Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

REvil ransomware memiliki mode enkripsi ‘Windows Safe Mode’ baru

by

Operasi ransomware REvil telah menambahkan kemampuan baru untuk mengenkripsi file dalam Windows Safe Mode, kemungkinan besar menghindari deteksi oleh perangkat lunak keamanan dan untuk kesuksesan yang lebih besar saat mengenkripsi file.

Dalam sampel baru REvil ransomware yang ditemukan oleh MalwareHunterTeam, argumen baris perintah -smode baru ditambahkan yang memaksa komputer untuk melakukan boot ulang ke Safe Mode sebelum mengenkripsi perangkat.

Untuk melakukan ini, REvil akan menjalankan perintah berikut untuk memaksa komputer boot ke Safe Mode with Networking ketika Windows restart berikutnya.

bootcfg /raw /a /safeboot:network /id 1
bcdedit /set {current} safeboot network

Kemudian membuat autorun ‘RunOnce’ bernama ‘*franceisshit’ yang menjalankan ‘bcdedit /deletevalue {current} safeboot’ setelah pengguna masuk ke Safe Mode.

Sumber: BleepingComputer

Akhirnya, ransomware melakukan restart paksa Windows yang tidak dapat diganggu oleh pengguna.

Tepat sebelum proses keluar, itu akan membuat autorun RunOnce tambahan bernama ‘AstraZeneca’, mungkin tentang pertimbangan Prancis baru-baru ini tentang penggunaan vaksin. Penting untuk diingat bahwa kedua entri ‘RunOnce’ ini akan dijalankan setelah masuk ke Safe Mode dan secara otomatis akan dihapus oleh Windows.

Saat reboot, perangkat akan memulai dalam Safe Mode With Networking, dan pengguna akan diminta untuk masuk ke Windows. Setelah mereka masuk, REvil ransomware akan dijalankan tanpa argumen -smode sehingga mulai mengenkripsi file pada perangkat.

Saat berjalan, ransomware akan mencegah pengguna meluncurkan program apa pun melalui Task Manager hingga selesai mengenkripsi perangkat.

Setelah perangkat dienkripsi, ini akan memungkinkan sisa urutan boot untuk dilanjutkan, dan desktop akan ditampilkan dengan catatan tebusan dan file terenkripsi.

Selengkapnya: Bleeping Computer

Peretas telah membocorkan data internal Hyundai Motors Group.

by

Setelah terkena serangan Ransomware pada bulan Februari, kini dikabarkan bahwa data Hyundai Motors Group telah bocor di dark web.

Media Korea, The Milk, mengatakan bahwa email staf Hyundai Glovis, informasi internal Hyundai Autoever, dan gambar desain dasar telah bocor di dark web. Ukuran file total adalah 9 GB.

File tersebut mencakup arsitektur sistem TI, file cadangan Outlook, dokumen yang bernama “rebate”, dokumen transaksi dengan bank, laporan prospek bisnis, dan dokumen terkait TI internal termasuk keamanan. Durasinya dari 2007 hingga 2021.

Salah satu afiliasinya – KIA America – mengalami serangan ransomware pada bulan Februari oleh gang Ransomware bernama DoppelPaymer, geng Ransomware yang sama yang membocorkan data Hyundai Motors Group di dark web. Ada kemungkinan mereka meretas Hyundai Motors Group atau mitra Hyundai dan membocorkan data mereka karena menolak membayar tebusan.

Tim Miilk mengatakan sedang menunggu tanggapan resmi dari Hyundai Motor America.

Sumber: Pickool

Google Mengungkapkan Data Pribadi yang Dikumpulkan Chrome dan Aplikasinya tentang Anda

by

Mesin pencari yang berfokus pada privasi, DuckDuckGo, menyebut saingannya Google karena “memata-matai” pengguna setelah raksasa pencarian itu memperbarui aplikasi andalannya untuk menjelaskan jenis informasi yang tepat yang dikumpulkannya untuk tujuan personalisasi dan pemasaran.

“Setelah berbulan-bulan terhenti, Google akhirnya mengungkapkan berapa banyak data pribadi yang mereka kumpulkan di Chrome dan aplikasi Google. Tidak heran mereka ingin menyembunyikannya,” kata perusahaan itu dalam tweet. “Memata-matai pengguna tidak ada hubungannya dengan membuat browser web atau mesin telusur yang hebat.”

“privacy nutrition labels” adalah bagian dari kebijakan baru yang mulai berlaku pada 8 Desember 2020, yang mewajibkan pengembang aplikasi untuk mengungkapkan praktik pengumpulan data mereka dan membantu pengguna memahami bagaimana informasi pribadi mereka digunakan.

Sindiran dari DuckDuckGo muncul karena Google terus menambahkan label privasi aplikasi ke aplikasi iOS-nya selama beberapa minggu terakhir sesuai dengan aturan App Store Apple, tetapi tidak sebelum penundaan selama tiga bulan yang menyebabkan sebagian besar aplikasinya. untuk pergi tanpa diperbarui, memberikan kepercayaan pada teori bahwa perusahaan telah menghentikan pembaruan aplikasi iOS sebagai konsekuensi dari penegakan Apple.

Dimulai dengan iOS 14, aplikasi pihak pertama dan ketiga tidak hanya harus memberi tahu pengguna informasi apa yang mereka kumpulkan, tetapi juga mendapatkan izin untuk melakukannya. Label privasi bertujuan untuk menyingkat praktik pengumpulan data aplikasi dalam format yang mudah dipahami dan ramah pengguna tanpa menjelaskan secara detail tentang tujuan penggunaan data tersebut.

Analisis praktik pengumpulan data aplikasi oleh perusahaan penyimpanan cloud pCloud yang dirilis awal bulan ini menemukan bahwa 52% aplikasi berbagi data pengguna dengan pihak ketiga, dengan 80% aplikasi menggunakan data yang dikumpulkan untuk “memasarkan produk mereka sendiri di aplikasi” dan menayangkan iklan di platform lain.

https://thehackernews.com/2021/03/google-to-reveals-what-personal-data.html

selengkapnya : TheHackernews

Apa itu spear phishing? Mengapa serangan email yang ditargetkan begitu sulit dihentikan

by

Spear phishing adalah tindakan mengirim dan mengirim email ke target tertentu dan diteliti dengan baik sambil mengaku sebagai pengirim tepercaya. Tujuannya adalah untuk menginfeksi perangkat dengan malware atau meyakinkan korban untuk menyerahkan informasi atau uang.

Sementara kampanye phishing biasa mengejar sejumlah besar target hasil yang relatif rendah, spear phishing bertujuan pada target tertentu menggunakan email khusus yang dibuat untuk korban yang dituju. “Phishing hanyalah jenis serangan generik, berteknologi rendah, bukan bertarget,” kata Aaron Higbee, salah satu pendiri dan CTO dari perusahaan anti-phishing Cofense (sebelumnya dikenal sebagai PhishMe). “Mereka tidak terlalu peduli tentang siapa target mereka. Mereka hanya memasang jaring lebar untuk mencoba menjerat sebanyak mungkin orang dan perusahaan. ”

“Spear phishing adalah kampanye yang sengaja dibuat oleh pelaku ancaman dengan tujuan menembus satu organisasi, dan di mana mereka benar-benar akan meneliti nama dan peran dalam sebuah perusahaan,” tambah Higbee.

Meskipun email spear phishing sangat bertarget dan oleh karena itu kemungkinan besar berbeda dari satu organisasi ke organisasi lain, tren pemersatu harus menimbulkan tanda bahaya di antara pengguna. Tanda peringatan yang paling jelas adalah alamat email yang salah atau yang terlihat mirip dengan yang Anda harapkan tetapi sedikit berbeda. Namun, alamat email dapat dipalsukan atau mungkin tidak akan terlihat berbeda tanpa pemeriksaan yang cermat.

Urgensi ini sering kali dibarengi dengan dorongan untuk melanggar kebijakan atau norma perusahaan, pembayaran pelacakan cepat tanpa pemeriksaan dan prosedur biasa. Mereka mungkin juga menggunakan bahasa emosi untuk membangkitkan simpati atau ketakutan; CEO yang menyamar mungkin mengatakan Anda mengecewakan mereka jika Anda tidak melakukan pembayaran mendesak, misalnya.

Dia menambahkan bahwa seringkali email akan berisi file – atau tautan ke file – yang membutuhkan makro untuk diaktifkan. “Itu tanda peringatan. Sebagian besar makro tidak berbahaya, tetapi apakah Anda biasanya berharap menerimanya? Jika ya, apakah Anda perlu mengaktifkan makro untuk melakukan tugas ini? ”

Organisasi dapat menerapkan kontrol teknis dan manusia untuk mengurangi ancaman phishing tombak. Bersamaan dengan kontrol standar seperti filter spam, deteksi malware, dan antivirus, perusahaan harus mempertimbangkan pengujian simulasi phishing, pendidikan pengguna, dan memiliki proses yang mapan bagi pengguna untuk melaporkan email yang mencurigakan kepada tim keamanan TI.

selengkapnya : www.csoonline.com

Bagaimana Penegakan Hukum Mendapat Enkripsi Ponsel Anda

by

Pembuat undang-undang dan lembaga penegak hukum di seluruh dunia, termasuk di Amerika Serikat, semakin menyerukan backdoor dalam skema enkripsi yang melindungi data Anda, dengan alasan bahwa keamanan nasional dipertaruhkan.

Tetapi penelitian baru menunjukkan pemerintah sudah memiliki metode dan alat yang, baik atau buruk, memungkinkan mereka mengakses smartphone yang terkunci berkat kelemahan dalam skema keamanan Android dan iOS.

Kriptografer di Universitas Johns Hopkins menggunakan dokumentasi yang tersedia untuk umum dari Apple dan Google serta analisis mereka sendiri untuk menilai kekuatan enkripsi Android dan iOS.

Saat Anda mengunci ponsel dengan kode sandi, kunci sidik jari, atau kunci pengenalan wajah, ini mengenkripsi konten pada perangkat. Bahkan jika seseorang mencuri ponsel Anda dan menarik datanya, mereka tidak akan mendapatkan apapun. Mendekode semua data akan membutuhkan kunci yang hanya dibuat ulang saat Anda membuka kunci ponsel dengan kode sandi, atau pengenalan wajah atau jari. Dan ponsel cerdas saat ini menawarkan banyak lapisan perlindungan ini dan kunci enkripsi yang berbeda untuk berbagai tingkat data sensitif.

Dengan semua pemikiran itu, para peneliti berasumsi akan sangat sulit bagi penyerang untuk menemukan salah satu kunci itu dan membuka kunci sejumlah data. Tapi bukan itu yang mereka temukan.

Saat iPhone dimatikan dan dinyalakan, semua data berada dalam status yang disebut Apple “Perlindungan Lengkap”. Anda masih bisa dipaksa untuk membuka kunci ponsel Anda, tentu saja, tetapi alat forensik yang ada akan kesulitan menarik data yang dapat dibaca darinya.

Namun, setelah Anda membuka kunci ponsel Anda pertama kali setelah reboot, banyak data berpindah ke mode yang berbeda — Apple menyebutnya “Protected Until First User Authentication”, tetapi peneliti sering menyebutnya “After First Unlock” (AFU). Jadi seberapa efektif keamanan AFU? Di situlah para peneliti mulai khawatir.

Perbedaan utama antara Complete Protection dan AFU berkaitan dengan seberapa cepat dan mudahnya aplikasi mengakses kunci untuk mendekripsi data. Saat data dalam status Complete Protection, kunci untuk mendekripsinya disimpan jauh di dalam sistem operasi dan dienkripsi sendiri. Tetapi begitu Anda membuka kunci perangkat Anda pertama kali setelah reboot, banyak kunci enkripsi mulai disimpan dalam memori akses cepat, bahkan saat ponsel terkunci. Pada titik ini, penyerang dapat menemukan dan mengeksploitasi jenis kerentanan keamanan tertentu di iOS untuk mengambil kunci enkripsi yang dapat diakses di memori dan mendekripsi potongan besar data dari ponsel.

Para peneliti menemukan bahwa Android memiliki pengaturan yang mirip dengan iOS dengan satu perbedaan penting. Jika Apple memberikan opsi bagi pengembang untuk menyimpan beberapa data di bawah kunci Complete Protection yang lebih ketat sepanjang waktu — sesuatu yang mungkin diterapkan oleh aplikasi perbankan — Android tidak memiliki mekanisme itu setelah membuka kunci pertama. Alat forensik yang mengeksploitasi kerentanan yang tepat dapat mengambil lebih banyak kunci dekripsi, dan pada akhirnya mengakses lebih banyak data, di ponsel Android.

Untuk memahami perbedaan dalam status enkripsi ini, Anda dapat melakukan sedikit demo untuk diri Anda sendiri di iOS atau Android. Saat teman Anda menelepon ponsel Anda, namanya biasanya muncul di layar panggilan karena ada di kontak Anda. Tetapi jika Anda me-restart perangkat Anda, tidak membuka kunci terlebih dahulu, dan kemudian teman Anda menelepon Anda, hanya nomor mereka yang akan muncul, bukan nama mereka. Itu karena kunci untuk mendekripsi data buku alamat Anda belum ada di memori.

Selengkapnya: Wired

Hacker “Expert” menggunakan 11 hari nol untuk menginfeksi pengguna Windows, iOS, dan Android

by

Dengan menggunakan teknik eksploitasi dan kebingungan baru, penguasaan berbagai jenis kerentanan, dan infrastruktur pengiriman yang kompleks, grup ini mengeksploitasi empat nol hari pada Februari 2020. Kemampuan peretas untuk menyatukan beberapa eksploitasi yang membahayakan perangkat Windows dan Android yang sepenuhnya ditambal. anggota Project Zero dan Grup Analisis Ancaman dari Google untuk menyebut grup itu “sangat canggih”.

Pada hari Kamis, peneliti Project Zero Maddie Stone mengatakan bahwa, dalam delapan bulan setelah serangan Februari, kelompok yang sama mengeksploitasi tujuh kerentanan yang sebelumnya tidak diketahui, yang kali ini juga berada di iOS. Seperti yang terjadi pada bulan Februari, para peretas mengirimkan eksploitasi melalui serangan lubang-air, yang menyusupi situs web yang sering dikunjungi oleh target minat dan menambahkan kode yang memasang perangkat lunak perusak di perangkat pengunjung.

Tujuh zero day adalah:

CVE-2020-15999 – Heap buffer overflow Chrome Freetype
CVE-2020-17087 – Windows heap buffer overflow di cng.sys
CVE-2020-16009 – Kebingungan jenis Chrome dalam penghentian peta TurboFan
CVE-2020-16010 – Chrome untuk Android heap buffer overflow
CVE-2020-27930 – Safari baca / tulis tumpukan sewenang-wenang melalui font Tipe 1
CVE-2020-27950 – Pengungkapan memori kernel iOS XNU di trailer pesan mach
CVE-2020-27932 – Kebingungan jenis kernel iOS dengan pintu putar

selengkapnya : Arstechnica

Malware CopperStealer baru mencuri akun Google, Apple, Facebook

by

Malware pencuri akun yang sebelumnya tidak diketahui yang didistribusikan melalui situs crack perangkat lunak palsu menargetkan pengguna penyedia layanan utama, termasuk Google, Facebook, Amazon, dan Apple.

Malware, yang dijuluki CopperStealer oleh peneliti Proofpoint, adalah pencuri kata sandi dan cookie yang dikembangkan secara aktif dengan fitur pengunduh yang memungkinkan operatornya mengirimkan muatan berbahaya tambahan ke perangkat yang terinfeksi.

Aktor ancaman di balik malware ini telah menggunakan akun yang disusupi untuk menjalankan iklan berbahaya dan mengirimkan malware tambahan dalam kampanye malvertising berikutnya.

“Sementara kami menganalisis sampel yang menargetkan akun bisnis dan pengiklan Facebook dan Instagram, kami juga mengidentifikasi versi tambahan yang menargetkan penyedia layanan utama lainnya, termasuk Apple, Amazon, Bing, Google, PayPal, Tumblr, dan Twitter,” kata Proofpoint dalam laporan yang mereka terbitkan.

CopperStealers bekerja dengan memanen kata sandi yang disimpan di browser web Google Chrome, Edge, Firefox, Yandex, dan Opera.

Itu juga akan mengambil Token Akses Pengguna Facebook korban menggunakan cookie curian untuk mengumpulkan konteks tambahan, termasuk daftar teman mereka, info akun iklan, dan daftar halaman Facebook yang dapat mereka akses.

Malware yang dijatuhkan menggunakan modul pengunduh CopperStealer mencakup backdoor Smokeloader modular dan beragam muatan berbahaya lainnya yang diunduh dari beberapa URL.

Selengkapnya: Bleeping Computer

Pengembang Apple menjadi sasaran malware baru, EggShell backdoor

by

Proyek Xcode berbahaya digunakan untuk membajak sistem pengembang dan menyebarkan backdoor EggShell khusus.

Malware, yang dijuluki XcodeSpy, menargetkan Xcode, lingkungan pengembangan terintegrasi (IDE) yang digunakan di macOS untuk mengembangkan perangkat lunak dan aplikasi Apple.

Menurut penelitian yang diterbitkan oleh SentinelLabs pada hari Kamis, fitur Run Script di IDE sedang dieksploitasi dalam serangan bertarget terhadap pengembang iOS melalui proyek Trojanized Xcode yang dibagikan secara bebas secara online.

Proyek Xcode sumber terbuka yang sah dapat ditemukan di GitHub. Namun, dalam kasus ini, proyek XcodeSpy menawarkan “advanced features” untuk menganimasikan bilah tab iOS – dan setelah versi awal diunduh dan diluncurkan, skrip berbahaya diterapkan untuk memasang backdoor EggShell.

Dua varian EggShell telah terdeteksi – dan salah satunya berbagi string terenkripsi dengan XcodeSpy. Backdoor ini mampu membajak mikrofon, kamera, dan keyboard pengembang korban, serta mengambil dan mengirim file ke C2 penyerang.

SentinelLabs mengatakan bahwa setidaknya satu organisasi AS telah terperangkap dalam serangan seperti ini dan pengembang di Asia mungkin juga telah terpengaruh oleh kampanye, yang beroperasi setidaknya antara Juli dan Oktober tahun lalu.

Selengkapnya: ZDNet