbasis internet lainnya.

Sebagian besar penduduk terbatas pada intranet negara yang terputus. Williams mengatakan lusinan situs P4x telah berulang kali dihapus sebagian besar digunakan untuk propaganda dan fungsi lain yang ditujukan untuk audiens internasional.

Upaya hacktivistnya dimaksudkan untuk mengirim pesan tidak hanya kepada pemerintah Korea Utara, tetapi juga dirinya sendiri. Serangan sibernya di jaringan Korea Utara, katanya, sebagian merupakan upaya untuk menarik perhatian pada apa yang dia lihat sebagai kurangnya respons pemerintah terhadap Korea Utara yang menargetkan individu AS. “Jika tidak ada yang akan membantu saya, saya akan membantu diri saya sendiri,” katanya.

P4x tahu persis momen tahun lalu ketika dia dipukul oleh mata-mata Korea Utara. Pada akhir Januari 2021, dia membuka file yang dikirim kepadanya oleh sesama peretas, yang menggambarkannya sebagai alat eksploitasi. Hanya 24 jam kemudian, dia melihat posting blog dari Grup Analisis Ancaman Google yang memperingatkan bahwa peretas Korea Utara menargetkan peneliti keamanan. Benar saja, ketika P4x meneliti alat peretasan yang dia terima dari orang asing, dia melihat bahwa itu berisi pintu belakang yang dirancang untuk memberikan pijakan jarak jauh di komputernya. P4x telah membuka file di mesin virtual, secara digital mengkarantinanya dari sisa sistemnya. Tapi dia tetap terkejut dan terkejut dengan kesadaran bahwa dia secara pribadi telah menjadi sasaran Korea Utara.

P4x mengatakan dia dihubungi oleh FBI tetapi tidak pernah ditawari bantuan nyata untuk kerusakan dari peretasan Korea Utara. Dia juga tidak pernah mendengar konsekuensi apa pun bagi peretas yang menargetkannya, penyelidikan terbuka terhadap mereka, atau bahkan pengakuan resmi dari agen AS bahwa Korea Utara bertanggung jawab. Itu mulai terasa, seperti yang dia katakan, seperti “benar-benar tidak ada seorang pun di pihak kita.”

Setelah pengalamannya sebagai target spionase siber yang disponsori negara, P4x menghabiskan sebagian besar tahun berikutnya untuk proyek-proyek lain. Tetapi setelah satu tahun berlalu, masih tanpa pernyataan publik atau swasta dari pemerintah federal tentang penargetan peneliti keamanan dan tidak ada tawaran dukungan dari badan AS mana pun, P4x mengatakan bahwa dia memutuskan sudah waktunya untuk membuat pernyataannya sendiri kepada kedua Korea Utara. dan pemerintah Amerika.

Peretas lain yang ditargetkan oleh Korea Utara tidak semuanya setuju bahwa peretasan P4x adalah cara yang tepat untuk membuat pernyataan itu. Dave Aitel, mantan peretas NSA dan pendiri firma keamanan Imunitas, juga menjadi sasaran dalam kampanye spionase yang sama. Tetapi dia mempertanyakan apakah P4x telah mengambil pendekatan yang produktif untuk membalas dendam, mengingat bahwa dia mungkin sebenarnya menghalangi upaya intelijen tersembunyi yang menargetkan komputer Korea Utara yang sama.

Namun, Aitel setuju bahwa tanggapan pemerintah terhadap kampanye Korea Utara masih kurang. Dia mengatakan dia tidak pernah menerima kontak apa pun dari lembaga pemerintah dan menyalahkan kebisuan itu secara khusus di kaki Badan Keamanan Cybersecurity dan Infrastruktur. “Ini adalah salah satu bola terbesar yang telah dijatuhkan CISA,” kata Aitel. “Amerika Serikat pandai melindungi pemerintah, baik dalam melindungi perusahaan, tetapi tidak melindungi individu.” Dia menunjukkan bahwa banyak peneliti keamanan yang ditargetkan kemungkinan memiliki akses signifikan ke kerentanan perangkat lunak, jaringan perusahaan, dan kode alat yang banyak digunakan. Itu bisa menghasilkan, katanya, di “SolarWinds berikutnya.”

Terlepas dari kritik pemerintah AS, P4x jelas bahwa peretasannya bertujuan terutama untuk mengirim pesan ke rezim Kim, yang ia gambarkan sebagai melakukan “pelanggaran hak asasi manusia yang gila dan kontrol penuh atas populasi mereka.” Meskipun dia mengakui bahwa serangannya kemungkinan melanggar undang-undang penipuan dan peretasan komputer AS, dia berpendapat bahwa dia tidak melakukan kesalahan etis. “Hati nurani saya bersih,” katanya.

