News 350 - Naga Cyber Defense

Polisi membobol operasi video-game-cheat ‘terbesar di dunia’

March 31, 2021 by Winnie the Pooh

Upaya kolaboratif antara polisi China dan raksasa game Tencent telah menyebabkan penutupan apa yang menurut polisi sebagai operasi video-game-cheat terbesar yang pernah ada.

Geng tersebut merancang dan menjual cheat ke video game populer, termasuk Overwatch dan Call of Duty Mobile. Sekitar $ 76 juta (Rp 1 Triliun) pendapatan dibuat oleh organisasi yang membebankan biaya berlangganan kepada klien.

Polisi menyita aset senilai $ 46 juta (Rp 600 Milyar), termasuk beberapa mobil mewah.

Operasi itu disebut “Chicken Drumstick”, dan memiliki situs web yang menjual ke “ratusan negara dan wilayah”, media lokal melaporkan. Harga langganan untuk pengguna mulai dari sekitar $ 10 per hari, dan hingga $ 200 per bulan.

Polisi Kunshan menemukan dan menghancurkan 17 cheat dan menangkap 10 orang terkait dengan grup tersebut. Dikatakan itu adalah kasus kecurangan “terbesar di dunia” karena banyaknya uang dan permainan yang terlibat.

Selengkapnya: BBC News

Miliaran catatan telah diretas. Jadikan keamanan siber sebagai prioritas atau risiko bencana, analis memperingatkan

March 30, 2021 by Winnie the Pooh

Lebih banyak catatan data telah disusupi pada tahun 2020 daripada gabungan 15 tahun terakhir, dalam apa yang digambarkan sebagai “krisis pelanggaran data” yang meningkat dalam studi terbaru dari perusahaan analisis Canalys.

Selama 12 bulan terakhir, 31 miliar catatan data telah dikompromikan, kata Canalys. Data ini naik 171% dari tahun sebelumnya, dan merupakan lebih dari setengah dari 55 miliar catatan data yang telah disusupi secara total sejak 2005.

Kasus ransomware telah meningkat, dengan jumlah insiden yang dilaporkan naik 60% dibandingkan tahun 2019.

Menurut Canalys, ledakan serangan yang belum pernah terjadi sebelumnya ini sebagian dapat dikaitkan dengan pandemi COVID-19, yang memaksa organisasi di seluruh dunia untuk mendigitalkan dengan cepat, tanpa cukup memikirkan persyaratan keamanan baru yang datang dengan melakukan bisnis online.

Digitalisasi bisnis yang serba cepat, pada dasarnya, telah membuka banyak vektor serangan baru untuk dieksploitasi oleh pelaku ancaman. Dengan karyawan yang sekarang mengakses informasi perusahaan dari banyak lokasi berbeda, dan lebih banyak data disimpan dan diproses di luar lingkungan TI tradisional berbasis kantor, diperlukan langkah-langkah keamanan baru. Namun bisnis tampaknya tidak menanggapi ini dengan cukup serius.

Dengan kata lain, laju transformasi digital tidak diimbangi dengan pengamanan jaringan yang memadai terhadap ancaman siber.

Canalys, sebagai akibatnya, meminta para eksekutif bisnis untuk mengubah pola pikir mereka dari “jika” pelanggaran akan mempengaruhi perusahaan mereka menjadi “kapan”. “Prioritaskan keamanan siber dan berinvestasi dalam memperluas perlindungan, deteksi, dan tindakan respons atau menghadapi bencana,” menyimpulkan laporan itu. “Ini adalah kenyataan pahit bagi organisasi pada tahun 2021. Bagi banyak orang, ini sudah terlambat.”

Sumber: ZDNet

Server Git PHP diretas untuk menambahkan backdoor ke kode sumber PHP

March 29, 2021 by Winnie the Pooh

Dalam serangan rantai pasokan perangkat lunak terbaru, repositori resmi PHP Git diretas dan basis kode dirusak. Kemarin, dua komit berbahaya didorong ke repositori php-src Git yang dikelola oleh tim PHP di server git.php.net mereka. Aktor ancaman telah menandatangani komitmen ini seolah-olah ini dibuat oleh pengembang dan pengelola PHP terkenal, Rasmus Lerdorf dan Nikita Popov.

Backdoor RCE ditanam di server PHP Git
Dalam upaya untuk mengkompromikan basis kode PHP, dua komit berbahaya didorong ke repositori resmi PHP Git kemarin.

Insiden ini mengkhawatirkan mengingat PHP tetap menjadi bahasa pemrograman sisi server yang menguasai 79% situs web di Internet.

Penyerang mengupload perubahan misterius”perbaiki kesalahan ketik” dengan dalih koreksi tipografi kecil.

Namun, perhatikan baris 370 yang ditambahkan di mana fungsi zend_eval_string dipanggil, kode sebenarnya menanamkan backdoor untuk mendapatkan Remote Code Execution (RCE) yang mudah di situs web yang menjalankan versi PHP yang dibajak ini.

“Baris ini mengeksekusi kode PHP dari dalam header HTTP agen pengguna, jika string dimulai dengan ‘zerodium’,” kata pengembang PHP, Jake Birchall.

Selain itu, komit berbahaya dibuat atas nama pembuat PHP, Rasmus Lerdorf.

Tapi, itu tidak mengherankan karena dengan sistem kendali versi kode sumber seperti Git, adalah mungkin untuk menandatangani komit yang berasal dari orang lain secara lokal dan kemudian mengunggah komit yang dipalsukan ke server Git jarak jauh, di mana itu memberikan kesan sebagai jika memang telah ditandatangani oleh orang yang disebutkan di atasnya.

Meskipun penyelidikan lengkap atas insiden tersebut sedang berlangsung, menurut pengelola PHP, aktivitas berbahaya ini berasal dari server git.php.net yang disusupi, bukan akun Git individu.

Tim PHP juga merilis pernyataan rsmi seperti yang dilihat pada situs ini

Source : BleepingComputer

Serangan Ransomware di CompuCom Menghabiskan Biaya Pemulihan Lebih dari $ 20 Juta

March 29, 2021 by Winnie the Pooh

CompuCom, penyedia layanan terkelola TI yang terkena serangan ransomware bulan lalu, mengungkapkan biaya yang menutupi insiden tersebut lebih dari $ 20 juta.

Sebagian dari jumlah tersebut diharapkan akan ditanggung oleh asuransi sibernya, dan semuanya akan digunakan untuk memulihkan layanan yang terpengaruh. Aktor ancaman di balik insiden ini adalah grup ransomware DarkSide, yang berhasil menyebarkan suar Cobalt Strike.

Suar yang ditanam di seluruh jaringan CompuCom memungkinkan grup ransomware mencuri data yang tidak dienkripsi dan mengenkripsi semua sistem yang terhubung. Sementara CompuCom dikatakan telah bertindak segera dan memutus beberapa sistem yang terpengaruh dari jaringan, kerusakan yang signifikan telah terjadi.

Mereka harus berhenti melayani beberapa kliennya untuk menangani insiden tersebut dan akhirnya menyelidiki masalah tersebut. Hal ini, seperti yang diungkapkan oleh perusahaan induk CompuCom, merugikan perusahaan lebih dari $ 20 juta, termasuk penghentian bisnis untuk sementara waktu.

Induk CompuCom, ODP Corporation, mengungkapkan bahwa mereka memiliki asuransi siber untuk infrastrukturnya, yang sekarang dapat membantu setengah dari biaya yang terjadi. CompuCom telah memberi tahu pengguna yang terpengaruh tentang insiden malware ketika serangan itu terjadi, tetapi tidak menyebutkan potensi serangan ransomware.

Sumber: Techdator

Microsoft berbagi intelijen tentang aktivitas pasca-kompromi Serangan Exchange Server

March 29, 2021 by Winnie the Pooh Leave a Comment

Awal pekan ini, Microsoft mengatakan bahwa 92% dari server Exchange yang rentan telah ditambal atau telah diterapkan mitigasi. Namun, firma keamanan siber F-Secure mengatakan “puluhan ribu” server Exchange telah dibobol. Dalam posting blog baru, Microsoft menegaskan kembali peringatannya bahwa “menambal sistem tidak serta merta menghapus akses penyerang”.

“Banyak dari sistem yang disusupi belum menerima tindakan sekunder, seperti serangan ransomware yang dioperasikan oleh manusia atau eksfiltrasi data, yang menunjukkan bahwa penyerang dapat menetapkan dan mempertahankan akses mereka untuk kemungkinan tindakan selanjutnya,” catat Microsoft 365 Defender Threat Intelligence Team.

Jika sistem telah disusupi, Microsoft mendesak admin untuk mempraktikkan prinsip hak istimewa paling rendah dan mengurangi pergerakan lateral pada jaringan.

Hak istimewa terkecil akan membantu mengatasi praktik umum di mana layanan Exchange atau tugas terjadwal telah dikonfigurasi dengan akun dengan hak istimewa tinggi untuk melakukan tugas-tugas seperti pencadangan.

Menggunakan ransomware DoejoCrypt, alias DearCry, sebagai contoh, Microsoft mencatat bahwa web shell yang digunakan oleh strain tersebut menulis file batch ke C: \ Windows \ Temp \ xx.bat. Ini ditemukan di semua sistem yang terkena DoejoCrypt dan mungkin menawarkan penyerang rute untuk mendapatkan kembali akses di mana infeksi telah terdeteksi dan dihapus.

“File batch ini melakukan backup database Security Account Manager (SAM) dan kumpulan registri Sistem dan Keamanan, yang memungkinkan penyerang nanti mengakses sandi pengguna lokal di sistem dan, yang lebih penting, di LSA [Otoritas Keamanan Lokal] Bagian rahasia dari registri, di mana kata sandi untuk layanan dan tugas terjadwal disimpan, “catatan Microsoft.

Meskipun korban belum mendapatkan tebusan, penggunaan file xx.bat oleh penyerang memungkinkan mereka menjelajahi jaringan melalui kerangka web yang meletakkan file tersebut pada awalnya. Shell web juga mengunduh kit pengujian penetrasi Cobalt Strike sebelum mengunduh muatan ransomware dan mengenkripsi file. Dengan kata lain, korban mungkin belum ditebus hari ini, tetapi penyerang telah meninggalkan alat di jaringan untuk melakukannya besok.

Ancaman kejahatan dunia maya lainnya ke server Exchange berasal dari penambang mata uang kripto yang berbahaya. Botnet cryptocurrency Lemon Duck diamati mengeksploitasi server Exchange yang rentan. Menariknya, operator Lemon Duck membersihkan server Exchange dengan file xx.bat dan web shell, memberinya akses eksklusif ke server Exchange. Microsoft juga menemukan bahwa itu digunakan untuk menginstal malware lain, bukan hanya menambang cryptocurrency.

Source : ZDnet

Nine meminta bantuan dari pemerintah setelah tertimpa serangan siber besar-besaran

March 29, 2021 by Winnie the Pooh

Raksasa media Nine Entertainment Co telah meminta bantuan Direktorat Sinyal Australia setelah serangan siber besar menghantam sistem siarannya pada Minggu pagi.

Saat Nine bekerja untuk menyelesaikan masalah ini, Parlemen Australia juga menyelidiki potensi serangan siber di Canberra pada Minggu malam, yang memengaruhi ponsel cerdas dan tablet yang dikeluarkan pemerintah.

Asisten Menteri Pertahanan Andrew Hastie mengatakan pada Minggu malam bahwa dia “tidak terkejut” tentang serangan itu, yang menyebabkan masalah dengan operasi siaran langsung Nine dan sistem produksi cetak. Dia mengatakan itu adalah peringatan bagi semua bisnis bahwa mereka perlu mewaspadai potensi ancaman.

Seorang juru bicara Departemen Layanan Parlemen mengatakan pemerintah sedang bekerja untuk menyelidiki penyebab gangguan di Canberra, dengan Pusat Keamanan Siber Australia memberikan nasihat.

Direktur people and culter Nine, Vanessa Morley mengatakan perusahaan mungkin tidak dapat memulihkan sistem sepenuhnya untuk beberapa waktu dan menginstruksikan staf untuk bekerja dari rumah tanpa batas waktu. Asal dan motif serangan tidak jelas, tetapi tidak ada permintaan tebusan yang diajukan.

Sumber yang mengetahui diskusi di Nine mengatakan perusahaan telah melakukan pembicaraan dengan sejumlah besar pakar keamanan eksternal pada hari Minggu yang mengatakan mereka belum pernah melihat serangan semacam ini sebelumnya di Australia. Sumber tersebut mengatakan para ahli percaya itu adalah semacam ransomware yang kemungkinan dibuat oleh aktor yang disponsori negara.

Selengkapnya: Sydney Morning Herald

SolarWinds menambal bug eksekusi kode penting di Orion Platform

March 28, 2021 by Winnie the Pooh

SolarWinds telah merilis pembaruan keamanan untuk mengatasi empat kerentanan yang memengaruhi platform pemantauan TI Orion perusahaan, dua di antaranya memungkinkan penyerang mengeksekusi kode arbitrer dari jarak jauh.

Platform Orion adalah solusi administrasi TI yang memungkinkan organisasi perusahaan untuk mengelola, mengoptimalkan, dan memantau infrastruktur TI lokal, hibrid, atau perangkat lunak sebagai layanan (SaaS) mereka.

SolarWinds juga menyertakan beberapa peningkatan keamanan dalam rilis Platform Orion baru ini, termasuk:

-Peningkatan pencegahan Orion XSS dan perbaikan terkait.
-Perbaikan saluran komunikasi untuk layanan SolarWinds internal.
-Perlindungan UAC DB Manager
-AngularJS ditingkatkan ke 1.8.0
-Moment.JS ditingkatkan ke 2.29.1
-Administrator dapat menyebarkan pembaruan keamanan dan peningkatan keamanan tambahan dengan menginstal rilis Platform Orion 2020.2.5.

sumber : www.bleepingcomputer.com

Hacker Iran Menggunakan Perangkat Lunak Utilitas Jarak Jauh untuk Memata-matai Sasarannya

March 28, 2021 by Winnie the Pooh

Peretas yang diduga memiliki hubungan dengan Iran secara aktif menargetkan akademisi, lembaga pemerintah, dan entitas pariwisata di Timur Tengah dan kawasan tetangga sebagai bagian dari kampanye spionase yang ditujukan untuk pencurian data.

Dijuluki “Earth Vetala” oleh Trend Micro, temuan terbaru memperluas penelitian sebelumnya yang diterbitkan oleh Anomali bulan lalu, yang menemukan bukti aktivitas jahat yang ditujukan pada badan pemerintah UEA dan Kuwait dengan mengeksploitasi alat manajemen jarak jauh ScreenConnect.

Perusahaan keamanan siber mengaitkan serangan yang sedang berlangsung dengan keyakinan sedang dengan aktor ancaman yang secara luas dilacak sebagai MuddyWater, sebuah kelompok peretas Iran yang dikenal karena serangannya terutama terhadap negara-negara Timur Tengah.

Earth Vetala dikatakan telah memanfaatkan email spear-phishing yang berisi tautan tertanam ke layanan berbagi file populer yang disebut Onehub untuk mendistribusikan malware yang berkisar dari utilitas pembuangan kata sandi hingga pintu belakang khusus, sebelum memulai komunikasi dengan server perintah-dan-kontrol (C2) untuk menjalankan skrip PowerShell yang dikaburkan.

selengkapnya : thehackernews.com

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings