News 343 - Naga Cyber Defense

Temui Geng Ransomware di Balik Salah Satu Peretasan Rantai Pasokan Terbesar yang Pernah Ada

April 16, 2021 by Winnie the Pooh

Kat Garcia adalah peneliti keamanan siber di Emsisoft, di mana, sebagai bagian dari pekerjaannya, dia melacak geng ransomware bernama Cl0p.

Namun, dia terkejut saat mendapat email di akhir bulan lalu dari para peretas. Dalam pesan tersebut, peretas Cl0p memberitahunya bahwa mereka telah membobol server toko pakaian untuk ibu hamil dan mereka memiliki telepon, email, alamat rumah, informasi kartu kredit, dan nomor Jaminan Sosial.

“Kami memberi tahu Anda bahwa informasi tentang Anda dan pembelian Anda, serta rincian pembayaran Anda, akan dipublikasikan di darknet jika perusahaan tidak menghubungi kami,” tulis para peretas. “Telepon atau kirim surat ke toko ini dan minta untuk melindungi privasi Anda.”

Garcia mengatakan bahwa insiden ini “menunjukkan seberapa jauh pelaku ancaman bersedia untuk menghasilkan uang dari kejahatan mereka.”

Penjahat dunia maya C10p sekarang mencoba merekrut pelanggan dari perusahaan yang dilanggar untuk membantu mereka mendesak perusahaan yang mereka retas. Ini adalah perubahan terbaru dalam upaya kelompok peretas untuk memeras uang dari para korban, dan itulah salah satu alasan mengapa Cl0p telah menjadi salah satu kelompok peretas yang paling menarik — dan menakutkan — di awal tahun 2021.

Cl0p, juga dikenal sebagai TA505 dan FIN11, telah ada setidaknya selama tiga tahun, menurut beberapa perusahaan keamanan yang telah melacak grup tersebut. Namun para peretas baru-baru ini mendapatkan lebih banyak berita utama dan menjadi lebih menonjol setelah mendapatkan akses ke harta karun berupa data sensitif dari lusinan perusahaan — dan semuanya berkat satu peretasan tunggal.

selengkapnya : www.vice.com

Eksploitasi zero-day Google Chrome kedua dibagikan di twitter minggu ini

April 15, 2021 by Winnie the Pooh

Eksploitasi eksekusi kode jarak jauh zero-day Chromium kedua telah dirilis di Twitter minggu ini yang memengaruhi versi terbaru Google Chrome, Microsoft Edge, dan kemungkinan browser berbasis Chromium lainnya.

Kerentanan zero-day adalah ketika informasi mendetail tentang kerentanan atau exploit dirilis sebelum pengembang perangkat lunak yang terpengaruh dapat memperbaikinya. Kerentanan ini menimbulkan risiko yang signifikan bagi pengguna karena memungkinkan pelaku ancaman untuk mulai menggunakannya sebelum perbaikan dirilis.

Seorang peneliti keamanan yang dikenal sebagai frust menjatuhkan eksploitasi PoC di Twitter untuk bug zero-day browser berbasis Chromium yang menyebabkan aplikasi Windows Notepad terbuka.

another chrome 0dayhttps://t.co/QJy24ARKlU
Just here to drop a chrome 0day. Yes you read that right.

— frust (@frust93717815) April 14, 2021

Kerentanan zero-day baru ini muncul sehari setelah Google merilis Chrome 89.0.4389.128 untuk memperbaiki kerentanan zero-day Chromium lain yang dirilis secara publik pada hari Senin.

Frust merilis video yang menunjukkan kerentanan yang dieksploitasi untuk membuktikan bahwa eksploitasi PoC mereka berfungsi.

Selengkapnya: Bleeping Computer

Europol: “Hampir Semua” Kejahatan Sekarang Memiliki Elemen Digital

April 15, 2021 by Winnie the Pooh

“Hampir semua” aktivitas kriminal memiliki komponen daring, sementara banyak yang sepenuhnya bermigrasi secara daring, menurut laporan baru oleh Europol.

Penilaian Ancaman Kejahatan Serius dan Terorganisir (SOCTA) 2021 menyoroti bagaimana penjahat semakin memasukkan teknologi digital ke dalam aktivitas mereka, sebuah tren yang telah diperburuk pada tahun lalu di tengah lockdown COVID-19. Ini termasuk di bidang-bidang seperti komunikasi dan keuangan, membuat kejahatan lebih sulit dideteksi dan dilacak oleh lembaga penegak hukum.

Perkembangan saluran komunikasi terenkripsi dan media sosial telah mempermudah penjahat dunia maya untuk mengiklankan layanan mereka kepada lebih banyak orang, sementara peralihan ke belanja online telah “menyebabkan peningkatan tajam dalam penggunaan paket kecil, melalui pos atau jasa kurir ekspres, untuk mendistribusikan barang gelap.” Studi tersebut juga mencatat bahwa teknik pencucian uang baru yang melibatkan cyptocurrency telah berkembang biak baru-baru ini.

Analisis, yang diterbitkan setiap empat tahun, juga menemukan bahwa serangan dunia maya telah meningkat dalam prevalensi dan menjadi lebih canggih sejak laporan SOCTA sebelumnya pada tahun 2017. Penulis juga percaya kejahatan yang bergantung pada dunia maya tidak dilaporkan secara signifikan, yang berarti gambarannya masih jauh lebih buruk dari angka resmi yang ditunjukkan.

Tren ini diperburuk oleh peralihan ke layanan digital akibat pandemi COVID-19.

Selengkapnya: Info Security

Bug Keamanan Memungkinkan Penyerang untuk Merusak Kubernetes Clusters

April 15, 2021 by Winnie the Pooh

Kerentanan di salah satu library Go yang menjadi dasar Kubernetes dapat menyebabkan denial of service (DoS) untuk mesin container CRI-O dan Podman.

Bug (CVE-2021-20291) memengaruhi library Go yang disebut “container/storage”. Menurut Aviv Sasson, peneliti keamanan di tim Unit 42 Palo Alto yang menemukan cacat tersebut, hal itu dapat dipicu dengan menempatkan gambar berbahaya di dalam registri; kondisi DoS dibuat saat gambar tersebut ditarik dari registri oleh pengguna yang tidak menaruh curiga.

CRI-O dan Podman adalah image container, mirip dengan Docker, yang digunakan untuk melakukan tindakan dan mengelola container di cloud. Library container/storage digunakan oleh CRI-O dan Podman untuk menangani penyimpanan dan pengunduhan gambar kontainer.

Ketika kerentanan dipicu, CRI-O gagal menarik gambar baru, memulai containers baru (bahkan jika sudah ditarik), mengambil daftar gambar lokal atau mematikan containers, menurut peneliti.

Sementara itu Podman akan gagal menarik gambar baru, mengambil pod yang sedang berjalan, memulai containers baru (bahkan jika sudah ditarik), mengeksekusi ke dalam containers, mengambil gambar yang ada atau mematikan containers yang ada, katanya.

Selengkapnya: Threat Post

Supermarket Belanda kehabisan keju setelah serangan ransomware

April 15, 2021 by Winnie the Pooh

Serangan ransomware terhadap pergudangan yang berkondisi dan penyedia transportasi Bakker Logistiek telah menyebabkan kekurangan keju di supermarket Belanda.

Bakker Logistiek adalah salah satu penyedia layanan logistik terbesar di Belanda, menawarkan pergudangan ber-AC dan transportasi makanan untuk supermarket Belanda.

Minggu lalu, Bakker Logistiek mengalami serangan ransomware yang mengenkripsi perangkat di jaringan mereka dan mengganggu transportasi makanan dan operasi pemenuhan.

“Kami tidak bisa lagi menerima pesanan dari pelanggan,” kata direktur Bakker Toon Verhoeven kepada NOS. “Dan di gudang kami, kami tidak lagi tahu di mana produk berada. Ini adalah gudang yang sangat besar, Anda tidak hanya mencari palet. Kami juga tidak dapat merencanakan pengangkutan kami lagi. Kami memiliki ratusan truk, yang tidak bisa dilakukan dengan tangan juga.”

Gangguan ini menyebabkan kekurangan produk makanan tertentu, terutama keju, di jaringan supermarket terbesar di Belanda, Albert Heijn.

Kekurangan ini menyebabkan Albert Heijn memposting pemberitahuan di situs web mereka untuk memberi tahu pelanggan tentang terbatasnya ketersediaan keju kemasan.

Selengkapnya: Bleeping Computer

Keamanan Siber: Para korban melihat serangan siber jauh lebih cepat

April 15, 2021 by Winnie the Pooh

Para peneliti di perusahaan keamanan siber FireEye Mandiant menganalisis ratusan insiden dunia maya dan menemukan bahwa median waktu tunggu global – durasi antara dimulainya gangguan keamanan dan ketika teridentifikasi – telah turun hingga di bawah satu bulan untuk pertama kalinya, yaitu di 24 hari.

Menurut laporan ancaman tahunan M-Trends 2021, itu berarti insiden diidentifikasi dua kali lebih cepat dari tahun lalu ketika waktu tunggu rata-rata adalah 56 hari – dan jauh lebih cepat daripada satu dekade lalu, ketika organisasi membutuhkan waktu lebih dari setahun untuk menyadari bahwa penjahat dunia maya telah menyusup ke jaringan.

Sementara sebagian dari pengurangan waktu tunggu ini berkat kemampuan deteksi dan respons yang lebih baik dari organisasi, peningkatan ransomware juga berperan.

Serangan tersebut sangat menguntungkan bagi penjahat dunia maya, tetapi tidak seperti kebanyakan bentuk serangan dunia maya lainnya, ransomware tidak berada di bawah radar – korban serangan ransomware tahu bahwa mereka telah menjadi korban ketika jaringan mereka tiba-tiba dienkripsi dan catatan tebusan ditinggalkan oleh para penyerang.

Salah satu keuntungan utama dari serangan ransomware bagi penjahat dunia maya adalah bahwa mereka berpotensi menghasilkan banyak uang dalam waktu yang relatif singkat.

Penjahat dunia maya menghabiskan lebih sedikit waktu di dalam jaringan sebelum mereka ditemukan. Tapi itu sebagian karena ketika peretas menyebarkan ransomware, mereka tidak bersembunyi lama.

Selengkapnya: ZDNet

FBI menghapus web shell dari Exchange Server yang diretas tanpa memberi tahu pemiliknya

April 14, 2021 by Winnie the Pooh

Operasi FBI yang disetujui pengadilan dilakukan untuk menghapus web shell dari server Microsoft Exchange berbasis di AS yang disusupi tanpa memberi tahu pemilik server terlebih dahulu.

Dalam siaran pers Departemen Kehakiman yang diterbitkan hari ini, FBI menyatakan bahwa mereka menggunakan surat perintah penggeledahan untuk mengakses server Exchange yang masih dikompromikan, menyalin web shell sebagai bukti, dan kemudian menghapus web shell dari server.

FBI meminta surat perintah ini karena mereka yakin bahwa pemilik server web yang masih terinfeksi tidak memiliki kemampuan teknis untuk menghapusnya sendiri dan bahwa shell tersebut menimbulkan risiko yang signifikan bagi korban.

Karena ada kekhawatiran bahwa memberi tahu pemilik server ini dapat membahayakan operasi, FBI meminta agar surat perintah ditutup dan pemberitahuan surat perintah ditunda sampai operasi selesai.

Untuk membersihkan server Microsoft Exchange yang teridentifikasi, FBI mengakses web shell menggunakan sandi yang diketahui digunakan oleh pelaku ancaman, menyalin web shell sebagai bukti, dan kemudian menjalankan perintah untuk menghapus web shell dari server yang disusupi.

Selengkapnya: Bleeping Computer

Bagaimana data poisoning menyerang model pembelajaran mesin yang korup

April 14, 2021 by Winnie the Pooh

Apa itu data poisoning?

Data poisoning atau serangan poisoning model melibatkan pencemaran data pelatihan model pembelajaran mesin. Data posoning dianggap sebagai serangan integritas karena gangguan pada data pelatihan memengaruhi kemampuan model untuk menghasilkan prediksi yang benar. Jenis serangan lain dapat diklasifikasikan dengan cara yang sama berdasarkan dampaknya:

Kerahasiaan (Confidentiality), di mana penyerang dapat menyimpulkan informasi yang berpotensi rahasia tentang data pelatihan dengan memasukkan input ke model
Ketersediaan (Availability), tempat penyerang menyamarkan input mereka untuk mengelabui model guna menghindari klasifikasi yang benar
Replikasi (Replication), di mana penyerang dapat merekayasa balik model untuk mereplikasi dan menganalisisnya secara lokal untuk menyiapkan serangan atau mengeksploitasinya untuk keuntungan finansial mereka sendiri

Contoh data poisoning

Contoh nyata dari hal ini adalah serangan terhadap filter spam yang digunakan oleh penyedia email. Dalam postingan blog 2018 tentang serangan pembelajaran mesin, Elie Bursztein, yang memimpin tim riset anti-penyalahgunaan di Google mengatakan: “Dalam praktiknya, kami secara teratur melihat beberapa grup spammer tercanggih mencoba membuat filter Gmail keluar jalur dengan melaporkan email spam dalam jumlah besar sebagai bukan spam […] Antara akhir November 2017 dan awal 2018, ada setidaknya empat upaya berbahaya berskala besar untuk membelokkan pengklasifikasi kami.”

Tidak ada perbaikan yang mudah

Masalah utama dengan data poisoning adalah tidak mudah untuk memperbaikinya. Model dilatih ulang dengan data yang baru dikumpulkan pada interval tertentu, bergantung pada tujuan penggunaan dan preferensi pemiliknya. Karena poisoning biasanya terjadi seiring waktu, dan selama beberapa siklus pelatihan, sulit untuk mengetahui kapan akurasi prediksi mulai bergeser.

Cegah dan deteksi

Mengingat kesulitan dalam memperbaiki model yang diracuni, pengembang model perlu fokus pada tindakan yang dapat memblokir upaya serangan atau mendeteksi input berbahaya sebelum siklus pelatihan berikutnya terjadi — hal-hal seperti pemeriksaan validitas masukan, pembatasan kecepatan, pengujian regresi, moderasi manual, dan menggunakan berbagai statistik teknik untuk mendeteksi anomali.

Untuk melakukan data poisoning, penyerang juga perlu mendapatkan informasi tentang cara kerja model, jadi penting untuk membocorkan informasi sesedikit mungkin dan memiliki kontrol akses yang kuat untuk model dan data pelatihan. Dalam hal ini, pertahanan pembelajaran mesin terikat dengan praktik keamanan dan kebersihan umum — hal-hal seperti membatasi izin, mengaktifkan logging, dan menggunakan file dan data versioning.

Selengkapnya: CSO Online

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Apa itu data poisoning?

Contoh data poisoning

Tidak ada perbaikan yang mudah

Cegah dan deteksi

Cookies Settings