Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Geng Ransomware sekarang membuat situs web untuk merekrut afiliasi

by

Sejak dua forum kejahatan dunia maya terkemuka berbahasa Rusia melarang topik terkait ransomware, operasi kriminal telah dipaksa untuk mempromosikan layanan mereka melalui metode alternatif.

Setidaknya dua geng ransomware yang membutuhkan peretas untuk menjalankan serangan telah menggunakan situs mereka untuk mengiklankan fitur alat enkripsi mereka untuk menarik anggota baru.

Sekitar seminggu yang lalu, geng ransomware LockBit mengumumkan versi utama baru untuk alat mereka, mengklaim peningkatan yang signifikan untuk kecepatan enkripsi.

Untuk mendukung klaim mereka, pelaku ancaman tampaknya menguji versi beberapa potongan ransomware dan mempublikasikan pengukuran mereka untuk kecepatan enkripsi file.

Dengan meluncurkan LockBit 2.0, pengembang ransomware juga mengumumkan sesi rekrutmen afiliasi baru, menyoroti bahwa enkripsi yang mereka gunakan tidak goyah sejak operasi dimulai pada September 2019.

Untuk menarik mitra, LockBit mengklaim menawarkan enkripsi tercepat dan alat pencurian file (StealBit) “di seluruh dunia.”

Langkah dari LockBit ini terjadi setelah aktor pada akhir Mei mencoba untuk mendapatkan pembicaraan ransomware kembali di forum berbahasa Rusia yang populer dengan mengusulkan bagian pribadi hanya untuk “pengguna otoritatif, di mana tidak ada keraguan.”

Perusahaan intelijen ancaman KELA mengatakan bahwa tidak semua kelompok ransomware sekeras ini dalam pencarian afiliasi mereka.

Geng REvil, misalnya, lebih suka beroperasi secara rahasia dan bergantung pada jaringan afiliasi dan koneksinya untuk mendapatkan mitra baru saat mereka membutuhkannya, kata KELA.

Selengkapnya: Bleeping Computer

API Baru Memungkinkan Pengembang Aplikasi Mengautentikasi Pengguna melalui Kartu SIM

by

Pembuatan akun online menimbulkan tantangan bagi para insinyur dan arsitek sistem: jika Anda memasang terlalu banyak penghalang, Anda berisiko menolak pengguna asli. Buat terlalu mudah, dan Anda berisiko dari penipuan atau akun palsu.

Model tradisional identitas online – nama pengguna/email dan kata sandi – telah lama tidak digunakan lagi. Beginilah cara otentikasi multi-faktor atau dua faktor (MFA atau 2FA) berperan, untuk menambal kerentanan yang disebut model berbasis pengetahuan, biasanya dengan kode sandi SMS untuk memverifikasi kepemilikan nomor ponsel.

Terkadang solusi paling sederhana sudah ada di tangan kita. SMS saja mungkin tidak aman, tetapi nomor ponsel yang ditambatkan ke kartu SIM adalah: pasangan unik yang sulit untuk diubah atau disalin.

Otentikasi berbasis SIM adalah terobosan identitas. Sekarang dimungkinkan untuk mencegah penipuan dan akun palsu sambil memverifikasi pengguna seluler dengan mulus menggunakan pengenal paling aman secara kriptografis yang sudah mereka miliki – kartu SIM yang tertanam di perangkat seluler mereka.

Jika Anda khawatir tentang penipuan pertukaran SIM sebagai ancaman bagi pengguna Anda, Anda benar.

Otentikasi berbasis SIM memberikan perbaikan sederhana, dengan respons langsung yang dapat ditindaklanjuti. Penipu berusaha mengakses akun korban mereka biasanya dalam waktu 24 jam, jadi dengan memeriksa aktivitas pertukaran SIM dalam 7 hari terakhir, SubscriberCheck oleh tru.ID dapat mendeteksi mereka di gerbang.

Kartu SIM di dalam telepon sudah diautentikasi dengan Operator Jaringan Seluler (MNO). Otentikasi SIM memungkinkan pelanggan seluler melakukan dan menerima panggilan telepon dan terhubung ke Internet.

SubscriberCheck dari tru.ID terhubung ke mekanisme otentikasi yang sama dengan MNO. Akibatnya, tru.ID API melakukan dua hal.

Pertama, memverifikasi bahwa nomor ponsel aktif dan dipasangkan ke kartu SIM di ponsel. Sebagai bagian dari verifikasi ini, API juga mengambil informasi jika kartu SIM yang terkait dengan nomor telepon baru saja diubah. Pemeriksaan ini dapat diintegrasikan dengan mudah dengan API dan SDK.

Selengkapnya: The Hacker News

Bank sentral Denmark terkena peretasan SolarWinds, kata laporan media

by

Bank sentral Denmark dikompromikan dalam operasi peretasan global SolarWinds tahun lalu, meninggalkan “pintu belakang” ke jaringannya terbuka selama tujuh bulan, media IT Version2 melaporkan pada hari Selasa, mengutip dokumen yang terkait dengan kasus tersebut.

Para peretas, yang dituduh oleh Amerika Serikat bekerja untuk intelijen Rusia, sangat hebat dan memodifikasi kode dalam perangkat lunak manajemen jaringan SolarWinds yang diunduh oleh 18.000 pelanggan di seluruh dunia.

Penyerang dapat menggunakan SolarWinds untuk masuk ke dalam jaringan dan kemudian membuat pintu belakang untuk akses lanjutan yang potensial.

Pintu belakang semacam itu terbuka di bank sentral Denmark selama tujuh bulan sampai ditemukan oleh perusahaan keamanan AS Fire Eye, Version2 mengatakan, mengutip berbagai dokumen yang diperolehnya berdasarkan permintaan kebebasan informasi, seperti email SolarWinds.

Bank sentral, yang mengelola transaksi bernilai miliaran dolar setiap hari, mengatakan dalam komentar email kepada Reuters bahwa “tidak ada tanda-tanda bahwa serangan itu memiliki konsekuensi nyata”.

“Serangan SolarWinds juga menghantam infrastruktur keuangan di Denmark. Sistem yang relevan ditampung dan dianalisis segera setelah kompromi SolarWinds Orion diketahui,” tambahnya.

Selengkapnya: Reuters

Bug Pengambilalihan Mesin Virtual yang Belum Ditambal Mempengaruhi Google Compute Engine

by

Kerentanan keamanan yang belum ditambal yang memengaruhi platform Compute Engine Google dapat disalahgunakan oleh penyerang untuk mengambil alih mesin virtual melalui jaringan.

“Ini dilakukan dengan meniru server metadata dari sudut pandang mesin virtual yang ditargetkan,” kata peneliti keamanan Imre Rad dalam sebuah analisis yang diterbitkan Jumat. “Dengan memasang eksploitasi ini, penyerang dapat memberikan akses ke dirinya sendiri melalui SSH (otentikasi kunci publik) sehingga mereka dapat masuk sebagai pengguna root.”

Google Compute Engine (GCE) adalah komponen infrastruktur sebagai layanan (IaaS) dari Google Cloud Platform yang memungkinkan pengguna membuat dan meluncurkan mesin virtual (VM) sesuai permintaan. GCE menyediakan metode untuk menyimpan dan mengambil metadata dalam bentuk server metadata, yang menawarkan titik pusat untuk mengatur metadata dalam bentuk pasangan nilai kunci yang kemudian diberikan ke mesin virtual saat runtime.

Dalam skenario dunia nyata, rantai serangan yang digunakan dapat disalahgunakan oleh musuh untuk mendapatkan akses penuh ke mesin virtual yang ditargetkan saat sedang di-boot ulang atau melalui internet jika firewall platform cloud dimatikan.

Google diberitahu tentang masalah ini pada 27 September 2020, yang sejak itu mengakui laporan tersebut, menggambarkannya sebagai “tangkapan yang bagus,” tetapi belum meluncurkan tambalan, atau memberikan garis waktu kapan koreksi akan tersedia.

Selengkapnya: The Hacker News

Ransomware baru menyoroti adopsi luas dari bahasa Golang oleh penyerang siber

by

Jenis ransomware baru yang menggunakan Golang menyoroti peningkatan adopsi bahasa pemrograman tersebut oleh aktor ancaman.

CrowdStrike mengamankan sampel varian ransomware baru, yang belum disebutkan namanya, yang meminjam fitur dari HelloKitty/DeathRansom dan FiveHands.

Jenis ransomware ini diperkirakan telah aktif sejak 2019 dan telah dikaitkan dengan serangan terhadap pembuat Cyberpunk 2077, CD Projekt Red (CDPR), serta organisasi perusahaan.

Sampel yang ditemukan mengungkapkan fungsi yang mirip dengan HelloKitty dan FiveHands, dengan komponen yang ditulis dalam C++, serta cara malware mengenkripsi file dan menerima argumen baris perintah.

Namun, tidak seperti HelloKitty dan FiveHands, jenis ransomware baru ini telah mengadopsi paket yang ditulis dalam Go yang mengenkripsi muatan ransomware C++-nya.

Menurut Intezer, malware yang memanfaatkan Go adalah kejadian langka sebelum 2019, tetapi sekarang, bahasa pemrograman tersebut adalah pilihan populer karena kemudahan kompilasi kode dengan cepat untuk berbagai platform dan kesulitannya untuk merekayasa balik. Tingkat sampel telah meningkat sekitar 2.000% dalam beberapa tahun terakhir.

Sampel CrowdStrike menggunakan Golang versi terbaru, v.1.16, yang dirilis pada Februari 2021.

Selain penggunaan Go, sampel berisi fungsi khas ransomware — termasuk kemampuan untuk mengenkripsi file dan disk, serta mengeluarkan permintaan pembayaran sebagai imbalan atas kunci dekripsi.

Selengkapnya: ZDNet

Pelanggaran Data LinkedIn dilaporkan mengekspos data 92% pengguna, termasuk gaji yang diperkirakan [U]

by

Pelanggaran besar kedua LinkedIn dilaporkan mengekspos data 700 juta pengguna, yang merupakan lebih dari 92% dari total 756 juta pengguna. Basis data untuk dijual di web gelap, dengan data termasuk nomor telepon, alamat fisik, data geolokasi, dan gaji yang diperkirakan.

Peretas yang memperoleh data telah memposting sampel 1 juta catatan, dan pemeriksaan mengonfirmasi bahwa data tersebut asli dan terbaru.

RestorePrivacy melaporkan bahwa peretas tampaknya telah menyalahgunakan LinkedIn API resmi untuk mengunduh data, metode yang sama yang digunakan dalam pelanggaran serupa pada bulan April.

Pada tanggal 22 Juni, seorang pengguna situs peretasan populer mengiklankan data dari 700 Juta pengguna LinkedIn untuk dijual. Pengguna forum memposting sampel data yang mencakup 1 juta pengguna LinkedIn. Kami memeriksa sampel dan menemukannya mengandung informasi berikut:

  • Alamat email
  • Nama lengkap
  • Nomor telepon
  • Alamat fisik
  • Catatan geolokasi
  • Nama pengguna dan URL profil LinkedIn
  • Pengalaman/latar belakang pribadi dan profesional
  • jenis kelamin
  • Akun media sosial dan nama pengguna lainnya

PrivacyShark

Tidak ada kata sandi yang ikut bocor, tetapi ini masih merupakan data berharga yang dapat digunakan untuk pencurian identitas dan upaya phishing yang tampak meyakinkan yang dapat digunakan sendiri untuk mendapatkan kredensial masuk untuk LinkedIn dan situs lainnya.

Saat dimintai keterangan, pihak LinkedIn membantah dengan mengatakan bahwa itu bukanlah pelanggaran data.

Sementara kami masih menyelidiki masalah ini, analisis awal kami menunjukkan bahwa kumpulan data tersebut mencakup informasi yang diambil dari LinkedIn serta informasi yang diperoleh dari sumber lain. Ini bukan pelanggaran data LinkedIn dan penyelidikan kami telah menetapkan bahwa tidak ada data pribadi anggota LinkedIn yang terpapar. Memotong data dari LinkedIn merupakan pelanggaran terhadap Ketentuan Layanan kami dan kami terus berupaya untuk memastikan privasi anggota kami terlindungi.

LinkedIn

Selengkapnya: 9to5mac

Laporan memperkirakan serangan siber besar dapat menghabiskan lebih banyak biaya daripada pemulihan dari bencana alam

by

Biaya serangan siber besar-besaran pada utilitas atau penyedia layanan utama AS yang kritis dapat disamakan dengan biaya bencana alam seperti badai, sebuah laporan yang dirilis Senin menemukan.

Laporan tersebut, yang disusun oleh para ahli dari Foundation for Defense of Democracies (FDD) dan grup asuransi Intangic, menggunakan sistem penilaian risiko yang dikembangkan oleh Intangic untuk memperkirakan dampak dari dua jenis serangan siber yang mengganggu.

Temuan tersebut memperkirakan bahwa gangguan dunia maya tiga hari dari penyedia layanan terkelola yang memberikan layanan TI kepada ratusan pelanggan di berbagai bidang kritis dapat menyebabkan kerugian ekonomi hampir $80 miliar, lebih besar dari biaya Badai Sandy senilai $65 miliar pada tahun 2012.

Kerugian akan lebih tinggi dengan serangan pada utilitas kritis, seperti utilitas listrik regional, dengan Intangic memperkirakan bahwa pelanggaran yang menyebabkan gangguan listrik selama lima hari akan menelan biaya sekitar $ 193,5 miliar, lebih dari biaya Badai Katrina tahun 2005 dan Kebakaran hutan California 2018.

Laporan tersebut dirilis setelah meningkatnya serangan siber terhadap organisasi-organisasi penting.

Serangan ransomware pada bulan Mei di Colonial Pipeline, yang menyediakan 45 persen pasokan bahan bakar Pantai Timur, memaksa perusahaan untuk menutup saluran pipa selama hampir seminggu, yang menyebabkan kekurangan bensin. Serangan ransomware tak lama kemudian di JBS USA, penyedia daging sapi terbesar di negara itu, juga mengganggu rantai pasokan makanan utama.

Selengkapnya: The Hill

Studi keamanan siber: Biaya serangan SolarWinds mempengaruhi perusahaan rata-rata $12 juta

by

Kabar baiknya adalah bahwa tim keamanan meningkatkan pertahanan jaringan, tetapi kabar buruknya adalah sebagian besar perusahaan baru-baru ini mengalami insiden keamanan siber yang memerlukan rapat dewan. Itulah analisis dari Laporan Dampak Keamanan Siber 2021 dari IronNet.

Laporan ini didasarkan pada wawancara dengan 473 pengambil keputusan TI keamanan dari AS, Inggris, dan Singapura yang bekerja di sektor teknologi, keuangan, layanan publik, dan utilitas.

Survei tersebut menemukan bahwa 90% responden mengatakan postur keamanan mereka telah meningkat selama dua tahun terakhir, tetapi 86% mengalami serangan yang cukup parah sehingga memerlukan pertemuan eksekutif tingkat C atau dewan direksi perusahaan.

Studi tersebut menemukan bahwa 70% perusahaan yang disurvei merasakan dampak serangan SolarWinds:

  • Dampak signifikan: 31%
  • Sedikit dampak: 39%
  • Dampak kecil: 15%
  • Tidak ada dampak: 15%

Survei tersebut menanyakan tentang dampak finansial dari serangan tersebut dan menemukan bahwa dampak rata-ratanya adalah 11% dari pendapatan tahunan atau sekitar $12 juta per perusahaan. Perusahaan di AS melaporkan rata-rata dampak 14% pada pendapatan tahunan dengan rata-rata di Inggris dan Singapura masing-masing sebesar 8,6% dan 9,1%.

Selengkapnya: Tech Republic