News 369 - Naga Cyber Defense

Malaysia Airlines mengalami ‘insiden’ keamanan data yang memengaruhi “frequent flyer members”

March 6, 2021 by Winnie the Pooh

Malaysia Airlines mengalami “insiden” keamanan data yang membahayakan informasi pribadi milik anggota program frequent flyernya, Enrich. Dikatakan bahwa pelanggaran tersebut berasal dari penyedia layanan TI pihak ketiga.

Maskapai tersebut telah mengirimkan email ke anggota Enrich minggu ini, yang menyatakan bahwa pihaknya telah diberitahu tentang “insiden keamanan data” di pemasok IT pihak ketiga. Pelanggaran tersebut melibatkan “beberapa data pribadi” yang terdaftar antara Maret 2010 dan Juni 2019, dengan detail yang mencakup nama anggota, tanggal lahir, informasi kontak, dan berbagai data penumpang setia seperti nomor, status, dan tingkat tingkatan.

Maskapai mengatakan bahwa “tidak ada bukti” data pribadi apa pun yang telah disalahgunakan dan pelanggaran tersebut tidak mengungkap kata sandi akun apa pun, meskipun, itu mendesak anggota Enrich untuk mengubah kata sandi mereka sebagai tindakan pencegahan. Maskapai ini juga mengarahkan pelanggan untuk mengajukan pertanyaan apa pun yang mungkin mereka miliki secara langsung melalui email ke petugas privasi datanya.

Pada saat pers, Malaysia Airlines belum membuat pernyataan publik tentang pelanggaran keamanan atau memposting pemberitahuan di situsnya. Namun, itu tampaknya mengonfirmasi insiden di Twitter dalam balasannya kepada pelanggan.

Dalam salah satu dari beberapa tanggapan tersebut, maskapai penerbangan nasional tersebut mengatakan: “Insiden keamanan data terjadi di penyedia layanan TI pihak ketiga kami dan bukan sistem komputer Malaysia Airlines. Namun, maskapai memantau aktivitas mencurigakan apa pun terkait akun anggotanya dan di kontak terus-menerus dengan penyedia layanan TI yang terpengaruh untuk mengamankan data anggota Enrich dan menyelidiki cakupan dan penyebab insiden tersebut. ”

Ini menegaskan kembali pendiriannya bahwa tidak ada indikasi pelanggaran berdampak pada kata sandi akun apa pun, tetapi menyarankan anggota untuk mengubah kata sandi mereka sebagai tindakan pencegahan.

selengkapnya : ZDNET

Beberapa Pembaruan Keamanan Dirilis untuk Exchange Server – diperbarui 5 Maret 2021

March 6, 2021 by Winnie the Pooh

Hari ini Microsoft merilis beberapa pembaruan keamanan untuk Microsoft Exchange Server untuk mengatasi kerentanan yang telah digunakan dalam serangan bertarget terbatas. Karena sifat kritis dari kerentanan ini, Microsoft menyarankan agar pelanggan segera menerapkan pembaruan ke sistem yang terpengaruh untuk melindungi dari eksploitasi ini dan untuk mencegah penyalahgunaan di masa mendatang di seluruh ekosistem. Kerentanan memengaruhi Microsoft Exchange Server. Exchange Online tidak terpengaruh.

Versi yang terpengaruh adalah:

Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Server Microsoft Exchange 2019

Kami menyarankan untuk memprioritaskan penginstalan pembaruan pada Server Exchange yang menghadap ke luar. Semua Server Exchange yang terpengaruh pada akhirnya harus diperbarui.

Informasi dan panduan lebih lanjut

Tidak terkait dengan serangan yang diketahui

Microsoft menyediakan teknik mitigasi alternatif berikut untuk membantu pelanggan Microsoft Exchange yang membutuhkan lebih banyak waktu untuk menambal penerapan mereka dan bersedia melakukan pertukaran risiko dan fungsi layanan.

Mitigasi pada link di atas bukanlah perbaikan jika server Exchange Anda telah disusupi, juga bukan perlindungan penuh terhadap serangan. Kami sangat menyarankan untuk menyelidiki penerapan Exchange Anda menggunakan rekomendasi berburu di sini untuk memastikan bahwa mereka tidak disusupi.

selengkapnya :

Microsoft Security Response Center – March 5

Seseorang Meretas Para Peretas

March 5, 2021 by Winnie the Pooh

Dalam serangkaian “hit” terbaru di forum dark web Rusia, situs kriminal terkemuka Maza tampaknya telah diretas oleh seseorang awal pekan ini.

Ini semacam berita besar karena Maza (sebelumnya disebut “Mazafaka”) telah lama menjadi tujuan berbagai macam aktivitas kriminal, termasuk distribusi malware, pencucian uang, carding (yaitu, penjualan informasi kartu kredit curian), dan banyak lagi perilaku buruk lainnya.

Siapa pun yang meretas Maza menjaring ribuan poin data tentang pengguna situs, termasuk nama pengguna, alamat email, dan sandi yang di-hash, sebuah laporan baru dari firma intelijen Flashpoint menunjukkan. Dua pesan peringatan kemudian terlihat di halaman beranda forum: “Data Anda telah bocor” dan “Forum ini telah diretas”.

KrebsOnSecurity melaporkan bahwa penyusup kemudian menempatkan data yang dicuri di dark web, memicu ketakutan di antara para penjahat bahwa identitas mereka mungkin terungkap (oh, ironisnya). Validitas data telah diverifikasi oleh firma intelijen ancaman Intel 471.

Beberapa pengguna situs Exploit berhipotesis secara bergantian bahwa penghapusan bukanlah hasil dari beberapa geng peretas saingan, melainkan tindakan penegakan hukum.

Siapa pun yang bertanggung jawab, tidak jelas apakah mereka telah memberikan pukulan telak ke Maza atau situs lain yang terpengaruh. Maza telah dilanggar sebelumnya (sebelumnya telah disusupi pada tahun 2011), dan pelanggaran semacam itu tidak selalu merupakan indikasi “penghentian permanen,” kata para peneliti Flashpoint.

Sumber: Gizmodo

Menggabungkan Tiga Pilar Keamanan Siber

March 5, 2021 by Winnie the Pooh

Karena kesenjangan keamanan siber semakin banyak, ada kepanikan yang meningkat baik di industri maupun pemerintah tentang cara melindungi lanskap siber.

Di masa lalu, tiga tema manajemen risiko yang signifikan telah dikemukakan untuk membantu memperbaiki ekosistem risiko digital termasuk: security by design, defense in depth, dan zero trust. Mereka adalah tiga serangkai, atau tiga pilar kuat manajemen risiko yang dibutuhkan untuk strategi keamanan siber yang sukses.

Security by Design sebenarnya adalah titik awal dari proses manajemen risiko — terutama jika Anda adalah pengembang perangkat lunak atau perangkat keras yang peduli dengan keamanan. Dalam sebuah artikel di majalah Keamanan Siber Amerika Serikat, pakar keamanan siber Jeff Spivey memberikan definisi kerja yang sangat baik: “Security by Design memastikan bahwa tata kelola dan manajemen risiko keamanan dipantau, dikelola, dan dipelihara secara berkelanjutan. Nilai dari pendekatan “holistik” ini adalah memastikan bahwa risiko keamanan baru diprioritaskan, diatur, dan ditangani secara berkelanjutan dengan umpan balik dan pembelajaran berkelanjutan.”

Defense in Depth. Terdapat variasi definisi yang kuat untuk Defense in Depth dalam komunitas keamanan. Publikasi NIST mendefinisikan konsep Defense-in-depth sebagai “prinsip arsitektur keamanan penting yang memiliki aplikasi signifikan untuk sistem kontrol industri (ICS), layanan cloud, gudang data sensitif, dan banyak area lainnya. Kami mengklaim bahwa postur defense-in-depth yang ideal adalah ‘dalam’, berisi banyak lapisan keamanan, dan ‘sempit’, jumlah jalur serangan independen node diminimalkan”.

Zero trust (ZT) adalah istilah untuk serangkaian paradigma keamanan siber yang terus berkembang yang memindahkan pertahanan dari perimeter statis berbasis jaringan ke fokus pada pengguna, aset, dan sumber daya. Arsitektur Zero trust (ZTA) menggunakan prinsip nol kepercayaan (zero trust) untuk merencanakan infrastruktur dan alur kerja industri dan perusahaan. Zero trust mengasumsikan tidak ada kepercayaan implisit yang diberikan kepada aset atau akun pengguna hanya berdasarkan lokasi fisik atau jaringan mereka (yaitu, jaringan area lokal versus internet) atau berdasarkan kepemilikan aset (perusahaan atau milik pribadi). Autentikasi dan otorisasi (baik subjek dan perangkat) adalah fungsi terpisah yang dilakukan sebelum sesi ke sumber daya perusahaan dibuat.

Ketiga pilar manajemen risiko keamanan siber ini tidak perlu berdiri sendiri. Faktanya, mereka semua harus digabungkan bersama dalam strategi kerangka kerja keamanan siber untuk mengidentifikasi celah, mengurangi ancaman, dan membangun ketahanan jika terjadi serangan siber yang tak terhindarkan.

Selengkapnya: Forbes

Ransomware berbahaya ini menggunakan trik baru untuk mengenkripsi jaringan Anda

March 5, 2021 by Winnie the Pooh

Versi baru ransomware Ryuk dilengkapi dengan kemampuan seperti worm untuk menyebarkan dirinya di sekitar jaringan yang terinfeksi, berpotensi membuatnya lebih berbahaya daripada sebelumnya.

Ryuk adalah salah satu bentuk ransomware paling produktif, dengan operator kriminal sibernya diperkirakan telah menghasilkan lebih dari $ 150 juta pembayaran tebusan Bitcoin dari organisasi korban di seluruh dunia.

Seperti bentuk ransomware lainnya, Ryuk mengenkripsi jaringan, membuat sistem tidak berguna, dan penjahat dunia maya di balik serangan tersebut menuntut pembayaran sebagai ganti kunci dekripsi. Permintaan ini bisa mencapai jutaan dolar.

Ransomware dapat menyebar ke seluruh jaringan menggunakan Wake-on-LAN, fitur yang memungkinkan komputer Windows dihidupkan dari jarak jauh oleh komputer lain di jaringan yang sama. Dengan menyebar ke setiap mesin yang dapat dijangkau di jaringan, serangan Ryuk bisa jauh lebih merusak.

Kemampuan ini ditemukan saat ANSSI menanggapi insiden ransomware Ryuk yang tidak dikenal awal tahun ini.

Makalah ANSSI menghangatkan bahwa Ryuk tetap sangat aktif dan bahwa “setidaknya salah satu operatornya menyerang rumah sakit selama pandemi”.

Rumah sakit tampaknya menjadi target khusus serangan ransomware Ryuk, meskipun – atau mungkin karena – pandemi COVID-19 yang sedang berlangsung, dengan akses ke jaringan yang penting untuk perawatan pasien. Dan mengingat situasi yang sedang berlangsung, beberapa rumah sakit menyerah pada permintaan tebusan, menganggap pendekatan itu sebagai cara termudah untuk tetap merawat pasien – meskipun membayar uang tebusan tidak menjamin kelancaran pemulihan jaringan.

selengkapnya : ZDNET

Ditemukan lubang keamanan jaringan Linux dengan tingkat keparahan tinggi, diperbaiki

March 4, 2021 by Winnie the Pooh

Pengembang keamanan Linux muda dan sedang naik daun Alexander Popov dari Russia’s Positive Technologies menemukan dan memperbaiki satu set lima lubang keamanan dalam implementasi soket virtual kernel Linux. Penyerang dapat menggunakan kerentanan ini (CVE-2021-26708) untuk mendapatkan akses root dan melumpuhkan server dalam serangan Denial of Service (DoS).

Dengan skor dasar Common Vulnerability Scoring System (CVSS) v3 7.0, dengan tingkat keparahan yang tinggi, administrator Linux yang cerdas akan menambal sistem mereka sesegera mungkin.

Meskipun Popov menemukan bug di server Fedora 33 distribusi Linux komunitas Red Hat, bug tersebut ada di sistem yang menggunakan kernel Linux dari versi 5.5 November 2019 hingga kernel jalur utama saat ini versi 5.11-rc6.

Celah ini memasuki Linux ketika dukungan multi-transport soket virtual ditambahkan. Transportasi jaringan ini memfasilitasi komunikasi antara mesin virtual (VM) dan hostnya. Ini biasanya digunakan oleh agen tamu dan layanan hypervisor yang memerlukan saluran komunikasi yang independen dari konfigurasi jaringan VM. Dengan demikian, orang-orang yang menjalankan VM di cloud, yang merupakan hampir semua orang saat ini, sangat rentan.

Popov juga menyiapkan tambalan dan mengungkapkan kerentanan kepada tim keamanan kernel Linux. Greg Kroah-Hartman, kepala pengelola kernel Linux yang stabil, menerima tambalan ke Linux 5.10.13 pada tanggal 3 Februari. Sejak itu, tambalan tersebut telah digabungkan ke dalam kernel versi utama versi 5.11-rc7 dan di-backport ke pohon stabil yang terpengaruh.

Patch juga telah dimasukkan ke dalam distribusi Linux yang populer seperti Red Hat Enterprise Linux (RHEL) 8, Debian, Ubuntu, dan SUSE.

selengkapnya : ZDNET

Malaysia Airlines mengungkapkan pelanggaran data selama sembilan tahun

March 4, 2021 by Winnie the Pooh

Malaysia Airlines mengalami pelanggaran data selama sembilan tahun yang mengungkap informasi pribadi anggota dalam program frequent flyer Enrich.

Mulai kemarin, Malaysia Airlines mulai mengirim email kepada anggota program hadiah Enrich mereka untuk memberitahukan bahwa mereka adalah termasuk korban dari pelanggaran data.

Menurut Malaysia Airlines, pelanggaran terjadi pada penyedia layanan TI pihak ketiga yang memberi tahu maskapai bahwa data anggota terungkap antara Maret 2010 dan Juni 2019.

Informasi anggota yang terungkap selama pelanggaran data termasuk nama anggota, informasi kontak, tanggal lahir, jenis kelamin, nomor penumpang setia, status dan tingkat penghargaan.

Data yang terungkap tidak termasuk rencana perjalanan anggota Enrich, reservasi, tiket, atau informasi kartu ID atau kartu pembayaran.

Meskipun Malaysia Airlines mengatakan bahwa tidak ada kata sandi yang terungkap dan tidak ada bukti penyalahgunaan, maskapai tersebut merekomendasikan agar pengguna tetap mengubah kata sandi mereka. Tidak diketahui berapa banyak anggota Enrich yang terpengaruh oleh pelanggaran ini.

Sumber: Bleeping Computer

Kit phishing Cash App digunakan di alam liar

March 4, 2021 by Winnie the Pooh

Pengembang platform phishing 16Shop telah menambahkan komponen baru yang menargetkan pengguna layanan pembayaran seluler Cash App yang populer.

Penyebaran produk 16Shop baru dimulai segera setelah tersedia, memikat calon korban untuk memberikan detail sensitif yang akan memberi penipu akses ke akun dan informasi pembayaran terkait.

16Shop adalah kit phishing kompleks dari pengembang yang dikenal sebagai DevilScream, yang menyiapkan mekanisme perlindungan terhadap penggunaan tanpa izin dan aktivitas penelitian.

Kit ini tersedia secara komersial dan dilokalkan dalam berbagai bahasa. Hingga saat ini, ia menyediakan kode dan templat untuk mencuri kredensial login dan detail kartu pembayaran untuk PayPal, Amazon, Apple, dan American Express.

Peneliti keamanan dari perusahaan keamanan siber ZeroFOX memperoleh perangkat phishing Cash App baru pada tanggal 25 Februari, hanya sehari setelah waktu kompilasi terakhir.

ZeroFOX mengatakan bahwa kit tersebut memiliki kode dasar yang sama dengan yang lain, dan templatnya meniru situs Cash App yang sah dan alur masuk yang semirip mungkin.

Untuk membawa korban ke halaman phishing dilakukan melalui email dan pesan SMS yang memperingatkan tentang masalah keamanan yang menyebabkan penguncian akun Cash App.

Jika korban masuk ke dalam jebakan dan memberikan alamat emailnya hanya untuk melihat pemberitahuan keamanan tentang aktivitas tidak biasa yang menyebabkan penguncian akun. Untuk mendapatkan kembali akses, korban harus memberikan detail sensitif “untuk mengkonfirmasi identitas”. Ini termasuk:

PIN Cash App
alamat email
kata sandi
nama dan alamat lengkap
Nomor keamanan sosial
detail kartu pembayaran
dokumen identifikasi (KTP, SIM)

Detail tentang identitas pengembangnya telah dipublikasikan di masa lalu, berdasarkan jejak online-nya. Mereka semua menunjuk kepada seorang warga negara Indonesia bernama Riswanda Noor Saputra, yang memiliki sejarah dalam merusak situs web, mengembangkan perangkat phishing lainnya, dan merilis alat peretasan.

Setelah mempelajari kode tersebut, peneliti keamanan ZeroFOX menemukan bahwa ketika peringatan tentang aktivitas akun yang tidak biasa muncul, alamat email pengembang ada, tersembunyi di balik dialog.

Melihat aktivitas media sosial Riswanda mengungkapkan bahwa dia suka menampilkan kekayaannya kepada dunia dan juga memposting detail tentang pembaruan yang akan datang dan kit baru. Pada gambar di bawah, dia menunjukkan pengembangan kit 16 Shop American Express.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings