News 355 - Naga Cyber Defense

Microsoft dan McAfee menjadi berita utama ‘Ransomware Task Force’ yang baru dibentuk

December 23, 2020 by Mally

Sebuah kelompok yang terdiri dari 19 perusahaan keamanan, perusahaan teknologi, dan nirlaba, yang dipimpin oleh nama-nama besar seperti Microsoft dan McAfee, telah mengumumkan pada hari Senin rencana untuk membentuk koalisi baru untuk menghadapi meningkatnya ancaman ransomware.

Dinamakan Ransomware Task Force (RTF), grup baru ini akan fokus pada penilaian solusi teknis yang ada yang memberikan perlindungan selama serangan ransomware.

RTF akan menugaskan pelaksana ahli tentang topik tersebut, melibatkan pemangku kepentingan di seluruh industri, mengidentifikasi celah dalam solusi saat ini, dan kemudian mengerjakan peta jalan umum untuk menangani masalah di antara semua anggota.

Hasil akhirnya harus berupa kerangka kerja standar untuk menangani serangan ransomware di seluruh vertikal, yang didasarkan pada konsensus industri daripada saran individu yang diterima dari kontraktor tunggal.

Saat ini, ransomware bukanlah bentuk malware yang paling tersebar luas maupun jenis serangan siber yang menyebabkan kerugian finansial terbesar bagi perusahaan setiap tahun. Gelar tersebut jatuh ke penipuan BEC, menurut FBI.

Namun demikian, ransomware masih menjadi ancaman utama dan tren yang terus meningkat, dengan permintaan tebusan yang terus meningkat dari kuartal ke kuartal.

Sumber: ZDNet

Penjahat dunia maya telah mulai mengindeks Dark Web

December 23, 2020 by Mally

Penelitian baru dari Digital Shadows telah menemukan layanan pengindeksan web gelap cerdas yang disebut QUO. Meskipun ada layanan serupa di luar sana, QUO perlahan-lahan membangun reputasi sebagai toko serba ada bagi pengguna selain penjahat dunia maya di web gelap.

Menurut halaman tentang layanan, QUO adalah “web gelap, mesin pencari teks lengkap yang dirancang untuk membuat indeks halaman bawang yang terus diperbarui” untuk menyediakan cara bagi penggunanya untuk “menjelajahi web gelap dengan cepat dan tanpa nama, tanpa log, cookie, dan JavaScript ”. Pada saat penulisan, indeks QUO berisi lebih dari 200 GB data sekitar delapan juta halaman dari sekitar 20.000 ribu situs termasuk URL, judul, metadata, kata kunci, dan judulnya.

Sementara Quo menandai setiap domain Onion yang diindeksnya sebagai online, offline, atau daftar hitam, ia juga memiliki fungsi yang memungkinkan penggunanya melaporkan domain yang berisi konten tidak pantas yang mungkin telah lolos dari proses pemeriksaannya.

Pada surface web, Semua situs web yang Anda kunjungi secara teratur mudah ditemukan secara online karena telah diindeks oleh mesin pencari seperti Google, sedangkan situs di web gelap seringkali sulit ditemukan tanpa mengetahui alamat pastinya karena tidak diindeks.

Source : techradar

VMware mengkonfirmasi adanya pelanggaran dalam kampanye peretasan SolarWinds

December 22, 2020 by Mally

VMware adalah perusahaan terbaru yang mengonfirmasi bahwa sistemnya telah dilanggar dalam serangan SolarWinds baru-baru ini tetapi membantah upaya eksploitasi lebih lanjut.

Perusahaan mengatakan bahwa para peretas tidak melakukan upaya apa pun untuk mengeksploitasi akses mereka lebih lanjut setelah menggunakan backdoor yang sekarang dilacak sebagai Sunburst atau Solarigate.

“Meskipun kami telah mengidentifikasi contoh terbatas dari perangkat lunak SolarWinds Orion yang rentan di lingkungan internal kami sendiri, penyelidikan internal kami sendiri belum mengungkapkan indikasi eksploitasi,” kata perusahaan itu dalam sebuah pernyataan.

“Ini juga telah dikonfirmasi oleh investigasi SolarWinds sendiri hingga saat ini,” tambah VMware.

VMware juga membantah laporan media bahwa kerentanan zero-day di beberapa produk VMware yang dilaporkan oleh NSA digunakan sebagai vektor serangan tambahan selain platform SolarWinds Orion untuk mengganggu target profil tinggi.

Kerentanan yang dilacak sebagai CVE 2020-4006 telah diungkapkan secara publik pada bulan November dan ditangani selama awal Desember.

Meskipun CVE-2020-4006 tidak disalahgunakan dalam pelanggaran apa pun yang terkait dengan serangan rantai pasokan SolarWinds, VMware mengatakan bahwa semua pelanggan harus menerapkan pembaruan keamanan untuk produk yang terpengaruh.

Sumber: Bleeping Computer

Security Breach yang menimpa Microsoft Azure menyebabkan ribuan data pelanggan terungkap

December 22, 2020 by Mally

Berkat praktik keamanan yang dipertanyakan oleh pengembang aplikasi, lebih dari setengah juta dokumen sensitif pelanggannya terungkap di Internet. Dokumen tersebut disimpan di penyimpanan blob Microsoft Azure yang tidak dilindungi dan dapat dilihat oleh siapa saja yang memiliki alamat langsung dari file tersebut, tanpa otentikasi apa pun.

Penyimpanan Azure Blob adalah fitur Microsoft Azure yang memungkinkan pengguna menyimpan data tidak terstruktur dalam jumlah besar di platform penyimpanan data Microsoft.

Blob tidak aman tersebut dikelola oleh pengembang aplikasi berbasis di Surrey, Probase dan menurut The Register, itu berisi 587.000 file, mulai dari email yang di-backup hingga surat, spreadsheet, tangkapan layar, dan banyak lagi.

Blob tersebut berisi penilaian kesehatan kerja, dokumen klaim asuransi dari perusahaan AS yang ditanggung oleh Lloyds of London, dan pendapat pribadi pengacara senior tentang rekan junior yang mengajukan promosi.

Namun yang lebih mengkhawatirkan, blob itu juga menyertakan dokumentasi keamanan pengiriman FedEx, bersama dengan data medis yang sangat sensitif, dan setidaknya satu paspor yang telah dipindai.

Saat dimintai keterangan, direktur Probase Paul Brown, tidak berkomentar tentang berapa lama blob tersebut tidak diamankan, tetapi mengatakan bahwa mereka bekerja sama dengan Kantor Komisaris Informasi untuk menyelesaikan masalah tersebut.

Sumber: Tech Radar

Sekitar 50 perusahaan ‘benar-benar terpengaruh’ oleh serangan siber yang menimpa AS

December 22, 2020 by Mally

Kevin Mandia, CEO FireEye, mengatakan bahwa sementara sekitar 18.000 organisasi memiliki kode berbahaya di jaringan mereka, ada 50 organisasi yang mengalami pelanggaran besar.

Departemen Keuangan AS dan departemen keamanan dalam negeri, negara bagian dan pertahanan diketahui telah menjadi sasaran. Menteri Luar Negeri AS Mike Pompeo menyalahkan Rusia atas peretasan tersebut.

Mr Mandia mengatakan kepada CBS News bahwa serangan siber “sangat konsisten” dan dikaitkan dengan pekerjaan badan intelijen luar negeri Rusia, SVR.

“Saya pikir ini adalah orang-orang yang kami tangani di tahun 90-an, di awal tahun 2000-an. Ini adalah permainan yang berkelanjutan di dunia maya,” katanya.

Terlepas dari penolakan Rusia atas klaim “tak berdasar”, banyak komunitas intelijen AS mencurigai pemerintah Rusia yang bertanggung jawab atas peretasan besar ini.

Seperti yang telah diberitakan baru-baru ini, peretas berhasil mendapatkan akses ke organisasi besar dengan mengorbankan perangkat lunak manajemen jaringan yang dikembangkan oleh perusahaan IT SolarWinds yang berbasis di Texas.

Akses tersebut dapat memungkinkan para peretas untuk mengambil kendali tingkat tinggi atas jaringan organisasi yang menggunakan perangkat lunak tersebut, namun tampaknya telah digunakan untuk mencuri data daripada untuk dampak yang mengganggu atau merusak.

Beberapa organisasi lain di seluruh dunia, termasuk di Inggris, diketahui telah menjadi sasaran peretas yang menggunakan perangkat lunak manajemen jaringan yang sama.

Sumber: BBC

Krebs: AS harus ‘berhati-hati’ tentang meningkatnya perang dunia maya dengan Rusia

December 22, 2020 by Mally

Mantan kepala Cybersecurity and Infrastructure Security Agency (CISA) Christopher Krebs dalam sebuah wawancara pada hari Minggu mengungkapkan pada seruan anggota parlemen untuk pembalasan sebagai tanggapan atas intrusi dunia maya di berbagai lembaga pemerintah yang diyakini dilakukan oleh Rusia. Berbicara dengan Jake Tapper dari CNN tentang “State of the Union,” Krebs mengatakan bahwa anggota parlemen seperti Senator Mitt Romney (R-Utah,) harus waspada dengan pernyataan “tanggapan dunia maya yang besarnya sama atau lebih besar” di awal program,

“Saya akan sangat berhati-hati untuk meningkatkan ini,” jawab Krebs.

Mantan kepala keamanan siber AS itu menambahkan. “Diperlukan adanya percakapan di antara negara-negara yang berpikiran sama” tentang apa bentuk spionase dunia maya yang dapat diterima, Krebs juga ditanyai selama wawancara tentang tweet pada hari Sabtu dari Presiden Trump, yang bertentangan dengan pejabat tinggi AS dan menyarankan keterlibatan China dalam serangan dunia maya serta tuduhan intrusi yang tidak berdasar ke dalam sistem pemungutan suara AS.

Krebs juga ditanyai selama wawancara tentang tweet pada hari Sabtu dari Presiden Trump, yang bertentangan dengan pejabat tinggi AS dan menyarankan keterlibatan China dalam serangan dunia maya serta tuduhan intrusi yang tidak berdasar ke dalam sistem pemungutan suara AS. “Ini Rusia,” jawab Krebs pada hari Minggu, sebelum menambahkan dinas intelijen Rusia, SVR: “Mereka sangat ahli dalam hal itu.”
Peretasan itu mungkin terjadi, tambahnya, karena sistem lama masih digunakan di seluruh lembaga pemerintah yang belum meningkatkan kemampuannya selama bertahun-tahun dan tidak “dioptimalkan” untuk dipertahankan dengan mudah.

Source : The Hill

Grup peretasan kedua telah menargetkan sistem SolarWinds

December 22, 2020 by Mally

Ketika bukti forensik perlahan-lahan digali setelah serangan rantai pasokan SolarWinds, peneliti keamanan telah menemukan pelaku ancaman kedua yang telah mengeksploitasi perangkat lunak SolarWinds untuk menanam malware di jaringan perusahaan dan pemerintah.

Rincian tentang aktor ancaman kedua ini masih langka, tetapi peneliti keamanan tidak percaya entitas kedua ini terkait dengan dugaan peretas yang didukung pemerintah Rusia yang melanggar SolarWinds untuk memasukkan malware ke dalam aplikasi resmi Orion.

Malware yang digunakan dalam serangan asli, dengan nama sandi Sunburst (atau Solorigate), dikirimkan ke pelanggan SolarWinds sebagai pembaruan yang di-boobytrapped untuk aplikasi Orion.

Tetapi dalam beberapa hari pertama setelah pengungkapan publik dari peretasan SolarWinds, laporan awal menyebutkan dua muatan tahap kedua.

Laporan dari Guidepoint, Symantec, dan Palo Alto Networks merinci bagaimana penyerang juga menanam web shell .NET bernama Supernova. Peneliti keamanan percaya bahwa penyerang menggunakan web shell Supernova untuk mengunduh, mengkompilasi, dan mengeksekusi skrip Powershell yang berbahaya (yang oleh beberapa orang dinamai CosmicGale).

Namun, dalam analisis tindak lanjut dari tim keamanan Microsoft, sekarang diklarifikasi bahwa web shell Supernova bukan bagian dari rantai serangan asli.

Kebingungan bahwa Supernova terkait dengan rantai serangan Sunburst + Teardrop berasal dari fakta bahwa sama seperti Sunburst, Supernova menyamar sebagai DLL untuk aplikasi Orion – dengan Sunburst disembunyikan di dalam file SolarWinds.Orion.Core.BusinessLayer.dll dan Supernova di dalam App_Web_logoimagehandler.ashx.b6031896.dll.

Sumber: ZDNet

SolarWinds adalah puncak gunung es

December 22, 2020 by Mally

Serangan rantai pasokan perangkat lunak SolarWinds baru-baru ini merupakan indikasi jelas bahwa OT (Operational Technology) Cybersecurity yang kuat harus dimiliki dalam lingkungan ancaman saat ini.

Pelanggaran SolarWinds hanya menunjukkan bahwa lingkungan ancaman siber terus memburuk. Malware SUNBURST dan SUPERNOVA yang dimasukkan ke dalam pembaruan perangkat lunak SolarWinds Orion hanyalah contoh terbaru dari serangan rantai pasokan perangkat lunak.

Serangan sebelumnya termasuk NotPetya dan Havex. Keduanya adalah malware yang dimasukkan ke dalam pembaruan perangkat lunak yang sah di situs web vendor yang sah dan memengaruhi banyak perusahaan industri.

Teknik dan teknologi serangan yang ditunjukkan dalam pelanggaran SolarWinds hanyalah yang terbaru untuk menerobos jaringan TI dan OT yang hanya menggunakan pertahanan perangkat lunak. Hanya ada banyak hal yang dapat dilakukan oleh firewall, sistem anti-virus, sistem deteksi intrusi, dan sejenisnya untuk kita. Musuh kita telah lama mengetahui hal ini dan mengalahkan pertahanan perangkat lunak secara lebih rutin setiap minggu.

Selain itu, SolarWinds Orion hanyalah salah satu dari banyak aplikasi yang banyak digunakan yang, jika dikompromikan, dapat digunakan untuk memanipulasi dan merusak sebagian besar infrastruktur industri.

Grup ransomware dan musuh lainnya tidak akan lama lagi memasang serangan rantai pasokan perangkat lunak mereka sendiri. Mereka memiliki banyak target vendor untuk dipilih.

Sekali lagi, waktunya telah tiba untuk perlindungan yang didukung perangkat keras untuk jaringan industri & OT. Pembangkit listrik, jaringan pipa, sistem rel, pabrik, dan banyak lainnya terlalu penting untuk dibiarkan begitu saja.

Sumber: Help Net Security

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings