Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Kata kunci teratas yang digunakan dalam baris subjek email phishing

by

Pada hari Rabu, Expel merilis laporan, menyoroti kata kunci teratas yang digunakan dalam baris subjek upaya phishing. Berdasarkan temuan, karyawan mungkin perlu sangat waspada terhadap email yang tampaknya tidak berbahaya di kotak masuk mereka.

Untuk menentukan daftar kata kunci ini, Expel melihat 10.000 email berbahaya. Dalam posting blog tentang temuan tersebut, Expel mengatakan kata kunci dalam baris subjek ini menargetkan satu atau beberapa tema dalam upaya untuk “membuat penerima berinteraksi dengan konten.” Tema-tema ini termasuk “meniru aktivitas bisnis yang sah, menghasilkan “rasa mendesak” dan memberi isyarat kepada “penerima untuk bertindak.”

Beberapa kata kunci phishing teratas yang terdaftar dirancang untuk meniru faktur bisnis yang sah.

Secara berurutan, tiga baris subjek teratas termasuk “RE: INVOICE,” “Missing Inv ####; From [Nama Bisnis Sah] and “INV####.”

Per Expel, baris subjek yang menyoroti sifat baru sering digunakan dalam upaya phishing dengan contoh termasuk “New Message from ####, “New Scanned Fax Doc-Delivery for ####” dan “New FaxTransmission from ####.”

Menambahkan konteks pada kumpulan baris subjek “baru” ini, Expel mengatakan komunikasi dan peringatan yang sah secara teratur menggunakan istilah “baru” untuk “meningkatkan minat penerima,” menambahkan bahwa “orang tertarik pada hal-hal baru di kotak masuk mereka, ingin memastikan mereka tidak melewatkan sesuatu yang penting.”

Selengkapnya: Tech Republic

REvil ransomware kembali dalam mode serangan penuh dan membocorkan data

by

Geng ransomware REvil telah sepenuhnya kembali dan sekali lagi menyerang korban baru dan menerbitkan file curian di situs kebocoran data.

Sejak 2019, operasi ransomware REvil, alias Sodinokibi, telah melakukan serangan terhadap organisasi di seluruh dunia di mana mereka menuntut tebusan jutaan dolar untuk menerima kunci dekripsi dan mencegah kebocoran file yang dicuri.

Selama beroperasi, geng tersebut telah terlibat dalam berbagai serangan terhadap perusahaan terkenal, termasuk JBS, Coop, Travelex, GSMLaw, Kenneth Cole, Grupo Fleury, dan lain-lain.

REvil menutup infrastruktur mereka dan benar-benar menghilang setelah caper terbesar mereka – serangan besar-besaran pada 2 Juli yang mengenkripsi 60 penyedia layanan terkelola dan lebih dari 1.500 bisnis menggunakan kerentanan zero-day di platform manajemen jarak jauh Kaseya VSA.

Setelah penutupan mereka, para peneliti dan penegak hukum percaya bahwa REvil akan mengubah citra sebagai operasi ransomware baru di beberapa titik.

Namun, sangat mengejutkan, geng ransomware REvil hidup kembali minggu ini dengan nama yang sama.

Pada tanggal 7 September, hampir dua bulan setelah mereka menghilang, situs pembayaran/negosiasi Tor dan kebocoran data tiba-tiba dihidupkan kembali dan dapat diakses. Sehari kemudian, sekali lagi dimungkinkan untuk masuk ke situs pembayaran Tor dan bernegosiasi dengan geng ransomware.

Semua korban sebelumnya telah mengatur ulang penghitung waktu mereka, dan tampaknya tuntutan tebusan mereka dibiarkan begitu saja ketika geng ransomware ditutup pada bulan Juli.

Namun, tidak ada bukti serangan baru hingga 9 September, ketika seseorang mengunggah sampel ransomware REvil baru yang dikompilasi pada 4 September ke VirusTotal.

Selengkapnya: Bleeping Computer

Modern Defense Operations untuk Profesional Keamanan Siber

by

Author pada platform Medium, Kleptocratic, membagikan kiat tentang cara menerapkan Arsitektur Zero Trust secara bertahap untuk meningkatkan visibilitas jaringan, dan cara memahami Kerangka Kerja MITRE Att&ck dan bagaimana perannya dalam mengembangkan kemampuan deteksi yang lebih kuat.

Menerapkan Arsitektur Zero Trust dengan Penekanan pada Deteksi dan Visibilitas

Bagaimana analis keamanan siber dan network engineer mengatasi pola pikir yang gagal untuk percaya bahwa keamanan adalah digital, semua atau tidak sama sekali?

Dengan penekanan perimeter dan fokus pencegahan dan kepatuhan, operator defensif terus menjadi pwned. Berikut adalah daftar mitigasi nyata yang dapat digunakan analis untuk mengatasi pola pikir ini untuk menerapkan Arsitektur Zero Trust:

  1. Otentikasi yang Tepat – Memanfaatkan otentikasi timbal balik dan sertifikat klien untuk membangun kepercayaan dua arah antara klien dan server (MTLS).
  2. Windows Domain Isolation – Memblokir akses non-domain dengan saling mengautentikasi untuk menghilangkan serangan Man-in-the-middle dan menurunkan risiko eksploitasi server.
  3. DNS terenkripsi? – Menyeimbangkan “mencatat dan meninjau” versus “mengenkripsi dan memantau perangkat endpoint”. Membuat DNS Anda sendiri melalui HTTPS atau DNS melalui server TLS dapat membantu dalam mengembangkan jaringan yang lebih aman.
  4. Membangun Agen Jaringan – Mendefinisikan Agen Jaringan (Pengguna + Perangkat) dan menghitung tingkat kepercayaan untuk membuat sistem identitas yang dikelola dengan baik.
  5. Cegah Gerakan Lateral dengan Mengamankan Active Directory – Membangun jalur serangan dengan meninjau izin, keanggotaan grup, atau dengan menggunakan alat seperti BloodHound atau PingCastle.
  6. Menggunakan Sumber Log Utama untuk Visibilitas – Deploy SIEM, Sysmon, dan memperkaya log untuk mengurangi kelelahan peringatan bagi analis yang mempertahankan jaringan.

Memahami Kerangka MITRE Att&ck untuk Menghasilkan Kemampuan Deteksi yang Efektif

Sangat penting bagi analis untuk memahami bahwa Kerangka Kerja MITRE Att&ck adalah produk multidimensi. Ketika peneliti keamanan dan defender melihat kerangka kerja sebagai penggambaran linier dari serangan modern, mengembangkan kemampuan deteksi menjadi tantangan karena analis membatasi ruang lingkup mereka dan membuat signature tingkat permukaan untuk mendeteksi tindakan adversarial.

Setelah memecah fase Serangan MITRE ke dalam kategori, defender harus mulai melihat analisis TTP. Dengan menggunakan pendekatan yang mendalam, penting bagi para defender untuk membuat signature yang spesifik dan sensitif untuk menangkap potensi taktik adversarial.

Dengan menggunakan berbagai metodologi, peneliti keamanan harus fokus pada pendeteksian musuh yang bersembunyi di barang yang diketahui, menghindari deteksi dan respons antivirus dan endpoint, dan teknik serangan modern seperti sideloading DLL dan muatan memori.

Memanfaatkan metode modern ini, defender dapat membuat profil untuk teknik, taktik, dan prosedur yang digunakan oleh musuh di seluruh Kerangka Serangan MITRE. Setelah menganalisis profil ini untuk menentukan artefak apa yang ditinggalkan oleh penyerang, analis dapat membuat kemampuan deteksi yang ditingkatkan untuk memperingatkan teknik musuh.

Selengkapnya: Medium Kleptocratic

91% tim TI merasa ‘dipaksa’ untuk mengabaikan keamanan demi operasi bisnis

by

Sebuah survei baru menunjukkan bahwa mayoritas staf TI merasa tertekan untuk mengabaikan masalah keamanan demi operasi bisnis.

Pada hari Kamis, HP Wolf Security menerbitkan sebuah studi baru, laporan Security Rebellions & Rejections, yang menggabungkan data dari survei YouGov online yang menargetkan pekerja kantoran yang mengadopsi WFH dan penelitian global yang dilakukan dengan pengambil keputusan TI.

Secara total, 91% dari mereka yang disurvei mengatakan bahwa mereka merasa “tertekan” untuk membahayakan keamanan karena kebutuhan untuk kelangsungan bisnis selama pandemi COVID-19. 76% responden mengatakan bahwa keamanan telah mengambil kursi belakang, dan lebih jauh lagi, 83% percaya bahwa bekerja dari rumah telah menciptakan “bom waktu” untuk insiden keamanan perusahaan.

Tim TI, beban kerja mereka, dan kebutuhan untuk berkompromi bukan satu-satunya masalah — tampaknya juga ada perasaan apatis dan frustrasi secara umum ketika harus mengelola keamanan siber di tempat kerja jarak jauh.

Menurut survei, pekerja yang lebih muda, khususnya, lebih mungkin untuk menghindari kontrol keamanan yang ada untuk mengelola beban kerja mereka, dengan 48% dari kelompok ini mengatakan bahwa alat keamanan, seperti pembatasan situs web atau persyaratan VPN, adalah penghalang — dan 31% setidaknya mencoba untuk melewatinya.

Secara keseluruhan, 48% pekerja kantoran mengatakan bahwa tindakan keamanan membuang-buang waktu dan 54% di kelompok berusia 18-24 tahun lebih peduli dengan memenuhi tenggat waktu daripada potensi pelanggaran keamanan. Selain itu, 39% dari kelompok ini tidak yakin atau tidak mengetahui kebijakan keamanan majikan mereka.

Selengkapnya: ZDNet

Perserikatan Bangsa-Bangsa diretas dari April hingga Agustus: penjahat dunia maya berbahasa Rusia menjajakan nama pengguna dan kata sandi curian karyawan di web gelap seharga $ 1.000

by

Peretas telah mengumpulkan data dari sistem internal Perserikatan Bangsa-Bangsa sejak April, menggunakan kredensial login curian karyawan yang telah dijual di web gelap hanya dengan $1.000.

Kombinasi nama pengguna dan kata sandi dijual oleh beberapa penjahat dunia maya berbahasa Rusia hingga akhir Juli, tetapi identitas peretas dan tujuan eksplisit mereka masih belum diketahui.

Kredensial menawarkan akses ke perangkat lunak manajemen proyek organisasi Umoja. Titik masuk memberikan wawasan berharga tentang pekerjaan pemerintah dan kemanusiaan di seluruh dunia.

PBB, yang terus-menerus berhubungan dengan negara-negara dan perusahaan-perusahaan besar, telah menjadi sasaran peretas yang diarahkan oleh negara sebelumnya, tetapi penjahat dunia maya sehari-hari sekarang mengejar perusahaan dan organisasi besar dengan tujuan menjual akses ke informasi yang sangat didambakan.

Peretas memperoleh akses ke sistem PBB pada 5 April dan masih aktif di jaringan sebulan yang lalu, menurut Bloomberg.

‘Organisasi seperti PBB adalah target bernilai tinggi untuk aktivitas spionase siber,’ kata Gene Yoo, CEO Resecurity, sebuah perusahaan keamanan siber yang mengatakan telah menemukan pelanggaran tersebut.

PBB menjawab bahwa para peretas hanya mengambil tangkapan layar, tetapi ketika perusahaan memperingatkan mereka tentang data yang dicuri, organisasi itu berhenti berbicara dengan mereka, kata Resecurity.

Pada hari Kamis, seorang juru bicara PBB mengatakan bahwa organisasi tersebut mengetahui peretasan tersebut sebelum Resecurity memberi tahu mereka tentang hal itu. Dia juga mengatakan PBB telah mendeteksi lebih banyak pelanggaran.

Selengkapnya: Daily Mail UK

Peretas membocorkan kata sandi untuk 500.000 akun Fortinet VPN

by

Seorang aktor ancaman telah membocorkan daftar hampir 500.000 nama login dan kata sandi Fortinet VPN yang diduga diambil dari perangkat yang dapat dieksploitasi musim panas lalu.

Sementara aktor ancaman menyatakan bahwa kerentanan Fortinet yang dieksploitasi telah ditambal, mereka mengklaim bahwa banyak kredensial VPN masih valid.

Kebocoran ini merupakan insiden serius karena kredensial VPN dapat memungkinkan pelaku ancaman mengakses jaringan untuk melakukan eksfiltrasi data, menginstal malware, dan melakukan serangan ransomware.

