Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Dua operator ransomware ditangkap di Ukraina

by

Dua anggota geng ransomware ditangkap di Ukraina setelah operasi penegakan hukum internasional bersama dilakukan.

Penangkapan tersebut terjadi pekan lalu, pada 28 September, di Kyiv, ibu kota Ukraina, dan dilakukan oleh petugas Kepolisian Nasional Ukraina, dengan bantuan dari Gendarmerie Prancis, FBI, Europol, dan Interpol.

Dua tersangka ditangkap, termasuk seorang pria berusia 25 tahun yang diyakini sebagai anggota penting dari operasi ransomware besar.

Pejabat menolak menyebutkan afiliasi tersangka ke geng ransomware tertentu, mengutip penyelidikan resmi yang sedang berlangsung, kata juru bicara Europol kepada The Record.

Pejabat Ukraina mengatakan dalam siaran pers tersangka bertanggung jawab atas serangan terhadap lebih dari 100 perusahaan di seluruh dunia dan telah menyebabkan kerusakan lebih dari $150 juta.

Dalam siaran pers, Europol mengatakan para tersangka telah aktif sejak April 2020 dan bahwa kelompok mereka “dikenal karena tuntutan tebusan mereka yang terlalu tinggi (antara €5 hingga €70 juta).”

Beberapa peneliti keamanan menduga bahwa dua tersangka yang ditangkap minggu lalu adalah anggota geng ransomware REvil.

Selengkapnya: The Record

Akademisi menemukan lapisan tersembunyi di Great Firewall China

by

Sebuah tim akademisi dari University of Maryland telah menemukan lapisan tersembunyi sebelumnya dalam sistem sensor Great Firewall China.

Diperkenalkan pada akhir 90-an, Great Firewall (GFW) adalah sistem kotak tengah yang dipasang di titik pertukaran internet China dan penyedia layanan internet yang memungkinkan pemerintah untuk mencegat lalu lintas internet, mengendus kontennya, dan memblokir koneksi ke situs web dan server yang dianggap tidak dapat diterima oleh negara.

Meskipun ada mekanisme sensor yang berbeda di dalam Great Firewall China yang melayani protokol yang berbeda, sistemnya yang paling kuat dan canggih secara teknis adalah yang dimaksudkan untuk menangani lalu lintas web terenkripsi HTTPS.

Saat ini, mekanisme sensor HTTPS ini mencakup dua sistem terpisah.

Yang pertama, dan yang tertua, adalah yang bekerja dengan mencegat koneksi HTTPS pada tahap awal dan kemudian melihat bidang data koneksi yang disebut SNI, yang memperlihatkan domain yang coba diakses pengguna.

Yang kedua, diperkenalkan tahun lalu, mirip dengan yang pertama tetapi melayani koneksi HTTPS yang menggunakan protokol modern yang mengenkripsi bidang SNI (sebagai eSNI).

Karena sistem ini tidak dapat melihat apa yang pengguna domain coba akses, mekanisme sensor ini jauh lebih tumpul karena GFW hanya memblokir semua koneksi di mana bidang eSNI terdeteksi.

Namun dalam makalah penelitian [PDF], akademisi dari University of Maryland mengungkapkan bahwa mereka menemukan sistem penyaringan HTTPS SNI sekunder bekerja secara paralel dengan yang pertama.

“Ini sebenarnya adalah penemuan yang tidak disengaja, dan sesuatu yang kami temukan di tahun 2019,” Kevin Bock, Ph.D. kandidat di departemen ilmu komputer di University of Maryland, mengatakan kepada The Record dalam email.

“Kami mulai menemukan strategi aneh di mana Geneva [sistem penghindaran sensor] dapat menghindari sensor di bagian pertama handshake TLS (di mana penyensoran dipahami terjadi), tetapi masih gagal lebih dalam di jabat tangan.”

Bock dan rekan-rekannya mengatakan sistem ini sama efektifnya dengan lapisan pertama dalam menyensor lalu lintas HTTPS, bahkan jika itu mengintervensi pada tahap terakhir koneksi.

“Penemuan ini berarti bahwa GFW sekarang menjalankan setidaknya tiga middlebox berbeda secara paralel dengan menyensor HTTPS: dua untuk koneksi berbasis SNI dan keluarga middlebox lainnya sepenuhnya untuk menyensor koneksi berbasis ESNI,” tambah peneliti.

Sumber: The Record

Ransomware Atom Silo baru menargetkan server Confluence yang rentan

by

Atom Silo, grup ransomware yang baru ditemukan, menargetkan kerentanan Confluence Server dan Pusat Data yang baru-baru ini ditambal dan dieksploitasi secara aktif untuk menyebarkan muatan ransomware mereka.

Atlassian Confluence adalah ruang kerja tim perusahaan berbasis web yang sangat populer yang membantu karyawan berkolaborasi dalam berbagai proyek.

Pada 25 Agustus, Atlassian mengeluarkan pembaruan keamanan untuk menambal kerentanan eksekusi kode jarak jauh (RCE) Confluence yang dilacak sebagai CVE-2021-26084 dan sedang aktif dieksploitasi.

Eksploitasi yang berhasil memungkinkan penyerang yang tidak diautentikasi untuk menjalankan perintah pada server yang belum ditambal dari jarak jauh.

Penemuan ini dibuat oleh para peneliti SophosLabs saat menyelidiki insiden baru-baru ini. Mereka juga menemukan bahwa ransomware yang digunakan oleh grup baru ini hampir identik dengan LockFile, yang sangat mirip dengan yang digunakan oleh grup ransomware LockBit.

Namun, operator Atom Silo menggunakan “beberapa teknik baru yang membuatnya sangat sulit untuk diselidiki, termasuk side-loading library dynamic-link berbahaya yang dirancang untuk mengganggu perangkat lunak perlindungan titik akhir.”

Setelah mengkompromikan server Confluence dan memasang backdoor, pelaku ancaman menjatuhkan backdoor tersembunyi tahap kedua menggunakan side-loading DLL untuk meluncurkannya pada sistem yang dilanggar.

Payload Ransomware yang disebarkan oleh Atom Silo juga dilengkapi dengan driver kernel berbahaya yang digunakan untuk mengganggu solusi perlindungan titik akhir dan menghindari deteksi.

Rincian teknis lebih lanjut tentang Atom Silo dan taktik gerakan lateral dapat ditemukan dalam laporan SophosLabs.

Sumber: Bleeping Computer

Perusahaan yang Mengarahkan Miliaran Pesan Teks Diam-diam Mengatakan Telah Diretas

by

Sebuah perusahaan yang merupakan bagian penting dari infrastruktur telekomunikasi global yang digunakan oleh AT&T, T-Mobile, Verizon dan beberapa lainnya di seluruh dunia seperti Vodafone dan China Mobile, diam-diam mengungkapkan bahwa peretas telah berada di dalam sistemnya selama bertahun-tahun, berdampak pada lebih dari 200 kliennya dan berpotensi memiliki jutaan pengguna ponsel di seluruh dunia.

Perusahaan, Syniverse, mengungkapkan dalam pengajuan tanggal 27 September dengan Komisi Keamanan dan Pertukaran AS bahwa “individu atau organisasi yang tidak dikenal memperoleh akses tidak sah ke basis data dalam jaringannya pada beberapa kesempatan, dan informasi masuk yang memungkinkan akses ke atau dari Data Elektroniknya. Lingkungan Transfer (EDT) dikompromikan untuk sekitar 235 pelanggannya.”

Seorang mantan karyawan Syniverse yang bekerja pada sistem EDT memberi tahu Motherboard bahwa sistem tersebut memiliki informasi tentang semua jenis catatan panggilan.

Syniverse berulang kali menolak untuk menjawab pertanyaan spesifik dari Motherboard tentang skala pelanggaran dan data spesifik apa yang terpengaruh, tetapi menurut orang yang bekerja di operator telepon, siapa pun yang meretas Syniverse dapat memiliki akses ke metadata seperti panjang dan biaya, penelepon dan nomor penerima, lokasi pihak dalam panggilan, serta isi pesan teks SMS.

Perusahaan menulis bahwa mereka menemukan pelanggaran pada Mei 2021, tetapi peretasan dimulai pada Mei 2016.

Syniverse menyediakan layanan tulang punggung untuk operator nirkabel seperti AT&T, Verizon, T-Mobile, dan beberapa lainnya di seluruh dunia.

Itu berarti pelanggaran data yang baru-baru ini ditemukan dan selama bertahun-tahun berpotensi mempengaruhi jutaan — jika bukan miliaran — pengguna ponsel, tergantung pada operator apa yang terpengaruh.

Sumber: Vice

Membuat Sinyal Nirkabel dengan Kabel Ethernet untuk Mencuri Data dari Sistem Air-Gapped

by

Mekanisme eksfiltrasi data yang baru ditemukan menggunakan kabel Ethernet sebagai “antena pemancar” untuk secara diam-diam menyedot data yang sangat sensitif dari air-gapped systems, menurut penelitian terbaru.

“Sangat menarik bahwa kabel yang datang untuk melindungi celah udara menjadi kerentanan celah udara dalam serangan ini,” Dr. Mordechai Guri, kepala R&D di Pusat Penelitian Keamanan Siber di Universitas Ben Gurion Negev di Israel, kepada The Hacker News.

Dijuluki “LANtenna Attack”, teknik baru ini memungkinkan kode berbahaya di komputer dengan celah udara untuk mengumpulkan data sensitif dan kemudian menyandikannya melalui gelombang radio yang berasal dari kabel Ethernet seolah-olah itu adalah antena.

Sinyal yang ditransmisikan kemudian dapat dicegat oleh penerima software-defined radio (SDR) terdekat secara nirkabel, memecahkan kode data, dan mengirimkannya ke penyerang yang berada di ruangan yang berdekatan.

“Khususnya, kode berbahaya dapat berjalan dalam proses mode pengguna biasa dan berhasil beroperasi dari dalam mesin virtual,” catat para peneliti dalam makalah berjudul “LANTENNA: Exfiltrating Data from Air-Gapped Networks via Ethernet Cables.”

Sebagai tindakan pencegahan, para peneliti mengusulkan pelarangan penggunaan penerima radio di dalam dan di sekitar jaringan yang memiliki celah udara dan memantau aktivitas lapisan tautan kartu antarmuka jaringan untuk setiap saluran rahasia, serta mengganggu sinyal, dan menggunakan pelindung logam untuk membatasi medan elektromagnetik agar tidak mengganggu atau memancar dari kabel berpelindung.

Sumber: The Hacker News

Kembalinya Para “Hacktivis”

by

Peretas yang berafiliasi dengan Anonymous membobol server Epik dan menerbitkan lebih dari 220GB data pengguna dalam dua tahap.
Epik adalah “Bank Swiss”-nya layanan pendaftaran domain yang didirikan oleh Rob Monster.

Kebocoran tersebut tidak hanya berisi domain milik tokoh alt-right, tetapi juga nama asli, nomor kartu kredit, alamat rumah, dan rantai email Epik yang membahas panggilan pengadilan FBI terhadap pelanggan (“JANGAN KATAKAN kepada pendaftar,” baca salah satu.)

Peretasan Epik hanyalah manifestasi terbaru dari gelombang baru yang disebut ‘Hacktivisme’ yang tidak hanya menargetkan alt-right. Dari pembobolan di perusahaan rintisan keamanan video Verdaka, di mana peretas menguasai 150.000 kamera di rumah sakit, kantor polisi dan sekolah, hingga kampanye yang sedang berlangsung melawan rezim diktator Lukashenko oleh Partisan Cyber ​​Belarusia dan upaya serupa di antara kelompok-kelompok pro-demokrasi di Di Myanmar, para aktivis kembali menggunakan peretasan sebagai bentuk protes.

Tingkat hacktivisme ini belum terlihat sejak masa kejayaan Anonymous dan Wikileaks, ketika para hacktivist di seluruh dunia meminjamkan layanan mereka ke Musim Semi Arab, merusak kehadiran online Gereja Scientology dan membocorkan ribuan kabel diplomatik AS dan catatan perang.

