News 302 - Naga Cyber Defense

Serangan ransomware besar ini digagalkan pada menit terakhir. Begini cara mereka melihatnya

July 2, 2021 by Winnie the Pooh

Geng ransomware menginstal perangkat lunak desktop jarak jauh di lebih dari 100 mesin di seluruh jaringan, dan rencana mereka untuk mengenkripsi jaringan hanya digagalkan pada menit terakhir ketika pakar keamanan siber dipanggil ke perusahaan setelah perangkat lunak mencurigakan ditemukan di jaringannya.

Upaya yang dilakukan oleh penjahat untuk meletakkan dasar untuk serangan ransomware, yang mengakibatkan perangkat lunak akses jarak jauh yang sah diinstal pada 130 titik akhir, ditemukan ketika perusahaan keamanan Sophos dibawa untuk menyelidiki perusahaan yang tidak disebutkan namanya setelah Cobalt Strike terdeteksi di jaringannya.

Cobalt Strike adalah alat pengujian penetrasi yang sah, tetapi biasanya digunakan oleh penjahat cyber pada tahap awal serangan ransomware. Salah satu alasan yang digunakan oleh penjahat cyber adalah sebagian berjalan di memori, sehingga sulit untuk dideteksi.

Tujuan dari geng tersebut adalah untuk mengenkripsi sebanyak mungkin jaringan dengan REvil ransomware, tetapi karena penjahat cyber terdeteksi sebelum mereka dapat menyelesaikan persiapan mereka, serangan itu tidak berhasil – meskipun mereka berhasil mengenkripsi data pada beberapa perangkat yang tidak terlindungi. dan menghapus cadangan online setelah mereka menyadari bahwa mereka telah ditemukan oleh penyelidik.

selengkapnya : www.zdnet.com

Decryptor ransomware Lorenz memulihkan file korban secara gratis

July 1, 2021 by Winnie the Pooh

Perusahaan keamanan siber Belanda Tesorion telah merilis decryptor gratis untuk ransomware Lorenz, yang memungkinkan korban memulihkan beberapa file mereka secara gratis tanpa membayar uang tebusan.

Lorenz adalah ransomware yang dioperasikan manusia yang mulai beroperasi pada April 2021 dan sejak itu telah mendaftarkan dua belas korban yang datanya mereka curi dan bocorkan di situs kebocoran data ransomware mereka.

Alat dekripsi ransomware Lorenz dapat diunduh dari NoMoreRansom dan akan memungkinkan korban memulihkan beberapa file terenkripsi mereka.

Tidak seperti decryptor ransomware lain yang menyertakan kunci dekripsi sebenarnya, decryptor Tesorion beroperasi secara berbeda dan hanya dapat mendekripsi jenis file tertentu.

Peneliti Tesorion Gijs Rijnders mengatakan kepada BleepingComputer bahwa hanya file dengan struktur file terkenal yang dapat didekripsi, seperti dokumen Office, file PDF, beberapa jenis gambar, dan file film.

Sementara decryptor akan mendekripsi tidak semua jenis file, masih akan memungkinkan mereka yang tidak membayar uang tebusan untuk memulihkan file penting.

selengkapnya : www.bleepingcomputer.com

Masalah RPM Linux utama ditemukan

July 1, 2021 by Winnie the Pooh

Pada tahun 1995, ketika Linux 1.x adalah kernel Linux baru yang panas, programmer pendiri Red Hat awal Marc Ewing dan Erik Troan menciptakan RPM. Sistem manajemen paket perangkat lunak ini menjadi cara default untuk mendistribusikan perangkat lunak untuk distribusi berbasis Red Hat Linux seperti Red Hat Enterprise Linux (RHEL), CentOS Stream, AlmaLinux OS, dan Rocky Linux. Sayangnya, tersembunyi di dalam hatinya adalah lubang keamanan utama.

Dmitry Antipov, pengembang Linux di CloudLinux, perusahaan induk AlmaLinux OS, pertama kali menemukan masalah pada Maret 2021. Antipov menemukan bahwa RPM akan bekerja dengan paket RPM yang tidak sah. Ini berarti bahwa paket yang tidak ditandatangani atau paket yang ditandatangani dengan kunci yang dicabut dapat diam-diam ditambal atau diperbarui tanpa peringatan bahwa mereka mungkin tidak halal.

Mengapa? Karena RPM tidak pernah memeriksa dengan benar penanganan kunci sertifikat yang dicabut. Secara khusus, seperti yang dijelaskan oleh pengembang Linux dan RPM utama Panu Matilainen: “Pencabutan adalah salah satu dari banyak hal yang tidak diimplementasikan dalam dukungan OpenPGP rpm. Dengan kata lain, Anda tidak melihat bug seperti itu; itu hanya tidak diterapkan sama sekali, seperti kedaluwarsa tidak.”

Bagaimana ini bisa terjadi? Itu karena RPM berasal dari hari-hari ketika membuat kode berfungsi adalah prioritas pertama dan keamanan datang jauh kedua. Misalnya, kita tidak tahu apakah komit RPM pertama dibuat oleh Marc Ewing atau Erik Troan karena dilakukan sebagai root.

selengkapnya : www.zdnet.com

Eksploitasi 0-hari Windows PrintNightmare publik memungkinkan pengambilalihan domain

July 1, 2021 by Winnie the Pooh

Detail teknis dan eksploitasi proof-of-concept (PoC) telah bocor secara tidak sengaja untuk kerentanan yang saat ini belum ditambal di Windows yang memungkinkan eksekusi kode jarak jauh.

Terlepas dari kebutuhan untuk otentikasi, tingkat keparahan masalah ini sangat penting karena aktor ancaman dapat menggunakannya untuk mengambil alih server domain Windows untuk menyebarkan malware dengan mudah ke seluruh jaringan perusahaan.

Masalah ini memengaruhi Windows Print Spooler dan karena daftar panjang bug yang memengaruhi komponen ini selama bertahun-tahun [1, 2, 3, 4], para peneliti menamakannya PrintNightmare.

Beberapa peneliti telah menguji eksploitasi PoC yang bocor pada sistem Windows Server 2019 yang sepenuhnya ditambal dan dapat mengeksekusi kode sebagai SISTEM.

Kebocoran detail untuk kerentanan ini terjadi secara tidak sengaja, karena kebingungan dengan masalah lain, CVE-2021-1675, juga memengaruhi Print Spooler yang ditambal Microsoft dalam peluncuran pembaruan keamanan bulan ini.

Awalnya, Microsoft mengklasifikasikan CVE-2021-1675 sebagai masalah eskalasi hak istimewa dengan tingkat keparahan tinggi, tetapi beberapa minggu kemudian mengubah peringkat menjadi kritis dan berdampak pada eksekusi kode jarak jauh, tanpa memberikan detail apa pun.

Dikreditkan untuk pelaporan CVE-2021-1675 adalah peneliti dari tiga perusahaan cybersecurity (Tencent, AFINE, NSFOCUS) tetapi beberapa tim menganalisis Windows Print Spooler.

selengkapnya : www.bleepingcomputer.com

NVIDIA Menambal Bug Serangan Spoof GeForce Tingkat Tinggi

June 30, 2021 by Winnie the Pooh

Perangkat lunak grafis game NVIDIA yang disebut GeForce Experience, dibundel dengan GPU GTX pembuat chip yang populer, memiliki kerentanan dan membuka pintu bagi penyerang jarak jauh yang dapat mengeksploitasi bug untuk mencuri atau memanipulasi data pada komputer Windows yang rentan.

NVIDIA memberi tahu pelanggan akhir minggu lalu tentang bug tersebut dan merilis tambalan perangkat lunak untuk cacat tersebut, yang ada dalam perangkat lunak Windows GeForce Experience (versi 3.21 dan sebelumnya). Pembaruan GeForce 3.23 sekarang tersedia untuk memitigasi bug.

Bug dilacak sebagai CVE‑2021‑1073, dengan peringkat keparahan CVSS 8.3 (tinggi). Perusahaan memperingatkan:

Perangkat lunak NVIDIA GeForce Experience mengandung kerentanan di mana, jika pengguna mengklik tautan berformat jahat yang membuka halaman login GeForce Experience di tab browser baru alih-alih aplikasi GeForce Experience dan memasukkan informasi login mereka, situs berbahaya tersebut bisa mendapatkan akses ke token sesi login pengguna. Serangan semacam itu dapat menyebabkan data pengguna yang ditargetkan ini diakses, diubah, atau hilang.

Mereka yang terpengaruh disarankan untuk mengunduh dan menginstal pembaruan perangkat lunak melalui halaman GeForce Experience Download atau cukup membuka klien perangkat lunak, yang kemudian akan memperbarui perangkat lunak secara otomatis.

GeForce Experience adalah perangkat lunak gratis yang dibundel dengan kartu grafis NVIDIA dan dirancang khusus untuk meningkatkan kinerja game PC. Ini memungkinkan pengguna untuk memantau dan mengoptimalkan kinerja sistem, mengambil tangkapan layar dalam game, dan merekam atau streaming langsung permainan game ke komunitas seperti Twitch.

Selengkapnya: Threat Post

Geng Ransomware sekarang membuat situs web untuk merekrut afiliasi

June 30, 2021 by Winnie the Pooh

Sejak dua forum kejahatan dunia maya terkemuka berbahasa Rusia melarang topik terkait ransomware, operasi kriminal telah dipaksa untuk mempromosikan layanan mereka melalui metode alternatif.

Setidaknya dua geng ransomware yang membutuhkan peretas untuk menjalankan serangan telah menggunakan situs mereka untuk mengiklankan fitur alat enkripsi mereka untuk menarik anggota baru.

Sekitar seminggu yang lalu, geng ransomware LockBit mengumumkan versi utama baru untuk alat mereka, mengklaim peningkatan yang signifikan untuk kecepatan enkripsi.

Untuk mendukung klaim mereka, pelaku ancaman tampaknya menguji versi beberapa potongan ransomware dan mempublikasikan pengukuran mereka untuk kecepatan enkripsi file.

Dengan meluncurkan LockBit 2.0, pengembang ransomware juga mengumumkan sesi rekrutmen afiliasi baru, menyoroti bahwa enkripsi yang mereka gunakan tidak goyah sejak operasi dimulai pada September 2019.

Untuk menarik mitra, LockBit mengklaim menawarkan enkripsi tercepat dan alat pencurian file (StealBit) “di seluruh dunia.”

Langkah dari LockBit ini terjadi setelah aktor pada akhir Mei mencoba untuk mendapatkan pembicaraan ransomware kembali di forum berbahasa Rusia yang populer dengan mengusulkan bagian pribadi hanya untuk “pengguna otoritatif, di mana tidak ada keraguan.”

Perusahaan intelijen ancaman KELA mengatakan bahwa tidak semua kelompok ransomware sekeras ini dalam pencarian afiliasi mereka.

Geng REvil, misalnya, lebih suka beroperasi secara rahasia dan bergantung pada jaringan afiliasi dan koneksinya untuk mendapatkan mitra baru saat mereka membutuhkannya, kata KELA.

Selengkapnya: Bleeping Computer

API Baru Memungkinkan Pengembang Aplikasi Mengautentikasi Pengguna melalui Kartu SIM

June 30, 2021 by Winnie the Pooh

Pembuatan akun online menimbulkan tantangan bagi para insinyur dan arsitek sistem: jika Anda memasang terlalu banyak penghalang, Anda berisiko menolak pengguna asli. Buat terlalu mudah, dan Anda berisiko dari penipuan atau akun palsu.

Model tradisional identitas online – nama pengguna/email dan kata sandi – telah lama tidak digunakan lagi. Beginilah cara otentikasi multi-faktor atau dua faktor (MFA atau 2FA) berperan, untuk menambal kerentanan yang disebut model berbasis pengetahuan, biasanya dengan kode sandi SMS untuk memverifikasi kepemilikan nomor ponsel.

Terkadang solusi paling sederhana sudah ada di tangan kita. SMS saja mungkin tidak aman, tetapi nomor ponsel yang ditambatkan ke kartu SIM adalah: pasangan unik yang sulit untuk diubah atau disalin.

Otentikasi berbasis SIM adalah terobosan identitas. Sekarang dimungkinkan untuk mencegah penipuan dan akun palsu sambil memverifikasi pengguna seluler dengan mulus menggunakan pengenal paling aman secara kriptografis yang sudah mereka miliki – kartu SIM yang tertanam di perangkat seluler mereka.

Jika Anda khawatir tentang penipuan pertukaran SIM sebagai ancaman bagi pengguna Anda, Anda benar.

Otentikasi berbasis SIM memberikan perbaikan sederhana, dengan respons langsung yang dapat ditindaklanjuti. Penipu berusaha mengakses akun korban mereka biasanya dalam waktu 24 jam, jadi dengan memeriksa aktivitas pertukaran SIM dalam 7 hari terakhir, SubscriberCheck oleh tru.ID dapat mendeteksi mereka di gerbang.

Kartu SIM di dalam telepon sudah diautentikasi dengan Operator Jaringan Seluler (MNO). Otentikasi SIM memungkinkan pelanggan seluler melakukan dan menerima panggilan telepon dan terhubung ke Internet.

SubscriberCheck dari tru.ID terhubung ke mekanisme otentikasi yang sama dengan MNO. Akibatnya, tru.ID API melakukan dua hal.

Pertama, memverifikasi bahwa nomor ponsel aktif dan dipasangkan ke kartu SIM di ponsel. Sebagai bagian dari verifikasi ini, API juga mengambil informasi jika kartu SIM yang terkait dengan nomor telepon baru saja diubah. Pemeriksaan ini dapat diintegrasikan dengan mudah dengan API dan SDK.

Selengkapnya: The Hacker News

Bank sentral Denmark terkena peretasan SolarWinds, kata laporan media

June 30, 2021 by Winnie the Pooh

Bank sentral Denmark dikompromikan dalam operasi peretasan global SolarWinds tahun lalu, meninggalkan “pintu belakang” ke jaringannya terbuka selama tujuh bulan, media IT Version2 melaporkan pada hari Selasa, mengutip dokumen yang terkait dengan kasus tersebut.

Para peretas, yang dituduh oleh Amerika Serikat bekerja untuk intelijen Rusia, sangat hebat dan memodifikasi kode dalam perangkat lunak manajemen jaringan SolarWinds yang diunduh oleh 18.000 pelanggan di seluruh dunia.

Penyerang dapat menggunakan SolarWinds untuk masuk ke dalam jaringan dan kemudian membuat pintu belakang untuk akses lanjutan yang potensial.

Pintu belakang semacam itu terbuka di bank sentral Denmark selama tujuh bulan sampai ditemukan oleh perusahaan keamanan AS Fire Eye, Version2 mengatakan, mengutip berbagai dokumen yang diperolehnya berdasarkan permintaan kebebasan informasi, seperti email SolarWinds.

Bank sentral, yang mengelola transaksi bernilai miliaran dolar setiap hari, mengatakan dalam komentar email kepada Reuters bahwa “tidak ada tanda-tanda bahwa serangan itu memiliki konsekuensi nyata”.

“Serangan SolarWinds juga menghantam infrastruktur keuangan di Denmark. Sistem yang relevan ditampung dan dianalisis segera setelah kompromi SolarWinds Orion diketahui,” tambahnya.

Selengkapnya: Reuters

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings