Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Interpol Tangkap Peretas Maroko yang Terlibat dalam Aktivitas Siber

by

Otoritas penegak hukum dengan Interpol telah menangkap aktor ancaman yang bertanggung jawab untuk menargetkan ribuan korban tanpa disadari selama beberapa tahun dan melakukan serangan malware pada perusahaan telekomunikasi, bank besar, dan perusahaan multinasional di Prancis sebagai bagian dari skema penipuan kartu kredit dan phishing global.

Investigasi dua tahun, dijuluki Operasi Lyrebird oleh organisasi internasional antar pemerintah, mengakibatkan penangkapan seorang warga negara Maroko yang dijuluki Dr HeX, perusahaan keamanan siber Group-IB mengungkapkan hari ini dalam sebuah laporan yang dibagikan kepada The Hacker News.

Dr HeX dikatakan telah “aktif setidaknya sejak 2009 dan bertanggung jawab atas sejumlah kejahatan dunia maya, termasuk phishing, deface, pengembangan malware, penipuan, dan carding yang mengakibatkan ribuan korban yang tidak curiga,” kata perusahaan keamanan siber itu.

Serangan dunia maya melibatkan penyebaran kit phishing yang terdiri dari halaman web yang memalsukan entitas perbankan di negara tersebut, diikuti dengan mengirim email massal yang meniru perusahaan yang ditargetkan, mendorong penerima email untuk memasukkan informasi login di situs web jahat.

Kredensial yang dimasukkan oleh korban yang tidak menaruh curiga di halaman web palsu kemudian diarahkan ke email pelaku. Setidaknya tiga kit phishing berbeda yang mungkin dikembangkan oleh aktor ancaman telah diekstraksi.

Selain itu, Group-IB juga dapat memetakan alamat email ke infrastruktur jahat yang digunakan oleh terdakwa dalam berbagai kampanye phishing, yang mencakup sebanyak lima alamat email, enam nama panggilan, dan akunnya di Skype, Facebook, Instagram dan YouTube.

Selengkapnya: The Hacker News

Microsoft merilis pembaruan darurat untuk Windows PrintNightmare zero-day

by

Microsoft telah merilis pembaruan keamanan darurat KB5004945 untuk mengatasi kerentanan zero-day PrintNightmare yang dieksploitasi secara aktif di layanan Windows Print Spooler yang berdampak pada semua versi Windows. Namun, tambalan tidak lengkap dan kerentanan masih dapat dieksploitasi secara lokal untuk mendapatkan hak istimewa SISTEM.

Bug eksekusi kode jarak jauh (dilacak sebagai CVE-2021-34527) memungkinkan penyerang mengambil alih server yang terpengaruh melalui eksekusi kode jarak jauh (RCE) dengan hak istimewa SISTEM, karena memungkinkan mereka menginstal program, melihat, mengubah, atau menghapus data, dan membuat akun baru dengan hak pengguna penuh.

Pembaruan keamanan belum dirilis untuk Windows 10 versi 1607, Windows Server 2016, atau Windows Server 2012, tetapi mereka juga akan segera dirilis, menurut sumber dari Microsoft.

Kerentanan PrintNightmare mencakup baik eksekusi kode jarak jauh (RCE) dan vektor eskalasi hak istimewa lokal (LPE) yang dapat digunakan dalam serangan untuk menjalankan perintah dengan hak istimewa SISTEM pada sistem yang rentan.

Setelah Microsoft merilis pembaruan out-of-band, peneliti keamanan Matthew Hickey memverifikasi bahwa patch hanya memperbaiki RCE dan bukan komponen LPE. Ini berarti bahwa perbaikannya tidak lengkap dan pelaku ancaman serta malware masih dapat mengeksploitasi kerentanan secara lokal untuk mendapatkan hak istimewa SISTEM.

Microsoft mendesak pelanggan untuk segera menginstal pembaruan keamanan out-of-band ini untuk mengatasi kerentanan PrintNightmare.

Mereka yang tidak dapat menginstal pembaruan ini sesegera mungkin harus memeriksa bagian FAQ dan Solusi di penasihat keamanan CVE-2021-34527 untuk info tentang cara melindungi sistem mereka dari serangan yang mengeksploitasi kerentanan ini.

Selengkapnya: Bleeping Computer

Raksasa teknologi memperingatkan pemutusan layanan di Hong Kong karena undang-undang perlindungan data

by

Raksasa teknologi termasuk Facebook, Google dan Twitter dilaporkan telah mengeluarkan peringatan kepada pemerintah Hong Kong bahwa layanan mereka dapat terputus di kota jika pihak berwenang melanjutkan dengan undang-undang perlindungan data yang akan membuat perusahaan bertanggung jawab jika informasi pengenal pribadi individu dirilis tanpa persetujuan mereka, The Wall Street Journal melaporkan.

Peringatan itu dibuat dalam surat yang sebelumnya tidak dilaporkan yang dikirim pada 25 Juni dari Asia Internet Coalition (AIC) yang berbasis di Singapura, lapor Journal. Anggota koalisi lainnya termasuk Apple, Amazon, Yahoo dan LinkedIn.

Amandemen yang diusulkan untuk undang-undang perlindungan data Hong Kong menuntut denda hingga 1 juta dolar Hong Kong, sekitar $ 128.800, dan penjara selama lima tahun untuk memerangi “doxxing”, di mana data pribadi seseorang dibagikan secara online. The Journal mencatat bahwa praktik ini menjadi lazim ketika protes pro-demokrasi pecah di kota itu pada tahun 2019.

Presiden AIC Jeff Paine merinci bahwa anggota organisasinya menentang rilis data pengguna yang tidak sah, tetapi mengatakan mereka khawatir bahwa kata-kata yang tidak jelas dari amandemen yang diusulkan akan membuat anggota staf berbasis lokal mereka rentan terhadap penuntutan dan penyelidikan, Journal laporan.

Selengkapnya: The Hill

Hingga 1.500 bisnis terkena serangan ransomware, kata CEO perusahaan AS

by

Antara 800 sampai 1.500 bisnis di seluruh dunia telah terpengaruh oleh serangan ransomware yang berpusat pada perusahaan teknologi informasi AS Kaseya, kata kepala eksekutifnya pada hari Senin.

Fred Voccola, CEO perusahaan yang berbasis di Florida, mengatakan dalam sebuah wawancara bahwa sulit untuk memperkirakan dampak yang tepat dari serangan hari Jumat karena yang terkena terutama adalah pelanggan dari pelanggan Kaseya.

Kaseya adalah perusahaan yang menyediakan alat perangkat lunak untuk toko outsourcing TI: perusahaan yang biasanya menangani pekerjaan back-office untuk perusahaan yang terlalu kecil atau sumber dayanya sederhana untuk memiliki departemen teknologi sendiri.

Salah satu alat itu ditumbangkan pada hari Jumat, memungkinkan para peretas melumpuhkan ratusan bisnis di lima benua.

Peretas yang mengaku bertanggung jawab atas pelanggaran tersebut telah menuntut $70 juta untuk memulihkan semua data bisnis yang terpengaruh, meskipun mereka telah menunjukkan kesediaan untuk mengurangi tuntutan mereka dalam percakapan pribadi dengan pakar keamanan siber dan dengan Reuters.

Topik pembayaran tebusan menjadi semakin penuh dengan serangan ransomware menjadi semakin mengganggu – dan menguntungkan.

Voccola mengatakan dia telah berbicara dengan para pejabat di Gedung Putih, Biro Investigasi Federal, dan Departemen Keamanan Dalam Negeri tentang pelanggaran itu tetapi menolak untuk mengatakan apa yang mereka katakan kepadanya tentang pembayaran atau negosiasi.

Selengkapnya: Reuters

TrickBot Botnet Ditemukan Menyebarkan Ransomware Baru yang Disebut Diavol

by

Pelaku ancaman di balik malware TrickBot yang terkenal telah dikaitkan dengan jenis ransomware baru bernama “Diavol,” menurut penelitian terbaru.

Muatan ransomware Diavol dan Conti dikerahkan pada sistem yang berbeda dalam kasus serangan yang gagal menargetkan salah satu pelanggannya awal bulan ini, kata peneliti dari FortiGuard Labs Fortinet minggu lalu.

TrickBot, Trojan perbankan yang pertama kali terdeteksi pada tahun 2016, secara tradisional merupakan solusi crimeware berbasis Windows, menggunakan modul yang berbeda untuk melakukan berbagai aktivitas berbahaya di jaringan target, termasuk pencurian kredensial dan melakukan serangan ransomware.

Terlepas dari upaya penegakan hukum untuk menetralisir jaringan bot, malware yang terus berkembang telah terbukti menjadi ancaman yang tangguh, dengan operator yang berbasis di Rusia – dijuluki “Wizard Spider” – dengan cepat mengadaptasi alat baru untuk melakukan serangan lebih lanjut.

Diavol dikatakan telah dikerahkan di alam liar dalam satu insiden hingga saat ini. Sumber intrusi masih belum diketahui. Yang jelas, bagaimanapun, adalah bahwa kode sumber payload memiliki kesamaan dengan Conti, meskipun catatan tebusan telah ditemukan untuk menggunakan kembali beberapa bahasa dari ransomware Egregor.

Aspek lain dari ransomware yang menonjol adalah ketergantungannya pada teknik anti-analisis untuk mengaburkan kodenya dalam bentuk gambar bitmap, dari mana rutinitas dimuat ke dalam buffer dengan izin eksekusi.

Selengkapnya: The Hacker News

Pelajaran sejarah tentang security logging, dari syslogd hingga XDR

by

Ruang manajemen log dan manajemen informasi keamanan (SIEM) telah melalui sejumlah tahapan untuk sampai pada posisinya saat ini.

Yang menarik adalah bahwa kita memulai perjalanan dengan kasus penggunaan manajemen log yang berubah menjadi seluruh pasar, awalnya disebut pasar SIM, tetapi kemudian secara resmi diubah namanya menjadi informasi keamanan dan manajemen event (SIEM).

Setelah itu kita memasuki fase di mana data besar menjadi topik hangat dan pelanggan mulai mempermainkan ide untuk membangun solusi logging mereka sendiri. Umumnya tidak dengan hasil terbaik. Tapi itu tidak mencegah beberapa gerakan open source memasuki peta, yang sebagian besar sudah ‘mati’ hari ini. Tapi apa yang terjadi setelah itu bahkan lebih menarik.

Seluruh ruang mulai pecah menjadi beberapa ruang baru. Pertama adalah produk yang menyebut diri mereka analitik perilaku pengguna dan entitas (UEBA), kemudian SOAR, dan yang terbaru adalah XDR. Semuanya benar-benar bukan cabang dari SIEM.

Yang paling menarik adalah bahwa pasar UEBA yang berdiri sendiri hampir mati dan begitu juga pasar SOAR. Semua perusahaan terintegrasi (diakuisisi) ke dalam platform SIEM yang ada atau menambahkan SIEM sebagai kasus penggunaan tambahan ke platform mereka sendiri.

XDR telah menjadi perkembangan terbaru dan mungkin yang paling aneh dari semuanya. Beberapa vendor mencoba memasarkannya sebagai EDR++ dengan menambahkan beberapa data jaringan. Yang lain pada dasarnya menggunakan SIEM, tetapi membatasinya ke sumber data yang lebih sedikit dan serangkaian kasus penggunaan yang lebih fokus.

Meskipun itu bagus untuk pengguna akhir yang ingin menyelesaikan kasus penggunaan tersebut dengan memberi mereka pengalaman yang lebih baik, itu benar-benar tidak jauh berbeda dari apa yang dibuat untuk dilakukan oleh SIEM asli.

Selengkapnya: Venturebeat

Audacity 3.0 disebut spyware atas perubahan pengumpulan data oleh pemilik baru

by

Audacity, perangkat lunak pengedit audio sumber terbuka yang terkenal, telah disebut spyware dalam sebuah laporan, dengan perubahan kebijakan privasi mengungkapkan alat tersebut mengumpulkan data tentang penggunanya dan membagikannya dengan perusahaan lain, serta mengirim data ke Rusia.