Sumber : WIRED

White House memberi tahu agensi untuk mengadopsi model keamanan ‘Zero Trust’

by

White House ingin pemerintah mengadopsi model keamanan yang disebut Zero Trust dalam dua tahun ke depan. Office of Management and Budget (OMB) merilis strategi federal final yang menjabarkan detail awal dari perubahan tersebut.

Dokumen tersebut memberi tahu agensi untuk masing-masing menunjuk pemimpin implementasi strategi dalam waktu 30 hari. Agensi diberi waktu 60 hari untuk menyerahkan rencana implementasi ke OMB dan Cybersecurity and Infrastructure Security Agency (CISA).

Pendekatan Zero Trust didasarkan pada gagasan bahwa perangkat dan koneksi lokal tidak dapat sepenuhnya dipercaya. Pengguna perlu diotorisasi, diautentikasi, dan terus divalidasi. Organisasi biasanya memiliki kendali atas Zero Trust setup, dan pengguna serta perangkat sering kali hanya diberikan akses ke data, aplikasi, dan layanan penting.

Di bawah pendekatan ini, aplikasi perusahaan akan diuji secara internal dan eksternal sebelum staf dapat mengaksesnya melalui cloud. OMB juga mengatakan tim keamanan federal dan tim data akan bekerja sama “untuk mengembangkan kategori data dan aturan keamanan untuk secara otomatis mendeteksi dan akhirnya memblokir akses tidak sah ke informasi sensitif.”

Strategi tersebut mengarahkan agensi untuk memanfaatkan autentikasi multi-faktor yang kuat dan tahan terhadap phishing, mungkin menggunakan metode fisik seperti kartu Verifikasi Identitas Pribadi. OMB juga memberi tahu agensi untuk memiliki inventaris lengkap perangkat yang diotorisasi dan digunakan untuk bisnis resmi dan untuk memastikan mereka memenuhi standar CISA.

Selengkapnya: Endgadget

Geng Ransomware meningkatkan upaya untuk meminta orang dalam untuk menyerang

by

Sebuah survei terhadap 100 perusahaan IT Amerika Utara besar (lebih dari 5.000 karyawan) menunjukkan bahwa pelaku ransomware melakukan upaya yang lebih besar untuk merekrut orang dalam di perusahaan yang ditargetkan untuk membantu dalam serangan.

Dibandingkan dengan survei sebelumnya, terdapat peningkatan 17% dalam jumlah karyawan yang menawarkan uang untuk membantu serangan ransomware terhadap majikan mereka.

Persentase perusahaan yang didekati oleh pelaku ransomware
Sumber: Hitachi ID

Pelaku ancaman biasanya menggunakan email dan media sosial untuk menghubungi karyawan, tetapi 27% dari upaya pendekatan mereka dilakukan melalui panggilan telepon, cara kontak langsung dan berani.

Adapun uang yang ditawarkan kepada karyawan, sebagian besar menerima tawaran di bawah $500.000, tetapi beberapa proposal berada di utara satu juta USD.

Jumlah yang ditawarkan kepada karyawan nakal
Sumber: Hitachi ID

Sebagaimana tercermin dalam temuan survei Hitachi ID, ancaman orang dalam umumnya diabaikan, diremehkan, dan tidak diperhitungkan saat mengembangkan rencana keamanan siber.

Ketika eksekutif TI ditanyai tentang seberapa khawatir mereka tentang ancaman internal, 36% menjawab dengan lebih khawatir tentang ancaman eksternal, dengan 3% tidak khawatir tentang ancaman sama sekali.

Apa yang eksekutif TI pikirkan tentang ancaman orang dalam
Sumber: Hitachi ID

CISA merilis alat yang dapat membantu perusahaan menilai sikap mereka terhadap ancaman orang dalam pada September 2021, memperingatkan bahwa tren tertentu sedang meningkat.

Entitas yang memutuskan untuk meningkatkan pelatihan karyawan dan mengirim email palsu kepada karyawan di area kritis dengan laporan karyawan yang tidak puas atau indikator kinerja rendah. Namun, sebagian besar belum menerapkan langkah-langkah keamanan khusus untuk mengatasi masalah tersebut.

Fakta bahwa Amerika Serikat sedang mengalami lonjakan berhenti dari pekerjaan yang disebut “Pengunduran Diri Hebat” meningkatkan peluang keberhasilan bagi aktor ransomware dalam negosiasi yang aneh ini.

Banyak orang yang merasa stres berlebihan, dibayar rendah, dieksploitasi, kelelahan, atau merasa bahwa pekerjaan tidak lagi sepadan dengan waktu dan energi mereka.

Orang-orang ini terlihat sebagai kandidat ideal untuk geng ransomware yang membujuk mereka dengan bayaran besar untuk menjadi kaki tangan jangka pendek.

Sumber : Bleeping Computer