News 388 - Naga Cyber Defense

Kelompok peretas juga menggunakan IE zero-day melawan peneliti keamanan

February 5, 2021 by Winnie the Pooh

Kerentanan Internet Explorer zero-day telah ditemukan digunakan dalam serangan Korea Utara baru-baru ini terhadap peneliti keamanan dan kerentanan.

Bulan lalu, Google mengungkapkan bahwa kelompok peretas yang disponsori negara Korea Utara yang dikenal sebagai Lazarus sedang melakukan serangan rekayasa sosial terhadap peneliti keamanan.

Untuk melakukan serangan mereka, para pelaku ancaman menciptakan persona ‘peneliti keamanan’ online yang rumit yang kemudian akan menggunakan media sosial untuk menghubungi peneliti keamanan terkenal untuk berkolaborasi dalam pengembangan kerentanan dan eksploitasi.

Sebagai bagian dari kolaborasi ini, para penyerang mengirim Proyek Visual Studio berbahaya dan tautan ke situs web yang menghosting alat eksploitasi yang akan memasang backdoor di komputer peneliti.

Hari ini, firma keamanan siber Korea Selatan ENKI melaporkan bahwa Lazarus menargetkan peneliti keamanan di tim mereka dengan file MHTML dalam kampanye rekayasa sosial ini.

Sementara mereka menyatakan bahwa serangan tersebut gagal, mereka menganalisis muatan yang diunduh oleh file MHT dan menemukan bahwa itu berisi eksploitasi untuk kerentanan zero-day Internet Explorer.

File MHT yang dikirim ke peneliti ENKI berisi apa yang diduga eksploitasi Chrome 85 RCE dan diberi nama ‘Chrome_85_RCE_Full_Exploit_Code.mht.’

Saat file MHT/MHTML dibuka, Internet Explorer secara otomatis diluncurkan untuk menampilkan konten file MHT. Jika eksekusi skrip diizinkan, ENKI mengatakan bahwa javascript berbahaya akan mengunduh dua muatan, dengan satu muatan mengandung zero-day melawan Internet Explorer.

Selengkapnya: Bleeping Computer

Dekriptor ransomware Fonix baru dapat memulihkan file korban secara gratis

February 5, 2021 by Winnie the Pooh

Kaspersky telah merilis decryptor untuk Fonix Ransomware (XONIF) yang memungkinkan korban untuk memulihkan file terenkripsi mereka secara gratis.

Fonix Ransomware, juga dikenal sebagai Xinof dan FonixCrypter, diluncurkan pada Juni 2020 tetapi meningkatkan jumlah korbannya secara signifikan mulai November 2020.

Jumat lalu, salah satu admin ransomware Fonix tweet bahwa mereka telah menutup operasi ransomware dan merilis kunci dekripsi master.

Kabar baiknya adalah jika Anda telah terinfeksi FonixRansomware, Anda sekarang dapat mendekripsi file Anda secara gratis menggunakan versi terbaru dari RakhniDecryptor Kaspersky.

Unduh decryptor ke perangkat dimana file terenkripsi berada dan mulai program. Anda akan diminta untuk menyetujui perjanjian lisensi, dan antarmuka utama akan muncul, seperti yang ditunjukkan di bawah ini.

Ketika Anda siap untuk mendekripsi file Anda, klik tombol Start Scan, dan decryptor akan meminta Anda untuk memilih file terenkripsi.

Setelah dipilih, decryptor akan mencari kunci dekripsi Anda, dan ketika ditemukan, mulai mendekripsi file Anda.

Bagi mereka yang membutuhkan bantuan untuk mulai menggunakan decryptor, harap baca halaman ini terlebih dahulu, dan jika itu tidak membantu, jangan ragu untuk bertanya dab hubungi Kaspersky dengan info mendetail tentang masalahnya.

Sumber: Bleeping Computer

Mengapa Kesalahan Manusia adalah Ancaman Keamanan Siber nomor 1 bagi Bisnis pada tahun 2021

February 5, 2021 by Winnie the Pooh

Hampir semua pelanggaran siber yang berhasil memiliki satu variabel yang sama: kesalahan manusia. Kesalahan manusia dapat terwujud dalam banyak cara: dari gagal menginstal pembaruan keamanan perangkat lunak pada waktunya hingga memiliki kata sandi yang lemah dan memberikan informasi sensitif hingga email phishing.

Meskipun perangkat lunak anti-malware dan pendeteksi ancaman modern telah berkembang lebih canggih, penjahat siber tahu bahwa efektivitas tindakan keamanan teknis hanya berlaku sejauh manusia menggunakannya dengan benar.

