News 255 - Naga Cyber Defense

Apa Perbedaan Antara Keamanan Siber & Ketahanan Siber?

November 6, 2021 by Søren

Perbedaan utama di antara mereka adalah fokus respons. Di Cybersecurity, kami memiliki DR/BCP untuk memastikan organisasi dapat melanjutkan operasi secepat mungkin. Namun, fokus utama Cybersecurity masih pada kontrol preventif.

Ketahanan Cyber berbeda dengan Cybersecurity. Ini tentang mengetahui hal-hal buruk akan terjadi. Pertanyaannya bukan tentang jika tetapi kapan. Untuk menjadi tangguh cyber, cakupan perlindungan akan lebih dari “Permata Mahkota.” Ini melibatkan cakupan yang lebih luas: ekosistem bisnis atau organisasi.

Sistem ketahanan siber memiliki langkah-langkah keamanan atau perlindungan “di dalam” sebagai dasar arsitektur dan desainnya, yang memungkinkannya untuk bertahan dari serangan, kesalahan, dan kegagalan siber dan terus beroperasi bahkan dalam keadaan terdegradasi atau lemah untuk melaksanakan fungsi misi-esensial organisasi.

Fokus saat ini pada ketahanan, di sisi lain, tidak melupakan keunggulan kompromi awal musuh, bahkan ketika fokus bergeser ke tempat lain untuk menghilangkan kemungkinan dampak dari seluruh rantai serangan. Jadi, alih-alih sangat bergantung pada kontrol pencegahan, sasaran keamanan berbasis ketahanan melihat secara holistik pada rangkaian lengkap kontrol keamanan yang tersedia.

Akibatnya, seluruh infrastruktur keamanan dapat secara tidak proporsional meningkatkan biaya usaha, materi, dan waktu yang harus diinvestasikan musuh untuk maju dengan serangan sambil mengurangi kemungkinan bahwa serangan tersebut akan berakhir dengan gangguan bisnis atau operasi.

Selengkapnya: Medium

Wawancara AP: Departemen Kehakiman melakukan tindakan keras dunia maya

November 6, 2021 by Søren

Departemen Kehakiman Amerika Serikat meningkatkan tindakan untuk memerangi ransomware dan kejahatan dunia maya melalui penangkapan dan tindakan lainnya, pejabat No. 2 mengatakan kepada The Associated Press, ketika pemerintahan Biden meningkatkan tanggapannya terhadap apa yang dianggapnya sebagai masalah ekonomi dan nasional yang mendesak. ancaman keamanan.

Wakil Jaksa Agung Lisa Monaco mengatakan bahwa “dalam beberapa hari dan minggu mendatang, Anda akan melihat lebih banyak penangkapan,” lebih banyak penyitaan pembayaran uang tebusan kepada peretas dan operasi penegakan hukum tambahan.

“Jika Anda datang untuk kami, kami akan datang untuk Anda,” kata Monaco dalam sebuah wawancara dengan AP minggu ini. Dia menolak untuk menawarkan secara spesifik tentang siapa yang mungkin menghadapi penuntutan.

Tindakan tersebut dimaksudkan untuk membangun langkah-langkah yang diambil dalam beberapa bulan terakhir, termasuk ekstradisi baru-baru ini ke AS dari tersangka penjahat dunia maya Rusia dan penyitaan pada bulan Juni sebesar $2,3 juta dalam cryptocurrency yang dibayarkan kepada peretas.

Mereka datang ketika AS terus menanggung apa yang disebut Monaco sebagai serangan “denyut gendang yang stabil” meskipun ada peringatan Presiden Joe Biden musim panas lalu kepada mitra Rusia Vladimir Putin setelah serentetan serangan menguntungkan yang terkait dengan geng peretas yang berbasis di Rusia.

Selengkapnya: AP News

Malware Wslink Bekerja dalam Bayangan untuk Mengirimkan Muatan Lainnya

November 6, 2021 by Søren

Malware yang dikembangkan dengan baik biasanya merupakan produk dari pelaku ancaman yang dikenal yang aktivitasnya dilacak dengan cermat oleh peneliti malware. Namun, ada beberapa proyek yang kode, perilaku, dan infrastrukturnya tidak dapat dikaitkan dengan kelompok kejahatan dunia maya yang ada.

Salah satu implan ini adalah Malware Wslink, yang ditemukan pada Oktober 2021. Ancaman tersebut berjalan pada sistem Windows secara eksklusif, dan tampaknya berfungsi sebagai pemuat untuk muatan sekunder. Mayoritas serangan Malware Wslink terkonsentrasi di Eropa Tengah, Timur Tengah, dan Amerika Utara. Penjahat tampaknya mengejar entitas yang beroperasi di industri yang berbeda, dan tidak ada data pasti tentang vektor infeksi yang mereka gunakan untuk menyebarkan Malware Wslink.

Sampel aktif dari Malware Wslink biasanya mencapai pijakan melalui penggunaan layanan Windows yang dibuat khusus. Semua ini dikonfigurasi untuk memulai secara otomatis ketika Windows boot. Perilaku dan koneksi implan sangat dienkripsi, dalam upaya untuk menyembunyikannya dari analis riset dan alat antivirus.

Setelah muatan Malware Wslink didekripsi, muatan tersebut dimuat ke dalam memori komputer, meminimalkan jejak digital yang ditinggalkannya di hard drive. Hal ini membuat perilaku implan lebih menantang untuk dianalisis, dan memiliki manfaat tambahan untuk membantunya menghindari aplikasi anti-malware yang tidak terlalu teliti dengan pemindaiannya.

Sejauh ini tidak ada informasi tentang modul sekunder yang diterima dan dijalankan oleh Malware Wslink. Namun, dilihat dari kemampuannya untuk secara langsung memuatnya ke dalam memori sistem, kemungkinan operatornya berencana untuk menggunakannya dalam kombinasi dengan implan profil tinggi lainnya.

Kabar baiknya adalah bahwa meskipun enkripsi canggih dan teknik penghindaran AV Wslink Malware, masih mudah untuk melindungi diri Anda dari itu dengan menggunakan perangkat lunak antivirus terbaru.

Selengkapnya: Cyclonis

AS Menargetkan Ransomware DarkSide dan Rebranding dengan Hadiah $10juta

November 6, 2021 by Eevee

Pemerintah AS menargetkan ransomware DarkSide dan rebranding dengan hadiah hingga $10.000.000 untuk informasi yang mengarah pada identifikasi atau penangkapan anggota operasi.

Departemen Luar Negeri AS hari ini mengumumkan bahwa mereka sekarang menawarkan hadiah $ 10.000.000 untuk identifikasi atau lokasi anggota ransomware DarkSide yang beroperasi di posisi kepemimpinan utama.

Hadiah sebesar $5.000.000 juga ditawarkan untuk informasi yang mengarah pada penangkapan setiap individu yang mencoba untuk berpartisipasi dalam serangan Darkside.

“Selain itu, Departemen juga menawarkan tawaran hadiah hingga $5.000.000 untuk informasi yang mengarah pada penangkapan dan/atau hukuman di negara mana pun dari individu mana pun yang berkonspirasi untuk berpartisipasi atau mencoba berpartisipasi dalam insiden ransomware varian DarkSide,” mengumumkan Departemen Luar Negeri.

Tips dapat dikirimkan ke FBI di https://tips.fbi.gov atau melalui WhatsApp, Telegram, dan Signal.

Saat pengumuman menyatakan “ransomware varian DarkSide,” hadiah ini juga akan berlaku untuk perubahan merek DarkSide, termasuk operasi BlackMatter terbaru geng ransomware.

Ketika operasi ransomware mulai merasakan panasnya penegakan hukum setelah menyerang organisasi yang sangat sensitif, biasanya mereka mengubah citra dengan nama yang berbeda.

DarkSide berganti nama menjadi BlackMatter setelah menyerang Colonial Pipeline dan merasakan pengawasan penuh dari penegakan hukum internasional.

Demikian pula, operasi ransomware lain juga telah berganti nama di masa lalu, termasuk:
-GandCrab ke REvil
-Labirin ke Egregor
-Bitpaymer ke DoppelPaymer ke Duka
-Nemty ke Nefilim ke Karma

Kamis (4/11/21) BleepingComputer melaporkan bahwa BlackMatter juga menutup operasi mereka setelah merasakan “tekanan dari pihak berwenang” dan anggota geng hilang.

Hadiah Departemen Luar Negeri hari ini di DarkSide dengan jelas menunjukkan bahwa beralih ke nama ransomware yang berbeda tidak akan menghentikan penegakan hukum untuk mengejar mereka.

Hadiah ini ditawarkan sebagai bagian dari Program Hadiah Kejahatan Terorganisir Transnasional (TOCRP) Departemen Luar Negeri.

Pemerintah AS juga menawarkan hadiah $ 10 juta untuk informasi tentang peretas yang disponsori negara yang menargetkan infrastruktur penting AS.

Dengan imbalan besar ini, pemerintah AS berharap para peretas akan saling menyerang dan mendapatkan pembayaran yang legal dan bebas stres.

sumber: Bleeping Computer

CISA Mendesak Vendor untuk Menyelesaikan Patch Bug BrakTooth

November 6, 2021 by Eevee

Para peneliti telah merilis kode eksploitasi publik dan alat bukti konsep untuk menguji perangkat Bluetooth terhadap bug keamanan System-on-a-Chip (SoC) yang berdampak pada beberapa vendor, termasuk Intel, Qualcomm, Texas Instruments, dan Cypress.

Secara kolektif dikenal sebagai BrakTooth, 16 kelemahan ini berdampak pada tumpukan Bluetooth komersial pada lebih dari 1.400 chipset yang digunakan di miliaran perangkat seperti smartphone, komputer, perangkat audio, mainan, perangkat IoT, dan peralatan industri.

Daftar perangkat dengan SoC yang rentan termasuk desktop dan laptop Dell, MacBook dan iPhone, beberapa model laptop Microsoft Surface, smartphone Sony dan Oppo, sistem infotainment Volo.

(Kamis, 4/11/21)CISA meminta vendor untuk menambal kerentanan ini setelah peneliti keamanan merilis bukti alat konsep untuk menguji perangkat Bluetooth terhadap eksploitasi BrakTooth.

federal agency juga mendorong produsen dan pengembang untuk meninjau rincian kerentanan yang diterbitkan oleh para peneliti pada bulan Agustus dan “memperbarui aplikasi Bluetooth System-on-a-Chip (SoC) yang rentan atau menerapkan solusi yang sesuai.”

Vendor Masih Mengerjakan Patch BrakTooth
Dampak yang terkait dengan bug BrakTooth adalah penolakan layanan (DoS) dengan merusak firmware perangkat atau membekukannya dengan memblokir komunikasi Bluetooth hingga eksekusi kode arbitrer yang dapat menyebabkan pengambilalihan total tergantung pada SoC rentan yang digunakan dalam target.

Pelaku ancaman yang mungkin ingin meluncurkan serangan BrakTooth hanya memerlukan papan ESP32 siap pakai yang harganya kurang dari $15, firmware Link Manager Protocol (LMP) kustom, dan komputer untuk menjalankan proof-of-concept (PoC) alat.

Sementara beberapa vendor telah mengeluarkan patch keamanan untuk mengatasi kerentanan BrakTooth, akan memakan waktu berbulan-bulan untuk menyebar ke semua perangkat yang belum ditambal.

Dalam kasus lain, vendor masih menyelidiki masalah, masih mengerjakan patch, atau belum mengumumkan status patch mereka.

Daftar vendor yang terkena dampak yang dilacak oleh peneliti dan status patch dapat ditemukan di tabel yang disematkan di bawah.

sumber: BLEEPING COMPUTER

Menerima Email Berisi Link Google Drive Misterius? Jangan Dibuka!

November 5, 2021 by Eevee Leave a Comment

Kampanye phishing baru mencari korban dengan mengirim supplier list palsu berisi ransomware MirCop yang meminta tebusan. Dapat mengenkripsi sistem target dalam waktu kurang dari lima belas menit.

Gambar Supplier List yang Diburamkan (sumber: bleeping computer)

Para pelaku memulai serangan dengan mengirimkan email yang tidak diminta korban. Email berisi gambar yang diburamkan dan link Google Drive yang dapat di klik.

Badan email berisi hyperlink ke URL Google Drive yang jika diklik akan mengunduh file MHT (arsip halaman web) ke perangkat korban.

Google Drive digunakan untuk memberikan legitimasi ke email dan sangat selaras dengan praktik pekerja sehari-hari.

Mereka yang membuka file tersebut hanya dapat melihat gambar buram dari apa yang seharusnya merupakan daftar pemasok, dicap dan ditandatangani untuk sentuhan legitimasi ekstra.

Ketika file MHT dibuka, itu akan mengunduh arsip RAR yang berisi pengunduh malware .NET dari “hXXps://a[.]pomf[.]cat/gectpe.rar”.

Arsip RAR berisi file EXE, yang menggunakan skrip VBS untuk menjatuhkan dan menjalankan muatan MirCop ke sistem yang terinfeksi.

Ransomware langsung aktif dan mulai mengambil tangkapan layar, mengunci file, mengubah latar belakang menjadi gambar bertema zombie yang mengerikan, dan menawarkan petunjuk kepada korban tentang apa yang harus dilakukan selanjutnya.

Menurut Cofense, seluruh proses ini memakan waktu kurang dari 15 menit sejak korban membuka email phishing.

Setelah itu, pengguna hanya diperbolehkan membuka browser web tertentu untuk berkomunikasi dengan pelaku dan mengatur pembayaran uang tebusan.

Para pelaku tidak tertarik untuk menyelinap ke dalam mesin korban secara sembunyi-sembunyi atau tinggal lama di sana untuk melakukan spionase dunia maya atau mencuri file untuk pemerasan.

Sebaliknya, serangan itu terjadi dengan cepat, dan sumber masalah menjadi jelas bagi korbannya

MicroCop adalah jenis ransomware lama yang digunakan untuk memberikan tuntutan tebusan yang tidak masuk akal kepada para korbannya.

Namun Michael Gillespie berhasil memecahkan enkripsinya dan merilis decryptor yang berfungsi secara gratis.

Bleeping Computer belum menguji apakah dekripsi lama itu berfungsi dengan muatan yang dijatuhkan di kampanye terbaru, tetapi ada kemungkinan bahwa itu masih dapat membuka kunci file.

Cofense mengatakan varian yang sama telah beredar sejak Juni tahun ini, jadi MicroCop masih ada di luar sana, dan orang harus berhati-hati dalam menangani email yang tidak diminta.

sumber: BLEEPING COMPUTER

Pengguna NPM Library ‘coa’ Siap-siap Ganti Sandi!

November 5, 2021 by Eevee

Jumat, 5 November 2021 NPM Library ‘coa’ dibajak, terdapat kode berbahaya yang berdampak pada pipeline React di seluruh dunia dipastikan kata sandi pengguna dicuri.

Library ‘coa’, kependekan dari Command-Option-Argument, menerima sekitar 9 juta unduhan mingguan di npm, dan digunakan oleh hampir 5 juta repositori open source di GitHub. Beberapa jam setelah penemuan ini, komponen npm lain yang umum digunakan ‘rc’ juga ditemukan telah dibajak. Pustaka ‘rc’ rata-rata mendapatkan 14 juta unduhan per minggu.

Kode Berbahaya Disuntikkan dalam Rilis ‘coa’
Hari ini, pengembang di seluruh dunia dibuat terkejut melihat rilis baru untuk npm library ‘coa’—proyek yang belum tersentuh selama bertahun-tahun, tiba-tiba muncul di npm. ‘coa’ adalah parser opsi baris perintah untuk proyek Node.js. Versi stabil terakhir 2.0.2 untuk proyek ini dirilis pada Desember 2018. Namun, beberapa versi mencurigakan 2.0.3, 2.0.4, 2.1.1, 2.1.3, dan 3.1.3 mulai muncul di npm beberapa jam yang lalu, merusak paket React yang bergantung pada ‘coa’.

“Saya tidak yakin mengapa atau apa yang terjadi tetapi 10 menit yang lalu ada rilis (meskipun perubahan terakhir di GitHub adalah pada 2018). Apa pun yang dilakukan rilis ini, itu merusak internet,” kata Roberto Wesley Overdijk, pengembang React. Pengguna GitHub lain dengan pegangan ElBidouilleur melihat salah satu dari versi ‘coa’ ini, 2.1.3 merusak build mereka:

Beberapa pengembang bergabung dalam diskusi, membenarkan mengalami masalah dengan build mereka sejak rilis ‘coa’ baru mencapai npm. Tak lama setelah menerbitkan bagian ini, BleepingComputer juga menemukan klaim bahwa perpustakaan npm populer lainnya, ‘rc’ juga dibajak, dengan versi jahat 1.2.9, 1.3.9, dan 2.3.9 muncul di npm.

Apa yang Harus Dilakukan Pengguna COA dan RC?
Sangat disarankan agar semua pengguna perpustakaan “coa” dan “rc” memeriksa proyek mereka untuk perangkat lunak berbahaya.

Periksa keberadaan compile.js, compile.bat, sdd.dll dan menghapus file jika ditemukan.

Karena varian “sdd.dll” ini juga telah diidentifikasi sebagai trojan di VirusTotal, dan yang dijatuhkan oleh “ua-parser-js” adalah pencuri kredensial, pengguna yang terinfeksi juga harus menganggap perangkat mereka sepenuhnya disusupi dan mengubah kata sandi, kunci , dan merefresh token, karena kemungkinan telah disusupi dan dikirim ke pelaku ancaman.

Sumber: BLEEPING COMPUTER

Samsung Galaxy S21 diretas pada hari kedua Pwn2Own Austin

November 5, 2021 by Eevee

Para kontestan meretas smartphone Samsung Galaxy S21 dihari kedua kompetisi Pwn2Own Austin 2021, serta router, perangkat NAS, speaker, dan printer dari Cisco, TP-Link, Western Digital, Sonos, Canon, Lexmark, dan HP.

Zero Day Initiative dari Trend Micro telah memberikan $777.500 selama dua hari pertama Pwn2Own Austin, dengan $415.000 diberikan pada hari kedua dan $362.500 won pada hari pertama.

Tim Synacktiv mempertahankan sedikit keunggulan di klasemen Master of Pwn dengan 15 poin Master of Pwn dan $ 150.000 sejauh ini, satu poin di depan tim DEVCORE yang memiliki 14 poin dan telah mendapatkan $ 140.000.

Mr L dan Nguyễn Hoàng Thạch (@hi_im_d4rkn3ss) dari STARLabs bisa mengeksekusi kode pada Samsung Galaxy S21 yang menjalankan pembaruan keamanan Android 11 terbaru.

Meskipun begitu, upaya tersebut ditandai sebagai “tabrakan” setelah terungkap bahwa mereka menggunakan bug yang diketahui vendor. Namun, mereka masih mendapatkan $25.000 dan 2,5 poin Master of Pwn, mencapai total $75.000 dalam penghargaan setelah dua hari pertama kompetisi.

Samsung Galaxy S21 juga merupakan satu-satunya perangkat yang tidak terganggu pada hari pertama setelah Ken Gannon dari F-Secure Labs tidak dapat menjalankan eksploitasi zero-day-nya dalam waktu yang ditentukan.

Peneliti keamanan menargetkan ponsel, printer, router, penyimpanan yang terpasang ke jaringan (NAS), speaker pintar, TV, penyimpanan eksternal, dan perangkat lain, semuanya terbaru dan dalam konfigurasi default mereka. Satu-satunya pengecualian yaitu perangkat 3TB My Cloud Home Personal Cloud NAS Western Digital, yang masih menjalankan rilis perangkat lunak beta.

Hadiah tertinggi adalah untuk perangkat dalam kategori ponsel, dengan hadiah uang tunai hingga $ 150.000.

Peneliti juga bisa mendapatkan bonus $50.000 jika eksploitasi browser iPhone atau Pixel mereka akan dijalankan dengan hak istimewa tingkat kernel, mengambil penghargaan maksimum untuk satu tantangan menjadi total $200.000.

Edisi acara yang berfokus pada konsumen Pwn2Own Austin ini juga merupakan yang pertama diperpanjang hingga empat hari setelah 22 kontestan berbeda mendaftar untuk 58 total entri.

Selengkapnya : Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings