Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Model ‘Frankencloud’ adalah risiko keamanan terbesar .

by

Kesaksian baru-baru ini di hadapan Kongres tentang serangan SolarWinds besar-besaran berfungsi sebagai peringatan bagi banyak orang. Apa yang saya lihat muncul dari kesaksian tersebut adalah perdebatan tentang apakah cloud publik adalah pilihan yang lebih aman daripada pendekatan cloud hybrid.

Perdebatan tidak boleh seputar pendekatan cloud mana yang lebih aman, melainkan pendekatan mana yang perlu didesain keamanannya. penyedia teknologi perusahaan harus merancang keamanan menggunakan cara kerja sistem modern, daripada membatasi pelanggan untuk mengamankan satu model komputasi di atas yang lain.

Serangan SolarWinds berhasil karena memanfaatkan rantai pasokan vendor teknologi yang luas dan saling bercampur. Meskipun ada pelajaran mendasar yang bisa dipelajari tentang cara melindungi rantai pasokan kode, menurut saya pelajaran yang lebih besar adalah bahwa kompleksitas adalah musuh keamanan.

Lingkungan teknologi informasi berkembang menjadi apa yang disebut “Frankenstein”. Perusahaan bergegas untuk memanfaatkan cloud sambil mempertahankan sistem pencatatan mereka. Mirip dengan bagaimana Frankenstein dirakit, ini menyebabkan sistem yang penuh dengan kompleksitas dan bagian-bagian yang terputus disatukan.

Tim keamanan menyebut kompleksitas ini sebagai salah satu tantangan terbesar mereka. Dipaksa untuk mengandalkan lusinan vendor dan produk keamanan yang terputus, tim keamanan rata-rata menggunakan 25 hingga 49 alat dari hingga 10 vendor yang berbeda. Putusnya hubungan ini menciptakan titik buta yang tidak bisa lagi kita hindari. Sistem keamanan tidak boleh dibuat-buat; keamanan organisasi perlu dirancang dengan satu titik kontrol yang memberikan pandangan holistik tentang ancaman dan mengurangi kompleksitas.

Kebutuhan Cloud akan kecepatan telah mengesampingkan kepatuhan dan kontrol yang secara historis dipastikan oleh perusahaan teknologi untuk klien mereka. Sekarang, persyaratan tersebut sering kali dibebankan pada pelanggan. Selalu pikirkan keamanan terlebih dahulu dan terutama dalam strategi cloud dan pilih mitra yang dapat dipercayai untuk memajukan organisasi dengan aman.

Kita perlu berhenti membaut keamanan dan privasi ke lingkungan “Frankencloud” yang mengoperasikan begitu banyak bisnis dan pemerintah. SolarWinds mengajarkan kita bahwa ketergantungan kita pada beragam teknologi bisa menjadi titik kelemahan.

Source : techcrunch

Server Microsoft Exchange sekarang ditargetkan oleh ransomware Black Kingdom

by

Operasi ransomware lain yang dikenal sebagai ‘Black Kingdom’ mengeksploitasi kerentanan Microsoft Exchange Server ProxyLogon untuk mengenkripsi server.

Selama akhir pekan, peneliti keamanan Marcus Hutchins, alias MalwareTechBlog, men-tweet bahwa pelaku ancaman membahayakan server Microsoft Exchange melalui kerentanan ProxyLogon untuk menyebarkan ransomware.

Berdasarkan log dari honeypots-nya, Hutchins menyatakan bahwa pelaku ancaman menggunakan kerentanan untuk menjalankan skrip PowerShell yang mengunduh ransomware yang dapat dieksekusi dari ‘yuuuuu44[.]Com’ dan kemudian mendorongnya ke komputer lain di jaringan.

Michael Gillespie, pencipta ID Ransomware, memberi tahu BleepingComputer bahwa sistemnya telah melihat lebih dari 30 pengiriman unik ke sistemnya, dengan banyak yang dikirim langsung dari server email.