Daftar kredensial Fortinet dibocorkan secara gratis oleh aktor ancaman yang dikenal sebagai ‘Orange,’ yang merupakan administrator forum peretasan RAMP yang baru diluncurkan dan operator sebelumnya dari operasi Babuk Ransomware.

Setelah perselisihan terjadi antara anggota geng Babuk, Orange berpisah untuk memulai RAMP dan sekarang diyakini sebagai perwakilan dari operasi ransomware Groove yang baru.

Pada tanggal 7 September, pelaku membuat postingan di forum RAMP dengan tautan ke file yang diduga berisi ribuan akun VPN Fortinet.

Pada saat yang sama, sebuah posting muncul di situs kebocoran data ransomware Groove yang juga mempromosikan kebocoran VPN Fortinet.

Kedua posting mengarah ke file yang dihosting di server penyimpanan Tor yang digunakan oleh geng Groove untuk menampung file curian yang bocor untuk menekan korban ransomware untuk membayar.

Selengkapnya: Bleeping Computer

Pemadaman internet Selandia Baru disebabkan oleh serangan DDoS pada penyedia internet terbesar ketiga di negara itu

by

Beberapa bagian dari Selandia Baru terputus dari dunia digital pada tanggal 3 September setelah ISP lokal utama terkena serangan DDoS yang agresif.

Vocus – operator internet terbesar ketiga di negara itu yang berada di belakang merek termasuk Orcon, Slingshot dan Stuff Fiber – mengkonfirmasi bahwa serangan siber berasal dari salah satu pelanggannya.

Menurut pembaruan status jaringan, perusahaan mengatakan: “Sore ini pelanggan Vocus berada di bawah serangan DDoS… Aturan mitigasi DDoS telah diperbarui ke platform Arbor DDoS kami untuk memblokir serangan bagi pelanggan.”

Detailnya masih samar, tetapi pemadaman telah menyebabkan gangguan signifikan di seluruh negeri dengan banyak orang bekerja dari rumah karena pembatasan COVID-19.

Sebuah laporan oleh Reuters menunjukkan bahwa tanggapan Vocus terhadap serangan cyber mungkin memiliki efek knock-on yang mengakibatkan pemadaman 30 menit di seluruh negeri, termasuk kota-kota besar Auckland, Wellington dan Christchurch. Kami telah meminta komentar dari vendor perlindungan Arbor DDoS Netscout.

Selengkapnya: The Register

Netgear memperbaiki bug keamanan yang parah di lebih dari selusin sakelar pintar

by

Netgear telah merilis pembaruan firmware untuk lebih dari selusin sakelar pintar yang digunakan pada jaringan perusahaan untuk mengatasi kerentanan dengan tingkat keparahan tinggi.

Perusahaan memperbaiki tiga kelemahan keamanan yang memengaruhi 20 produk Netgear, sebagian besar smart switch. Detail teknis dan kode eksploitasi proof-of-concept (PoC) untuk dua bug tersedia untuk umum.

Sebuah advisory dari Netgear pada hari Jumat menginformasikan bahwa versi firmware baru tersedia untuk beberapa sakelarnya yang dipengaruhi oleh tiga kerentanan keamanan yang menerima skor keparahan antara 7,4 dan 8,8 pada skala 10.

Netgear mengidentifikasi bug sebagai PSV-2021-0140, PSV-2021-0144, PSV-2021-0145, karena nomor pelacakan belum ditetapkan. Banyak produk yang terpengaruh adalah sakelar pintar, beberapa di antaranya dengan kemampuan manajemen cloud yang memungkinkan konfigurasi dan pemantauannya melalui web.

Advisory Netgear tidak menulis detail teknis apa pun tentang bug tersebut tetapi “sangat menyarankan Anda mengunduh firmware terbaru sesegera mungkin.”

Peneliti keamanan Gynvael Coldwind, yang menemukan dan melaporkan kerentanan, menjelaskan dua masalah dan memberikan kode eksploitasi demo untuk mereka.

Coldwind mengatakan dalam laporan keamanannya bahwa salah satu kelemahan, yang oleh peneliti disebut Demon’s Cries, adalah bypass otentikasi yang dapat, dalam kondisi tertentu, memungkinkan penyerang untuk mengendalikan perangkat yang rentan.

Selengkapnya: Bleeping Computer