Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Microsoft Office 365 mendapatkan perlindungan terhadap makro XLM yang berbahaya

by

Microsoft telah menambahkan perlindungan makro XLM untuk pelanggan Microsoft 365 dengan memperluas pertahanan waktu proses yang disediakan oleh integrasi Office 365 dengan Antimalware Scan Interface (AMSI) untuk menyertakan pemindaian makro Excel 4.0 (XLM).

AMSI diperkenalkan pada tahun 2015, dan telah diadopsi oleh semua produk antivirus utama yang tersedia untuk platform Windows 10 sejak saat itu.

Ini memungkinkan layanan dan aplikasi Windows 10 untuk berkomunikasi dengan produk keamanan dan meminta pemindaian runtime dari data yang berpotensi berbahaya.

Ini membantu mengekspos niat jahat bahkan ketika disembunyikan menggunakan teknik yang membingungkan dan untuk mendeteksi dan memblokir malware yang menyalahgunakan makro VBA Office dan PowerShell, JScript, VBScript, kode MSHTA/Jscript9, WMI, atau .NET, yang secara teratur digunakan untuk menyebarkan muatan malware melalui makro dokumen Office.

Sejak AMSI mulai mengizinkan aplikasi Office 365 memblokir makro VBA berbahaya, penyerang seperti yang berada di belakang Trickbot, Zloader, dan Ursnif telah bermigrasi menggunakan malware berbasis XLM untuk menghindari analisis statis dan menginfeksi target mereka dengan malware.

Dengan peningkatan terbaru pada Office 365 ini, solusi antivirus seperti Microsoft Defender Antivirus dapat mendeteksi makro XLM yang berbahaya dan menghentikan penggunaan malware di jalurnya.

Ini juga memungkinkan mereka untuk mendeteksi malware yang lebih luas dan memaksa pembatasan yang lebih terperinci tentang apa yang diizinkan untuk dilakukan oleh makro pada waktu proses.

Sumber: Bleeping Computer

Periksa apakah Anda rentan terhadap zero-day Microsoft Exchange Server menggunakan alat ini

by

Tim Microsoft Exchange Server telah merilis skrip untuk admin IT untuk memeriksa apakah sistem mereka rentan terhadap bug zero-day yang baru-baru ini diungkapkan.

Sebagaimana dicatat dalam peringatan yang diterbitkan oleh Cybersecurity and Infrastructure Security Agency (CISA) AS pada hari Sabtu, tim Microsoft telah menerbitkan skrip di GitHub yang dapat memeriksa status keamanan server Exchange.

Skrip telah diperbarui untuk menyertakan indikator kompromi (IOC) yang terkait dengan empat kerentanan zero-day yang ditemukan di Microsoft Exchange Server.

Pada 2 Maret, raksasa teknologi itu memperingatkan tentang eksploitasi aktif zero-day oleh kelompok ancaman Cina yang disponsori negara bernama Hafnium. Tim Pertahanan Terkelola Mandiant FireEye juga telah melacak serangan yang sedang berlangsung terhadap organisasi AS yang memanfaatkan bug tersebut. Sejauh ini, korban termasuk entitas pemerintah daerah, universitas, dan pengecer.

Sumber: ZDNet

Peretas Melanggar Ribuan Pelanggan Microsoft di Seluruh Dunia

by

Serangan canggih terhadap perangkat lunak email bisnis Microsoft Corp. yang banyak digunakan berubah menjadi krisis keamanan siber global, karena peretas berlomba untuk menginfeksi sebanyak mungkin korban sebelum perusahaan dapat mengamankan sistem komputer mereka.

Serangan tersebut, yang menurut Microsoft dimulai dengan kelompok peretasan yang didukung pemerintah China, sejauh ini telah menewaskan setidaknya 60.000 korban yang diketahui secara global, menurut seorang mantan pejabat senior AS yang mengetahui penyelidikan tersebut. Banyak dari mereka tampaknya merupakan bisnis kecil atau menengah yang terperangkap dalam jaring lebar yang dilemparkan para penyerang saat Microsoft bekerja untuk menutup peretasan.

Korban yang diidentifikasi sejauh ini termasuk bank dan penyedia listrik, serta rumah warga senior dan perusahaan es krim, menurut Huntress, perusahaan yang berbasis di Ellicott City, Maryland yang memantau keamanan pelanggan, dalam posting blog Jumat.

The Good Guy mulai lelah,” kata Charles Carmakal, wakil presiden senior di FireEye Inc., perusahaan keamanan siber yang berbasis di Milpitas, California.

Insiden terbaru dan serangan SolarWinds menunjukkan kerapuhan jaringan modern dan kecanggihan peretas yang disponsori negara untuk mengidentifikasi kerentanan yang sulit ditemukan atau bahkan membuatnya untuk melakukan spionase. Mereka juga melibatkan serangan dunia maya yang kompleks, dengan radius ledakan awal sejumlah besar komputer yang kemudian dipersempit saat penyerang memfokuskan upaya mereka, yang dapat membutuhkan waktu berminggu-minggu atau berbulan-bulan untuk menyelesaikan organisasi yang terkena dampak.

Dalam kasus bug Microsoft, cukup menerapkan pembaruan yang disediakan perusahaan tidak akan menghapus penyerang dari jaringan. Diperlukan tinjauan terhadap sistem yang terpengaruh, kata Carmakal. Dan Gedung Putih menekankan hal yang sama, termasuk tweet dari Dewan Keamanan Nasional yang mendesak semakin banyak korban untuk dengan hati-hati menyisir komputer mereka untuk mencari tanda-tanda penyerang.

Awalnya, peretas China tampaknya menargetkan target intelijen bernilai tinggi di AS, kata Adair. Sekitar seminggu yang lalu, segalanya berubah. Kelompok peretas tak dikenal lainnya mulai menyerang ribuan korban dalam waktu singkat, memasukkan perangkat lunak tersembunyi yang dapat memberi mereka akses nanti, katanya.

selengkapnya : Bloomberg

MITRE meluncurkan Pusat Sumber Daya Ransomware untuk Organisasi Layanan Kesehatan

by

Pada hari Senin, 1 Maret, MITRE meluncurkan Pusat Sumber Ransomware untuk organisasi perawatan kesehatan. Situs web ini menawarkan saran yang disesuaikan dengan peran terkait IT tertentu dalam layanan kesehatan. Tools tersebut disesuaikan menurut Kerangka Kerja Keamanan Siber National Institute of Standards and Technology (NIST): Identify, Protect, Detect, Respond, dan Recover.

selengkapnya : healthcyber.mitre.org

300+ Statistik & Tren Kejahatan Dunia Maya dan Keamanan Siber yang Mengerikan (EDISI 2021)

by

Dengan kerusakan kejahatan dunia maya global yang diperkirakan menelan biaya hingga $ 6 triliun per tahun pada tahun 2021, tidak terjebak dalam longsor adalah masalah mengambil informasi yang benar dan menindaklanjutinya dengan cepat.

Statistik utama kejahatan dunia maya untuk 2019-2020

  • Ada 144,91 juta sampel malware baru pada 2019 (AV-Test) dan kami sudah mencapai 113,10 juta sampel baru pada 2020 (hingga pertengahan November 2020)
  • Pada 2019, 93,6% malware yang diamati bersifat polimorfik, yang berarti ia memiliki kemampuan untuk terus mengubah kodenya untuk menghindari deteksi (Laporan Ancaman Webroot 2020)
  • Hampir 50% PC bisnis dan 53% PC konsumen yang pernah terinfeksi sekali terinfeksi kembali dalam tahun yang sama (Laporan Ancaman Webroot 2020)
  • Peretas jahat sekarang menyerang komputer dan jaringan dengan kecepatan satu serangan setiap 39 detik (University of Maryland)
  • 81% dari organisasi yang disurvei terpengaruh oleh serangan cyber yang sukses (CyberEdge Group 2020 Cyberthreat Defense Report)

Statistik ransomware 2020

  • Serangan ransomware AS menelan biaya sekitar $ 7,5 miliar pada 2019. (Emsisoft)
  • Hampir 200 juta serangan ransomware terjadi dalam sembilan bulan pertama tahun 2020 yang menunjukkan peningkatan yang besar dibandingkan tahun sebelumnya. (SonicWall)
  • Serangan ransomware pada awal tahun 2020 di pemerintah kota New Orleans merugikan kota hingga $ 7 juta. (Majalah SC)
  • Pada Februari 2020, serangan ransomware merugikan perusahaan yang berbasis di Denmark, ISS, hingga $ 50 juta. (GlobeNewswire)
  • Sejak 2016, total 172 serangan ransomware telah merugikan organisasi perawatan kesehatan AS $ 172 juta. (Comparitech)
  • Satu dari lima orang Amerika telah berurusan dengan serangan ransomware. (Polling Harris)
  • Ransomware terlibat dalam 27 persen insiden keamanan malware, naik dari 24% pada 2019. (Laporan Investigasi Pelanggaran Data Verizon 2020)
  • Pembayaran ransomware terus meningkat tajam di Q3 2020. Rata-rata berada di $ 233.817 yang naik 31% dibandingkan kuartal sebelumnya dan 468% kekalahan selama Q3 2019. (Laporan Coveware Q3 2020 Ransomware Marketplace)
  • Waktu henti rata-rata karena serangan ransomware adalah 19 hari pada Q3 tahun 2020 dibandingkan dengan 12,1 hari pada Q3 2019. (laporan Coveware’s Q3 2020 Ransomware Marketplace)

selengkapnya: Comparitech

Qualys terlibat dalam pelanggaran Accellion FTA

by

Cakupan pelanggaran Accellion FTA kini telah meluas hingga mencakup pemasok layanan keamanan berbasis cloud Qualys, yang beberapa data pelanggannya telah dipublikasikan ke situs kebocoran web gelap yang dioperasikan oleh geng ransomware Cl0p, seperti yang dilaporkan oleh saudari kami, LeMagIT.

Qualys CISO Ben Carr mengonfirmasi insiden tersebut dalam sebuah blog pengungkapan, mengatakan bahwa perusahaan tersebut telah menggunakan teknologi transfer file warisan dalam lingkungan terpisah untuk transfer file terkait dukungan pelanggan, dan itu sama sekali tidak terhubung ke lingkungan data pelanggan produksinya, Platform Cloud Qualys.

Carr mengatakan Qualys telah menerapkan hotfix yang disediakan Accellion untuk mengamankan servernya pada 22 Desember 2020, sehari setelah dirilis, dan mengambil langkah pada saat itu untuk lebih meningkatkan keamanannya, termasuk menerapkan tambalan tambahan dan menyiapkan peringatan baru.

Pada Malam Natal, ia menerima peringatan integritas, pada saat itu ia sepenuhnya mengisolasi server yang terkena dampak dan memberikan alternatif untuk transfer file terkait dukungan.

“Qualys dan Accellion melakukan penyelidikan terperinci dan mengidentifikasi akses tidak sah ke file yang dihosting di server Accellion FTA,” kata Carr. “Berdasarkan penyelidikan ini, kami segera memberi tahu sejumlah terbatas pelanggan yang terpengaruh oleh akses tidak sah ini.

selengkapnya : ComputerWeekly

Penyedia TI maskapai diretas, data frequent flyer Star Alliance dan OneWorld dibobol

by

Peretasan perusahaan yang mengelola pemrosesan tiket dan data frequent-flyer untuk maskapai besar global – termasuk Star Alliance dan anggota OneWorld – telah membahayakan data pribadi sejumlah pelancong yang tidak ditentukan.

Para peretas dapat mengakses beberapa sistem komputer di Sistem Layanan Penumpang SITA yang berbasis di Atlanta hingga sebulan sebelum keseriusan insiden itu dikonfirmasi pada 24 Februari, kata juru bicara perusahaan induk perusahaan yang berbasis di Jenewa.

Juru bicara, Sandro Hofer, tidak mengatakan berapa banyak maskapai penerbangan yang terpengaruh – SITA mengatakan melayani lebih dari 400 maskapai penerbangan dan dimiliki oleh industri.

Perusahaan tersebut mengatakan bahwa Singapore Airlines, New Zealand Air dan Lufthansa termasuk di antara mereka yang terkena dampak.

Dikatakan Malaysia Airlines, Finnair, Japan Airlines, Cathay Pacific telah mengeluarkan pernyataan atau menghubungi anggota frequent-flyer tentang peretasan tersebut.

United Airlines mengatakan secara terpisah bahwa satu-satunya data pelanggan yang berpotensi diakses adalah nama, nomor penumpang setia, dan status program.

Ia merekomendasikan dalam email bahwa pelanggan frequent-flyer harus mengubah kata sandi akun mereka “karena sangat berhati-hati”.

selengkapnya : ABC

Malaysia Airlines mengalami ‘insiden’ keamanan data yang memengaruhi “frequent flyer members”

by

Malaysia Airlines mengalami “insiden” keamanan data yang membahayakan informasi pribadi milik anggota program frequent flyernya, Enrich. Dikatakan bahwa pelanggaran tersebut berasal dari penyedia layanan TI pihak ketiga.

Maskapai tersebut telah mengirimkan email ke anggota Enrich minggu ini, yang menyatakan bahwa pihaknya telah diberitahu tentang “insiden keamanan data” di pemasok IT pihak ketiga. Pelanggaran tersebut melibatkan “beberapa data pribadi” yang terdaftar antara Maret 2010 dan Juni 2019, dengan detail yang mencakup nama anggota, tanggal lahir, informasi kontak, dan berbagai data penumpang setia seperti nomor, status, dan tingkat tingkatan.

Maskapai mengatakan bahwa “tidak ada bukti” data pribadi apa pun yang telah disalahgunakan dan pelanggaran tersebut tidak mengungkap kata sandi akun apa pun, meskipun, itu mendesak anggota Enrich untuk mengubah kata sandi mereka sebagai tindakan pencegahan. Maskapai ini juga mengarahkan pelanggan untuk mengajukan pertanyaan apa pun yang mungkin mereka miliki secara langsung melalui email ke petugas privasi datanya.

Pada saat pers, Malaysia Airlines belum membuat pernyataan publik tentang pelanggaran keamanan atau memposting pemberitahuan di situsnya. Namun, itu tampaknya mengonfirmasi insiden di Twitter dalam balasannya kepada pelanggan.

Dalam salah satu dari beberapa tanggapan tersebut, maskapai penerbangan nasional tersebut mengatakan: “Insiden keamanan data terjadi di penyedia layanan TI pihak ketiga kami dan bukan sistem komputer Malaysia Airlines. Namun, maskapai memantau aktivitas mencurigakan apa pun terkait akun anggotanya dan di kontak terus-menerus dengan penyedia layanan TI yang terpengaruh untuk mengamankan data anggota Enrich dan menyelidiki cakupan dan penyebab insiden tersebut. ”

Ini menegaskan kembali pendiriannya bahwa tidak ada indikasi pelanggaran berdampak pada kata sandi akun apa pun, tetapi menyarankan anggota untuk mengubah kata sandi mereka sebagai tindakan pencegahan.

selengkapnya : ZDNET