Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Olimpiade Tokyo 2020 Mengalami Setengah Miliar Percobaan Serangan Siber

by

NTT Corporation, yang menyediakan layanannya untuk Olimpiade & Paralimpiade di Tokyo, mengungkapkan ada lebih dari 450 juta percobaan serangan siber selama acara tersebut.

Di antara 450 juta serangan, NTT mengatakan malware Emotet, email spoofing, phishing, serta situs web palsu, termasuk di antara metode yang paling populer. Perusahaan juga mengharapkan serangan Distributed Denial of Service (DDoS), ransomware, serta serangan terhadap infrastruktur penting.

Satu dari antara infrastruktur tersebut adalah 5G, karena semua tempat permainan dialihkan ke jaringan seluler 5G setelah layanan komersial dimulai di Jepang pada awal tahun 2021. Selama acara tersebut, telah terjadi komunikasi tidak sah yang menargetkan kerentanan di terminal. NTT berhasil meredam serangan dengan memblokir komunikasi.

NTT yakin berhasil mempertahankan perimeter berkat empat faktor utama: Intelijen ancaman dan pemantauan; solusi keamanan total (mengadopsi format daftar putih), pelatihan karyawan berkualitas dan program kesadaran; dan manajemen pemangku kepentingan (kolaborasi erat dengan penyedia TIK, infrastruktur penting, Komite Olimpiade Internasional, serta Komite Penyelenggara Tokyo 2020).

“Penjahat dunia maya tentu melihat Olimpiade — dan rantai pasokan terkaitnya — sebagai target bernilai tinggi dengan toleransi waktu henti yang rendah,” komentar Andrea MacLean dari NTT. “Bagaimanapun, kejahatan mengikuti peluang. Dan dengan stadion yang terhubung, platform keterlibatan penggemar, dan lengkap replika digital tempat olahraga dan acara itu sendiri menjadi norma, ada banyak infrastruktur TI dan data yang ditargetkan — dan melalui banyak komponen.”

Selengkapnya: Tech Radar

Cara Mendeteksi dan Melindungi saat Remote Desktop Protocol (RDP) terbuka ke Internet

by

Para peneliti keamanan siber di Coveware menemukan bahwa 42 persen kasus ransomware di Q2 2021 memanfaatkan RDP Compromise sebagai vektor serangan.

Mereka juga menemukan bahwa “Di Q2, email phishing dan brute force Remote Desktop Protocol (RDP) tetap menjadi metode termurah, paling menguntungkan serta populer bagi pelaku ancaman untuk mendapatkan pijakan awal di dalam jaringan perusahaan.”

Berikut dipaparkan cara untuk mendeteksi dan melindungi Remote Desktop Protocol (RDP) yang terbuka ke Internet :

Mendeteksi akses RDP di log
Login atau serangan RDP akan menghasilkan beberapa log peristiwa di beberapa log peristiwa. Peristiwa ini akan ditemukan pada sistem target yang mencoba atau menyelesaikan sesi RDP, atau direktori aktif yang menangani otentikasi.

Melakukan Threat Hunting
Aktor ancaman dapat menghapus satu atau lebih log sebelum memutuskan sambungan, tetapi untungnya, peristiwa pemutusan akan ada di log yang memungkinkan penyelidik melihat sumber pemutusan RDP.

Remote Desktop Gateway
Merupakan peran yang ditambahkan ke Server Windows yang Anda terbitkan ke internet yang menyediakan akses SSL (RDP terenkripsi melalui port TCP 443 dan UDP 3391) alih-alih protokol RDP melalui port 3389.

Virtual Private Network (VPN)
Organisasi juga harus memantau login VPN untuk upaya akses, dan IP sumber diselesaikan ke negara asal.

Jump Host
Organisasi harus memantau aplikasi jump host dan menerapkan patch secepat mungkin.

Cloud RDP
Pilihan lain adalah menggunakan lingkungan cloud seperti Microsoft Azure untuk meng-host solusi jarak jauh yang menyediakan MFA untuk mengirimkan koneksi tepercaya kembali ke organisasi

Mengubah Port RDP
Dengan mengedit registri Windows, port mendengarkan default dapat dimodifikasi, dan organisasi dapat menerapkan deteksi SIEM untuk menangkap upaya port 3389.

Pembatasan Alamat IP
Organisasi dapat menggunakan alat firewall khusus atau Windows Firewall pada mesin host yang dikelola oleh Kebijakan Grup untuk membatasi koneksi RDP ke alamat IP yang diketahui baik.

