Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Polisi China menjebak Walmart karena celah keamanan siber – media lokal

by

Polisi di kota Shenzhen, China selatan, menemukan 19 “kerentanan” dalam sistem jaringan Walmart (WMT.N) pada akhir November dan menuduhnya lambat untuk memperbaiki celah, China Quality News, yang didukung oleh regulator pasar negara itu, melaporkan pada Rabu.

Walmart diperintahkan untuk melakukan perbaikan, kata laporan itu, tanpa menyebutkan denda atau rincian kerentanan.

Ini menandai serangkaian masalah baru di China untuk Walmart, yang pada bulan lalu telah menghadapi kritik atas apa yang dikatakan media lokal sebagai penghapusan yang disengaja atas produk-produk yang bersumber dari Xinjiang dari aplikasi dan tokonya.

Xinjiang adalah titik konflik yang berkembang antara pemerintah Barat dan China, karena para ahli dan kelompok hak asasi PBB memperkirakan lebih dari satu juta orang, terutama Uyghur dan anggota minoritas Muslim lainnya, telah ditahan di kamp-kamp di sana.

China telah menolak tuduhan kerja paksa atau pelanggaran lainnya di wilayah barat jauh.

Walmart telah melihat gelombang pembatalan keanggotaan di lengannya Sam’s Club di China sejak masalah Xinjiang. Badan anti-korupsi China juga menuduh pengecer dan Klub Sam “kebodohan dan kepicikan”.

Reuters melaporkan bahwa seorang eksekutif Sam’s Club mengatakan kepada analis melalui telepon bahwa masalah tersebut adalah “kesalahpahaman” dan bahwa tidak ada penghapusan produk-produk yang berasal dari Xinjiang secara sengaja.

Pada bulan Desember, Klub Sam didenda 10.000 yuan ($ 1.568) di Shanghai oleh regulator pasar kota karena melanggar undang-undang keamanan pangan setelah mereka menemukan bahwa produk sayuran beku tidak memiliki tanggal produksi atau kadaluwarsa, menurut laporan media lokal yang terpisah.

Sumber : Reuters

QNAP: Jauhkan Perangkat NAS Dari Internet Sekarang

by

Pabrikan Taiwan QNAP memperingatkan: Ransomware dan serangan brute force secara luas menargetkan semua perangkat jaringan.

“Korban yang paling rentan adalah perangkat yang terpapar ke Internet tanpa perlindungan apa pun,” kata QNAP pada hari Jumat, mendesak semua pengguna QNAP NAS untuk mengikuti instruksi pengaturan keamanan yang disertakan oleh pembuat NAS Taiwan dalam peringatannya.

Pertama, untuk memeriksa apakah NAS Anda terpapar ke internet, QNAP menginstruksikan pemilik perangkat untuk membuka Penasihat Keamanan perangkat: portal keamanan internal yang mengintegrasikan perangkat lunak anti-virus dan anti-malware.

“NAS Anda terpapar ke Internet dan berisiko tinggi jika ada yang menunjukkan ‘Layanan Administrasi Sistem dapat langsung diakses dari alamat IP eksternal melalui protokol berikut: HTTP’ di dasbor.” —QNAP

Jika perangkat NAS Anda ternyata terbuka ke internet, QNAP merekomendasikan untuk nonaktifkan fungsi Port Forwarding pada router dan fungsi UPnP dari QNAP NAS.

QNAP juga memberikan instruksi terperinci tentang cara mencegah infeksi malware, termasuk melalui kebersihan kata sandi, mengaktifkan IP dan perlindungan akses akun untuk mencegah serangan brute force, menonaktifkan koneksi SSH dan Telnet jika Anda tidak menggunakan layanan ini, dan menghindari penggunaan port default angka seperti 22, 443, 80, 8080 dan 8081.

