Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Mozilla Merilis Pembaruan Keamanan untuk Firefox, Firefox ESR, dan Thunderbird

by

Mozilla mengumumkan pembaruan keamanan pada situs resminya pada hari rabu, 29 Juni. Versi baru Firefox ini adalah Firefox 102, Firefox ESR 91.11, Thunderbird 91.11 dan 102.

Pembaruan ini memperbaiki 21 kerentanan yang dapat dieksploitasi untuk memicu Denial of Service, spoofing, eksekusi kode jarak jauh, pengungkapan informasi sensitif, manipulasi data, dan bypass pembatasan keamanan pada sistem yang ditargetkan.

Oleh karena itu, pengguna disarankan untuk segera melakukan keamanan.

Sumber:
Firefox 102
Thunderbird 91.11 and Thunderbird 102
Firefox ESR 91.11
HKCERT

LockBit 3.0 memperkenalkan program hadiah bug ransomware pertama

by

Operasi ransomware LockBit telah merilis ‘LockBit 3.0,’ memperkenalkan program hadiah bug ransomware pertama dan membocorkan taktik pemerasan baru dan opsi pembayaran cryptocurrency Zcash.

Operasi ransomware diluncurkan pada 2019 dan sejak itu berkembang menjadi operasi ransomware paling produktif, terhitung 40% dari semua serangan ransomware yang diketahui pada Mei 2022.

Selama akhir pekan, geng kejahatan dunia maya merilis operasi ransomware-as-a-service (RaaS) yang diubah yang disebut LockBit 3.0 setelah pengujian beta selama dua bulan terakhir, dengan versi baru sudah digunakan dalam serangan.

Meskipun tidak jelas perubahan teknis apa yang dilakukan pada encryptor, catatan tebusan tidak lagi bernama ‘Restore-My-Files.txt’ dan sebagai gantinya telah dipindahkan ke format penamaan, [id].README.txt, seperti yang ditunjukkan di bawah ini.

Catatan tebusan LockBit 3.0
Sumber: BleepingComputer

Dengan dirilisnya LockBit 3.0, operasi tersebut telah memperkenalkan program bug bounty pertama yang ditawarkan oleh geng ransomware, meminta peneliti keamanan untuk mengirimkan laporan bug dengan imbalan hadiah berkisar antara $1.000 dan $1 juta.

Program hadiah bug LockBit 3.0
Sumber: BleepingComputer

Namun, program bug bounty ini sedikit berbeda dari yang biasa digunakan oleh perusahaan yang sah, karena membantu perusahaan kriminal akan ilegal di banyak negara.

Selain itu, LockBit tidak hanya menawarkan hadiah untuk hadiah atas kerentanan tetapi juga membayar hadiah untuk “ide cemerlang” dalam meningkatkan operasi ransomware dan untuk melakukan doxxing kepada manajer program afiliasi.

Berikut ini adalah berbagai kategori karunia bug yang ditawarkan oleh operasi LockBit 3.0:

  • Bug Situs Web: Kerentanan XSS, injeksi mysql, mendapatkan shell ke situs dan banyak lagi, akan dibayar tergantung pada tingkat keparahan bug, arah utama adalah untuk mendapatkan decryptor melalui situs web bug, serta akses ke riwayat korespondensi dengan perusahaan terenkripsi.
  • Locker Bugs: Setiap kesalahan selama enkripsi oleh loker yang menyebabkan file rusak atau kemungkinan mendekripsi file tanpa mendapatkan decryptor.
  • Doxing: Kami membayar tepat satu juta dolar, tidak lebih dan tidak kurang, untuk doxing bos program afiliasi. Baik Anda seorang agen FBI atau peretas yang sangat pintar yang tahu cara menemukan siapa pun, Anda dapat mengirimi kami pesan TOX, memberi kami nama bos Anda, dan mendapatkan $1 juta dalam bentuk bitcoin atau monero untuk itu.

    • Selengkapnya

Saat membuka situs Tor untuk negosiasi LockBit 3.0 dan situs kebocoran data, pengunjung disajikan dengan logo animasi dengan berbagai ikon mata uang kripto yang berputar di sekitarnya.

Ikon cryptocurrency yang ditampilkan dalam animasi ini adalah Monero dan Bitcoin, yang sebelumnya diterima oleh operasi sebagai pembayaran tebusan, tetapi juga mencakup koin privasi yang dikenal sebagai Zcash.

Perusahaan pelacakan Cryptocurrency dan penyitaan penegakan hukum telah berulang kali menunjukkan bahwa Bitcoin dapat dilacak, dan sementara Monero adalah koin privasi, itu tidak ditawarkan untuk dijual oleh sebagian besar pertukaran crypto AS.

Zcash juga merupakan koin privasi, membuatnya lebih sulit untuk dilacak. Namun, saat ini ditawarkan untuk dijual di bursa crypto AS paling populer, Coinbase, sehingga memudahkan korban untuk membeli untuk pembayaran uang tebusan.

Namun, jika operasi ransomware beralih ke menerima pembayaran dalam koin ini, kemungkinan besar kita akan melihatnya dihapus dari bursa AS karena tekanan dari pemerintah AS.

Valery Marchive dari LeMagIT menemukan bahwa operasi LockBit 3.0 menggunakan model pemerasan baru, yang memungkinkan pelaku ancaman untuk membeli data yang dicuri selama serangan.

Salah satu file JavaScript yang digunakan oleh situs kebocoran data LockBit 3.0 baru menunjukkan dialog modal HTML baru yang memungkinkan orang untuk membeli data yang bocor di situs tersebut.

Seperti yang Anda lihat di bawah, modals akan menawarkan kemampuan untuk membeli data dan mengunduhnya baik melalui Torrent atau langsung di situs. Opsi yang tersedia dapat ditentukan berdasarkan ukuran data yang dicuri, dengan Torrent digunakan untuk dump data besar dan unduhan langsung untuk jumlah yang lebih kecil.

Sumber JavaScript menunjukkan metode pemerasan data baru
Sumber: BleepingComputer

Karena situs kebocoran data LockBit 3.0 saat ini tidak mengandung korban, tidak jelas bagaimana taktik pemerasan baru ini akan bekerja atau apakah itu diaktifkan.

LockBit adalah salah satu operasi ransomware paling aktif, dengan operator yang menghadap publik secara aktif terlibat dengan pelaku ancaman lain dan komunitas keamanan siber.

Sumber: Bleeping Computer

AS, Brasil menyita 272 situs web yang digunakan untuk mengunduh musik secara ilegal

by

Domain enam situs web yang mengalirkan dan menyediakan unduhan ilegal musik berhak cipta disita oleh Investigasi Keamanan Dalam Negeri AS (HSI) dan Departemen Kehakiman.

266 situs web lain yang merupakan bagian dari jaringan yang sama juga diturunkan di Brasil, dengan enam orang ditangkap dalam 30 penggeledahan dan penyitaan di seluruh negeri.

“Menurut dokumen pengadilan, penegak hukum mengidentifikasi enam domain ini digunakan untuk mendistribusikan materi berhak cipta tanpa izin dari pemegang hak cipta,” kata Departemen Kehakiman hari ini dalam siaran pers.

“Investigasi penegakan hukum mengkonfirmasi bahwa konten musik yang dilindungi hak cipta hadir dan tersedia untuk streaming atau diunduh di masing-masing dari enam situs web ini dari Distrik Timur Virginia.”

Enam domain yang disita di AS (Corourbanos.com, Corourbano.com, Pautamp3.com, SIMP3.com, flowactivo.co, dan Mp3Teca.ws) terdaftar di pendaftar yang berbasis di AS dan dihapus setelah penyelidikan bersama dengan Brasil pihak berwenang menjuluki Operasi 404.4​​​​​.

Situs web diiklankan di media sosial untuk menarik pengguna yang mau mengunduh dan mengalirkan konten musik ilegal yang mereka sediakan. Pihak berwenang Brasil juga meminta dan menghapus 15 profil jejaring sosial yang digunakan untuk tujuan promosi.

Pelanggaran hak cipta berada di balik kerugian tahunan sebesar R$15 miliar di Brasil (sekitar $2,8 miliar), menurut Bráulio de Melo, Wakil Sekretaris Operasi Kementerian Kehakiman dan Keamanan Publik Brasil (Seopi/MJSP).

Ini adalah edisi keempat dari operasi yang dimulai pada tahun 2019 dan berfokus pada pembongkaran organisasi kejahatan dunia maya dan infrastruktur yang mereka gunakan untuk pembajakan digital dan melanggar undang-undang hak cipta internasional.

“Perampasan enam domain ini oleh pemerintah akan mencegah pihak ketiga mengalirkan dan mengunduh konten yang dilindungi hak cipta dari situs-situs tersebut,” tambah Departemen Kehakiman.

Sumber: Bleeping Computer

Malware Android ‘Revive’ meniru aplikasi 2FA bank BBVA

by

Malware perbankan Android baru bernama Revive telah ditemukan yang meniru aplikasi 2FA yang diperlukan untuk masuk ke rekening bank BBVA di Spanyol.

Trojan perbankan baru mengikuti pendekatan yang lebih terfokus yang menargetkan bank BBVA alih-alih mencoba berkompromi dengan pelanggan dari berbagai lembaga keuangan.

Sementara Revive berada dalam fase pengembangan awal, Revive sudah mampu melakukan fungsi lanjutan seperti mencegat kode otentikasi dua faktor (2FA) dan kata sandi satu kali.

Para peneliti di Cleafy menemukan Revive dan menamakannya berdasarkan fungsi dengan nama yang sama yang digunakan oleh malware untuk memulai ulang dirinya sendiri jika dihentikan.

Menurut analis Cleafy, malware baru menargetkan calon korban melalui serangan phishing, meyakinkan mereka untuk mengunduh aplikasi yang seharusnya merupakan alat 2FA yang diperlukan untuk meningkatkan keamanan rekening bank.

Serangan phishing ini mengklaim fungsionalitas 2FA yang disematkan ke dalam aplikasi bank yang sebenarnya tidak lagi memenuhi persyaratan tingkat keamanan, sehingga pengguna perlu menginstal alat tambahan ini untuk meningkatkan keamanan perbankan mereka.

Pesan phishing dikirim ke nasabah bank (Cleafy)

Aplikasi ini di-host di situs web khusus yang menampilkan tampilan profesional dan bahkan memiliki tutorial video untuk memandu korban melalui proses pengunduhan dan pemasangannya.

Setelah instalasi, Revive meminta izin untuk menggunakan Layanan Aksesibilitas, yang pada dasarnya memberikan kontrol penuh atas layar dan kemampuan untuk melakukan ketukan layar dan tindakan navigasi.

Izin diminta saat instalasi (Cleafy)

Saat pengguna meluncurkan aplikasi untuk pertama kalinya, mereka diminta untuk memberikan akses ke SMS dan panggilan telepon, yang mungkin tampak normal untuk utilitas 2FA.

Setelah itu, Revive terus berjalan di latar belakang sebagai keylogger sederhana, merekam semua yang diketik pengguna di perangkat dan mengirimkannya secara berkala ke C2.

Melakukannya akan mengirimkan kredensial ke C2 pelaku ancaman, dan kemudian beranda umum dengan tautan ke situs web sebenarnya dari bank yang ditargetkan akan dimuat.

Proses mencuri kredensial pengguna (Cleafy)

Setelah itu, Revive terus berjalan di latar belakang sebagai keylogger sederhana, merekam semua yang diketik pengguna di perangkat dan mengirimkannya secara berkala ke C2.

Berdasarkan analisis kode malware baru Cleafy, tampaknya pembuatnya terinspirasi oleh Teradroid, spyware Android yang kodenya tersedia untuk umum di GitHub.

Perbandingan kode antara dua malware (Cleafy)

Keduanya memiliki kesamaan yang luas dalam API, kerangka kerja web, dan fungsi. Revive menggunakan panel kontrol khusus untuk mengumpulkan kredensial dan mencegat pesan SMS.

Hasilnya adalah aplikasi yang hampir tidak terdeteksi oleh vendor keamanan mana pun. Misalnya, pengujian Cleafy pada VirusTotal mengembalikan empat deteksi pada satu sampel dan tidak satu pun pada varian berikutnya.

Sumber: Bleeping Computer

Google Memperingatkan ‘Spyware Hermit’ Menginfeksi Perangkat Android dan iOS

by

Peneliti Google TAG Benoit Sevens dan Clement Lecigne menjelaskan secara rinci tentang penggunaan spyware kelas kewirausahaan yang dijuluki “Hermit.” Alat spyware canggih ini memungkinkan penyerang mencuri data, pesan pribadi, dan melakukan panggilan telepon. Dalam laporan mereka, peneliti TAG menghubungkan Hermit dengan RCS Labs, vendor spyware komersial yang berbasis di Italia.

Hermit menimbulkan banyak bahaya yang signifikan. Karena modularitasnya, Hermit cukup dapat disesuaikan, memungkinkan fungsi spyware diubah sesuai keinginan penggunanya. Setelah sepenuhnya berada di ponsel target, penyerang dapat mengumpulkan informasi sensitif seperti log panggilan, kontak, foto, lokasi akurat, dan pesan SMS.

Laporan lengkap menjabarkan cara penyerang dapat mengakses perangkat Android dan iOS melalui penggunaan trik cerdas dan serangan drive-by. Target potensial dari penipuan ini akan menonaktifkan data mereka melalui operator ISP mereka sebelum mengirim tautan berbahaya melalui teks untuk membuat mereka ‘memperbaiki’ masalah tersebut. Jika itu tidak berhasil, target akan tertipu untuk mengunduh aplikasi berbahaya yang menyamar sebagai aplikasi perpesanan.

Perusahaan yang berbasis di Milan ini mengklaim menyediakan “lembaga penegak hukum di seluruh dunia dengan solusi teknologi mutakhir dan dukungan teknis di bidang intersepsi yang sah selama lebih dari dua puluh tahun.” Lebih dari 10.000 target yang dicegat konon akan ditangani setiap hari di Eropa saja.

RCS Labs mengatakan “bisnis intinya adalah desain, produksi, dan implementasi platform perangkat lunak yang didedikasikan untuk intersepsi yang sah, intelijen forensik, dan analisis data” dan bahwa itu “membantu penegakan hukum mencegah dan menyelidiki kejahatan berat seperti tindakan terorisme, perdagangan narkoba, kejahatan terorganisir, pelecehan anak, dan korupsi.”

Namun, berita tentang spyware yang digunakan oleh agen pemerintah negara bagian masih mengkhawatirkan. Tidak hanya mengikis kepercayaan pada keamanan internet, tetapi juga membahayakan nyawa siapa pun yang dianggap musuh negara oleh pemerintah, seperti pembangkang, jurnalis, pekerja hak asasi manusia, dan politisi partai oposisi.

“Menangani praktik berbahaya dari industri pengawasan komersial akan membutuhkan pendekatan yang kuat dan komprehensif yang mencakup kerja sama antara tim intelijen ancaman, pembela jaringan, peneliti akademis, pemerintah, dan platform teknologi,” tulis peneliti Google TAG. “Kami berharap dapat melanjutkan pekerjaan kami di bidang ini dan memajukan keselamatan dan keamanan pengguna kami di seluruh dunia.”

Sumber: Mashable

Pemadaman Cloudflare pada 21 Juni 2022

by

Hari ini, 21 Juni 2022, Cloudflare mengalami gangguan yang memengaruhi lalu lintas di 19 pusat data kami. Sayangnya, 19 lokasi ini menangani sebagian besar lalu lintas global kami. Pemadaman ini disebabkan oleh perubahan konfigurasi jaringan yang merupakan bagian dari proyek jangka panjang untuk meningkatkan ketahanan di lokasi tersibuk kami. Pemadaman dimulai pada 06:27 UTC. Pada 06:58 UTC, pusat data pertama dihidupkan kembali dan pada 07:42 UTC semua pusat data online dan berfungsi dengan benar.

Tergantung pada lokasi Anda di dunia, Anda mungkin tidak dapat mengakses situs web dan layanan yang mengandalkan Cloudflare. Di lokasi lain, Cloudflare terus beroperasi secara normal.

Kami sangat menyayangkan pemadaman ini. Ini adalah kesalahan kami dan bukan hasil dari serangan atau aktivitas jahat.

Latar Belakang

Selama 18 bulan terakhir, Cloudflare telah bekerja untuk mengubah semua lokasi tersibuk kami menjadi arsitektur yang lebih fleksibel dan tangguh. Saat ini, kami telah mengonversi 19 pusat data kami ke arsitektur ini, yang secara internal disebut Multi-Colo PoP (MCP): Amsterdam, Atlanta, Ashburn, Chicago, Frankfurt, London, Los Angeles, Madrid, Manchester, Miami, Milan, Mumbai, Newark, Osaka, São Paulo, San Jose, Singapura, Sydney, Tokyo.

Bagian penting dari arsitektur baru ini adalah lapisan rute tambahan yang menciptakan jaringan koneksi (mesh). Mesh ini memungkinkan kita untuk dengan mudah menghidup-matikan bagian dari jaringan internal di pusat data untuk pemeliharaan atau untuk menangani masalah.

Arsitektur baru ini telah memberi kami peningkatan keandalan yang signifikan, serta memungkinkan kami untuk menjalankan pemeliharaan di lokasi ini tanpa mengganggu lalu lintas pelanggan. Karena lokasi ini juga membawa sebagian besar lalu lintas Cloudflare, masalah apa pun di sini dapat memiliki dampak yang sangat luas, dan sayangnya, itulah yang terjadi hari ini.

Selengkapnya: Cloudflare

Peretas Tiongkok Mendistribusikan Alat Pengebom SMS dengan Malware Tersembunyi Di Dalam

by

Tropic Trooper telah terlihat menggunakan malware yang sebelumnya tidak terdokumentasi yang dikodekan dalam bahasa Nim untuk menyerang target sebagai bagian dari kampanye yang baru ditemukan.

Muatan baru, dijuluki Nimbda, “dibundel dengan alat ‘SMS Bomber’ greyware berbahasa China yang kemungkinan besar didistribusikan secara ilegal di web berbahasa China,” kata perusahaan keamanan siber Israel Check Point dalam sebuah laporan.

SMS Bomber, seperti namanya, memungkinkan pengguna untuk memasukkan nomor telepon (bukan milik mereka sendiri) untuk membanjiri perangkat korban dengan pesan dan berpotensi membuatnya tidak dapat digunakan dalam serangan denial-of-service (DoS).

Fakta bahwa biner berfungsi ganda sebagai Pengebom SMS dan pintu belakang menunjukkan bahwa serangan tidak hanya ditujukan pada mereka yang merupakan pengguna alat, tetapi juga sangat ditargetkan di alam liar.

Tropic Trooper, juga dikenal dengan sebutan Earth Centaur, KeyBoy, dan Pirate Panda, memiliki rekam jejak menyerang target yang berlokasi di Taiwan, Hong Kong, dan Filipina, terutama berfokus pada pemerintah, perawatan kesehatan, transportasi, dan industri teknologi tinggi.

Trend Micro tahun lalu menunjukkan kemampuan grup untuk mengembangkan TTP agar tetap berada di bawah radar dan mengandalkan berbagai alat khusus untuk mengkompromikan targetnya.

Biner yang diambil adalah versi upgrade dari trojan bernama Yahoyah yang dirancang untuk mengumpulkan informasi tentang jaringan nirkabel lokal di sekitar mesin korban serta metadata sistem lainnya dan mengekstrak detailnya kembali ke server command-and-control (C2).

Yahoyah juga bertindak sebagai saluran untuk mengambil malware tahap akhir, yang diunduh dalam bentuk gambar dari server C2. Payload yang dikodekan secara steganografi adalah pintu belakang yang dikenal sebagai TClient dan telah digunakan oleh grup dalam kampanye sebelumnya

“Biasanya, ketika alat pihak ketiga jinak (atau tampak jinak) dipilih sendiri untuk dimasukkan ke dalam rantai infeksi, mereka dipilih untuk menjadi yang paling tidak mencolok; pilihan alat ‘SMS Bomber’ untuk tujuan ini adalah meresahkan, dan menceritakan keseluruhan cerita saat seseorang berani memperkirakan motif dan korban yang dituju.”

Sumber: The Hacker News

Crypto Senilai $100 Juta telah Dicuri dalam Peretasan Besar Lainnya

by

Peretas telah mencuri $ 100 juta dalam cryptocurrency dari Horizon, yang disebut jembatan blockchain, dalam pencurian besar terbaru di dunia keuangan terdesentralisasi.

Rincian serangan itu masih tipis, tetapi Harmony, pengembang di balik Horizon, mengatakan mereka mengidentifikasi pencurian itu Rabu pagi. Harmony memilih akun individu yang diyakini sebagai pelakunya.

“Kami telah mulai bekerja dengan otoritas nasional dan spesialis forensik untuk mengidentifikasi pelakunya dan mengambil kembali dana yang dicuri,” kata perusahaan rintisan itu dalam tweet Rabu malam.

Jembatan Blockchain memainkan peran besar dalam ruang DeFi, menawarkan pengguna cara mentransfer aset mereka dari satu blockchain ke blockchain lainnya. Dalam kasus Horizon, pengguna dapat mengirim token dari jaringan Ethereum ke Binance Smart Chain. Harmony mengatakan serangan itu tidak mempengaruhi jembatan terpisah untuk bitcoin.

Seperti aspek lain dari DeFi, yang bertujuan untuk membangun kembali layanan keuangan tradisional seperti pinjaman dan investasi di blockchain, jembatan telah menjadi target utama bagi peretas karena kerentanan dalam kode dasarnya.

Jembatan “menjaga simpanan likuiditas yang besar,” menjadikannya “target yang menggoda bagi peretas,” menurut Jess Symington, pemimpin penelitian di perusahaan analisis blockchain Elliptic.

“Agar individu dapat menggunakan jembatan untuk memindahkan dana mereka, aset dikunci di satu blockchain dan tidak dikunci, atau dicetak, di blockchain lain,” kata Symington. “Akibatnya, layanan ini menyimpan sejumlah besar aset kripto.”

Harmony belum mengungkapkan secara pasti bagaimana dana tersebut dicuri. Namun, satu investor telah menyuarakan keprihatinan tentang keamanan jembatan Horizonnya sejak April.

Keamanan jembatan Horizon bergantung pada dompet “multisig” yang hanya membutuhkan dua tanda tangan untuk memulai transaksi. Beberapa peneliti berspekulasi bahwa pelanggaran tersebut adalah hasil dari “kompromi kunci pribadi”, di mana peretas memperoleh kata sandi, atau kata sandi, yang diperlukan untuk mendapatkan akses ke dompet kripto.

Ini mengikuti serangkaian serangan penting pada jembatan blockchain lainnya. Jaringan Ronin, yang mendukung permainan crypto Axie Infinity, kehilangan lebih dari $600 juta dalam pelanggaran keamanan yang terjadi pada bulan Maret. Wormhole, jembatan populer lainnya, kehilangan lebih dari $320 juta dalam peretasan terpisah sebulan sebelumnya.

Pencurian tersebut menambah aliran berita negatif di crypto akhir-akhir ini. Pemberi pinjaman Crypto Celsius dan Babel Finance membekukan penarikan setelah penurunan tajam nilai aset mereka mengakibatkan krisis likuiditas. Sementara itu, dana lindung nilai crypto yang terkepung Three Arrows Capital dapat ditetapkan untuk default pada pinjaman $ 660 juta dari perusahaan pialang Voyager Digital.

Sumber: CNBC