Selengkapnya: NCC Group

Bug Keamanan SD-WAN Cisco Memungkinkan Eksekusi Kode Root

by

Implementasi Cisco SD-WAN rentan terhadap kerentanan eskalasi hak istimewa dengan tingkat keparahan tinggi dalam sistem operasi IOS XE yang dapat menyebabkan eksekusi kode arbitrer.

Sementara itu, IOS XE, adalah sistem operasi vendor yang menjalankan peralatan tersebut. Ini adalah kombinasi dari kernel Linux dan aplikasi monolitik yang berjalan di atas kernel itu.

Bug (CVE-2021-1529) adalah masalah injeksi perintah OS, yang memungkinkan penyerang untuk mengeksekusi perintah yang tidak terduga dan berbahaya secara langsung pada sistem operasi yang biasanya tidak dapat diakses. Ini secara khusus ada di antarmuka baris perintah (CLI) untuk perangkat lunak IOS XE SD-WAN Cisco, dan dapat memungkinkan penyerang lokal yang diautentikasi untuk mengeksekusi perintah sewenang-wenang dengan hak akses root.

Ini hanya kerentanan SD-WAN terbaru dari beberapa yang telah ditambal Cisco tahun ini. Pada bulan Januari, ia memperbaiki beberapa, buffer-overflow kritis dan bug SD-WAN injeksi perintah, yang paling serius dapat dieksploitasi oleh penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer pada sistem yang terpengaruh dengan hak akses root.

Pada bulan Mei, Cisco membahas dua kerentanan keamanan kritis dalam Perangkat Lunak SD-WAN vManage, salah satunya dapat memungkinkan penyerang yang tidak diautentikasi untuk melakukan eksekusi kode jarak jauh (RCE) di jaringan perusahaan atau mencuri informasi.

Dan baru bulan lalu, Cisco mengungkapkan dua kerentanan keamanan kritis yang memengaruhi perangkat lunak IOS XE dan SD-WAN-nya, yang paling parah akan memungkinkan RCE dan penolakan layanan (DoS) yang tidak diautentikasi.

Selengkapnya: Threat Post

Bagaimana Peretas Membajak Ribuan Akun YouTube Terkenal

by

Setidaknya sejak 2019, peretas telah membajak saluran YouTube profil tinggi. Terkadang mereka menyiarkan penipuan cryptocurrency, terkadang mereka hanya melelang akses ke akun. Sekarang, Google telah merinci teknik yang digunakan peretas untuk mengkompromikan ribuan pembuat konten YouTube hanya dalam beberapa tahun terakhir.

Semuanya dimulai dengan phishing. Penyerang mengirim email kepada pembuat YouTube yang tampaknya berasal dari layanan nyata—seperti VPN, aplikasi pengeditan foto, atau penawaran antivirus—dan menawarkan untuk berkolaborasi.

Mengeklik tautan untuk mengunduh produk akan membawa pembuatnya ke situs pendaratan malware alih-alih yang sebenarnya. Dalam beberapa kasus, peretas meniru jumlah yang diketahui seperti Cisco VPN dan game Steam, atau berpura-pura menjadi media yang berfokus pada COVID-19.

Setelah YouTuber secara tidak sengaja mengunduh perangkat lunak berbahaya, ia mengambil cookie tertentu dari browser mereka. “Cookie sesi” ini mengonfirmasi bahwa pengguna telah berhasil masuk ke akun mereka.

Seorang peretas dapat mengunggah cookie yang dicuri itu ke server jahat, membiarkan mereka berpura-pura sebagai korban yang sudah diautentikasi. Cookie sesi sangat berharga bagi penyerang karena menghilangkan kebutuhan untuk melalui bagian mana pun dari proses login.

Meskipun otentikasi dua faktor tidak dapat menghentikan pencurian cookie berbasis malware ini, ini merupakan perlindungan penting untuk jenis penipuan dan phishing lainnya. Mulai 1 November, Google akan mewajibkan pembuat konten YouTube yang memonetisasi salurannya untuk mengaktifkan dua faktor untuk akun Google yang terkait dengan Pengelola Konten YouTube Studio atau YouTube Studio mereka.

Penting juga untuk memperhatikan peringatan “Penjelajahan Aman” Google tentang halaman yang berpotensi berbahaya. Dan seperti biasa, berhati-hatilah dengan apa yang Anda klik dan lampiran mana yang Anda unduh dari email Anda.

Selengkapnya: ARS Technica

Apa Yang Diajarkan “Squid Game” Kepada Kita Mengenai Keamanan Siber

by

Squid Game, acara Netflix dystopian yang tegang, telah memikat penonton di seluruh dunia, menghasilkan momen TV yang mengingatkan pada Game of Thrones. Di permukaan, acara ini penuh dengan komentar masyarakat dan pesan anti-kapitalis tentang topik-topik seperti ketidaksetaraan kekayaan. Namun, melihat pertunjukan melalui lensa penggemar keamanan siber juga menghasilkan beberapa pelajaran bagi komunitas keamanan.

Bersiap untuk ancaman yang tidak terduga
Sama seperti para pemain Squid Game — yang harus menemukan cara untuk menang di serangkaian permainan anak-anak tanpa mengetahui permainan apa yang akan mereka hadapi sampai mereka mulai bermain — profesional keamanan harus menemukan cara untuk mempertahankan organisasi mereka dari ancaman yang tidak terduga.

Bangun Tim yang Beragam
Setelah game pertama, para pemain Squid Game dengan cepat memutuskan bahwa membentuk aliansi akan membantu mereka bertahan. Membangun tim yang beragam dan tim yang terampil meningkatkan peluang seseorang dalam tim mengetahui strategi, keterampilan, atau pengetahuan yang tepat untuk menang (menghentikan atau menanggapi ancaman dunia maya).

Gunakan Alat yang Tepat
Dua pemain dapat menyelundupkan peralatan setelah pertandingan diadakan kembali — Sae-byeok (Pemain 067) dan Mi-nyeo (Pemain 212), yang masing-masing membawa pisau dan korek api. Pisau itu memungkinkan Sae-byeok untuk mengetahui sebelumnya tentang game pertama dengan mengakses saluran udara. Pemantik membantu dua pemain menyelesaikan game 2 dengan memanaskan jarum mereka untuk melelehkan sarang lebah dengan cepat dengan sedikit risiko memecahkan wafer itu sendiri. Demikian pula, tim keamanan membutuhkan alat yang tepat untuk berhasil mengatasi ancaman yang mereka hadapi.

Proses Penting
Ketika Gi-hun mengetahui bahwa dia bisa menjilat sarang lebah untuk melarutkan gula, itu memberinya keuntungan besar daripada memotong wafernya dengan jarum. Penting juga bagi tim keamanan untuk mendokumentasikan proses mereka sehingga mereka dapat mengulanginya di seluruh anggota staf yang berbeda dan mendapatkan hasil yang sama.

Pertahanan di Pekerjaan Mendalam
Paralel dapat dibuat antara merakit postur keamanan yang efektif dan menjadi tuan rumah Game Squid yang sukses. Dalam kedua kasus tersebut, Anda ingin menghilangkan ancaman (ke organisasi Anda, atau hadiah uang Anda) dalam serangkaian filter yang berurutan. Dalam Squid Game, ini dicapai dengan menundukkan peserta pada permainan anak-anak dan menghilangkan yang kalah. Setiap permainan menghilangkan persentase pemain sampai hanya satu yang tersisa.

Orang Dalam Juga Bisa Menjadi Ancaman
Squid Game memiliki orang dalam yang jahat dan berbahaya. Petugas polisi, Hwang Jun-ho, menyelinap ke dalam permainan untuk menemukan saudaranya dengan membunuh dan mencuri identitas pekerja 29. Ini analog dengan orang dalam yang dikompromikan: Jun-ho berada di dalam batas keamanan permainan, menggunakan identitas yang diketahui dan kredensial, dan tidak selaras dengan niat tuan rumah.

Selengkapnya: Dark Reading

Grup Ransomware REvil Yang Meretas Desain Apple Telah Diretas Oleh FBI

by

Grup Ransomware REvil mengatakan pada bulan April bahwa mereka telah meretas sistem milik pemasok Apple Quanta Computer dan memperoleh skema rekayasa internal untuk sejumlah produk baru yang belum dirilis. Ini mendukung klaim ini dengan berbagi contoh, yang awalnya tidak mengungkapkan hal baru.

REvil pertama kali mencoba memeras Quanta untuk $50 juta sebagai imbalan karena tidak membuat file tersedia untuk umum, dan kemudian mencoba hal yang sama dengan Apple.

