Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Peretas GiveSendGo Bocorkan Nama Bocor, Data Pribadi Donatur untuk Protes ‘Freedom Convoy’

by

Peretas meretas situs penggalangan dana GiveSendGo semalam dan membocorkan nama dan detail pribadi donor untuk protes Konvoi Kebebasan Pengemudi Truk Ottawa.

Menurut situs web GiveSendGo, situs tersebut diretas beberapa jam setelah “dalam pemeliharaan,” dan dialihkan ke halaman yang dikendalikan oleh peretas. Halaman itu tidak dimuat sekarang, meskipun mengutuk para pengemudi truk yang turun ke ibu kota Kanada untuk menentang vaksinasi wajib COVID-19. Menyebabkan gangguan yang meluas pada lalu lintas dan perdagangan selama lebih dari seminggu.

Ada juga tautan yang ada di halaman yang ditautkan ke file yang berisi puluhan ribu catatan. Dilabeli sebagai “data donasi mentah” yang berisi rincian orang yang menyumbang ke Freedom Convoy.

Menurut Distributed Denial of Secrets, situs kebocoran nirlaba, menerima 30 megabyte informasi donor dari GiveSendGo. Ini termasuk nama yang dilaporkan sendiri, alamat email, kode ZIP, dan alamat IP. Situs ini terkenal karena menampung kumpulan data yang bocor yang melibatkan kelompok sayap kanan dan mengatakan akan memberikan data hanya kepada peneliti dan jurnalis.

Jacob Wells, pendiri GiveSendGo tidak dapat memberikan komentar atas insiden tersebut.

Ini bukan pertama kalinya GiveSendGo diretas, sebelumnya organisasi tersebut terpapar ke internet karena ember S3 yang dihosting Amazon menyimpan lebih dari seribu dokumen identitas,

GiveSendGo, yang berbasis di Boston, Massachusetts adalah layanan donasi utama untuk “Konvoi Kebebasan”. GoFundMe awal bulan lalu menghentikan kampanye crowdsourcing dan membekukan jutaan dolar dalam donasi, mengutip laporan polisi tentang kekerasan di Ottawa. Sementara pengadilan Kanada mengeluarkan perintah untuk menghentikan akses ke dana yang dikumpulkan oleh GiveSendGo, yang menurut perusahaan akan ditentang.

Sumber : TechnoidHost

Keamanan siber: Negara-negara ini adalah ancaman peretasan baru yang harus ditakuti saat kampanye ofensif meningkat

by

Jumlah operasi peretasan negara-bangsa yang bermusuhan meningkat karena negara-negara baru berinvestasi dalam kampanye penyusupan dunia maya dan kelompok penyerang yang didukung negara mengambil keuntungan dari peningkatan organisasi yang mengadopsi aplikasi cloud.

Laporan Ancaman Global 2022 Crowdstrike merinci bagaimana lanskap ancaman dunia maya telah berkembang selama setahun terakhir. Salah satu perkembangan itu adalah munculnya negara-negara baru yang terlibat dalam operasi siber ofensif, termasuk Turki dan Kolombia.

Serangan oleh kelompok terkait Turki dirinci sebagai serangan oleh ‘Serigala’ sementara serangan oleh operasi Kolombia telah Dijuluki ‘Ocelot’ dengan cara yang mirip dengan cara peneliti keamanan siber menyebut aktivitas yang didukung pemerintah Rusia ‘Beruang’ atau kelompok peretas Cina ‘Panda’.

Kegiatan oleh salah satu kelompok baru ini dirinci dalam laporan; kelompok peretasan yang berbasis di Turki, dijuluki Cosmic Wolf oleh para peneliti, menargetkan data korban yang tidak ditentukan yang disimpan dalam lingkungan cloud Amazon Web Services (AWS) pada April 2021.

Penyerang dapat membobol lingkungan cloud AWS menggunakan nama pengguna dan kata sandi yang dicuri, yang juga memberi penyerang hak istimewa yang diperlukan untuk mengubah baris perintah. Itu berarti mereka dapat mengubah pengaturan keamanan untuk mengizinkan akses langsung Secure Shell Protocol (SSH) ke AWS dari infrastruktur mereka sendiri, memungkinkan pencurian data.

Salah satu alasan negara meningkatkan kemampuan siber ofensif mereka adalah karena dampak pandemi global. Penguncian dan pemeriksaan perjalanan yang ketat mempersulit teknik spionase tradisional untuk menjadi efektif, yang mengarah pada investasi dalam operasi dunia maya.

Pergeseran menuju aplikasi cloud dan layanan cloud IT juga telah memainkan peran tanpa disadari dalam membuat serangan siber menjadi lebih mudah. Munculnya pekerjaan hibrida berarti banyak karyawan tidak berbasis di kantor, alih-alih terhubung dari jarak jauh melalui aplikasi kolaboratif, VPN, dan layanan lainnya menggunakan nama pengguna dan kata sandi.

Itu membuat menjadi produktif saat bekerja dari jarak jauh lebih mudah bagi karyawan tetapi juga membuat segalanya lebih sederhana untuk kelompok peretas, yang secara diam-diam dapat mengakses jaringan dengan nama pengguna dan kata sandi yang dicuri atau ditebak.

Beberapa insiden keamanan siber terbesar dalam beberapa tahun terakhir, seperti serangan SolarWinds dan Microsoft Exchange, telah menunjukkan bagaimana serangan yang menargetkan layanan cloud dan rantai pasokan cloud bisa menjadi kuat, terutama jika cloud salah dikonfigurasi atau dipantau dengan buruk.

Namun, ada langkah-langkah yang dapat diambil organisasi untuk membantu membuat jaringan dan infrastruktur cloud mereka lebih tahan terhadap serangan siber, termasuk penerapan strategi tanpa kepercayaan untuk tidak memercayai perangkat yang terhubung ke jaringan secara default.

Makalah penelitian juga merekomendasikan bahwa organisasi bekerja untuk menghilangkan kesalahan konfigurasi dalam aplikasi dan layanan cloud mereka dengan mengatur pola default untuk menyiapkan cloud, jadi ketika akun baru disiapkan, itu dilakukan dengan cara yang dapat diprediksi, meminimalkan kemungkinan kesalahan manusia tidak terdeteksi.

Sumber : ZDnet

Pembaruan darurat Google Chrome memperbaiki serangan zero-day yang dieksploitasi

by

Google telah merilis Chrome 98.0.4758.102 untuk Windows, Mac, dan Linux, untuk memperbaiki kerentanan zero-day dengan tingkat keparahan tinggi yang digunakan oleh pelaku ancaman dalam serangan.

“Google mengetahui laporan bahwa eksploitasi untuk CVE-2022-0609 ada di alam liar,” kata Google dalam penasihat keamanan yang dirilis hari ini.

Google menyatakan bahwa pembaruan Chrome akan diluncurkan dalam beberapa minggu mendatang. Namun, dimungkinkan untuk segera menginstal pembaruan hanya dengan masuk ke menu Chrome > Bantuan > Tentang Google Chrome.

Peramban juga akan secara otomatis memeriksa pembaruan baru dan memasangnya saat berikutnya Anda menutup dan meluncurkan kembali Google Chrome.

Google Chrome 98 update

Bug zero-day diperbaiki hari ini, dilacak sebagai CVE-2022-0609, digambarkan sebagai “Gunakan setelah gratis di Animasi” dan diberi tingkat keparahan tinggi.

Kerentanan ini ditemukan oleh Clément Lecigne dari Grup Analisis Ancaman Google.

Penyerang biasanya mengeksploitasi penggunaan setelah bug gratis untuk mengeksekusi kode arbitrer pada komputer yang menjalankan versi Chrome yang belum ditambal atau keluar dari kotak pasir keamanan browser.

Sementara Google mengatakan mereka telah mendeteksi serangan yang mengeksploitasi zero-day ini, itu tidak membagikan info tambahan apa pun mengenai insiden ini atau detail teknis tentang kerentanan.

Selain zero-day, pembaruan Google Chrome ini memperbaiki tujuh kerentanan keamanan lainnya, semuanya kecuali satu yang diklasifikasikan sebagai tingkat keparahan ‘Tinggi’.

Karena zero-day ini diketahui telah digunakan oleh penyerang di alam liar, sangat disarankan agar semua orang menginstal pembaruan Google Chrome hari ini sesegera mungkin.

Selengkapnya : Bleeping Computer

Mod Dituduh Menambang Bitcoin, Virus Dihapus dari Steam

by

Selama beberapa hari terakhir, serangkaian mod untuk game strategi PC Cities: Skylines telah dihapus dari Steam setelah pengguna mulai khawatir bahwa mod tersebut berisi segala macam hal buruk, mulai dari keylogger hingga virus hingga perangkat lunak penambangan bitcoin.

Alarm dibunyikan oleh cerita NME ini dan posting Reddit berikutnya, menunjukkan bahwa pengunggah mod telah dilarang dan ada risiko serius bagi komputer pengguna. Seperti yang dijelaskan oleh cerita NME:

Pada tahun 2021, seorang modder dengan nama Chaos meluncurkan versi “desain ulang” dari mod yang disebut Harmony, sebuah proyek kerangka kerja vital yang diandalkan oleh sebagian besar mod di Cities: Skylines untuk berfungsi.

Chaos juga kemudian “mendesain ulang” beberapa mod populer untuk game tersebut, dan mencantumkan versi Harmony yang dimodifikasi sebagai unduhan inti – yang berarti bahwa pemain harus pergi dan mengunduhnya agar mod yang bergantung dapat berfungsi.

Namun, ditemukan bahwa pembaruan otomatis terkubur dalam versi Harmony ini, yang memungkinkan Chaos mengirimkan malware ke perangkat siapa pun yang mengunduhnya. Kode berbahaya lainnya digunakan untuk melumpuhkan kinerja mod lain, yang pada gilirannya menyebabkan pemain mengunduh lebih banyak mod Chaos karena diiklankan sebagai solusi untuk masalah ini. Ini ditemukan ketika beberapa modder yang terpengaruh yang, setelah menerima laporan kinerja yang lambat dari penggemar, menemukan kode berbahaya.

Sementara prospek yang menakutkan bagi setiap pengguna yang telah mengunduh mod individual, penyelidikan oleh Cities: Skylines developer Colossal Order menemukan bahwa meskipun mod itu sendiri tidak mengandung sesuatu yang serius seperti yang ditakutkan pertama kali, mereka masih dihapus dari Steam. Satu karena, seperti yang diklaim, itu bisa membiarkan pintu terbuka untuk mengunduh “perangkat lunak berbahaya”:

Kami baru-baru ini melarang beberapa mod dari Cities: Skylines Workshop dan ingin menjernihkan beberapa informasi yang salah seputar mod ini. Mod yang dimaksud, yang telah dilarang, adalah “Ekstensi Jaringan 3” dan “Pembaruan dari Github.”

Tidak ada keylogger, virus, perangkat lunak penambangan bitcoin, atau sejenisnya yang ditemukan di mod di Steam Workshop.

“Ekstensi Jaringan 3”, mod yang diduga mengandung malware, dilarang karena mendiskriminasi pengguna Steam tertentu. Pertama, itu memblokir daftar pendek pengguna Steam dari menggunakan mod, tetapi ini kemudian diubah untuk menyebabkan gameplay yang tampaknya bermasalah. Memblokir pengguna atau membuat batasan khusus untuk mereka melanggar Perjanjian Pelanggan Steam dan mengakibatkan mod dilarang.

Sumber : Kotaku

Pemasang Windows 11 palsu datang setelah kata sandi, kartu kredit, dan dompet kripto

by

Lebih dari satu miliar mesin menjalankan beberapa versi Microsoft Windows. Jangkauan sistem operasi diperluas lebih jauh ketika Windows 11 memasuki pasar.

Tetapi tidak semua orang mampu meningkatkan ke versi baru. Itu karena beberapa komputer lama tidak memiliki persyaratan sistem minimum untuk menangani Windows 11. Hal tersebut menyebabkan beberapa orang mencari salinan OS yang tidak resmi.

Jika sistem Anda terlalu tua untuk menjalankan Windows 11, yang terbaik adalah mendapatkan PC baru. Mencoba menghindari proses penginstalan dan mencari penginstal tidak resmi dapat mengarahkan Anda ke situs web palsu.

Tim Riset Ancaman HP menemukan domain yang menyerupai situs web Microsoft yang sah, situs tersebut berdomain windows-upgraded.com dan file tersebut mengandung malware berbahaya yang disebut RedLine yang biasa digunakan oleh penjahat dunia maya untuk mencuri kredensial, cookie browser, informasi perbankan, dan data dompet cryptocurrency.

“Ini mengumpulkan berbagai informasi tentang lingkungan saat ini, seperti nama pengguna, nama komputer, perangkat lunak yang diinstal, dan informasi perangkat keras. Malware ini juga mencuri kata sandi yang tersimpan dari browser web, melengkapi data secara otomatis seperti informasi kartu kredit, serta file dan dompet cryptocurrency,” jelas HP’s Threat Research dalam sebuah posting blog.

Penjahat dunia maya sangat pandai memalsukan situs web dan komunikasi resmi. Itu sebabnya Anda harus berhati-hati dan menghindari situs atau toko aplikasi pihak ketiga. Dan selalu waspada terhadap email dan teks phishing dan hindari mengklik tautan dalam pesan yang tidak diminta.

Salah satu cara korban menemukan situs web palsu yang mengklaim menawarkan salinan Windows 11 adalah melalui iklan yang ditemukan di media sosial. Jangan pernah percaya iklan media sosial! Sebagian besar waktu, Anda akan berakhir dengan perangkat yang terinfeksi malware, atau Anda akan membeli item dan menerima produk palsu jika Anda menerima apa pun.

Jika Anda ingin memutakhirkan ke Windows 11, lakukan hanya melalui pembaru di PC Anda atau dari situs resmi Microsoft.

Sumber : KOMANDO

CISA Mengatakan Kerentanan Windows ‘HiveNightmare’ Dieksploitasi dalam Serangan

by

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) telah menambahkan 16 pengidentifikasi CVE baru ke daftar kerentanan yang diketahui dieksploitasi, termasuk kelemahan Windows yang harus ditambal oleh agen federal dalam waktu dua minggu.

Mayoritas dari 15 kelemahan yang ditambahkan oleh CISA ke “Katalog Kerentanan yang Diketahui yang Dieksploitasi” pada hari Kamis sudah lama mereka diungkapkan pada tahun 2014, 2015, 2016, 2017, 2018 dan 2020. Mereka berdampak pada Windows, Jenkins, Apache Struts dan ActiveMQ, Oracle WebLogic, Microsoft Office, router D-Link, dan sistem operasi Apple OS X.

Kerentanan terbaru dari yang ditambahkan pada hari Kamis adalah CVE-2021-36934, kerentanan eskalasi hak istimewa lokal Windows yang ditambal Microsoft pada Agustus 2021. Raksasa teknologi itu awalnya merilis solusi dan mitigasi pada Juli 2021, ketika masalah itu diungkapkan.

Cacat, bernama HiveNightmare dan SeriousSam, dapat memungkinkan pengguna lokal dengan hak istimewa rendah untuk mencapai hak istimewa SISTEM. Pakar keamanan siber memperingatkan pada saat pengungkapan bahwa kerentanan dapat menimbulkan risiko serius karena mudah dieksploitasi.

Detail teknis dan eksploitasi proof-of-concept (PoC) untuk kerentanan dipublikasikan bahkan sebelum Microsoft merilis patch.

Tampaknya tidak ada laporan publik baru-baru ini tentang eksploitasi aktif CVE-2021–36934. Namun, CISA baru-baru ini mengkonfirmasi bahwa mereka mengetahui serangan dunia nyata untuk setiap cacat yang termasuk dalam katalog, bahkan jika dalam beberapa kasus tampaknya tidak ada laporan publik tentang eksploitasi berbahaya.

Microsoft mengonfirmasi bahwa rincian kerentanan bersifat publik dan menetapkannya sebagai peringkat eksploitabilitas “lebih mungkin eksploitasi”, tetapi nasihat perusahaan (terakhir diperbarui pada Agustus 2021) saat ini mengatakan tidak mengetahui adanya serangan. Microsoft mengatakan bahwa tidak ada yang bisa dibagikan di luar nasihat dan panduan tambahannya.

Ada kemungkinan bahwa CISA menambahkan CVE-2021–36934 ke daftar kerentanan yang diketahui dieksploitasi berdasarkan informasi dari posting blog yang diterbitkan oleh SentinelOne pada awal Agustus 2021. Perusahaan keamanan titik akhir mencatat pada saat itu bahwa mereka telah melihat beberapa sampel malware diunggah ke Layanan pemindaian VirusTotal yang telah memasukkan eksploitasi HiveNightmware yang tersedia. SentinelOne mengatakan kerentanan dapat membantu penyerang menyederhanakan proses eksfiltrasi kredensia

Ketika CISA meluncurkan daftar kerentanan tereksploitasi yang diketahui, CISA juga mengumumkan Binding Operational Directive (BOD) 22-01, yang mengharuskan badan-badan sipil federal untuk mengidentifikasi dan mengatasi kerentanan tereksploitasi yang diketahui dalam kerangka waktu yang ditentukan kelemahan yang lebih baru perlu ditambal dalam waktu dua minggu sementara yang lebih lama masalah harus diperbaiki dalam waktu enam bulan.

Adapun CVE-2022-22620, kerentanan WebKit yang ditambahkan CISA ke daftarnya pada hari Jumat, Apple mengatakan telah dieksploitasi, tetapi belum membagikan informasi apa pun tentang serangan itu. CISA telah memberi agen federal hingga 25 Februari untuk menambal kekurangan tersebut.

Sumber : Securityweek

Akun Facebook internasional palsu di balik protes Konvoi ke Canberra

by

Minggu lalu ribuan orang dari seluruh Australia turun ke Canberra dalam protes anti-pemerintah, yang disebut protes kebebasan. Mengambil inspirasi dari protes serupa di Ottawa, protes tersebut seolah-olah tentang mandat vaksin tetapi juga menampilkan berbagai keluhan anti-vaksin, konspirasi, dan pinggiran.

Dalam kasus konvoi Canberra, platform seperti Facebook dan Telegram telah digunakan untuk mengiklankan protes dan mengoordinasikan peserta, sedangkan platform crowdfunding seperti GoFundMe dan GiveSendGo telah digunakan untuk mengumpulkan uang (dalam beberapa kasus gagal).

Grup Facebook terbesar untuk protes yang tumbuh hingga memiliki lebih dari 177.000 anggota dimatikan pada hari Rabu. Mantan anggota mengklaim telah dihapus oleh Facebook. Meta, perusahaan induk Facebook, telah dimintai komentar.

Sementara itu, ribuan peserta dan pendukung mulai bergabung dengan beberapa kelompok alternatif bernama sama yang dibentuk sebelum dan sesudah kelompok utama dibubarkan. Namun, ada bukti yang menunjukkan bahwa akun di balik grup Facebook Konvoi baru ke Canberra ini mungkin bukan orang Australia atau bahkan orang sungguhan.

Satu-satunya grup Facebook alternatif yang tersisa untuk protes memiliki satu administrator: James Rhondes, dari Ottawa, menurut akun Facebook-nya. Akun ini juga diposting di grup Facebook yang sekarang dihapus untuk protes Kanada, hasil pencarian Google menunjukkan.

Pencarian menggunakan mesin pencari utama dan platform media sosial tidak menunjukkan bukti lain dari seseorang dengan nama itu yang tinggal di Ottawa. Akun Facebook, yang tampaknya telah ada setidaknya sejak Maret 2021, hampir tidak memiliki posting atau keterlibatan pada posting tersebut.

Foto profil akun tersebut tampak seperti foto seorang pria bule paruh baya. Tetapi sejumlah distorsi dan artefak digital menunjukkan bahwa itu adalah gambar yang dibuat secara artifisial dari seseorang yang tidak ada, menurut analis intelijen sumber terbuka Institute for Strategic Dialogue Elise Thomas.

sumber : MSN

San Francisco 49ers mengkonfirmasi insiden keamanan jaringan; geng ransomware mengaku bertanggung jawab

by

Tim sepak bola San Francisco 49ers mengatakan pada hari Minggu sebuah “insiden keamanan jaringan” telah mengganggu beberapa sistem komputer organisasi, setelah geng ransomware mengklaim waralaba NFL sebagai korban.

Berita tentang insiden itu pecah hanya beberapa jam sebelum kickoff Super Bowl LVI, yang akan dimainkan 49ers jika mereka tidak kalah tipis dari Los Angeles Rams dua minggu lalu.

Insiden itu tampaknya “terbatas pada jaringan TI perusahaan kami” dan tidak memengaruhi sistem komputer yang terlibat dalam operasi stadion tim atau sistem yang terkait dengan pemegang tiket, kata 49ers dalam sebuah pernyataan kepada CNN.

Peretas di balik jenis ransomware yang dikenal sebagai BlackByte mencantumkan 49ers di situs web mereka yang diduga menjadi korban, sebuah taktik yang sering digunakan penjahat dunia maya untuk menekan organisasi agar membayar uang tebusan.

FBI dan Secret Service mengatakan kepada perusahaan-perusahaan AS dalam peringatan 11 Februari untuk waspada terhadap ransomware BlackByte, yang menurut badan-badan tersebut telah digunakan untuk mengkompromikan organisasi-organisasi AS di fasilitas pemerintah, keuangan, dan sektor pangan dan pertanian.

BlackByte hanyalah salah satu dari beberapa jenis ransomware yang pemiliknya mengoperasikan apa yang dikenal sebagai model bisnis “ransomware sebagai layanan”. Pemilik ransomware menjual akses ke kode berbahaya ke penjahat dunia maya lainnya, yang melakukan serangan ransomware dan biasanya membagi hasilnya dengan pemiliknya. Sifat operasi kriminal yang menyebar dapat mempersulit aparat penegak hukum untuk melacaknya.

Pemerintahan Biden telah berusaha untuk secara agresif menindak sistem yang memungkinkan ransomware berkembang mulai dari membantu menangkap dugaan operasi ransomware di Eropa hingga memberi sanksi pada pertukaran mata uang kripto yang memfasilitasi pembayaran uang tebusan.

Tetapi sementara beberapa kelompok ransomware telah mengurangi serangan, yang lain terus mencoba memeras bisnis AS. Penjahat dunia maya menerima lebih dari $1,2 miliar pembayaran tebusan pada tahun 2020 dan 2021 jika digabungkan, menurut perusahaan pelacak cryptocurrency Chainalysis.

Keamanan siber telah menjadi pertimbangan bagi pejabat federal untuk mempersiapkan Super Bowl hari Minggu. Departemen Keamanan Dalam Negeri mengatakan sekitar 500 personel yang membantu keamanan fisik dan siber di acara tersebut telah melakukan penilaian keamanan siber terhadap infrastruktur game-day.

Sumber : CNN