Trusted Security for all of Indonesia
Apple telah merilis pembaruan keamanan untuk mengatasi kerentanan di beberapa produk. Penyerang dapat mengeksploitasi beberapa kerentanan ini untuk mengendalikan perangkat yang terpengaruh.
CISA mendorong pengguna dan administrator untuk meninjau halaman keamanan Apple untuk produk berikut dan menerapkan pembaruan yang diperlukan.
sumber : us-cert.cisa.gov
Sebuah kampanye peretasan canggih yang sebelumnya disaksikan menargetkan kelemahan keamanan di perangkat Android, Windows dan iOS sebenarnya adalah pekerjaan “operasi pemerintah Barat” yang melakukan “counterterrorism operation,,” menurut laporan baru dari MIT Technology Review.
Kampanye tersebut, yang telah mendapatkan lebih banyak perhatian dari outlet media selama beberapa minggu terakhir, pertama kali ditulis pada bulan Januari oleh tim riset ancaman Google Project Zero. Pada saat itu, semua yang diketahui publik adalah bahwa seseorang telah melakukan beberapa bisnis yang sangat rumit: kelompok “sangat canggih”, kemungkinan dikelola oleh “tim ahli”, bertanggung jawab untuk menargetkan banyak kerentanan zero-day (total keseluruhan kemudian berubah menjadi 11) di berbagai sistem operasi terkemuka, tulis para peneliti.
Kampanye peretasan ini, yang berlangsung selama sekitar sembilan bulan, menggunakan apa yang disebut metode “watering hole” — di mana pelaku ancaman menyuntikkan kode berbahaya ke situs web untuk secara efektif “menjebak jebakan” (pengunjung situs kemudian akan terinfeksi perangkat lunak perusak, yang memungkinkan peretas menargetkan dan meningkatkan penyusupan target tertentu).
Dari semua deskriptor ini, tanda-tanda secara alami menunjuk pada keterlibatan semacam peretas negara-bangsa tingkat tinggi — meskipun hanya sedikit yang akan menduga bahwa pelakunya adalah, sebenarnya, teman kita! Namun demikian, tampaknya itulah masalahnya. Tidak jelas apa yang sebenarnya menjadi tanggung jawab pemerintah atas serangan tersebut, siapa targetnya, atau apa yang disebut operasi “kontraterorisme” terkait dengan semua ini. MIT belum membocorkan bagaimana mereka mendapatkan informasi ini.
Satu hal yang pasti: Penemuan Google dan pengungkapan publik berikutnya atas eksploitasi (serta keputusan perusahaan untuk menambal kerentanan) tampaknya telah menggagalkan operasi pemerintah apa pun yang terjadi. MIT menulis bahwa, dengan go public, perusahaan teknologi secara efektif menutup misi dunia maya “kontraterorisme langsung”, juga menambahkan bahwa “tidak jelas apakah Google memberikan pemberitahuan sebelumnya kepada pejabat pemerintah bahwa mereka akan mempublikasikan dan menghentikan” serangan tersebut. Hal ini rupanya “menyebabkan perpecahan internal di Google dan menimbulkan pertanyaan di dalam komunitas intelijen Amerika Serikat dan sekutunya”.
Ada banyak pertanyaan di sini, tentu saja. Pertama, pemerintah apa yang melakukan ini? Apa ancaman “teror” yang mereka selidiki? Situs web mana yang digunakan untuk mengejar teroris tersebut? Mengingat sifat politik sensitif dari jenis operasi ini, kecil kemungkinan kami akan mendapatkan jawaban untuk pertanyaan tersebut — setidaknya tidak langsung. Tetapi karena informasi yang tersedia sangat sedikit, juga cukup sulit untuk memahami apakah Project Zero dibenarkan dalam menjalankan operasi tersebut atau tidak, atau bahkan apa yang terjadi di sini.
sumber : gizmodo.com
Tambalan bulanan Google membantu menjaga Android tetap aman dari serangan jahat (dengan asumsi pabrikan ponsel Anda bersedia mengirimkan pembaruan tepat waktu). Selama Anda berhati-hati saat mengunduh aplikasi dari luar Play Store, menjaga keamanan perangkat Anda cukup mudah akhir-akhir ini, bahkan saat penyerang baru mencoba menyebarkan virus berbahaya. Minggu ini, peneliti keamanan seluler telah menemukan spyware yang berpura-pura sebagai pembaruan sistem, hanya untuk mengambil kendali penuh atas smartphone setelah diinstal.
Malware, yang pertama kali ditemukan oleh perusahaan keamanan Zimperium, ternyata sangat canggih. Setelah dipasang melalui aplikasi yang dibundel di luar Play Store, itu menutupi dirinya sendiri menggunakan pemberitahuan yang sama dengan pembaruan terverifikasi dari Google. Setelah aktif, tidak ada yang aman dari sentuhannya: Spyware ini dapat melihat dan mengunggah pesan, kontak, riwayat pencarian, dan bookmark. Itu dapat melacak lokasi, mengambil foto menggunakan kamera, merekam panggilan telepon dan audio eksternal, dan bahkan mencuri konten yang disalin dari clipboard Anda.
selengkapnya : www.androidpolice.com
Operator besar di A.S. seperti Verizon, T-Mobile, dan AT&T telah membuat perubahan tentang bagaimana pesan SMS dirutekan untuk menghentikan kerentanan keamanan yang memungkinkan peretas untuk mengubah rute teks, menurut Motherboard.
Operator memperkenalkan perubahan tersebut setelah investigasi Motherboard minggu lalu mengungkapkan betapa mudahnya bagi peretas untuk mengubah rute pesan teks dan menggunakan informasi yang dicuri untuk membobol akun media sosial. Situs tersebut membayar peretas $ 16 untuk mengubah rute teks menggunakan alat perusahaan bernama Sakari, yang membantu bisnis dengan pemasaran massal.
Sakari menawarkan alat perutean teks dari sebuah perusahaan bernama Bandwidth, yang dipasok oleh perusahaan lain bernama NetNumber, mengakibatkan jaringan perusahaan yang membingungkan berkontribusi pada kerentanan yang membuat teks SMS terbuka untuk peretas (Motherboard memiliki informasi lebih lanjut tentang proses dalam aslinya artikel). Peretas yang disewa oleh Motherboard dapat mengakses alat Sakari tanpa otentikasi atau persetujuan dari target perutean ulang, berhasil mendapatkan teks dari telepon uji Motherboard.
Sakari dimaksudkan untuk memungkinkan bisnis mengimpor nomor telepon mereka sendiri untuk mengirim teks massal, yang berarti bisnis dapat menambahkan nomor telepon untuk mengirim dan menerima teks melalui platform Sakari. Peretas dapat menyalahgunakan alat ini dengan mengimpor nomor telepon korban untuk mendapatkan akses ke pesan teks orang tersebut.
Aerialink, sebuah perusahaan komunikasi yang membantu merutekan pesan teks, mengatakan hari ini mengatakan bahwa operator nirkabel tidak lagi mendukung teks SMS atau MMS yang memungkinkan pada nomor nirkabel, sesuatu yang “mempengaruhi semua penyedia SMS di ekosistem seluler.” Ini akan mencegah peretasan yang ditunjukkan oleh Motherboard minggu lalu agar tidak berfungsi.
Tidak jelas apakah metode perutean ulang teks ini banyak digunakan oleh peretas, tetapi lebih mudah dilakukan daripada metode peretasan ponsel cerdas lainnya seperti pertukaran SIM. Seorang peneliti Security Research Labs mengatakan bahwa dia belum pernah melihatnya sebelumnya, sementara peneliti lain mengatakan itu “benar-benar” digunakan.
sumber : www.macrumors.com
Peringatan dari Biro Investigasi Federal A.S. tentang ransomware Mamba mengungkapkan titik lemah dalam proses enkripsi yang dapat membantu organisasi yang ditargetkan pulih dari serangan tanpa membayar uang tebusan.
FBI memperingatkan bahwa serangan ransomware Mamba telah diarahkan pada entitas di sektor publik dan swasta, termasuk pemerintah daerah, agen transportasi, layanan hukum, layanan teknologi, industri, komersial, manufaktur, dan bisnis konstruksi.
Mamba ransomware (alias HDDCryptor) mengandalkan solusi perangkat lunak sumber terbuka bernama DiskCryptor untuk mengenkripsi komputer korban di latar belakang dengan kunci yang ditentukan oleh penyerang.
FBI menjelaskan bahwa menginstal DiskCryptor memerlukan restart sistem untuk menambahkan driver yang diperlukan, yang terjadi dengan Mamba sekitar dua menit setelah menerapkan program.
Agensi tersebut selanjutnya mencatat bahwa kunci enkripsi dan variabel waktu penonaktifan disimpan dalam konfigurasi DiskCryptor, sebuah file plaintext bernama myConf.txt.
Sistem restart kedua terjadi setelah proses enkripsi selesai, sekitar dua jam kemudian, dan catatan tebusan muncul.
Karena tidak ada perlindungan di sekitar kunci enkripsi, karena disimpan dalam bentuk plaintext, FBI mengatakan bahwa jeda dua jam ini adalah peluang bagi organisasi yang terkena ransomware Mamba untuk memulihkannya.
Selengkapnya: Bleeping Computer
Raksasa asuransi CNA telah mengalami serangan ransomware menggunakan varian baru bernama Phoenix CryptoLocker yang mungkin terkait dengan grup peretasan Evil Corp.
Minggu ini, BleepingComputer melaporkan bahwa CNA telah mengalami serangan siber yang memengaruhi layanan online dan operasi bisnis mereka.
Segera setelah mereka melaporkan serangan itu, CNA mengeluarkan pernyataan yang mengonfirmasi bahwa mereka telah mengalami serangan siber akhir pekan lalu.
“Pada 21 Maret 2021, CNA menetapkan bahwa kami mengalami serangan keamanan siber yang canggih. Serangan tersebut menyebabkan gangguan jaringan dan memengaruhi sistem CNA tertentu, termasuk email perusahaan,” ungkap CNA dalam sebuah pernyataan.
Sejak pelaporan pertama BleepingComputer, mereka telah mengonfirmasi bahwa CNA mengalami serangan oleh ransomware baru yang dikenal sebagai ‘Phoenix CryptoLocker.’
Sumber yang akrab dengan serangan itu mengatakan kepada BleepingComputer bahwa pelaku ancaman menyebarkan ransomware di jaringan CNA pada 21 Maret, di mana ia melanjutkan untuk mengenkripsi lebih dari 15.000 perangkat di jaringan mereka.
Dilaporkan oleh BleepingComputer bahwa itu juga mengenkripsi komputer karyawan yang bekerja dari jarak jauh yang masuk ke VPN perusahaan pada saat serangan terjadi.
Saat mengenkripsi perangkat, ransomware menambahkan ekstensi .phoenix ke file yang dienkripsi dan membuat catatan tebusan bernama PHOENIX-HELP.txt, seperti yang ditunjukkan di bawah ini.
Sebuah sumber mengatakan kepada BleepingComputer bahwa Phoenix Locker diyakini sebagai keluarga ransomware baru yang dirilis oleh Evil Corp berdasarkan kesamaan dalam kodenya.
Selengkapnya: Bleeping Computer
Ransomware Hades telah dikaitkan dengan geng kejahatan siber Evil Corp yang menggunakannya untuk menghindari sanksi yang dijatuhkan oleh Kantor Pengawasan Aset Luar Negeri (OFAC) Departemen Keuangan.
Evil Corp (alias geng Dridex atau INDRIK SPIDER) telah aktif setidaknya sejak 2007 dan dikenal karena mendistribusikan malware Dridex.
Mereka kemudian beralih ke “bisnis” ransomware, pertama menggunakan ransomware Locky dan kemudian jenis ransomware mereka sendiri yang dikenal sebagai BitPaymer, diterapkan dalam serangan hingga 2019.
Departemen Keuangan AS memberi sanksi kepada anggota geng Evil Corp pada Desember 2019 setelah didakwa karena menggunakan Dridex untuk menyebabkan kerugian finansial lebih dari $ 100 juta.
Karena itu, korban mereka menghadapi situasi sulit jika mereka ingin membayar uang tebusan Evil Corp karena mereka juga akan melanggar sanksi.
Mulai Juni 2020, Evil Corp memperbarui taktiknya untuk menghindari sanksi, menyebarkan ransomware WastedLocker baru dalam serangan yang menargetkan organisasi perusahaan.
CrowdStrike sekarang menghubungkan geng kejahatan siber tersebut ke ransomware Hades berdasarkan “significant code overlap”. Alat malware baru yang sebelumnya tidak memiliki atribut ini membantu Evil Corp melewati sanksi untuk menghasilkan uang dari serangan mereka.
Hades ransomware adalah varian WastedLocker yang dikompilasi 64-bit yang ditingkatkan dengan obfuscation kode tambahan dan beberapa perubahan fitur kecil.
Meskipun tidak banyak serangan ransomware Hades yang dilaporkan oleh organisasi yang terpengaruh, korban Evil Corp telah menggunakan layanan ID-Ransomware untuk memeriksa apakah sistem mereka terkena ransomware Hades sejak grup tersebut mulai menggunakan jenis baru.
Selengkapnya: Bleeping Computer
Proyek OpenSSL telah mengeluarkan peringatan untuk dua kerentanan tingkat keparahan tinggi CVE-2021-3449 dan CVE-2021-3450 yang bersembunyi di produk OpenSSL.
OpenSSL adalah library perangkat lunak yang umum digunakan untuk membangun aplikasi jaringan dan server yang perlu membangun komunikasi yang aman.
Kerentanan ini meliputi:
Kerentanan DoS (CVE-2021-3449) di server OpenSSL TLS dapat menyebabkan server macet jika selama negosiasi ulang klien mengirim pesan ClientHello berbahaya.
Kerentanan hanya memengaruhi server OpenSSL yang menjalankan versi antara 1.1.1 dan 1.1.1j (keduanya inklusif) yang memiliki TLSv1.2 dan negosiasi ulang yang diaktifkan.
Namun, karena ini adalah konfigurasi default pada versi server OpenSSL ini, banyak server aktif yang berpotensi rentan. Klien OpenSSL tidak terpengaruh.
Untungnya, semua yang diperlukan untuk memperbaiki bug DoS ini adalah perbaikan satu baris, yang terdiri dari pengaturan peer_sigalgslen ke nol.
Kedua kerentanan diperbaiki di OpenSSL 1.1.1k dan pengguna disarankan untuk meningkatkan ke versi ini untuk melindungi instance mereka.
Sumber: Bleeping Computer
