News 33 - Naga Cyber Defense

Botnet Baru ‘Hinatabot’ Dapat Meluncurkan Serangan DDOS 3,3 Tbps yang Sangat Besar

March 24, 2023 by Flamango

Botnet malware baru ditemukan menargetkan Realtek SDK, router Huawei, dan server Hadoop Yarn untuk merekrut perangkat ke DDOS (Denial of Service) yang didistribusikan dengan potensi serangan besar-besaran.

Ditemukan oleh para peneliti di Akamai pada awal tahun, menangkapnya di honeypots HTTP dan SSH mereka, terlihat mengeksploitasi kelemahan lama seperti CVE-2014-8361 dan CVE-2017-17215.

Operator Hinatabot awalnya mendistribusikan binari Mirai, sementara Hinatabot pertama kali muncul pada pertengahan Januari 2023. Tampaknya didasarkan pada Mirai dan merupakan varian berbasis GO dari ketegangan terkenal.

Setelah menangkap beberapa sampel dari kampanye aktif baru-baru ini pada Maret 2023, para peneliti Akamai menyimpulkan bahwa malware sedang dalam pengembangan aktif, menampilkan peningkatan fungsional dan penambahan anti-analisis.

Kekuatan DDOS yang Signifikan
Malware didistribusikan oleh titik akhir SSH yang memuat brute atau menggunakan skrip infeksi dan muatan RCE untuk kerentanan yang diketahui.

Setelah menginfeksi perangkat, malware akan berjalan diam-diam, menunggu perintah untuk dieksekusi dari server perintah dan kontrol.

Hinatabot masih dalam pengembangan dan mungkin menerapkan lebih banyak eksploitasi dan memperluas ruang lingkup penargetan kapan saja. Selain itu, fakta bahwa perkembangannya sangat aktif meningkatkan kemungkinan melihat versi yang lebih kuat beredar di alam liar segera.

Selengkapnya: BleepingComputer

Linus Tech Tips Saluran YouTube diretas untuk mempromosikan video penipuan kripto Elon Musk

March 24, 2023 by Søren

YouTube memiliki masalah berkelanjutan dengan pelanggaran akun, dan sekarang tampaknya salah satu saluran terbesar di platform tersebut telah diretas. LinusTechTips, yang dikenal dengan konten perangkat keras PC yang dapat diakses, telah menjadi korban terbaru dari serangan ini.

Saluran telah diganti namanya menjadi “LinusTechTipsTemp” di bawah pegangan “@temporaryhandle”. Saluran ini juga telah menghapus sebagian besar videonya, meskipun secara bertahap dipulihkan.

Saluran yang dilanggar mengalirkan dua video yang menampilkan Elon Musk berbicara tentang cryptocurrency dengan pendiri asli Twitter. Satu diberi nama “OpenAI ChatGPT-4: Teknologi AI yang Mengubah Game”, sementara yang lain disebut “LinusTechTips & Elon Musk Special Crypto Giveaway”. Aliran terakhir telah dihapus setelah sekitar 20 menit penyiaran. Aliran pertama turun setelah sekitar 35 menit siaran.

Namun, keduanya sekarang telah ditayangkan kembali dalam apa yang tampaknya merupakan pergulatan antara aktor jahat dan YouTube sendiri.

Namun, kedua streaming langsung tersebut tampak identik, menampilkan video yang sama persis. Padahal, dalam obrolan, ada tautan ke “Crypto Giveaway” yang mungkin berbahaya. Ini tampaknya merupakan upaya phishing untuk mendapatkan detail dompet mata uang kripto dari pemirsa yang tidak menaruh curiga.

Sementara aktor jahat mungkin telah menghapus sebagian besar video LinusTechTips, kasus pelanggaran akun sebelumnya dengan penghapusan video telah mengembalikan akunnya setelah pemulihan oleh pemilik akun. Tampaknya video yang sebelumnya dihapus kini sedang dalam proses pemulihan oleh YouTube sendiri.

Selengkapnya: Dexerto

Malware Pesanan ‘NapListener’, Sebuah Mimpi Buruk untuk Deteksi Berbasis Jaringan

March 24, 2023 by Flamango

Aktor ancaman menggunakan aset jaringan yang sah dan kode open-source untuk terbang di bawah radar dalam serangan mencuri data menggunakan serangkaian malware kustom yang ditekuk pada penghindaran.

Peneliti mengamati Naplistener dalam bentuk baru yang dapat dieksekusi, dibuat dan diinstal pada jaringan korban sebagai layanan Windows pada 20 Januari. Aktor ancaman menciptakan yang dapat dieksekusi, wmdtc.exe, menggunakan konvensi penamaan yang mirip dengan biner sah yang digunakan oleh tersebut Layanan Koordinator Transaksi Terdistribusi Microsoft.

Fokus pada penghindaran deteksi
Menurut King, Naplistener adalah yang terbaru dari serangkaian jenis malware pesanan baru yang telah diamati oleh para peneliti elastis Ref2924 dalam serangannya yang mendukung fokus khusus pada menghindari deteksi berbasis jaringan. Kesamaan yang dimiliki keluarga malware baru ini yaitu mereka menggunakan aset jaringan yang akrab dan sah untuk menutupi kegiatan mereka.

Sementara kelompok ancaman lain juga mengadopsi pendekatan ini dengan malware pesanan, mereka melakukannya lebih jarang, dan kurang konsisten daripada ref2924. Catatannya menunjukkan bahwa Ref2924 bertaruh berat untuk menghindari deteksi untuk sukses.

Menurut para peneliti, secara khusus NapListener membuat pendengar permintaan HTTP yang dapat memproses permintaan yang masuk dari Internet, membaca data apa pun yang dikirimkan, memecahkan kode dari format Base64, dan menjalankannya dalam memori.

Melampaui deteksi tingkat jaringan
Perusahaan dalam garis silangnya dapat menghindari kompromi oleh kelompok terutama dengan memprioritaskan teknologi deteksi berbasis titik akhir, lebih dikenal sebagai deteksi dan respons titik akhir (EDR), karena REF2024 sangat fokus pada menghindari metode deteksi berbasis jaringan.

Teknologi lain yang dapat digunakan organisasi untuk memerangi malware yang dapat menghindari deteksi berbasis jaringan adalah penyaringan keluar, atau membatasi jenis komunikasi jaringan keluar yang diizinkan.

Selengkapnya: DARKReading

Laporan Kematangan Cybersecurity 2023 Mengungkapkan Ketidaksiapan Organisasi untuk Serangan Cyber

March 24, 2023 by Søren

Pada tahun 2022 saja, serangan siber global meningkat sebesar 38%, mengakibatkan kerugian bisnis yang besar, termasuk kerugian finansial dan reputasi. Sementara itu, anggaran keamanan perusahaan telah meningkat secara signifikan karena meningkatnya kecanggihan serangan dan banyaknya solusi keamanan siber yang diperkenalkan ke pasar. Dengan peningkatan ancaman, anggaran, dan solusi ini, seberapa siapkah industri dan negara untuk secara efektif mengatasi risiko dunia maya saat ini?

Laporan Kematangan Keamanan Siber 2023 CYE yang baru menjawab pertanyaan ini dengan menyoroti kekuatan keamanan siber di berbagai sektor, ukuran perusahaan, dan negara. Ini menyoroti industri dan negara mana yang memiliki postur dunia maya paling kuat dan tertinggal, serta kerentanan paling umum dalam lanskap ancaman dunia maya saat ini.

Analisis ini didasarkan pada data selama dua tahun, yang dikumpulkan dari lebih dari 500 organisasi di 15 negara, dan mencakup 11 industri serta berbagai ukuran perusahaan. Ini mengukur kematangan keamanan siber di tujuh domain keamanan yang berbeda, termasuk keamanan tingkat aplikasi, keamanan tingkat jaringan, manajemen identitas dan akses jarak jauh, dan banyak lagi.

Kesimpulan keseluruhan dari laporan ini adalah bahwa sebagian besar organisasi tidak cukup siap menghadapi ancaman serangan siber. Namun, organisasi masih dapat mencapai postur kematangan keamanan siber yang tinggi tanpa anggaran yang besar, jika mereka merencanakan dan membelanjakannya dengan benar.

Untuk melindungi diri mereka sendiri, organisasi harus berinvestasi dalam kapabilitas, bukan alat; melakukan penilaian komprehensif untuk mencegah peretas mengeksploitasi kerentanan; dan mengembangkan pendekatan terintegrasi untuk keamanan siber dengan akuntabilitas tingkat dewan. Solusi pengoptimalan keamanan siber seperti CYE dapat membantu dengan menggabungkan teknologi, orang, dan proses untuk mengelola risiko siber organisasi dan melakukan kuantifikasi risiko siber untuk memahami ancaman dan memprioritaskan mitigasi.

Selengkapnya: The Hacker News

Korban Baru Muncul setelah Serangan Ransomware Massal

March 23, 2023 by Flamango

Clop mengklaim meretas 130 organisasi secara massal. Jumlah korban terserang ransomware massal, yang disebabkan oleh bug pada alat transfer data populer yang digunakan oleh bisnis di seluruh dunia, terus bertambah berdasarkan keterangan organisasi lain yang juga teretas pada TechCrunch.

Raksasa pembiayaan Kanada Investissement Québec, mengonfirmasi bahwa beberapa informasi pribadi karyawan baru-baru ini dicuri oleh grup ransomware yang mengklaim telah melanggar lusinan perusahaan lain. Juru bicara Isabelle Fontaine mengatakan insiden itu terjadi di Fortra, sebelumnya dikenal sebagai HelpSystems, yang mengembangkan alat transfer file GoAnywhere yang rentan.

Hitachi Energy juga mengkonfirmasi bahwa beberapa data karyawannya telah dicuri dalam insiden serupa yang melibatkan sistem GoAnywhere-nya, tetapi mengatakan bahwa insiden tersebut terjadi di Fortra.

Beberapa hari terakhir, geng Clop yang terkait dengan Rusia telah menambahkan beberapa organisasi lain ke situs kebocoran web gelapnya untuk memeras perusahaan lebih lanjut dengan mengancam akan menerbitkan file yang dicuri kecuali jika permintaan uang tebusan dibayarkan.

Sementara jumlah korban peretasan massal meningkat, dampak yang diketahui paling tidak jelas.

Sejak serangan pada akhir Januari atau awal Februari, Clop mengungkapkan kurang dari setengah dari 130 organisasi yang diklaim telah disusupi melalui GoAnywhere, sebuah sistem yang dapat dihosting di cloud atau di jaringan organisasi yang memungkinkan perusahaan untuk mentransfer set besar data dan file besar lainnya dengan aman.

Detail baru terungkap pada 2 Februari setelah reporter keamanan independen Brian Krebs pertama kali melaporkan detail bug tersebut, yang disembunyikan Fortra di balik layar login di situs webnya. Fortra merilis perbaikan keamanan untuk GoAnywhere lima hari kemudian.

Pengguna GoAnywhere lain yang teridentifikasi tidak menanggapi beberapa permintaan komentar, termasuk penyedia rehabilitasi dan kesehatan mental Kanada Homewood Health, penyedia perumahan terjangkau yang berbasis di Inggris Guinness Partnership, perusahaan perbankan ritel Avidia Bank, Medex Healthcare, Cornerstone Home Lending dan raksasa energi Kolombia Grupo Vanti.

Selengkapnya: TechCrunch+

Hacker Menguras ATM Bitcoin Sebesar $1,5 Juta dengan Mengeksploitasi Bug Zero-Day

March 23, 2023 by Flamango

Hacker meninggalkan pelanggan dalam bahaya kerugian yang tidak dapat dikembalikan, produsen kios mengungkapkannya.

Pencurian menargetkan ATM yang dijual oleh General Bytes, perusahaan dengan banyak lokasi di seluruh dunia. BATM atau ATM Bitcoin dapat dipasang di toserba dan bisnis lain untuk memungkinkan orang menukar bitcoin dengan mata uang lain dan sebaliknya. Pelanggan menghubungkan BATM ke server aplikasi crypto (CAS) yang dapat mereka kelola atau, hingga sekarang, yang dapat dikelola oleh General Bytes untuk mereka.

BATM menawarkan opsi yang memungkinkan pelanggan mengunggah video dari terminal ke CAS menggunakan mekanisme yang dikenal sebagai antarmuka server master.

Aktor ancaman tak dikenal mengeksploitasi kerentanan yang sebelumnya tidak diketahui, memungkinkannya menggunakan antarmuka ini untuk mengunggah dan menjalankan aplikasi Java berbahaya untuk melakukan pencurian. Kemudian ia menguras berbagai dompet panas sekitar $1,5 juta Bitcoin.

General Bytes menambal kerentanan 15 jam setelah mempelajarinya, tetapi karena cara kerja cryptocurrency, kerugian tidak dapat dipulihkan.

Pejabat General Bytes menulis bahwa seluruh tim bekerja keras untuk mengumpulkan semua data terkait pelanggaran keamanan dan terus bekerja menyelesaikan semua kasus untuk membantu klien kembali online dan terus mengoperasikan ATM mereka sesegera mungkin.

Ditulis juga permohonan maaf atas apa yang terjadi dan akan meninjau semua prosedur keamanan, dan saat ini sedang diupayakan untuk menjaga pelanggan yang terdampak tetap bertahan.

Praktisi keamanan telah lama menyarankan orang untuk menyimpan dana di dompet dingin yang tidak dapat diakses langsung ke Internet. Sayangnya, BATM dan jenis ATM cryptocurrency lainnya umumnya tidak dapat mengikuti praktik ini, menandakan bahwa BATM kemungkinan tetap menjadi target utama para hacker.

Selengkapnya: arsTECHNICA

Ferrari Menolak Permintaan Tebusan setelah Serangan Siber

March 23, 2023 by Flamango

Pembuat mobil Italia Ferrari menolak membayar uang tebusan setelah pelaku ancaman yang tidak ditentukan masuk ke sistem TI dan mencuri data pelanggan.

Produsen supercar Ferrari telah memperingatkan pelanggan bahwa data pribadi mereka mungkin berisiko setelah sejumlah sistem TI mereka disusupi dan informasi diekstraksi oleh aktor ancaman yang belum ditentukan.

Perusahaan yang berbasis di Maranello, Italia menghubungi mereka yang terlibat pada Senin 20 Maret. Dalam sebuah surat kepada pelanggan, kepala eksekutif Benedetto Vigna mengatakan data yang terungkap termasuk nama, alamat, alamat email, dan nomor telepon.

Vigna meyakinkan pelanggan bahwa berdasarkan keadaan penyelidikan saat ini, organisasi meyakini tidak ada data keuangan pelanggan, atau data kendaraan merek yang telah disusupi.

Dalam pernyataan publik, juru bicara Ferrari mengatakan organisasi tersebut telah dihubungi oleh aktor ancaman dengan permintaan uang tebusan terkait dengan rincian kontak klien tertentu. Organisasi tidak mengidentifikasi aktor ancaman yang terlibat.

Juru bicara Ferrari percaya bahwa tindakan terbaik adalah memberitahu kliennya tentang potensi paparan data dan sifat insiden tersebut.

Organisasi itu mengatakan menjaga kerahasiaan kliennya dengan sangat serius dan akan bekerja sama dengan pakar keamanan untuk memperkuat sistemnya.

Insiden itu tidak berdampak pada operasi sehari-hari dan tampaknya juga tidak mempengaruhi jalannya tim juara Formula Satu, yang memiliki awal buruk di musim 2023, saat ini mendekam di klasemen konstruktor.

Selengkapnya: ComputerWeekly.com

Keamanan Mendorong Pembelian Perangkat Lunak Untuk Setengah dari Perusahaan AS

March 23, 2023 by Flamango

Pernyataan tersebut menurut laporan yang dirilis Senin oleh Capterra, didasarkan pada survei terhadap 289 responden yang bertanggung jawab atas keputusan pembelian perangkat lunak.

Lebih dari 75% responden menganggap pencadangan data sebagai fitur yang harus dimiliki saat memilih perangkat lunak. Fitur utama lainnya termasuk pemberitahuan keamanan, kemudian kemampuan untuk mengenkripsi data saat transit dan saat istirahat.

Bisnis bersedia membayar mahal untuk perangkat lunak aman yang dirancang dengan baik dan intuitif, namun 45% bisnis telah berhenti menggunakan aplikasi perangkat lunak saat masalah keamanan muncul.

Laporan tersebut muncul beberapa minggu setelah Biden merilis strategi keamanan siber nasionalnya yang memperingatkan industri untuk menerima rancangan aman sebagai postur default baru untuk pengembangan produk.

Administrasi berencana mengalihkan beban tanggung jawab untuk memastikan kelemahan keamanan diuji dan diperbaiki sebelum produk dikirim ke pelanggan.

Beberapa perusahaan teknologi, seperti Google dan IBM, secara terbuka menerima seruan untuk meminta tanggung jawab industri dalam membuat perangkat lunak yang aman.

Studi Capterra pun menunjukkan bahwa perusahaan semakin bersedia untuk mengubah keputusan pembelian mereka ketika perangkat lunak gagal memenuhi kebutuhan keamanan mereka.

Selengkapnya: Cybersecurity Dive

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings