Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Pelanggaran data NVIDIA mengekspos kredensial lebih dari 71.000 karyawan

by

Lebih dari 71.000 kredensial karyawan dicuri dan bocor secara online menyusul pelanggaran data yang diderita oleh raksasa pembuat chip AS Nvidia bulan lalu.

Layanan pemberitahuan pelanggaran data Have I Been Pwned telah menambahkan data milik 71.335 akun yang disusupi ke databasenya pada hari Rabu.

Have I Been Pwned mengatakan data yang dicuri berisi “alamat email dan hash kata sandi NTLM, banyak di antaranya kemudian diretas dan diedarkan dalam komunitas peretasan.”

Nvidia mengkonfirmasi pada 1 Maret bahwa jaringannya dibobol bulan lalu, dengan penyerang mendapatkan akses ke data login karyawan dan informasi kepemilikan.

Nvidia mengatakan sedang menyelidiki “insiden” yang dilaporkan berdampak pada beberapa sistemnya, menyebabkan pemadaman dua hari setelah berita tentang insiden itu pertama kali terungkap hampir seminggu yang lalu.

Pada hari yang sama, kelompok pemerasan data yang dijuluki Lapsus$ mengklaim serangan tersebut dan memberikan rincian mengenai insiden tersebut, termasuk bahwa mereka mencuri 1TB data dari jaringan Nvidia.

Selama akhir pekan, Lapsus$ membagikan lebih banyak detail tentang intrusi dan kebocoran arsip 20GB yang berisi data yang dicuri dari sistem Nvidia, serta hash kata sandi karyawan perusahaan,

Grup tersebut mengancam akan membocorkan info spesifikasi perangkat keras kecuali batasan lite hash rate (LHR) dari firmware GeForce RTX 30 Series tidak dihapus.

Lapsus$ juga meminta Nvidia untuk berkomitmen membuka sumber driver GPU mereka untuk perangkat Windows, macOS, dan Linux hingga Jumat, 4 Maret, untuk menghindari pencurian informasi di semua GPU terbaru, termasuk RTX 3090Ti, bocor secara online.

Lapsus$ mengklaim serangan terhadap Nvidia (BleepingComputer)

Setelah menolak untuk mengkonfirmasi klaim pemeras, Nvidia mengatakan bahwa mereka mendeteksi “insiden keamanan siber yang berdampak pada sumber daya TI” pada 23 Februari.

Perusahaan menambahkan bahwa mereka tidak menemukan bukti serangan ransomware, meskipun pelaku ancaman masih berhasil mencuri kredensial karyawan dan data kepemilikan, membenarkan klaim Lapsus$.

“Kami tidak mengantisipasi gangguan apa pun pada bisnis kami atau kemampuan kami untuk melayani pelanggan kami sebagai akibat dari insiden tersebut.”

Sumber : Bleeping Computer

Eksploitasi Log4shell sekarang sebagian besar digunakan untuk botnet DDoS, cryptominers

by

Kerentanan Log4Shell dalam perangkat lunak Log4j yang banyak digunakan masih dimanfaatkan oleh aktor ancaman saat ini untuk menyebarkan berbagai muatan malware, termasuk merekrut perangkat sebagai botnet DDoS dan untuk menanam cryptominers.

Menurut sebuah laporan oleh Barracuda, beberapa bulan terakhir ditandai dengan penurunan dan lonjakan penargetan Log4Shell, tetapi volume upaya eksploitasi tetap relatif konstan.

Setelah menganalisis serangan ini, Barracuda menetapkan bahwa sebagian besar upaya eksploitasi berasal dari alamat IP yang berbasis di AS, diikuti oleh Jepang, Eropa tengah, dan Rusia.

Peneliti Barracuda telah melihat berbagai muatan yang menargetkan penyebaran Log4j yang rentan, tetapi turunan botnet Mirai tampaknya mengambil bagian terbesar saat ini.

Pada Desember 2021, para peneliti menemukan Log4j versi 2.14.1 dan semua versi sebelumnya rentan terhadap CVE-2021-44228, dijuluki “Log4Shell,” kesalahan eksekusi kode jarak jauh nol hari yang kritis.

Apache, pengembang Log4j, mencoba menyelesaikan masalah dengan merilis versi 2.15.0. Namun, penemuan kerentanan dan celah keamanan berikutnya memperpanjang perlombaan penambalan hingga akhir tahun, ketika versi 2.17.1 akhirnya mengatasi semua masalah.

Namun, menurut Barracuda, banyak sistem terus menjalankan versi lama Log4j dan dengan demikian rentan terhadap eksploitasi.

Cara paling sederhana untuk melindungi dari jenis serangan ini adalah dengan memperbarui Log4j ke versi 2.17.1 atau yang lebih baru dan selalu memperbarui semua aplikasi web Anda secara umum.

Selengkapnya: Bleeping Computer

Malware TeaBot menyelinap kembali ke Google Play Store untuk menargetkan pengguna AS

by

Trojan perbankan TeaBot terlihat sekali lagi di Google Play Store di mana ia menyamar sebagai aplikasi kode QR dan menyebar ke lebih dari 10.000 perangkat.

Ini adalah trik yang digunakan distributor sebelumnya, pada bulan Januari, dan meskipun Google menghapus entri ini, tampaknya malware masih dapat menemukan jalan ke repositori aplikasi Android resmi.

Menurut laporan dari Cleafy, sebuah perusahaan manajemen dan pencegahan penipuan online, aplikasi ini bertindak sebagai dropper. Mereka dikirimkan tanpa kode berbahaya dan meminta izin minimal, yang menyulitkan pengulas Google untuk menemukan sesuatu yang mencurigakan.

Selain itu, aplikasi ini menyertakan fungsionalitas yang dijanjikan, sehingga ulasan pengguna di Play Store bersifat positif.

Dalam versi yang beredar di Play Store pada Januari 2021, dianalisis oleh Bitdefender, TeaBot tidak akan muncul jika mendeteksi lokasi korban di Amerika Serikat.

Sekarang, TeaBot secara aktif menargetkan pengguna di AS dan juga menambahkan bahasa Rusia, Slovakia, dan Cina, yang menunjukkan bahwa malware mengincar kumpulan korban global.

Untuk meminimalkan kemungkinan infeksi dari trojan perbankan bahkan saat menggunakan Play Store sebagai sumber aplikasi eksklusif Anda, pertahankan jumlah aplikasi yang diinstal pada perangkat Anda seminimal mungkin.

Juga, setiap kali Anda menginstal aplikasi baru di perangkat Anda, pantau konsumsi baterai dan volume lalu lintas jaringannya selama beberapa hari pertama untuk menemukan pola yang mencurigakan.

Selengkapnya: Bleeping Computer

Taktik Cyber Rusia Mendorong FCC untuk Mengatasi Keamanan Internet Routing

by

Komisi Komunikasi Federal (FCC) mengutip agresi Rusia terhadap Ukraina dalam mengumumkan persetujuan bulatnya atas pemberitahuan penyelidikan untuk penggunaan yang aman dari Border Gateway Protocol, sistem perutean internet.

“Pekan lalu, Departemen Keamanan Dalam Negeri memperingatkan organisasi AS di semua tingkatan bahwa mereka dapat menghadapi ancaman dunia maya yang berasal dari konflik Rusia-Ukraina,” bunyi siaran pers dari FCC, Senin.

“Pemberitahuan ini akan memulai penyelidikan atas kerentanan sistem perutean global internet. Penyelidikan juga akan memeriksa dampak dari kerentanan ini pada transmisi data melalui email, e-commerce, transaksi bank, Voice-over Internet Protocol yang saling berhubungan dan panggilan 911—dan cara terbaik untuk mengatasi tantangan ini.”

Digunakan bersama dengan botnet, BGP dapat dimanipulasi untuk mengeksekusi serangan distributed denial of service seperti yang baru-baru ini dialami di Ukraina. AS telah mengaitkan serangan DDoS itu dengan Rusia. Pemberitahuan FCC menjelaskan bagaimana musuh juga dapat mengeksploitasi kerentanan di BGP untuk mengarahkan lalu lintas dan mencuri data.

Pemberitahuan tersebut mencantumkan berbagai upaya selama bertahun-tahun baik di dalam maupun di luar komisi untuk menetapkan penggunaan BGP yang aman.

Institut Standar dan Teknologi Nasional, Satuan Tugas Teknik Internet, Masyarakat Internet, dan Dewan Keandalan dan Interoperabilitas Keamanan Komunikasi milik FCC memiliki semua praktik terbaik yang terdokumentasi untuk mengatasi risiko keamanan yang terkait dengan protokol. Namun hal tersebut belum diterapkan secara komprehensif oleh penyedia layanan internet.

Selengkapnya: Nextgov

Saat Perang Dimulai, Ukraina Beralih ke Telegram

by

Setiap hari selama dua tahun terakhir, ribuan orang Ukraina membuka saluran resmi Telegram Covid-19 untuk berita pandemi terbaru. Akun @COVID19_Ukraine membagikan angka kasus harian, jumlah orang yang meninggal, dan saran kesehatan terbaru dari pemerintah. Jutaan orang membaca saluran tersebut selama krisis kesehatan global.

Tetapi ketika pasukan Rusia berbaris menuju perbatasan Ukraina, saluran itu merespons. Saluran tersebut menanyakan apakah anggota menginginkan update tentang berita “sosial-politik” terbaru? Orang-orang sangat memilih untuk adanya perubahan. Sejak itu saluran Telegram telah membagikan berita perang terbaru 24 jam sehari—mengubah nama tampilannya menjadi @UkraineNOW—dan menjadi sumber penting informasi terverifikasi bagi warga Ukraina.

Pada hari-hari sejak perang dimulai, WIRED telah meninjau ratusan posting Telegram dari akun dan politisi pemerintah Ukraina yang diverifikasi. Pesan mereka membantu menjaga orang tetap aman, menghilangkan prasangka disinformasi Rusia, dan melawan ancaman yang muncul.

Dengan hampir 500.000 anggota sebelum invasi Rusia, UkrainaNOW sudah menjadi salah satu saluran Telegram terbesar di negara itu. Sekarang satu juta orang bergantung padanya untuk mendapatkan informasi terbaru tentang perang.

Selain mempromosikan pesan resmi, pemerintah Ukraina juga menggunakan Telegram untuk meminta bantuan dari warganya. Fedorov membentuk “Tentara TI” yang didukung pemerintah dari peretas sukarelawan menggunakan Telegram; lebih dari 200.000 orang telah mendaftar.

Selengkapnya: Wired

Situs Ukraina mengalami peningkatan serangan 10x saat invasi dimulai

by

Perusahaan keamanan internet telah mencatat gelombang serangan besar-besaran terhadap situs WordPress Ukraina sejak Rusia menginvasi Ukraina, yang bertujuan untuk menghapus situs web dan menyebabkan demoralisasi.

Firma keamanan siber Wordfence, yang melindungi 8.320 situs WordPress milik universitas, pemerintah, militer, dan entitas penegak hukum di Ukraina, melaporkan telah mencatat 144.000 serangan pada 25 Februari saja.

Fokus serangan tampaknya adalah bagian dari 376 situs web akademik yang menerima 209.624 serangan antara 25 dan 27 Februari.

Gelombang besar serangan terkoordinasi ini telah mengakibatkan kompromi dari 30 situs web universitas Ukraina, yang sebagian besar mengalami kerusakan total dan tidak tersedianya layanan.

Kelompok peretas di balik serangan ini adalah kelompok pro-Rusia yang disebut “theMx0nday,” yang telah memposting bukti peretasan pada agregator defacement Zone-H.

Wordfence telah menemukan bahwa pelaku ancaman berbasis di Brasil tetapi mengarahkan serangan mereka melalui alamat IP Finlandia menggunakan penyedia layanan internet anonim Njalla.

Kelompok aktor tertentu sebelumnya telah menyerang situs Brasil, Indonesia, Spanyol, Argentina, AS, dan Turki, sementara entri pertama mereka di Zone-H dimulai pada April 2019.

Untuk pertama kalinya dalam sejarahnya, Wordfence telah memutuskan untuk menyebarkan real-time threat intelligenc ke semua situs web Ukraina terlepas dari tingkat langganan mereka ke layanannya. Biasanya, fitur ini hanya tersedia untuk pelanggan Premium.

Sumber: Bleeping Computer

Cacat Keamanan iOS Ini Perlu Ditangani Di Setiap Aplikasi

by

Cacat dalam cara iOS menangani pencopotan pemasangan aplikasi berarti bahwa data Rantai Kunci yang sensitif tidak dihapus saat konten pengguna aplikasi lainnya dihapus. Ini memengaruhi sebagian besar aplikasi, bahkan aplikasi yang tidak langsung menggunakan Keychain.

Saat pengguna mencopot pemasangan aplikasi dari iPhone atau iPad mereka, mereka benar-benar mengharapkan data aplikasi tersebut dihapus sepenuhnya. Namun, ternyata, iOS tidak menghapus beberapa data paling sensitif yang mungkin disimpan oleh aplikasi, termasuk kata sandi dan token keamanan. Data itu akan tetap ada di perangkat Anda setelah aplikasi dihapus.

Dan faktanya, pengguna tidak memiliki cara untuk menghapus data ini sama sekali, kecuali menghapus seluruh ponsel mereka. Ini dapat menyebabkan masalah perusak privasi lainnya. Bayangkan situasi di mana seseorang menghapus semua aplikasi mereka untuk menyerahkan telepon kepada orang lain.

Cara yang tepat untuk melakukan ini tentu saja adalah dengan menggunakan fungsi “Hapus iPhone”, tetapi tidak semua konsumen mengetahuinya, Mereka akan menganggap bahwa semua data mereka telah dihapus. Namun pada kenyataannya pengguna baru berpotensi memiliki akses ke semua akun pemilik sebelumnya hanya dengan menginstal ulang aplikasi yang relevan.

Sebagian besar aplikasi tidak menggunakan Keychain secara langsung, karena mereka menggunakan perpustakaan pihak ketiga yang berfungsi untuk mereka (Firebase misalnya). Cacat ini memengaruhi aplikasi apa pun yang menggunakan Keychain secara langsung atau tidak langsung.

Jadi hal terbaik berikutnya adalah menghapus data Keychain setiap kali Anda mendeteksi bahwa aplikasi telah diinstal ulang. Itu tidak akan mencegah data tidak aktif di ponsel Anda, tetapi itu akan mencegahnya digunakan saat seharusnya tidak.

Kode terlihat seperti ini untuk aplikasi SwiftUI:

struct MyApp: App {
init() {
// Find if this is a first run of a fresh install
let defaults = UserDefaults.standard

// If the “IsSubsequentRun” key doesn’t exist, it’s a fresh
// install
if !defaults.bool(forKey: “IsSubsequentRun”) {

// …so we delete the whole keychain
deleteEntireKeychain()

// And set the key to true, so we know it’s not a fresh
// install any more.
defaults.set(true, forKey: “IsSubsequentRun”)
}
}
}

Untuk aplikasi UIKit, kode di dalam init() seharusnya diletakkan di fungsi app(_:didFinishLaunchingWithOptions:) AppDelegate Anda.
Dalam kedua kasus tersebut, pastikan kode dijalankan sebelum menginisialisasi pustaka apa pun yang mungkin menggunakan data Rantai Kunci (seperti Firebase).
Terakhir, tambahkan fungsi berikut yang dapat digunakan untuk menghapus seluruh data Rantai Kunci aplikasi Anda:

import Security

func deleteEntireKeychain() {
let secItemClasses = [
kSecClassGenericPassword,
kSecClassInternetPassword,
kSecClassCertificate,
kSecClassKey,
kSecClassIdentity
]

// Query every item in each security class
for secItemClass in secItemClasses {
let query: NSDictionary = [
kSecClass: secItemClass,
kSecAttrSynchronizable: kSecAttrSynchronizableAny
]

// …and delete those items
SecItemDelete(query)
}
}

Ini adalah kelemahan keamanan yang merusak privasi. Ini menyebabkan data sensitif yang diharapkan pengguna telah dihapus, pada kenyataannya bertahan. Tidak ada solusi lengkap. Namun, kode di atas setidaknya akan menjamin bahwa data apa pun yang sebelumnya harus dihapus, tidak dapat digunakan di aplikasi Anda.

Sumber : Medium

Peneliti Ukraina Bocorkan Data Geng Conti Ransomware

by

Peneliti, yang memiliki akses ke sistem Conti, merilis data setelah geng ransomware terkenal menyatakan dukungan untuk Rusia sejak invasi ke Ukraina, kata Alex Holden, CTO Hold Security, sebuah konsultan yang mempelajari ransomware dan kejahatan dunia maya. Nama peneliti keamanan tidak dapat dirilis.

Data, yang dalam format JSON, termasuk log obrolan Jabber, alamat bitcoin, dan negosiasi antara korban ransomware dan penyerang Conti. Sebagian besar data adalah obrolan internal antara anggota dan afiliasi Conti, termasuk detail pribadi, konflik, dan tuduhan. Ada juga log yang terkait dengan TrickBot, botnet yang kadang-kadang digunakan untuk mendistribusikan Conti, kata Holden. Data tersebut mencakup periode dari Januari 2021 hingga awal bulan ini (lihat: Gerakan Kejahatan Dunia Maya: Conti Ransomware Menyerap TrickBot Malware).

Data Conti “harus dibaca oleh semua profesional keamanan karena memberikan Anda wawasan tentang cara kerja ransomware sebenarnya,” kata Holden. VX-Underground, sekelompok peneliti malware, juga telah memeriksa data dan membagikannya secara publik.

Pesan ini menyertai data Conti. (Sumber: VX-Underground via Twitter)

Ada sekitar 150 alamat bitcoin, pegangan obrolan, alamat IP, panel kontrol, dan data infrastruktur lainnya yang akan sangat berguna untuk melacak geng serta afiliasi yang menggunakan malware-nya, kata Liska. Conti adalah apa yang disebut grup ransomware-as-a-service. Afiliasi mendaftar untuk mendistribusikan ransomware, dan keuntungan dari serangan yang berhasil dibagikan.

“Banyak grup ransomware tidak memiliki opsec [keamanan operasional] sebaik yang mereka kira,” kata Liska. “Ini pasti cara untuk belajar dan memahami bagaimana mereka beroperasi dan apa yang mereka lakukan.”

Conti adalah salah satu jenis ransomware yang paling umum. Ini dikembangkan oleh kelompok kejahatan dunia maya Rusia yang sudah lama berjalan yang dikenal sebagai Wizard Spider, menurut CrowdStrike. Kelompok ini diyakini bertanggung jawab atas malware/kode botnet TrickBot serta ransomware jenis Ryuk dan BazarLoader.

Conti agresif dan memusuhi korbannya. Jika korban menolak untuk membayar uang tebusan, perlahan-lahan data sensitif mereka bocor di situs webnya. Itu berarti bahwa meskipun suatu organisasi memiliki cadangan yang baik dan rencana pemulihan bencana, mereka masih menghadapi kesulitan dari data yang bocor.

Meneriakkan dukungan untuk Rusia di tengah kecaman global atas serangan negara itu terhadap Ukraina adalah langkah yang berisiko. Pada hari Jumat, geng Conti menerbitkan posting singkat di situs web yang digunakannya untuk membocorkan data organisasi yang telah dikompromikan.

Ia menulis bahwa mereka sepenuhnya mendukung pemerintah Rusia dan bahwa jika ada yang mengorganisir serangan siber terhadap Rusia, ia akan menggunakan semua sumber dayanya untuk menyerang balik “infrastruktur penting musuh.”

Pada hari Senin, posting itu tampaknya telah dihapus. Posting lain yang pada dasarnya mengungkapkan sentimen yang sama telah diterbitkan tetapi dengan tambahan baru yang mencoba meredam posisinya: “Kami tidak bersekutu dengan pemerintah mana pun dan kami mengutuk perang yang sedang berlangsung.”

Risiko terbesar yang datang dari kebocoran ini adalah bahwa afiliasi dan penjahat dunia maya lainnya mungkin tidak ingin bekerja dengan geng yang infrastrukturnya telah disusupi oleh peneliti keamanan dunia maya.

Kebocoran akan menyulitkan Conti untuk melanjutkan, kata Brett Callow, analis ancaman di Emsisoft, sebuah perusahaan keamanan yang berkantor pusat di Selandia Baru yang membantu organisasi pulih dari ransomware.

Sumber : Data Breach Today