Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

FBI: Serangan denial-of-service melalui telepon dapat menyebabkan hilangnya nyawa

by

Biro Investigasi Federal (FBI) telah memperingatkan konsekuensi keras dari serangan denial-of-service telepon (TDoS) dan juga telah memberikan langkah-langkah yang diperlukan untuk mengurangi dampaknya.

FBI menerbitkan peringatan ini pada hari Rabu sebagai pengumuman layanan publik IC3 dan sebagai Pemberitahuan Industri Swasta yang dikeluarkan untuk organisasi sektor swasta dalam koordinasi dengan DHS-CISA.

Serangan TDoS adalah upaya jahat manual atau otomatis untuk membuat sistem telepon tidak tersedia dengan memblokir panggilan masuk dan keluar, yang dapat menimbulkan konsekuensi mengerikan ketika diarahkan ke 911 atau operasi pusat panggilan darurat serupa.

Aktor ancaman dapat mengoordinasikan serangan semacam itu karena berbagai alasan termasuk hacktivisme, keuntungan finansial, atau pelecehan.

Sementara peretas dapat menyalahgunakan mereka untuk mempromosikan keyakinan sosial atau politik mereka, aktor jahat dapat dan telah meluncurkan serangan TDoS untuk memeras organisasi pemerintah dan swasta.

Mereka juga telah digunakan di masa lalu untuk mengganggu layanan darurat dari menjawab panggilan darurat untuk permintaan bantuan yang asli.

Serangan TDoS juga sulit untuk dideteksi, mengingat penyerang memalsukan ID penelepon pada setiap panggilan (dalam beberapa kasus, memilih untuk memalsukan nomor telepon departemen kepolisian).

Hal ini membuat hampir tidak mungkin untuk membedakan antara panggilan yang berbahaya dan yang asli.

Daftar rekomendasi FBI mencakup tindakan yang harus diambil sebelum serangan TDoS, selama serangan tersebut, dan informasi tentang cara melaporkan serangan tersebut ke pihak berwenang.

Sumber: Bleeping Computer

Microsoft mengatakan peretas SolarWinds mengunduh beberapa kode sumber Azure, Exchange, dan Intune

by

Tim keamanan Microsoft mengatakan hari ini telah secara resmi menyelesaikan penyelidikannya atas pelanggaran terkait SolarWinds dan tidak menemukan bukti bahwa peretas menyalahgunakan sistem internal atau produk resminya untuk berputar dan menyerang pengguna akhir dan pelanggan bisnis.

Pembuat OS mulai menyelidiki pelanggaran tersebut pada pertengahan Desember setelah ditemukan bahwa peretas yang terkait dengan Rusia melanggar vendor perangkat lunak SolarWinds dan memasukkan malware ke dalam platform pemantauan TI Orion, produk yang juga telah digunakan oleh Microsoft secara internal.

Pada laporan bulan Desember, Microsoft sempat mengatakan bahwa peretas telah mengakses kode sumber produk nya.

“Analisis kami menunjukkan viewing pertama file di repositori sumber terjadi pada akhir November dan berakhir ketika kami mengamankan akun yang terpengaruh,” kata perusahaan hari ini, dalam laporan terakhirnya terkait pelanggaran terkait SolarWinds.

Pembuat OS mengatakan penyusup melihat “hanya beberapa file individual […] sebagai hasil dari pencarian repositori.”

Tetapi selain melihat file, para peretas juga berhasil mengunduh beberapa kode. Namun, Microsoft mengatakan datanya tidak ekstensif dan penyusup hanya mengunduh kode sumber dari beberapa komponen yang terkait dengan beberapa produk berbasis cloud-nya.

Menurut Microsoft, repositori ini berisi kode untuk:

  • sebagian kecil komponen Azure (subset layanan, keamanan, identitas)
  • sebagian kecil komponen Intune
  • sebagian kecil komponen Exchange

Sumber: ZDNet

Bagaimana Internet Telah Berubah Menjadi Medan Perang Zaman Modern

by

Selama dekade terakhir, keamanan siber telah berubah dari pinggiran budaya populer menjadi arus utama. Saat ini, gagasan peretas telah sepenuhnya bermigrasi dari kiasan tua seorang pria bertudung yang tinggal di ruang bawah tanah orangtuanya, menjadi beragam kelompok peretas (dan peretasan realistis) yang digambarkan di acara seperti Mr Robot.

NSA, yang pernah dijuluki “No-Such-Agency” karena tidak ada yang tahu apa itu, memiliki akun Twitter yang men-tweet tentang keseimbangan kehidupan kerja yang luar biasa yang ditawarkannya kepada mata-matanya.

Dalam hal geopolitik, apa yang disebut ‘dunia maya’ dan dunia internet telah menjadi medan perang yang serius dan ruang di mana negara-negara musuh telah memperdagangkan kampanye disinformasi dan dapat menyebabkan hal-hal seperti pembangkit listrik dihancurkan oleh serangkaian kode.

Sejak 2011, jurnalis New York Times Nicole Perlroth telah melaporkan tentang dunia rahasia keamanan siber dan gudang malware yang ditimbun oleh negara-negara bagian.

Minggu ini dia ada di CYBER untuk membicarakan tentang bukunya yang baru dirilis, This Is How They Tell Me The World Ends. Di dalamnya, Perlroth menulis tentang pengalamannya dan bagaimana pemerintah AS yang dulu perkasa memonopoli perlombaan senjata siber, tetapi sejak itu muncul persaingan yang muncul dari seluruh dunia.

Sumber: Vice

Hanya 2,6% dari 18.000 kerentanan terlacak tahun 2019 yang secara aktif dieksploitasi di alam liar

by

Sementara industri infosec terbiasa membaca FUD tentang kerentanan perangkat lunak, penelitian yang menarik menunjukkan sekitar 500 kerentanan dieksploitasi pada tahun 2019 – meskipun 18.000 CVE baru sedang dibuat.

Kenna Security, sebuah firma infosec AS, menganggap bahwa meskipun ribuan kerentanan diberi nomor pelacakan Kerentanan dan Eksploitasi Umum (CVE) pada tahun tersebut, hanya 473 di antaranya yang secara aktif dieksploitasi dengan cara yang mungkin berdampak pada perusahaan.

Itu hanya mewakili 2,6% dari kerentanan yang dilaporkan selama tahun ini, memberikan petunjuk baru tentang skala ancaman terhadap bisnis yang terhubung ke internet.

Laporan tersebut melanjutkan: “Kode eksploitasi sudah tersedia untuk >50% kerentanan (pada akhirnya dieksploitasi di alam liar) pada saat mereka dipublikasikan ke Daftar CVE. Untungnya bagi para pembela, rilis patch bertepatan dengan publikasi untuk lebih dari 80 persen dari CVE tersebut”.

Selengkapnya: The Register

Penipuan phishing LinkedIn mencoba menipu pengguna dengan dokumen palsu

by

Peneliti keamanan JB Bowers telah menemukan bahwa penipu menggunakan LinkedIn untuk menargetkan pengguna agar memberikan kata sandi mereka.

Skema ini mencoba mengelabui pengguna yang tidak curiga agar membuka “LinkedIn Private Shared Document”, setelah itu mereka diminta untuk memasukkan kredensial login mereka di halaman LinkedIn palsu.

Sumber: InfoSec

Setiap pengguna yang menerima pesan yang tidak diminta dari kontak yang tidak dikenal melalui sistem pesan internal LinkedIn harus berhati-hati. Ini terutama benar jika pengguna diminta untuk memasukkan kembali informasi login mereka.

Untuk pengguna yang mungkin tidak sengaja memasukkan informasi login mereka, kontak LinkedIn mereka mungkin juga mulai melihat pesan phishing yang sama.

Adapun mengapa penjahat menargetkan pengguna di LinkedIn, bisa jadi karena pengguna LinkedIn yang sering memiliki pendapatan lebih tinggi dari rata-rata dan dianggap target bernilai lebih tinggi. Atau mungkin karena LinkedIn terhubung ke layanan Microsoft lainnya, seperti Office 365, membahayakan akun LinkedIn dapat menyebabkan lebih banyak pencurian informasi.

Jika Anda, atau siapa pun yang Anda kenal, menerima email phishing dari kontak di LinkedIn, segera beri tahu mereka. Minta mereka mengubah kata sandi dan gunakan panduan ini untuk melaporkan akun yang diretas ke LinkedIn.

Sumber: Tom’s Guide

Trojan baru yang jahat ini mencuri detail login dari Chrome, Edge, dan Outlook

by

Tim intelijen ancaman di Cisco Talos telah menemukan kampanye trojan baru yang dapat mencuri kredensial pribadi dari browser web, Microsoft Outlook, dan aplikasi perpesanan instan. Metode serangan dimulai dengan email phishing yang berisi lampiran file HTML berbahaya.

“Metode ini menggunakan pendekatan multi-modular yang dimulai dengan email phishing awal dan dilanjutkan ke muatan akhir,” Vanja Svajcer, peneliti yang bekerja untuk Cisco Talos, menjelaskan. “Musuh di balik kampanye ini kemungkinan besar melakukan ini untuk menghindari deteksi. Tapi itu juga bisa menjadi kelemahan, karena ada banyak peluang bagi defender untuk menghancurkan killchain”.

Penyerang pertama-tama mengirim email dengan baris subjek yang mengklaim terkait dengan bisnis tertentu. Ini akan disertai dengan lampiran RAR yang membuat file dengan ekstensi RAR “r00” dan kemudian ekstensi .chm. File CHM adalah format HTML terkompilasi dan, dalam hal ini, berisi kode JavaScript yang akan memulai proses infeksi.

Jenis trojan yang digunakan dalam kampanye ini dikenal sebagai “Masslogger” dan telah terlihat di alam liar sebelumnya. Masslogger pertama kali dirilis pada April 2020 dan dijual di forum peretasan sebagai cara untuk mencuri kredensial, sebagian besar dari browser tetapi juga dari klien email dan aplikasi perpesanan.

Cisco Talos mengidentifikasi pesan email yang menargetkan Latvia, Lituania, Turki, Bulgaria, Estonia, Rumania, Hongaria, Italia, dan Spanyol, dengan beberapa pesan tertulis dalam bahasa Inggris.

Selengkapnya: Tech Radar | Cisco Talos

Server Windows dan Linux ditargetkan oleh botnet WatchDog baru selama hampir dua tahun

by

Karena kenaikan harga perdagangan cryptocurrency baru-baru ini, sebagian besar sistem online saat ini sering berada di bawah serangan botnet penambangan crypto yang berusaha mendapatkan pijakan pada sistem yang tidak aman dan menghasilkan keuntungan bagi aktor siber.

Ancaman terbaru ini adalah botnet bernama WatchDog. Ditemukan oleh Unit42, sebuah divisi keamanan di Palo Alto Networks, botnet penambangan kripto ini telah aktif sejak Januari 2019.

Ditulis dalam bahasa pemrograman Go, para peneliti mengatakan mereka telah melihat WatchDog menginfeksi sistem Windows dan Linux.

Titik masuk untuk serangan mereka adalah aplikasi perusahaan yang sudah ketinggalan zaman. Menurut analisis operasi botnet WatchDog yang diterbitkan pada hari Rabu, Unit 42 mengatakan operator botnet menggunakan 33 eksploitasi berbeda untuk menargetkan 32 kerentanan dalam perangkat lunak seperti:

  • Drupal
  • Elasticsearch
  • Apache Hadoop
  • Redis
  • Spring Data Commons
  • SQL Server
  • ThinkPHP
  • Oracle WebLogic
  • CCTV (Saat ini tidak diketahui apakah targetnya adalah alat CCTV atau jika ada nama lain “cctv” yang bisa digunakan).

Berdasarkan detail yang dapat dipelajari tim Unit42 dengan menganalisis malware WatchDog, peneliti memperkirakan ukuran botnet sekitar 500 hingga 1.000 sistem yang terinfeksi.

Keuntungan diperkirakan mencapai 209 koin Monero, saat ini bernilai sekitar $ 32.000, tetapi angka sebenarnya diyakini jauh lebih tinggi karena peneliti hanya berhasil menganalisis beberapa binary, dan geng WatchDog diperkirakan telah menggunakan lebih banyak alamat Monero untuk mengumpulkan dana penambangan kripto ilegal mereka.

Sumber: ZDNet

Kia Motors America menderita serangan ransomware dengan tebusan $ 20 juta

by

Kia Motors America mengalami pemadaman TI nasional yang memengaruhi aplikasi UVO Link seluler, layanan telepon, sistem pembayaran, portal pemilik, dan situs internal yang digunakan oleh dealer.

Saat mengunjungi situs mereka, pengguna akan disambut dengan pesan yang menyatakan bahwa Kia “mengalami gangguan layanan TI yang berdampak pada beberapa jaringan internal”, seperti yang ditunjukkan di bawah ini.

“KMA mengetahui pemadaman TI yang melibatkan sistem internal, dealer dan yang berhubungan dengan pelanggan, termasuk UVO. Kami mohon maaf atas ketidaknyamanan yang terjadi pada pelanggan kami dan sedang bekerja untuk menyelesaikan masalah dan memulihkan operasi bisnis normal secepat mungkin.” klarifikasi dari Kia Motors America.

BleepingComputer memperoleh catatan tebusan yang kami diberitahu dibuat selama dugaan serangan siber Kia Motors America oleh geng ransomware DoppelPaymer.

Dalam catatan tebusan yang dilihat oleh BleepingComputer, para penyerang menyatakan bahwa mereka menyerang Hyundai Motor America, perusahaan induk Kia. Hyundai tampaknya tidak terpengaruh oleh serangan ini.

Catatan tebusan berisi link ke halaman korban pribadi di situs pembayaran DoppelPaymer Tor yang sekali lagi menyatakan targetnya adalah ‘Hyundai Motor America.’

Halaman korban Tor mengatakan bahwa “sejumlah besar” data telah dicuri, atau dieksfiltrasi, dari Kia Motors America dan akan dirilis dalam 2-3 minggu jika perusahaan tidak bernegosiasi dengan pelaku ancaman.

DoppelPaymer dikenal karena mencuri file yang tidak dienkripsi sebelum mengenkripsi perangkat dan kemudian memposting bagian di situs kebocoran data mereka untuk lebih menekan korban agar membayar.

Untuk mencegah kebocoran data dan menerima decryptor, DoppelPaymer meminta 404 bitcoin senilai sekitar $ 20 juta. Jika tebusan tidak dibayarkan dalam jangka waktu tertentu, jumlahnya meningkat menjadi 600 bitcoin, atau $ 30 juta.

Kia motor telah memberikan klarifikasi sebagai berikut, dikutip dari Bleepingcomputer :
Kia Motors America, Inc. (“Kia”) saat ini mengalami pemadaman sistem yang diperpanjang. Sistem yang terpengaruh termasuk Portal Pemilik Kia, Aplikasi Seluler UVO, dan portal Web Urusan Konsumen. Kami mohon maaf atas ketidaknyamanan yang dialami pelanggan yang terpengaruh, dan kami sedang berupaya menyelesaikan masalah ini secepat mungkin dengan gangguan minimal pada bisnis kami. Kami juga mengetahui spekulasi online bahwa Kia terkena serangan “ransomware”. Saat ini, kami dapat mengonfirmasi bahwa kami tidak memiliki bukti bahwa Kia atau data Kia apa pun menjadi sasaran serangan “ransomware”.

Source : Bleepingcomputer