Ketika ini gagal, REvil melanjutkan dan merilis skema yang mengungkapkan port baru yang ditemukan di MacBook Pro 2021. Skema terbukti akurat saat mesin diluncurkan dengan MagSafe, HDMI, dan slot kartu SD I/O ditampilkan.

Reuters melaporkan bahwa FBI dan lembaga penegak hukum lainnya kini telah membalikkan keadaan pada kelompok tersebut.

Kelompok ransomware REvil sendiri diretas dan dipaksa offline minggu ini oleh operasi multi-negara, menurut tiga pakar dunia maya sektor swasta yang bekerja dengan Amerika Serikat dan satu mantan pejabat […] Situs web kelompok kejahatan “Happy Blog”, yang telah digunakan untuk membocorkan data korban dan memeras perusahaan, tidak lagi tersedia […]

Kepala strategi keamanan siber VMWare Tom Kellermann mengatakan aparat penegak hukum dan intelijen menghentikan kelompok itu dari mengorbankan perusahaan tambahan.

“FBI, bersama dengan Komando Siber, Dinas Rahasia, dan negara-negara yang berpikiran sama, telah benar-benar terlibat dalam tindakan mengganggu yang signifikan terhadap kelompok-kelompok ini,” kata Kellermann, penasihat Dinas Rahasia AS untuk investigasi kejahatan dunia maya. “REvil berada di urutan teratas daftar.”

Selengkapnya: 9T05Mac

Israel dan Prancis Mengadakan Pembicaraan Rahasia Untuk Mengakhiri Krisis Spyware Pegasus

by

Dugaan penyalahgunaan perangkat lunak NSO telah menjadi masalah diplomatik utama bagi pemerintahan Perdana Menteri Naftali Bennett.

Krisis tersebut menyebabkan pembekuan sebagian pada kerja sama diplomatik, keamanan dan intelijen antara Israel dan Prancis dan penangguhan kunjungan bilateral tingkat tinggi.

Penasihat keamanan nasional Israel Eyal Hulata diam-diam mengunjungi Paris beberapa hari yang lalu untuk melakukan pembicaraan dengan rekan-rekannya di lysée yang bertujuan untuk mengakhiri krisis seputar dugaan penggunaan spyware Pegasus yang dikembangkan oleh perusahaan Israel NSO untuk meretas ponsel Presiden Emmanuel Macron dan pemimpin Prancis lainnya.

Hulata bertemu di Paris dengan penasihat keamanan nasional Macron, Emmanuel Bonne, menjelaskan kepadanya tentang penyelidikan Israel yang sedang berlangsung ke Pegasus dan memberinya proposal untuk mengakhiri krisis.

Pada saat ini pembicaraan antara Israel dan Prancis sedang berlangsung tetapi para pejabat Israel mengatakan mereka berharap solusi untuk mengakhiri krisis dapat segera dicapai.

Selengkapnya: Yahoo News

Deepfake Audio Mencetak $35 Juta dalam Perampokan Perusahaan

by

Sekelompok penipu menghasilkan $35 juta setelah menggunakan pesan email palsu dan audio deepfake untuk meyakinkan seorang karyawan perusahaan Uni Emirat Arab bahwa seorang direktur meminta uang itu sebagai bagian dari akuisisi organisasi lain, menurut permintaan pengadilan federal AS yang diajukan minggu lalu.

Serangan itu menargetkan manajer cabang dengan email yang tampaknya berasal dari direktur dan pengacara yang berbasis di AS, yang email tersebut ditunjuk sebagai koordinator akuisisi. Serangan ini adalah yang terbaru menggunakan audio sintetis yang dibuat menggunakan algoritma pembelajaran mesin, yang dikenal sebagai jaringan saraf, untuk meniru suara seseorang yang dikenal oleh karyawan yang ditargetkan.

Oleh karena itu, audio deepfake dan suara yang disintesis kemungkinan akan menjadi bagian dari teknik penjahat dunia maya di masa depan. Berbagai alat sumber terbuka tersedia untuk memungkinkan siapa saja membuat deepfake, baik video maupun audio, kata Etay Maor, direktur senior strategi keamanan di perusahaan keamanan jaringan Cato Networks.

“Jika ada uang yang dihasilkan, Anda dapat yakin bahwa penyerang akan mengadopsi teknik baru,” kata Maor. “Tidak terlalu canggih untuk menggunakan alat seperti itu. Ketika berbicara tentang suara, itu bahkan lebih mudah.”

Selengkapnya: Dark Reading