Selengkapnya: Tech Monitor

Peretas China Menggunakan Rootkit Baru untuk Memata-matai Pengguna Windows 10 yang Ditargetkan

by

Aktor ancaman siber berbahasa China yang sebelumnya tidak dikenal telah dikaitkan dengan operasi yang sudah berlangsung lama yang ditujukan untuk target Asia Tenggara sejauh Juli 2020 untuk menyebarkan rootkit mode kernel pada sistem Windows yang disusupi.

Serangan yang dilakukan oleh kelompok peretas, yang dijuluki GhostEmperor oleh Kaspersky, juga dikatakan telah menggunakan “kerangka kerja malware multi-tahap yang canggih” yang memungkinkan untuk memberikan ketekunan dan kendali jarak jauh atas host yang ditargetkan.

Perusahaan keamanan siber Rusia menyebut rootkit Demodex, dengan infeksi yang dilaporkan di beberapa entitas terkenal di Malaysia, Thailand, Vietnam, dan Indonesia, selain outlier yang berlokasi di Mesir, Ethiopia, dan Afghanistan.

“[Demodex] digunakan untuk menyembunyikan artefak malware mode pengguna dari penyelidik dan solusi keamanan, sambil menunjukkan skema pemuatan tidak terdokumentasi yang menarik yang melibatkan komponen mode kernel dari proyek sumber terbuka bernama Cheat Engine untuk melewati mekanisme Windows Driver Signature Enforcement,” kata peneliti Kaspersky.

Infeksi GhostEmperor telah ditemukan untuk memanfaatkan beberapa rute intrusi yang berujung pada eksekusi malware di memori, kepala di antara mereka mengeksploitasi kerentanan yang diketahui di server yang menghadap publik seperti Apache, Window IIS, Oracle, dan Microsoft Exchange — termasuk eksploitasi ProxyLogon yang terungkap pada Maret 2021 — untuk mendapatkan pijakan awal dan poros lateral ke bagian lain dari jaringan korban, bahkan pada mesin yang menjalankan versi terbaru dari sistem operasi Windows 10.

Selengkapnya: The Hackers News

Fortinet, Shopify, dan lainnya Melaporkan Masalah Setelah Sertifikat CA Root dari Let’s Encrypt Kedaluwarsa

by

Sekitar pukul 10.00 ET, IdentTrust DST Root CA X3 kedaluwarsa, menurut Scott Helme, pendiri Security Headers. Dia telah melacak masalah ini dan menjelaskan jutaan situs web mengandalkan layanan Let’s Encrypt. Tanpa mereka, beberapa perangkat lama tidak lagi dapat memverifikasi sertifikat tertentu.

Let’s Encrypt beroperasi sebagai organisasi nirlaba gratis yang memastikan koneksi antara perangkat Anda dan internet aman dan terenkripsi.

“Ada beberapa cara untuk menyelesaikan ini tergantung pada apa masalahnya sebenarnya, tetapi intinya adalah: Layanan/situs web perlu memperbarui rantai sertifikat yang mereka layani kepada klien atau, klien yang berbicara dengan situs web/layanan perlu pembaruan,” jelas Helme.

Shopify memposting catatan di halaman insidennya bahwa sekitar pukul 15:30, pedagang dan mitra perusahaan yang berjuang untuk masuk telah memulihkan layanan mereka. Otentikasi pedagang untuk interaksi Dukungan juga telah dipulihkan, kata perusahaan itu.

Fortinet memberi tahu ZDNet bahwa mereka mengetahui dan telah menyelidiki masalah yang berkaitan dengan sertifikat CA root yang kedaluwarsa yang disediakan oleh Lets Encrypt.

“Kami berkomunikasi langsung dengan pelanggan dan telah memberikan solusi sementara. Selain itu, kami sedang mengerjakan solusi jangka panjang untuk mengatasi masalah kasus tepi ini secara langsung di dalam produk kami,” kata perusahaan itu dalam sebuah pernyataan.

Selengkapnya: ZDNet