Korban berada di AS, Kanada, Austria, Swiss, Rusia, Prancis, Israel, Inggris, Italia, Jerman, Yunani, Australia, dan Kroasia.

Saat mengenkripsi perangkat, ransomware akan mengenkripsi file menggunakan ekstensi acak dan kemudian membuat catatan tebusan bernama decrypt_file.TxT, seperti yang ditunjukkan di bawah ini.

blackkingdom ransomware
Sumber: BleepingComputer

Black Kingdom adalah ransomware terkonfirmasi kedua setelah DearCry ransomware yang menargetkan kerentanan Microsoft Exchange ProxyLogon.

Sumber: Bleeping Computer

Target sempurna Phisher: Karyawan kembali ke kantor

by

Phisher telah mengeksploitasi ketakutan dan keingintahuan orang-orang tentang terobosan dan berita umum terkait pandemi COVID-19 sejak awal, dan akan terus melakukannya selama hal itu memengaruhi kehidupan pribadi dan pekerjaan.

Penjahat siber terus mengeksploitasi kepentingan publik dalam bantuan COVID-19, vaksin, dan berita varian, menipu Pusat Pengendalian Penyakit (CDC), Layanan Pendapatan Internal AS (IRS), Departemen Kesehatan dan Layanan Kemanusiaan (HHS) AS, Organisasi Kesehatan Dunia (WHO), dan badan serta bisnis lainnya.

Menurut peneliti Inky, karyawan yang perlahan-lahan kembali bekerja di kantor dan lokasi perusahaan lain dapat ditargetkan oleh penjahat siber yang menyamar sebagai kolega dan kepemimpinan perusahaan mereka.

Dilihat dari kampanye yang terdeteksi sebelumnya, penyerang akan memukul karyawan dengan email yang dibuat seolah-olah mereka berasal dari HR atau departemen lain, atau dari CEO.

Sumber: Helpnetsecurity

Email tersebut akan berisi elemen desain yang terkait dengan perusahaan (logo, dll.). Tautan akan mengarah ke pengumpulan kredensial atau situs yang menyajikan malware pada domain yang dibajak, dan akan terlihat seperti mengarah ke alat yang sah (Google, Basecamp, SharePoint, dll).

Phisher akan mencoba menciptakan rasa urgensi, kewajiban, dan bahkan mengancam karyawan dengan sanksi agar mereka mengikuti tautan tersebut.

Selengkapnya: Help Net Security

Pekerjaan jarak jauh membuat keamanan siber menjadi kekhawatiran utama bagi para CEO

by

Para CEO Inggris telah mengungkapkan keprihatinan utama mereka setelah setahun melihat pekerjaan jarak jauh menjadi norma, dengan transformasi digital yang dipercepat dan serangan siber yang sangat terlihat.

Survei CEO global PwC, yang dilakukan pada bulan Januari dan Februari 2021 dengan 5.050 CEO, menghasilkan gambaran yang menarik dan perbandingan dengan survei tahun 2020.

Tidak mengherankan, 94% CEO Inggris menominasikan pandemi dan krisis kesehatan sebagai perhatian utama, diikuti oleh ancaman dunia maya untuk 91% CEO Inggris, sementara 86% mengatakan pertumbuhan ekonomi yang tidak pasti menjadi perhatian utama.

Ketika ditanya tiga ancaman teratas mana yang secara eksplisit diperhitungkan dalam aktivitas manajemen risiko strategis mereka, ‘ancaman siber’ adalah yang paling banyak dipilih oleh CEO Inggris dan dipilih oleh 75%, di depan ‘pandemi dan krisis kesehatan lainnya’ (62%), dan ‘ketidakpastian pertumbuhan ekonomi’ (57%).

Dua pertiga dari CEO Inggris mengatakan mereka berencana untuk meningkatkan investasi dalam keamanan siber dan privasi data. Di tingkat global, ancaman siber menjadi perhatian utama para CEO dalam manajemen aset dan kekayaan, asuransi, ekuitas swasta, perbankan dan pasar modal, dan sektor teknologi, menurut PwC.

Selengkapnya: ZDNet

Keamanan API menjadi prioritas ‘atas’ untuk pemain perusahaan

by

Ketika serangan terhadap API terus meningkat, perusahaan mulai mengambil aspek keamanan adopsi API dengan lebih serius.

Dalam laporan baru yang dirilis oleh Imvision, “API Security is Coming,” Perusahaan meminta lebih dari 100 profesional Cybersecurity di AS dan Eropa untuk wawasan tentang Keamanan API Perusahaan saat ini.

Application programming interfaces (API) menghubungkan layanan dan sistem teknologi yang berbeda. Mereka dapat memproses kueri dari klien, berurusan dengan instruksi sisi server, dan dapat memfasilitasi pengambilan dan pemrosesan data.

Menurut laporan itu, 91% profesional TI mengatakan keamanan API harus dianggap sebagai prioritas dalam dua tahun ke depan, terutama karena lebih dari 70% perusahaan perusahaan diperkirakan menggunakan lebih dari 50 API.

Namun, menemukan pendekatan holistik untuk ‘tulang punggung’ keamanan API ini tetap menjadi tantangan. Lebih dari 80% organisasi diperkirakan menggunakan, atau berencana untuk menggunakan, solusi manajemen terpusat untuk keamanan API – seperti platform Manajemen API (APIM) – tetapi hanya sepertiga responden yang percaya bahwa penyiapan API mereka cukup dilindungi dari serangan siber hari ini.

Perusahaan mengutip integrasi solusi API dengan sistem dan alur kerja saat ini dan mendapatkan visibilitas ke dalam penggunaan API secara keseluruhan sebagai penghalang utama untuk meningkatkan keamanan API.

Selengkapnya: ZDNet

10 Pelajaran Cybersecurity yang dapat dipetik satu tahun dalam pandemi

by

Menurut laporan Global Digital Trust Insights 2021 PWC, 96% eksekutif bisnis dan teknologi memprioritaskan investasi siber mereka karena Covid-19 dan dampaknya terhadap organisasi mereka tahun ini.

Laporan ini didasarkan pada wawancara dengan 3.249 eksekutif bisnis dan teknologi di seluruh dunia, dan setengah dari eksekutif yang disurvei mengatakan cybersecurity dan privasi sedang dimasukkan dalam setiap keputusan dan rencana bisnis. Pada tahun 2019, angka itu mendekati 25%.

Sumber: PwC

Kemampuan aktor jahat untuk di rumah pada kesenjangan cybersecury, dalam sistem dan manusia, terbukti secara akurat pada tahun 2020. Dari banyak pelajaran yang dipetik pada tahun 2020, mungkin yang paling berharga adalah bahwa elemen manusia harus datang lebih dulu.

Berikut ini adalah 10 pelajaran teratas yang dipelajari dalam satu tahun pandemi, menurut Cisos, CIO, dan tim mereka:

  1. Rantai pasokan dunia nyata rentan terhadap serangan siber
  2. Tenaga kerja virtual membuat self-diagnosing dan self-remediating endpoint menjadi sebuah keharusan
  3. Perdagangan Touchless berarti Kode QR sekarang menjadi vektor ancaman yang tumbuh paling cepat
  4. Peningkatan akan serangan siber terhadap penyedia layanan terkelola (MSP).
  5. Penyerang dapat membahayakan rantai pasokan perangkat lunak dan memodifikasi executable
  6. Rekayasa Sosial Dapat Mengompromi Platform Media Sosial
  7. Menggunakan zero-trust untuk mengelola identitas mesin
  8. Aktor jahat Mengubah Catatan Perawatan Kesehatan menjadi Penjualan Terbaik
  9. Kesalahan konfigurasi keamanan cloud adalah penyebab utama pelanggaran data cloud
  10. Pemantauan infrastruktur sangat penting untuk mengidentifikasi anomali.

Selengkapnya: Venturebeat

Booter DDoS sekarang menyalahgunakan server DTLS untuk memperkuat serangan

by

Layanan DDoS-for-hire sekarang secara aktif menyalahgunakan server Datagram Transport Layer Security (D / TLS) yang salah dikonfigurasi atau kedaluwarsa untuk memperkuat serangan Distributed Denial of Service (DDoS).

DTLS adalah versi protokol Transport Layer Security (TLS) berbasis UDP yang mencegah penyadapan dan gangguan pada aplikasi dan layanan yang sensitif terhadap penundaan.

Menurut laporan yang muncul pada bulan Desember, serangan DDOS menggunakan DTLS untuk memperkuat lalu lintas dari perangkat Citrix ADC yang rentan yang menggunakan konfigurasi DTLS tanpa mekanisme anti-spoofing ‘HelloClientVerify’ yang dirancang untuk memblokir penyalahgunaan tersebut.

Serangan DDoS menggunakan DTLS dapat mencapai faktor amplifikasi 35 menurut vendor perlindungan DDoS Jerman Link11 atau rasio amplifikasi 37,34: 1 berdasarkan info dari firma mitigasi DDoS Netscout.

Platform DDoS-for-hire, juga dikenal sebagai stressers atau booters, sekarang juga menggunakan DTLS sebagai vektor amplifikasi yang menempatkannya di tangan penyerang yang kurang canggih.

Layanan booter digunakan oleh pelaku ancaman, orang iseng, atau peretas tanpa waktu untuk berinvestasi atau keterampilan untuk membangun infrastruktur DDoS mereka sendiri.

Mereka menyewa layanan stresser untuk meluncurkan serangan DDoS yang memicu penolakan layanan yang biasanya membuat server atau situs yang ditargetkan down atau menyebabkan berbagai tingkat gangguan.

Selengkapnya: Bleeping Computer

Kelompok peretasan menggunakan 11 zero-day untuk menyerang pengguna Windows, iOS, Android

by

Project Zero, tim zero-day bug-hunting Google, menemukan sekelompok peretas yang menggunakan 11 zero-day dalam serangan yang menargetkan pengguna Windows, iOS, dan Android dalam satu tahun.

Tim Project Zero mengungkapkan bahwa kelompok peretasan di balik serangan ini menjalankan dua kampanye terpisah, pada bulan Februari dan Oktober 2020.

Laporan bulan ini menampilkan penggunaan tujuh zero-day setelah sebelumnya diterbitkan pada Januari menunjukkan bagaimana empat zero-day digunakan bersama dengan eksploitasi n-day untuk meretas target potensial.

Sama seperti sebelumnya, penyerang menggunakan beberapa lusin situs web yang menghosting dua server exploit, masing-masing menargetkan pengguna iOS dan Windows atau Android.

“Dalam pengujian kami, kedua server exploit ada di semua domain yang ditemukan,” kata anggota tim Project Zero, Maddie Stone.

“Setelah sidik jari awal (tampaknya didasarkan pada asal alamat IP dan user-agent), iframe disuntikkan ke situs web yang mengarah ke salah satu dari dua server exploit.”

Sumber: Google Project Zero

Secara keseluruhan, saat menganalisis kampanye Oktober 2020, para peneliti Project Zero menemukan:

  • satu rantai eksploitasi yang menargetkan Windows 10 yang sepenuhnya ditambal menggunakan Google Chrome
  • dua rantai parsial menargetkan 2 perangkat Android berbeda yang sepenuhnya ditambal yang menjalankan Android 10 menggunakan Google Chrome dan Samsung Browser
  • beberapa eksploitasi RCE untuk iOS 11-13 dan eksploitasi eskalasi hak istimewa untuk iOS 13 (dengan bug yang dieksploitasi hadir hingga iOS 14.1)

Selengkapnya: Bleeping Computer