Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Pengguna status sandi diperingatkan untuk ‘menyetel ulang semua sandi’ setelah penyerang menanam pembaruan berbahaya

by

Click Studios, rumah perangkat lunak Australia yang mengembangkan pengelola kata sandi perusahaan Passwordstate, telah memperingatkan pelanggan untuk menyetel ulang kata sandi di seluruh organisasi mereka setelah serangan siber pada pengelola kata sandi.

Sebuah email yang dikirim oleh Click Studios kepada pelanggan mengatakan bahwa perusahaan telah mengonfirmasi bahwa penyerang telah “menyusupi” fitur pembaruan perangkat lunak pengelola kata sandi untuk mencuri kata sandi pelanggan.

Email tersebut, yang diposting di Twitter oleh situs berita Polandia Niebezpiecznik pada hari Jumat pagi, mengatakan pembaruan berbahaya tersebut mengekspos pelanggan Passwordstate selama jendela 28 jam antara 20-22 April. Setelah dipasang, pembaruan berbahaya menghubungi server penyerang untuk mengambil malware yang dirancang untuk mencuri dan mengirim konten pengelola sandi kembali ke penyerang. Email tersebut juga memberi tahu pelanggan untuk “mulai menyetel ulang semua sandi yang terdapat dalam Passwordstate”.

Click Studios tidak mengatakan bagaimana penyerang menyusupi fitur pembaruan pengelola kata sandi, tetapi mengirim email kepada pelanggan dengan perbaikan keamanan.

Perusahaan juga mengatakan server penyerang telah dinonaktifkan pada tanggal 22 April. Namun pengguna Passwordstate masih dapat berisiko jika penyerang dapat membuat infrastruktur mereka online kembali.

Pengelola kata sandi perusahaan memungkinkan karyawan di perusahaan berbagi kata sandi dan rahasia sensitif lainnya di seluruh organisasi mereka, seperti perangkat jaringan – termasuk firewall dan VPN, akun email bersama, database internal, dan akun media sosial. Click Studios mengklaim Passwordstate digunakan oleh “lebih dari 29.000 pelanggan,” termasuk di Fortune 500, pemerintah, perbankan, pertahanan dan kedirgantaraan, dan sebagian besar industri besar.

Meskipun pelanggan yang terkena dampak diberitahu pagi ini, berita tentang pelanggaran tersebut baru diketahui secara luas beberapa jam kemudian setelah perusahaan keamanan siber Denmark CSIS Group menerbitkan sebuah posting blog dengan rincian serangan tersebut.

Kepala eksekutif Click Studios Mark Sanford tidak menanggapi permintaan komentar di luar jam kerja Australia.

selengkapnya : techcrunch.com

Kerentanan Keamanan AirDrop Mengekspos 1,5 Miliar Perangkat Apple, Kata Peneliti

by

Fitur AirDrop Apple adalah cara mudah untuk berbagi file antar perangkat perusahaan, tetapi peneliti keamanan dari Technische Universitat Darmstadt di Jerman memperingatkan bahwa Anda mungkin berbagi lebih dari sekadar file.

Menurut para peneliti, orang asing dapat menemukan nomor telepon dan email pengguna AirDrop terdekat. Yang dibutuhkan aktor yang buruk adalah perangkat dengan wifi dan berada dekat secara fisik. Mereka kemudian dapat membuka panel berbagi AirDrop di perangkat iOS atau macOS. Jika Anda telah mengaktifkan fitur tersebut, Anda bahkan tidak diharuskan untuk memulai atau terlibat dengan berbagi apa pun yang berisiko, menurut temuan mereka.

Masalahnya berakar pada opsi “Hanya Kontak” AirDrop. Para peneliti mengatakan bahwa untuk mencari tahu apakah pengguna AirDrop ada di kontak Anda, ini menggunakan “mekanisme autentikasi timbal balik” untuk mereferensikan nomor telepon dan email pengguna tersebut dengan daftar kontak orang lain. Sekarang, Apple tidak hanya melakukan itu sembarangan. Itu menggunakan enkripsi untuk pertukaran ini. Masalahnya adalah hash yang digunakan Apple tampaknya mudah dipecahkan menggunakan “teknik sederhana seperti serangan brute force”. Tidak jelas dari penelitian tingkat daya komputasi apa yang diperlukan untuk brute force hashes yang digunakan Apple.

selengkapnya : gizmodo.com

Target sempurna Ransomware: Mengapa satu industri perlu meningkatkan keamanan siber, sebelum terlambat

by

Serangan ransomware terhadap industri pengiriman dan logistik telah meningkat tiga kali lipat dalam setahun terakhir, karena penjahat dunia maya menargetkan rantai pasokan global dalam upaya menghasilkan uang dari pembayaran tebusan.

Analisis oleh perusahaan keamanan siber BlueVoyant menemukan bahwa serangan ransomware semakin menargetkan perusahaan pengiriman dan logistik pada saat pandemi COVID-19 global berarti bahwa layanan mereka lebih dibutuhkan daripada sebelumnya.

Serangan ransomware telah menjadi masalah keamanan siber utama untuk setiap industri, tetapi serangan yang berhasil terhadap perusahaan logistik berpotensi menimbulkan kekacauan – dan bayaran yang sangat menguntungkan bagi penyerang.

Sifat industri dan potensi dampak dari bagaimana gangguan dapat memengaruhi semua rantai pasokan mungkin berarti bahwa organisasi yang terkena dampak membayar permintaan tebusan, menganggapnya sebagai cara tercepat dan paling efektif untuk memulihkan jaringan – terlepas dari penegakan hukum dan keamanan siber para ahli memperingatkan para korban bahwa mereka seharusnya tidak mendorong penjahat dunia maya dengan membayar uang tebusan.

“Perusahaan pengiriman dan logistik adalah bisnis besar yang sangat sensitif terhadap gangguan, menjadikannya target sempurna untuk geng ransomware,” kata Thomas Lind, kepala intelijen strategis di BlueVoyant, kepada ZDNet.

selengkapnya : www.zdnet.com

Twitter secara tidak sengaja mengirim spam kepada pengguna yang meminta mereka untuk mengonfirmasi akun

by

Pada Jumat sore, banyak pengguna Twitter Australia bertanya apakah akan mempercayai email yang meminta orang untuk mengonfirmasi akun mereka.

Konsensus online dengan cepat sampai pada kesimpulan bahwa itu semua adalah penipuan – rekreasi yang sangat bagus dari email yang sah dari Twitter – ketika jaringan media sosial mengaku bahwa itu yang bertanggung jawab.

“Beberapa dari Anda mungkin baru-baru ini menerima email untuk” mengonfirmasi akun Twitter Anda “yang tidak Anda harapkan. Ini dikirim karena kesalahan dan kami menyesal hal itu terjadi,” kata perusahaan itu di akun dukungannya.

“Jika Anda menerima salah satu email ini, Anda tidak perlu mengonfirmasi akun Anda dan Anda dapat mengabaikan pesannya.”

selengkapnya : www.zdnet.com

Patchstack Whitepaper: 582 Masalah Keamanan WordPress Ditemukan pada 2020, Lebih Dari 96% Dari Ekstensi Pihak Ketiga

by

Patchstack, yang baru-baru ini diganti namanya dari WebARX, merilis whitepaper keamanan 2020-nya.

Laporan tersebut mengidentifikasi total 582 kerentanan keamanan. Namun, hanya 22 masalah yang berasal dari WordPress itu sendiri. Plugin dan tema pihak ketiga menyumbang 96,22% sisanya.

Patchstack adalah perusahaan keamanan yang berfokus pada ekstensi pihak ketiga ke WordPress. Basis data kerentanannya bersifat publik dan tersedia untuk dilihat siapa saja.

Pada kuartal kedua tahun 2020, Patchstack mensurvei hampir 400 pengembang web, freelancer, dan agensi tentang keamanan web. “Lebih dari 70% menjawab bahwa mereka semakin khawatir tentang keamanan situs web mereka, dan alasan utamanya adalah ‘kerentanan di plugin pihak ketiga,’” menurut whitepaper.

“Sekitar 45% responden melihat peningkatan serangan pada situs web yang mereka kelola, dan 25% harus berurusan dengan situs web yang diretas pada bulan sebelum berpartisipasi dalam survei”.

Peringkat teratas, 211 kerentanan yang ditemukan adalah masalah Cross-Site Scripting (XSS), 36,2% dari total.

Kerentanan injeksi menduduki peringkat kedua dengan 70 kasus unik. Itu diikuti oleh 38 masalah Cross-Site Request Forgery (CSRF) dan 29 contoh eksposur data sensitif.

Selengkapnya: WordPress Tavern

Platform Telegram Disalahgunakan dalam Kampanye Malware ‘ToxicEye’

by

Peretas memanfaatkan aplikasi perpesanan Telegram yang populer dengan menyematkan kodenya di dalam trojan akses jarak jauh (RAT) yang dijuluki ToxicEye, penelitian baru telah ditemukan. Komputer korban yang terinfeksi malware ToxicEye dikendalikan melalui akun perpesanan Telegram yang dioperasikan oleh peretas.

Malware ToxicEye dapat mengambil alih sistem file, menginstal ransomware, dan membocorkan data dari PC korban, menurut peneliti di Check Point Software Technologies.

Dalam serangan yang diamati oleh Check Point, ToxicEye RAT digunakan untuk menemukan dan mencuri sandi, informasi komputer, riwayat browser, dan cookie dari perangkat orang; menghapus dan mentransfer file atau mematikan proses PC serta mengambil alih pengelola tugas PC; menyebarkan keylogger atau merekam audio dan video di sekitar korban serta mencuri konten papan klip; dan menggunakan ransomware untuk mengenkripsi dan mendekripsi file korban.

Check Point mengatakan indikasi infeksi pada PC adalah adanya file bernama “rat.exe” yang terletak di dalam direktori C: \ Users \ ToxicEye \ rat [.] Exe.

Organisasi juga harus memantau lalu lintas yang dihasilkan dari PC ke akun Telegram ketika aplikasi Telegram tidak diinstal pada sistem yang dimaksud, kata peneliti.

Peneliti mendorong kewaspadaan tinggi saat memeriksa email dengan cermat. Penerima harus selalu memeriksa baris penerima email yang tampak mencurigakan sebelum terlibat dengannya, kata Check Point. Jika tidak ada penerima bernama atau penerima tidak terdaftar atau tidak diungkapkan, ini mungkin menunjukkan bahwa email tersebut adalah pesan phishing atau berbahaya.

selengkapnya : threatpost.com

Botnet backdoors server Microsoft Exchange, menambang cryptocurrency

by

Server Microsoft Exchange yang tidak ditambal sedang ditargetkan oleh botnet Prometei dan ditambahkan ke pasukan penambangan mata uang kripto Monero (XMR) operatornya.

Malware modular ini dapat menginfeksi sistem Windows dan Linux, dan pertama kali terlihat tahun lalu saat menggunakan eksploitasi EternalBlue untuk menyebar ke seluruh jaringan yang disusupi dan memperbudak komputer Windows yang rentan.

Tim Nocturnus Cybereason baru-baru ini menemukan bahwa botnet kemungkinan besar telah aktif selama hampir setengah dekade, menurut artefak Prometei yang dikirimkan ke VirusTotal pada Mei 2016.

Berdasarkan sampel malware baru yang baru-baru ini ditemukan oleh Cybereason selama respons insiden baru-baru ini, botnet juga telah diperbarui untuk mengeksploitasi kerentanan Exchange Server yang ditambal oleh Microsoft pada bulan Maret.

Fokus utama serangan Prometei pada server Exchange adalah untuk menyebarkan muatan cryptomining, mulai menghasilkan uang untuk operatornya, dan menyebar ke perangkat lain di jaringan menggunakan eksploitasi EternalBlue dan BlueKeep, mengambil kredensial, dan modul penyebar SSH atau SQL.

“Ketika penyerang mengendalikan mesin yang terinfeksi, mereka tidak hanya mampu menambang bitcoin dengan mencuri kekuatan pemrosesan, tetapi juga dapat mengekstraks informasi sensitif,” kata Assaf Dahan, direktur senior Cybereason dan kepala penelitian ancaman.

Sumber: Cybereason

Selengkapnya: Bleeping Computer

QNAP menghapus akun backdoor di cadangan NAS, aplikasi pemulihan bencana

by

QNAP telah mengatasi kerentanan kritis yang memungkinkan penyerang masuk ke perangkat QNAP NAS (penyimpanan yang terpasang ke jaringan) menggunakan kredensial yang di-hardcode.

Kerentanan kredensial hard-code yang dilacak sebagai CVE-2021-28799 ditemukan oleh ZUSO ART yang berbasis di Taiwan di HBS 3 Hybrid Backup Sync, solusi pemulihan bencana dan pencadangan data perusahaan.

Perusahaan mengatakan bahwa bug keamanan sudah diperbaiki di versi HBS berikut dan menyarankan pelanggan untuk memperbarui perangkat lunak ke versi rilis terbaru:

  • QTS 4.5.2: HBS 3 Hybrid Backup Sync 16.0.0415 dan yang lebih baru
  • QTS 4.3.6: HBS 3 Hybrid Backup Sync 3.0.210412 dan yang lebih baru
  • QuTS hero h4.5.1: HBS 3 Hybrid Backup Sync 16.0.0419 dan yang lebih baru
  • QuTScloud c4.5.1 ~ c4.5.4: HBS 3 Hybrid Backup Sync 16.0.0419 dan yang lebih baru

Untuk memperbarui HBS di perangkat NAS Anda, Anda harus masuk ke QTS atau QuTS hero sebagai administrator. Selanjutnya, cari “HBS 3 Hybrid Backup Sync” di App Center, lalu klik Perbarui dan OK untuk memperbarui aplikasi (opsi Pembaruan tidak tersedia jika HBS sudah diperbarui).

Selengkapnya: Bleeping Computer