Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Windows 10 adalah bencana keamanan yang menunggu untuk terjadi. Bagaimana Microsoft akan membersihkan kekacauannya?

by

Dalam waktu kurang dari empat tahun, Microsoft akan menarik tirai terakhir pada Windows 10 setelah 10 tahun berjalan.

Berita itu seharusnya tidak mengejutkan siapa pun. Tanggal akhir ditetapkan sebagai bagian dari Kebijakan Siklus Hidup Modern Microsoft, dan didokumentasikan di halaman Microsoft Lifecycle: “Microsoft akan terus mendukung setidaknya satu Saluran Semi-Tahunan Windows 10 hingga 14 Oktober 2025.”

Ketika versi Windows mencapai tanggal akhir dukungan, perangkat lunak tetap bekerja, tetapi saluran pembaruan berhenti:

[Tidak] akan ada pembaruan keamanan baru, pembaruan non-keamanan, atau dukungan bantuan. Pelanggan dianjurkan untuk bermigrasi ke versi produk atau layanan terbaru. Program berbayar mungkin tersedia untuk produk yang berlaku.

Itu bukan pilihan bagi pelanggan yang menjalankan Windows 10 pada perangkat keras yang tidak memenuhi persyaratan kompatibilitas perangkat keras Windows 11.

Saat Oktober 2025 tiba, perangkat tersebut tidak akan memiliki jalur migrasi yang didukung Microsoft ke versi yang lebih baru. Pemilik PC, yang beberapa berusia kurang dari lima tahun, akan memiliki opsi berikut:

  1. Lanjut menjalankan sistem operasi yang tidak didukung dan berharap yang terbaik
  2. Pensiun atau buang perangkat keras yang tidak didukung
  3. Instal sistem operasi non-Microsoft, seperti Linux
  4. Abaikan peringatan Microsoft dan upgrade ke Windows 11

Opsi 1 tidak bijaksana. Opsi 2 tidak masuk akal. Opsi 3 tidak mungkin.

Dan hanya menyisakan opsi keempat, yang datang dengan porsi Ketakutan, Ketidakpastian, dan Keraguan (FUD) Microsoft sendiri dalam bentuk buletin dukungan berjudul “Menginstal Windows 11 pada perangkat yang tidak memenuhi persyaratan sistem minimum.”

Pelanggan bisnis mungkin dapat membayar pembaruan keamanan yang diperpanjang untuk Windows 10, meskipun itu akan menjadi pil pahit (dan mahal) untuk ditelan. Tapi pengusaha kecil dan konsumen tidak akan memiliki pilihan itu.

Namun, ada alternatif: Microsoft dapat memperpanjang batas waktu dukungan untuk Windows 10 pada perangkat keras yang tidak kompatibel dengan Windows 11.

Perusahaan melakukan hal yang sama, dalam situasi yang sama, di era Windows XP, dan ini adalah solusi yang sangat tepat di sini.

Selengkapnya: ZDNet

Rumah sakit berisiko tinggi terkena serangan siber, tetapi pasien tidak menyadarinya

by

Southern Ohio Medical Center, sebuah rumah sakit nirlaba di Portsmouth, Ohio, membatalkan janji untuk hari Jumat lalu dan mengalihkan ambulans setelah terkena serangan cyber pada hari Kamis. Ini adalah bagian dari serangkaian serangan yang meningkat terhadap organisasi perawatan kesehatan dalam dua tahun terakhir — sebuah tren yang dapat memiliki konsekuensi serius bagi perawatan pasien.

Tetapi sementara para ahli teknologi informasi sangat menyadari bahwa risiko serangan siber yang membahayakan data pasien dan mematikan sistem komputer sedang meningkat, pasien tampaknya tidak demikian, menurut laporan baru oleh perusahaan keamanan siber Armis.

Faktanya, lebih dari 60 persen orang di masyarakat umum yang disurvei dalam laporan baru mengatakan mereka belum pernah mendengar serangan siber dalam perawatan kesehatan dalam dua tahun terakhir.

Besarnya serangan selama pandemi COVID-19 mengejutkan para ahli, yang mengatakan bahwa geng ransomware menargetkan rumah sakit lebih agresif daripada sebelumnya. Tidak seperti serangan terhadap bank atau sekolah yang juga umum terjadi, serangan terhadap layanan kesehatan berpotensi melukai orang secara langsung.

Sementara 61 persen pasien potensial yang disurvei belum pernah mendengar tentang serangan siber di layanan kesehatan dalam beberapa tahun terakhir, sekitar sepertiga responden mengatakan bahwa mereka pernah menjadi korban serangan siber di sistem kesehatan.

Laporan tersebut juga memusatkan perhatian pada kesenjangan antara kesadaran orang-orang akan serangan siber layanan kesehatan dan tingkat kepedulian mereka terhadap masalah tersebut.

Sekitar setengah dari orang yang disurvei mengatakan bahwa mereka akan pindah rumah sakit jika ada serangan siber, dan lebih dari 70 persen mengatakan mereka berpikir serangan itu bisa berdampak pada perawatan mereka.

Selengkapnya: The Verge

Aplikasi Chat Terenkripsi Palsu Menyebarkan Spyware Android

by Leave a Comment

Trojan akses jarak jauh GravityRAT didistribusikan di alam liar lagi, kali ini dengan kedok aplikasi obrolan terenkripsi end-to-end yang disebut SoSafe Chat.

Target RAT (remote access trojan) khusus ini didominasi oleh pengguna India, yang didistribusikan oleh aktor Pakistan.

Data telemetri pada kampanye terbaru menunjukkan bahwa ruang lingkup penargetan tidak berubah, dan Gravity masih menargetkan individu-individu terkenal di India, seperti petugas Angkatan Bersenjata.

Menyamar sebagai aplikasi obrolan yang aman

Pada tahun 2020, malware tersebut menargetkan orang melalui aplikasi Android bernama ‘Travel Mate Pro,’ tetapi karena pandemi mengurangi berpergian jauh, para aktor pindah ke kedok baru.

Aplikasi ini sekarang disebut ‘SoSafe Chat’ dan dipromosikan sebagai aplikasi perpesanan aman yang menampilkan enkripsi end-to-end.

Website Aplikasi Chat SoSafe

Situs web yang kemungkinan memainkan peran dalam distribusi aplikasi (sosafe.co[.] in) tetap online hari ini, tetapi tautan unduhan dan formulir pendaftaran tidak lagi berfungsi.

Saluran dan metode distribusi tetap tidak diketahui, tetapi kemungkinan dengan mengarahkan lalu lintas ke situs melalui malvertising, posting media sosial, dan pesan instan ke target.

Kemampuan mata-mata yang luas

Setelah diinstal pada perangkat target, spyware dapat melakukan berbagai perilaku jahat, memungkinkan aktor ancaman untuk mengkopi data, memata-matai korban, dan melacak lokasi mereka.

    Daftar lengkap perilaku jahat termasuk:

  • Baca SMS, Log Panggilan, dan Data Kontak
  • Mengubah atau memodifikasi pengaturan sistem
  • Baca informasi jaringan seluler saat ini, nomor telepon dan nomor seri telepon korban, status panggilan yang sedang berlangsung, dan daftar Akun Telepon apa pun yang terdaftar di perangkat
  • Membaca atau menulis file pada penyimpanan eksternal perangkat
  • Merekam audio
  • Mendapatkan informasi jaringan yang terhubung

Menurut para peneliti di Cyble, daftar izin yang diminta malware untuk fungsi ini secara alami cukup luas, tetapi masih dapat muncul dibenarkan untuk aplikasi IM (instant messaging).

Sebelum versi 2020, GravityRAT secara eksklusif akan menargetkan mesin Windows, tidak memiliki kemampuan untuk menginfeksi perangkat seluler.

Dengan demikian, munculnya kembali malware di alam liar dalam menargetkan perangkat seluler menunjukkan bahwa penulisnya secara aktif mengembangkannya.

Sumber: Bleepingcomputer

Malware Emotet Balik Lagi dan Membuat Botnet dengan TrickBot

by Leave a Comment

Malware Emotet dianggap sebagai malware yang paling banyak menyebar di masa lalu, menggunakan kampanye spam dan lampiran berbahaya untuk mendistribusikan malware.

Emotet kemudian akan menggunakan perangkat yang terinfeksi untuk melakukan kampanye spam lainnya dan menginstal muatan lain, seperti malware QakBot (Qbot) dan Trickbot. Muatan ini kemudian akan digunakan untuk memberikan akses awal ke aktor ancaman untuk menyebarkan ransomware, termasuk Ryuk, Conti, ProLock, Egregor, dan banyak lainnya.

Hari ini, para peneliti dari Cryptolaemus, GData, dan Advanced Intel telah melihat malware TrickBot menjatuhkan loader untuk Emotet pada perangkat yang terinfeksi.

Pakar emotet dan peneliti Cryptolaemus Joseph Roosen mengatakan kepada BleepingComputer bahwa mereka belum melihat tanda-tanda botnet Emotet melakukan aktivitas spamming atau menemukan dokumen berbahaya menjatuhkan malware.

Kurangnya aktivitas spamming ini kemungkinan disebabkan oleh pembangunan kembali infrastruktur Emotet dari awal dan email rantai balasan baru yang dicuri dari korban dalam kampanye spam di masa depan.

Kelompok riset Emotet Cryptolaemus telah mulai menganalisis loader Emotet baru dan mengatakan kepada BleepingComputer bahwa itu termasuk perubahan baru dibandingkan dengan varian sebelumnya.

“Ini adalah tanda awal dari kemungkinan adanya aktivitas Emotet malware yang terjadi menyebabkan operasi ransomware penting secara global mengurangi kekurangan ekosistem komoditas,” Kremez mengatakan pada BleepingComputer dalam percakapan.

“Ini juga memberitahu kita bahwa takedown tak mencegah musuh mendapatkan malware builder dan mendirikan sistem backend yang baru.”

Upaya Perlindungan dari Emotet botnet

Organisasi nirlaba pelacakan malware Abuse.ch telah merilis daftar server perintah dan kontrol yang digunakan oleh botnet Emotet baru dan sangat menyarankan administrator jaringan memblokir alamat IP terkait untuk mencegah perangkat mereka direkrut ke dalam botnet Emotet yang baru direformasi.

Selengkapnya: Bleepingcomputer

7 juta alamat email pengguna Robinhood dijual di forum peretas

by

Sekitar 7 juta data pelanggan Robinhood dicuri dalam pelanggaran data baru-baru ini dan data tersebut dijual di forum dan pasar peretasan populer.

Robinhood mengungkapkan setelah salah satu karyawannya diretas,pelaku kemudian menggunakan akun mereka untuk mengakses informasi sekitar 7 juta pengguna melalui sistem dukungan pelanggan.

Data yang dicuri selama serangan termasuk informasi pribadi adalah:

  • Alamat email untuk 5 juta pelanggan
  • Nama lengkap untuk 2 juta pelanggan lainnya
  • Nama, tanggal lahir, dan kode pos untuk 300 orang
  • Informasi akun yang lebih luas untuk sepuluh orang

Selain mencuri data, Robinhood menyatakan bahwa peretas berusaha memeras perusahaan untuk mencegah pelepasan data. Dua hari setelah Robinhood mengungkapkan serangan itu, seorang aktor ancaman bernama ‘pompompurin’ mengumumkan bahwa mereka menjual data di forum peretasan.

Pompompurin mengatakan dia menjual 7 juta informasi curian pelanggan Robinhood untuk setidaknya lima angka, yaitu $ 10.000 atau lebih tinggi.

Data yang terjual termasuk 5 juta alamat email, dan untuk kumpulan pelanggan Robinhood lainnya, 2 juta alamat email dan nama lengkap mereka. Namun, pompompurin mengatakan mereka tidak menjual data untuk 310 pelanggan yang memiliki informasi lebih sensitif yang dicuri, termasuk kartu identitas untuk beberapa pengguna.

pompompurin memperoleh akses ke sistem dukungan pelanggan Robinhood setelah menipu karyawan meja bantuan untuk menginstal perangkat lunak akses jarak jauh di komputer mereka.

Setelah perangkat lunak akses jarak jauh diinstal pada perangkat, pelaku ancaman dapat memantau aktivitas mereka, mengambil tangkapan layar, dan mengakses komputer dari jarak jauh. Selain itu, saat mengendalikan perangkat dari jarak jauh, penyerang juga dapat menggunakan kredensial login yang disimpan karyawan untuk masuk ke sistem Robinhood internal yang dapat mereka akses.

Pompompurin memposting tangkapan layar yang mengakses sistem internal Robinhood. Tangkapan layar ini termasuk bantuan internal yang digunakan untuk mencari informasi anggota Robinhood melalui alamat email, halaman basis pengetahuan internal tentang inisiatif “Project Oliver Twister” yang dirancang untuk melindungi pelanggan berisiko tinggi, dan halaman “anotasi” yang menunjukkan catatan untuk tujuan tertentu. pelanggan.

Bagian dari tangkapan layar yang menunjukkan catatan anggota internal

pompompurin juga bertanggung jawab atas penyalahgunaan server email FBI untuk mengirim email ancaman selama akhir pekan,entitas AS mulai menerima email yang dikirim dari penerima peringatan infrastruktur FBI bahwa “kluster virtual” mereka menjadi sasaran dalam “serangan berantai canggih,” seperti yang ditunjukkan dalam email di bawah ini.
Email peringatan FBI palsu dikirim akhir pekan ini

Untuk mengirim email ini, pompompurin menemukan bug di portal FBI Law Enforcement Enterprise Portal (LEEP) yang dapat dimanfaatkan aktor untuk mengirim email dari alamat IP milik FBI.

Karena email tersebut berasal dari alamat IP yang dimiliki oleh FBI, itu menambah legitimasi pada email tersebut, menyebabkan badan pemerintah dibanjiri dengan panggilan prihatin tentang peringatan palsu tersebut.

Setelah mengetahui serangan itu, FBI membuat server terkait offline untuk menyelesaikan masalah tersebut.

Selengkapnya : Bleeping Computer

QBot kembali untuk gelombang infeksi baru menggunakan Squirrelwaffle

by

Aktivitas trojan perbankan QBot (juga dikenal sebagai Quakbot) melonjak lagi, Beberapa perusahaan riset keamanan mengaitkannya dengan munculnya Squirrelwaffle.

Squirrelwaffle muncul mengisi kekosongan yang ditinggalkan oleh penghapusan Emotet, prediksi ini dengan cepat dikonfirmasi.

TrendMicro telah mengamati kampanye distribusi baru untuk QBot yang mengandalkan makro Visual Basic Macros (VBA) dalam dokumen Microsoft Word yang dikirim sebagai lampiran dalam email phishing.

Semua variasi kedatangan QBot
Sumber: TrendMicro

Korban masih harus membuka dokumen secara manual dan “Aktifkan Konten” di suite Microsoft Office mereka untuk membiarkan kode makro berjalan, menjatuhkan muatan QBot pada sistem.

Qbot juga dikenal bermitra dengan operasi ransomware untuk memberi mereka akses awal ke jaringan. QBot sebelumnya telah berkolaborasi dengan geng ransomware untuk menyebarkan strain REvil, Egregor, ProLock, PwndLocker, dan MegaCortex.

Kita tidak boleh lupa bahwa bahkan jika kompromi ini tidak pernah berkembang menjadi peristiwa enkripsi file, QBot dapat melakukan kerusakan signifikan dengan sendirinya.

Modul tambahan yang diunduh oleh malware QBot dapat mengambil cookie browser, kata sandi, email, menjatuhkan Cobalt Strike, mengaktifkan gerakan lateral, dan mengubah mesin yang terinfeksi menjadi proxy untuk lalu lintas C2.

Sentinel Labs menerbitkan munculnya pemuat malware SquirrelWaffle, menghubungkannya langsung ke QBot, yang dijatuhkan sebagai malware tahap kedua. Para peneliti di Minerva Labs juga telah menarik kesimpulan serupa, Lihat skema pengiriman berikut:

Rantai infeksi SquirrelWaffle
Sumber: Minerva Labs

SquirrelWaffle juga menggunakan makro VBA untuk menjalankan perintah PowerShell yang mengambil muatannya dan meluncurkannya.

Pembuatan email phishing yang lebih meyakinkan dapat dialihdayakan atau diselesaikan dengan cepat dengan menghubungi ahli di bagian operasi phishing tersebut, yang menyebabkan jumlah infeksi SquirrelWaffle yang lebih signifikan.

Selengkapnya : Bleeping Computer

Teknik Rowhammer baru melewati pertahanan memori DDR4 yang ada

by

Para peneliti telah mengembangkan teknik berbasis fuzzing baru yang disebut ‘Blacksmith’ yang menghidupkan kembali serangan kerentanan Rowhammer terhadap perangkat DRAM modern yang melewati mitigasi yang ada.

Munculnya metode Blacksmith baru ini menunjukkan bahwa modul DDR4 saat ini rentan terhadap eksploitasi, memungkinkan berbagai serangan dapat dilakukan.

Rowhammer adalah eksploitasi keamanan yang mengandalkan kebocoran muatan listrik antara sel memori yang berdekatan, memungkinkan aktor ancaman untuk membalik 1 dan 0 dan mengubah konten dalam memori.

Serangan kuat ini dapat melewati semua mekanisme keamanan berbasis perangkat lunak, yang mengarah ke eskalasi hak istimewa, kerusakan memori, dan banyak lagi.

Ini pertama kali ditemukan pada tahun 2014, dan dalam setahun, dua eksploitasi eskalasi hak istimewa kerja berdasarkan peneliti sudah tersedia.

Mitigasi yang diterapkan untuk mengatasi masalah bit-flipping ini menunjukkan tanda-tanda pertama ketidakcukupan mereka pada Maret 2020, ketika peneliti akademis membuktikan bahwa bypass mungkin dilakukan.

Pabrikan telah menerapkan serangkaian mitigasi yang disebut “Target Row Refresh” (TRR), yang terutama efektif dalam menjaga agar DDR4 baru tetap aman dari serangan.

Serangan yang digunakan untuk melawannya disebut ‘TRRespass’, dan merupakan teknik berbasis fuzzing lain yang berhasil menemukan pola Rowhammering yang dapat digunakan.

Modul DRAM DDR5 yang lebih baru sudah tersedia di pasar, dan adopsi akan meningkat dalam beberapa tahun ke depan.

Di DDR5, Rowhammer mungkin tidak terlalu menjadi masalah, karena TRR digantikan oleh “refresh management”, sebuah sistem yang melacak aktivasi di bank dan mengeluarkan penyegaran selektif setelah ambang batas tercapai.

Ini berarti bahwa fuzzing yang dapat diskalakan pada perangkat DRAM DDR5 akan jauh lebih sulit dan mungkin jauh lebih tidak efektif, tetapi itu masih harus ditinjau kembali.

Selengkapnya: Bleeping Computer

Peretas generasi China berikutnya tidak akan menjadi penjahat. Itu adalah sebuah masalah.

by

Penjahat memiliki sejarah panjang melakukan spionase dunia maya atas nama China. Dilindungi dari penuntutan oleh afiliasi mereka dengan Kementerian Keamanan Negara (MSS) China, para penjahat yang berubah menjadi peretas pemerintah melakukan banyak operasi spionase. Mengkhawatirkan kedengarannya, namun ini bukan fenomena baru.

Serentetan kebijakan yang dimulai pada tahun 2015 menempatkan China pada posisi untuk menggantikan penjahat kontrak dengan darah baru dari universitas.

Upaya untuk memprofesionalkan tim peretas negara juga terkait langsung dengan tujuan politik Presiden Xi untuk mengurangi korupsi. Pembersihan baru-baru ini oleh Xi atas layanan keamanan negara China menunjukkan pejabat berisiko yang dijalankan dengan memperkaya diri mereka sendiri menggunakan sumber daya pemerintah.

Hubungan patronase antara peretas kontrak dan handler adalah jenis perilaku profiteering yang ditargetkan Xi dalam kampanye anti-korupsinya.

Dalam lingkungan yang semakin kejam, petugas yang menjalankan operasi yang memicu kemarahan internasional atau dakwaan pidana asing rentan untuk diserahkan oleh saingannya. Pejabat yang ditargetkan oleh penyelidik internal mungkin menemukan diri mereka dikurung di “penjara hitam.” Layanan keamanan China akan memutuskan hubungan mereka dengan peretas bawah tanah saat mereka menyingkirkan pejabat korup dan merekrut peretas secara langsung.

Implikasi dari langkah-langkah ini menunjukkan bahwa peretas China yang biasa dilawan oleh perusahaan dan badan intelijen dunia akan jauh lebih profesional pada akhir dekade ini.

China yang lebih mampu akan berperilaku berbeda dari China yang kita lihat sekarang. Mengingat ketergantungannya pada peretas gelap untuk menyembunyikan kegiatan kriminal dan spionasenya, Kementerian Keamanan Publik telah menoleransi beberapa operasi penjahat siber di Tiongkok, terlepas dari masalah yang ditimbulkannya.

Setelah aktivitas kriminal tidak lagi menjadi norma, dinas keamanan China akan sadar bahwa mereka dapat memindahkan operasi ini di dalam negeri, karena aktivitas mata-mata pemerintah adalah perilaku yang diterima dalam hubungan internasional.

Akibatnya, Kementerian Keamanan Publik China dapat melakukan lebih banyak operasi terhadap penjahat dunia maya. Analis harus waspada terhadap peningkatan operasi anti-kejahatan yang terfokus secara internal ini, yang akan menjadi indikator yang baik dari perubahan taktik operasional.

Selengkapnya: Tech Crunch