Selengkapnya: Threat Post

Jaringan hotel mengubah PC Windows ke Chrome OS menggunakan CloudReady setelah serangan ransomware

by

Pada akhir tahun 2020, Google mengakuisisi perusahaan yang menawarkan perangkat lunak untuk mengubah PC lama menjadi perangkat seperti Chrome OS.

Dalam satu contoh terkenal, jaringan hotel Norwegia beralih ke CloudReady untuk mengubah beberapa ribu laptop Windows yang dikunci dari ransomware menjadi Chromebook.

Nordic Choice Hotels adalah jaringan besar di Skandinavia, Finlandia, dan Baltik dengan 200 properti. Nordic Choice Hotels mengalami serangan ransomware pada bulan Desember, seperti yang dilaporkan E24, yang mengenkripsi file perangkat dan mengharuskan staf TI untuk menghapus internet/jaringan mereka.

Peretasan langsung ini menuntut grup hotel membayar uang tebusan untuk mendapatkan kembali file (catatan karyawan tetapi bukan informasi tamu) dan mencegah kebocoran.

Dalam hal dampak, staf harus menggunakan pena dan kertas (atau lebih tepatnya, spidol dan papan tulis), sementara sistem kartu kunci yang jatuh mengharuskan karyawan untuk “mengunci semua tamu dengan kartu kunci utama.”

Alih-alih menghabiskan beberapa jam untuk menghapus virus dari setiap perangkat, Nordic Choice memutuskan untuk mempercepat proyek migrasi Chrome yang sebelumnya sudah berlangsung.

Secara keseluruhan, 2.000 laptop Windows, yang terlihat seperti Lenovo ThinkPads, diubah dengan CloudReady menjadi pengalaman seperti Chromebook dalam 48 jam.

Google tampaknya telah membantu ini dengan membiarkan mereka “melompat dalam antrian untuk menjalankan dan menjalankan proyek.”

Selengkapnya: 9to5 Google

Aktor FIN7 mengirim drive USB Berbahaya ke perusahaan AS dengan ransomware

by

FBI telah mengidentifikasi perangkat USB berbahaya yang dikirim ke perusahaan AS dalam beberapa bulan terakhir dengan motif untuk menginfeksi jaringan perusahaan dengan malware dan penurunan muatan lebih lanjut.

Kelompok di balik operasi USB berbahaya ini diketahui sebagai aktor FIN7, yang berada di balik ransomware BlackMatter dan Darkside.

Sesuai laporan FBI, beberapa paket dengan drive USB telah dikirim ke perusahaan AS termasuk industri pertahanan, asuransi, dan transportasi.

Pengiriman dilakukan melalui United Parcel Service dan United States Postal Service. Paket datang dalam dua varian, satu dengan nama Departemen Kesehatan dan Layanan Kemanusiaan AS, dengan beberapa pedoman COVID-19 dan drive USB.

Yang lainnya disamarkan sebagai Paket Amazon dengan dekorasi hadiah, pesan terima kasih, kartu hadiah, dan drive USB. Satu hal yang umum di antara kedua paket ini adalah bahwa drive USB berasal dari merek LilyGo.

Setelah penerima menyambungkan drive USB ini ke perangkat mereka, serangan BadUSB dimulai.

Serangan BadUSB adalah serangan keamanan yang menginfeksi perangkat dengan memprogram ulang drive USB dengan perangkat lunak berbahaya.

Dengan program jahat ini, para aktor dapat mengunduh banyak muatan ke dalam perangkat dan menjadikannya sebagai pintu belakang untuk penyusupan lebih lanjut.

Setelah aktor mendapatkan hak istimewa admin untuk sistem, mereka melanjutkan serangan mereka dengan menyebarkan malware secara lateral di seluruh jaringan yang memengaruhi perangkat rekan lainnya.

Setelah distribusi lateral yang sukses, aktor FIN7 menggunakan beberapa alat untuk menyebarkan ransomware REvil dan BlackMatter. Alat-alat tersebut antara lain Cobalt Strike, Metasploit, Carbanak, TIRION, DICELOADER, GRIFFON, dan Carbanak.

Selengkapnya: The Cybersecurity Times

‘Elephant Beetle’ Mengintai selama Berbulan-bulan di Jaringan

by

Para peneliti telah mengidentifikasi kelompok ancaman yang diam-diam menyedot jutaan dolar dari perusahaan sektor keuangan dan perdagangan, menghabiskan waktu berbulan-bulan dengan sabar mempelajari sistem keuangan target mereka dan menyelinap dalam transaksi penipuan di antara aktivitas rutin.

Tim Respon Insiden Sygnia telah melacak kelompok yang diberi nama Kumbang Gajah, alias TG2003, selama dua tahun.

Dalam laporan hari Rabu, para peneliti menyebut serangan Elephant Beetle tanpa henti, karena kelompok itu telah bersembunyi “di depan mata” tanpa perlu mengembangkan eksploitasi.

Mungkin Elephant Beetle tidak memiliki eksploit, tetapi penyerangnya tentu tidak muncul dengan tangan kosong.

Mereka mengandalkan gudang lebih dari 80 alat dan skrip unik untuk beroperasi tanpa terdeteksi “untuk waktu yang lama” saat mereka dengan sabar menanam transaksi palsu mereka, kata Sygnia, “menyatu dengan lingkungan target dan benar-benar tidak terdeteksi sementara secara diam-diam membebaskan organisasi sejumlah uang yang sangat mahal.”

Elephant Beetle terutama memusatkan perhatiannya pada pasar Amerika Latin, tetapi tidak menyayangkan organisasi yang tidak berbasis di sana.

Tim IR Sygnia baru-baru ini menemukan dan menanggapi satu insiden di sebuah perusahaan yang berbasis di AS yang menjalankan cabang di Amerika Latin. “Karena itu, baik organisasi regional maupun global harus waspada,” Sygnia memperingatkan.

Selengkapnya: Threat Post

Bug VMware yang Belum Ditambal Sebagian Membuka Pintu untuk Pengambilalihan Hypervisor

by

Kerentanan keamanan di platform Cloud Foundation, ESXi, Fusion, dan Workstation VMware dapat membuka jalan bagi pengambilalihan hypervisor di lingkungan virtual – dan tambalan masih tertunda untuk beberapa pengguna.

Bug (CVE-2021-22045) adalah kerentanan heap-overflow dengan tingkat keparahan tinggi yang membawa peringkat CVSS 7,7 dari 10.

Heap overflows adalah masalah memori yang dapat mengakibatkan kerusakan data atau perilaku tak terduga oleh proses apa pun yang mengakses memori yang terpengaruh area – dalam beberapa kasus mengakibatkan eksekusi kode jarak jauh (RCE).

Dalam hal ini, masalah secara khusus ada dalam fungsi emulasi perangkat CD-ROM dari produk yang terpengaruh.

“Aktor jahat dengan akses ke mesin virtual dengan emulasi perangkat CD-ROM mungkin dapat mengeksploitasi kerentanan ini bersama dengan masalah lain, untuk mengeksekusi kode pada hypervisor dari mesin virtual,” vendor mencatat dalam penasihatnya. “Eksploitasi yang berhasil membutuhkan gambar CD untuk dilampirkan ke mesin virtual.”

Reno Robert, peneliti kerentanan senior untuk Zero Day Initiative dari Trend Micro, mengatakan kepada Threatpost bahwa masalah tersebut disebabkan oleh “kurangnya validasi yang tepat dari panjang data yang disediakan pengguna sebelum menyalinnya ke buffer berbasis heap dengan panjang tetap.”

Selengkapnya: Threat Post

Tentara Swiss Melarang Semua Aplikasi Obrolan Kecuali Threema yang Dikembangkan Secara Lokal

by

Tentara Swiss telah melarang aplikasi pesan instan asing seperti Signal, Telegram, dan WhatsApp dan mengharuskan anggota militer untuk menggunakan aplikasi perpesanan Threema yang dikembangkan secara lokal sebagai gantinya.

Karena Threema adalah layanan komunikasi berlangganan berbayar, tentara Swiss berjanji untuk menutupi biaya berlangganan tahunan untuk semua tentara, yang kira-kira $ 4,40 per pengguna.

Tentara Swiss juga telah memposting rekomendasi di Facebook, mencirikan Threema sebagai alat komunikasi bebas iklan yang aman yang menampilkan enkripsi end-to-end dan tidak meninggalkan jejak digital.

Meskipun pasukan diharapkan untuk mengikuti instruksi resmi, tidak ada hukuman saat ini jika anggota tentara menggunakan aplikasi IM asing.

Mengapa beralih ke Threema?

Sementara banyak aplikasi perpesanan menjanjikan enkripsi end-to-end dan komunikasi pribadi dan aman, banyak yang menyimpan beberapa metadata pada pengguna yang dapat dipanggil oleh penegak hukum.

Dokumen FBI yang diperoleh Oleh Property of the People melalui permintaan FOIA mencantumkan berbagai data yang dapat diperoleh melalui cara hukum dari iMessage, Line, Signal, Telegram, Threema, Viber, WeChat, WhatsApp, dan Wickr.

Data bervariasi di setiap aplikasi, dengan beberapa hanya berbagi tanggal pendaftaran, sementara yang lain dapat memberikan alamat IP, alamat email, nomor telepon, konten pesan parsial, dan banyak lagi.

Juga, sementara beberapa aplikasi perpesanan adalah open source, bagian dari kode server mereka tetap buram, jadi tidak ada gambaran yang jelas tentang apa yang sebenarnya dicatat oleh semua platform.

Salah satu perbedaan utama adalah bahwa Threema tidak mengharuskan pengguna untuk memberikan nomor telepon atau alamat email pada saat pendaftaran, sehingga identitas pengguna tidak dapat ditentukan melalui data yang tersedia untuk umum.

Para pejabat Swiss menggarisbawahi perbedaan yang paling penting adalah bahwa Threema tidak tunduk pada Undang-Undang Cloud AS, yang disahkan pada 2018 “tersembunyi” di dalam tagihan pengeluaran anggaran.

Undang-undang kontroversial tersebut mengangkat kebutuhan untuk mengamankan surat perintah penggeledahan ketika agen negara BAGIAN AS perlu mengakses dan meneliti data online seseorang.

Namun, ini tidak berarti bahwa kepercayaan antara kedua negara telah terguncang, atau bahwa hubungan mereka memasuki turbulensi tiba-tiba.

Seperti martin Steiger, seorang pengacara Swiss yang mengkhususkan diri dalam hukum digital mengatakan kepada Bleeping Computer selama diskusi pribadi, langkah ini kemungkinan besar merupakan hasil dari entitas Swiss melobi lebih agresif.

“Salah satu alasan (untuk promosi Threema) bisa jadi perusahaan Swiss menjadi lebih baik dalam melobi produk mereka, sebagian didukung oleh gerakan kedaulatan data,” kata Steiger kepada BleepingComputer.

“Swiss telah menjadi sekutu dekat AS selama beberapa dekade, dan pihak berwenangnya, terutama dinas intelijen, diketahui memiliki hubungan dekat dengan rekan-rekan Amerika mereka.”

Menjadi pengguna Threema sendiri, Steiger menambahkan, adalah langkah tentara Swiss ke arah yang benar tetapi masi terbatas.

Solusi terdesentralisasi

Jika Anda mencari aplikasi pesan instan yang sepenuhnya (klien dan server) open-source, anonim, fitur enkripsi end-to-end yang kuat, dan terdesentralisasi, Anda bisa cek Session, Matrix, atau Briar.

Namun, beberapa layanan ini membutuhkan lebih banyak keahlian teknis untuk diatur dengan benar dan tidak banyak digunakan seperti aplikasi lainnya.

Orang cenderung menggunakan aplikasi komunikasi mereka berdasarkan fitur, kegunaan, dan bahkan kompatibilitas mereka.

Namun, aspek keamanan dan privasi, yang sering diabaikan, adalah faktor yang paling penting untuk dipertimbangkan ketika menggunakan aplikasi perpesanan.

Sumber: Bleepingcomputer

Night Sky adalah Ransomware Terbaru yang Menargetkan Jaringan Perusahaan

by

Ini adalah tahun baru, dan dengan itu datang ransomware baru untuk mengawasi disebut ‘Night Sky’ yang menargetkan jaringan perusahaan dan mencuri data dalam serangan pemerasan ganda.

Menurut MalwareHunterteam, yang pertama kali melihat ransomware baru, operasi Night Sky dimulai pada 27 Desember dan sejak itu menerbitkan data dua korban.

Salah satu korban telah menerima permintaan tebusan awal sebesar $ 800.000 untuk mendapatkan decryptor dan untuk data yang dicuri yang tidak dipublikasikan.

Bagaimana Night Sky mengenkripsi perangkat

Sampel ransomware Night Sky yang dilihat oleh BleepingComputer disesuaikan untuk berisi catatan tebusan yang dipersonalisasi dan kredensial login hardcoded untuk mengakses halaman negosiasi korban.

Ketika diluncurkan, ransomware akan mengenkripsi semua file kecuali yang diakhiri dengan ekstensi file .dll atau .exe. Ransomware juga tidak akan mengenkripsi file atau folder dalam daftar di bawah ini:

  • AppData
  • Boot
  • Windows
  • Windows.old
  • Tor Browser
  • Internet Explorer
  • Google
  • Opera
  • Opera Software
  • Mozilla
  • Mozilla Firefox
  • $Recycle.Bin
  • ProgramData
  • All Users
  • autorun.inf
  • boot.ini
  • bootfont.bin
  • bootsect.bak
  • bootmgr
  • bootmgr.efi
  • bootmgfw.efi
  • desktop.ini
  • iconcache.db
  • ntldr
  • ntuser.dat
  • ntuser.dat.log
  • ntuser.ini
  • thumbs.db
  • Program Files
  • Program Files (x86)
  • #recycle

Saat mengenkripsi file, Night Sky akan menambahkan ekstensi .nightsky ke nama file terenkripsi, seperti yang ditunjukkan pada gambar di bawah ini.

Di setiap folder, catatan tebusan bernama NightSkyReadMe.hta berisi informasi yang terkait dengan apa yang dicuri, email kontak, dan kredensial berkode keras di halaman negosiasi korban.

Alih-alih menggunakan situs Tor untuk berkomunikasi dengan korban, Night Sky menggunakan alamat email dan situs web yang jelas yang menjalankan Rocket.Chat. Kredensial digunakan untuk masuk ke URL Rocket.Chat yang disediakan dalam catatan tebusan.

Taktik pemerasan ganda

Taktik umum yang digunakan oleh operasi ransomware adalah mencuri data yang tidak terenkripsi dari korban sebelum mengenkripsi perangkat di jaringan.

Para pelaku ancaman kemudian menggunakan data curian ini dalam strategi “pemerasan ganda”, di mana mereka mengancam akan membocorkan data jika uang tebusan tidak dibayar.

Untuk membocorkan data korban, Night Sky telah membuat situs kebocoran data Tor yang saat ini mencakup dua korban, satu dari Bangladesh dan satu lagi dari Jepang.

Meskipun belum ada banyak aktivitas dengan operasi ransomware Night Sky yang baru, itu adalah salah satu yang perlu kita awasi saat kita menuju tahun baru.

Sumber: Bleepingcomputer