Audacity diakuisisi oleh Muse Group pada bulan Mei, sebuah perusahaan yang juga mengendalikan Ultimate Guitar, MuseScore, dan Tonebridge. Sejak pembelian Audacity, perubahan telah ditemukan dalam dokumen dukungan online yang menunjukkan bahwa itu digunakan untuk melakukan pengumpulan data pada penggunanya.

Halaman kebijakan privasi untuk Audacity telah diperbarui pada 2 Juni, lapor Fosspost, dengan beberapa tambahan yang berkaitan dengan pengumpulan data pribadi. Secara khusus, bahwa aplikasi mengumpulkan berbagai detail yang berkaitan dengan pengguna Mac.

Daftar data termasuk sistem operasi dan versinya, negara pengguna berdasarkan alamat IP mereka, kode dan pesan kesalahan non-fatal, laporan kerusakan, dan prosesor yang digunakan. Di bawah data yang dikumpulkan “untuk penegakan hukum,” perangkat lunak mengumpulkan “data yang diperlukan untuk penegakan hukum, litigasi, dan permintaan pihak berwenang (jika ada),” meskipun tidak secara spesifik data apa yang dikumpulkan dalam kasus tersebut.

Alamat IP disimpan “dengan cara yang dapat diidentifikasi hanya untuk satu hari,” disimpan sebagai hash dengan salt yang diubah setiap hari. Hash disimpan selama satu tahun sebelum dihapus, meskipun perusahaan juga mengklaim bahwa salt “tidak disimpan di basis data apa pun dan tidak dapat diambil setelah diubah.”

Diklaim bahwa penyimpanan satu hari sudah cukup bagi entitas pemerintah untuk mengidentifikasi pengguna, dengan sumber daya dan otoritas hukum yang memadai.

Meskipun sebelumnya aplikasi ini tersedia untuk semua usia untuk digunakan, sesuai dengan lisensi GPL, kebijakan privasi juga mencakup bahasa yang mengatakan orang di bawah 13 tahun untuk “tolong jangan gunakan aplikasi.” Ini dianggap sebagai pelanggaran lisensi GPL tempat Audacity dirilis.

Selengkapnya: Apple Insider

Peretas Rusia REvil menuntut $70 JUTA untuk kunci dekripsi

by

Serangan ransomware terbesar dalam sejarah telah menghantam sistem TI hingga 1 juta perusahaan di hampir setiap benua ketika peretas yang terkait dengan Rusia menuntut $70 juta dalam cryptocurrency untuk memperbaikinya.

Toko kelontong Swedia, sekolah di Selandia Baru, dan dua perusahaan IT besar Belanda termasuk di antara korban kelompok peretasan REvil yang meluncurkan serangannya pada hari Jumat setelah melanggar sistem perusahaan perangkat lunak yang berbasis di AS Kaseya.

REvi yang telah menuntut uang tebusan hingga $5 juta dari masing-masing perusahaan – namun sekarang mengatakan meminta $70 juta dan akan membuka kunci semua jaringan yang terpengaruh.

Analis mengatakan bukan kebetulan bahwa serangan terakhir bertepatan dengan akhir pekan 4 Juli, ketika perusahaan akan kekurangan staf dan kurang mampu merespons.

Di antara korban yang dilaporkan adalah dua perusahaan besar layanan TI Belanda – VelzArt dan Hoppenbrouwer Techniek.

Tetapi sebagian besar korban diyakini adalah usaha kecil hingga menengah dan layanan publik yang tidak mungkin mengumumkan bahwa mereka telah terinfeksi – seperti praktik gigi, firma arsitektur, pusat operasi plastik, dan perpustakaan.

Peretas berhasil menjatuhkan perusahaan dengan menyusup ke VSA, perangkat lunak Kaseya yang digunakan untuk mengelola jaringan TI yang jauh lebih besar. Peretasan semacam itu dikenal sebagai serangan ‘rantai pasokan’.

Para ahli mengatakan fakta bahwa REvil meminta uang tebusan sebesar $70 juta untuk mengembalikan semua jaringan yang terpengaruh menunjukkan bahwa peretasannya jauh lebih luas daripada yang diantisipasi oleh peretas itu sendiri.

Selengkapnya: Daily Mail UK