Jika penjahat siber berhasil menebak kata sandi ke portal perusahaan online atau menggunakan rekayasa sosial untuk meminta karyawan melakukan pembayaran ke rekening bank yang dikendalikan oleh penjahat siber, tidak ada solusi teknis yang dapat dilakukan untuk menghentikan gangguan tersebut.

‘Kesalahan manusia adalah penyebab utama dalam 95% dari semua pelanggaran.’ – Laporan Indeks Intelijen Keamanan Cyber IBM.

Karena kesalahan manusia memainkan peran besar dalam pelanggaran siber, mengatasinya adalah kunci untuk mengurangi peluang bisnis Anda untuk berhasil ditargetkan.

Ini juga memungkinkan Anda untuk melindungi bisnis Anda dari jangkauan ancaman yang jauh lebih luas daripada solusi teknis tunggal mana pun – dan berpotensi dapat memberdayakan tenaga kerja Anda untuk secara aktif mencari dan melaporkan ancaman baru yang mungkin mereka hadapi. Mitigasi kesalahan manusia harus menjadi kunci keamanan bisnis siber pada tahun 2021.

Sumber: The Hacker News

Transaksi blockchain mengonfirmasi pemandangan ransomware yang suram dan saling berhubungan

February 5, 2021 by Winnie the Pooh

Sebuah laporan yang diterbitkan oleh firma investigasi blockchain Chainalysis mengonfirmasi bahwa kelompok kejahatan siber yang terlibat dalam serangan ransomware tidak beroperasi dalam gelembung mereka sendiri tetapi sering mengganti pemasok ransomware (layanan RaaS) untuk mencari keuntungan yang lebih baik.

Laporan tersebut menganalisis bagaimana dana Bitcoin ditransfer dari korban ke kelompok kriminal, dan bagaimana uang itu dibagi di antara berbagai pihak yang terlibat dalam serangan ransomware, dan bagaimana uang itu akhirnya dicuci.

Lanskap ransomware telah berevolusi dari tahun-tahun sebelumnya dan sekarang menjadi kumpulan dari berbagai kelompok kriminal, masing-masing menyediakan layanannya sendiri yang sangat terspesialisasi satu sama lain, seringkali di berbagai penyedia RaaS (Ransomware-as-a-Service) yang berbeda.

Laporan Chainalysis mengkonfirmasi teori informal ini dengan bukti kriptografi yang tak terbantahkan yang ditinggalkan oleh transaksi Bitcoin yang telah terjadi di antara beberapa kelompok ini.

Misalnya, berdasarkan grafik di bawah ini, Chainalysis mengatakan menemukan bukti yang menunjukkan bahwa afiliasi untuk Maze RaaS yang sekarang sudah tidak berfungsi juga terlibat dengan SunCrypt RaaS.

Temuan serupa juga menunjukkan hubungan antara operasi Egregor dan DoppelPaymer.

Dan yang tak kalah pentingnya, peneliti Chainalysis juga menemukan bukti bahwa operator operasi Maze dan Egregor juga menggunakan layanan pencucian uang dan broker over-the-counter yang sama untuk mengubah dana curian menjadi mata uang fiat.

Sumber: ZDNet

Bentuk ransomware lama ini telah kembali dengan trik dan target baru

February 5, 2021 by Winnie the Pooh

Suatu bentuk ransomware yang pernah menjadi pilihan paling populer di kalangan penjahat siber telah kembali dan digunakan untuk menargetkan perawatan kesehatan.

Kembali pada tahun 2017, Cerber adalah keluarga ransomware yang paling dominan, pada satu titik terhitung 90% dari semua serangan ransomware yang menargetkan sistem Windows.

Apa yang membuatnya begitu produktif adalah model ‘as-a-service’, di mana penulis Cerber mengizinkan penjahat siber lainnya untuk menggunakan kode mereka – lengkap dengan portal layanan yang mudah digunakan – dengan imbalan persentase bitcoin apa pun yang dibuat di pembayaran tebusan.

Pada tahun 2018, tampaknya Cerber telah menghilang, digantikan oleh bentuk lain dari ransomware karena model bisnis penjahat siber berubah dan penyerang mengejar seluruh jaringan perusahaan dan mulai menuntut jumlah yang jauh lebih tinggi untuk kunci dekripsi.

Tetapi Cerber kembali dengan peneliti keamanan siber di perusahaan keamanan VMware Carbon Black yang mengidentifikasinya sebagai ransomware paling umum yang menargetkan perawatan kesehatan selama tahun 2020.

Analisis terhadap 239 juta percobaan serangan siber yang menargetkan pelanggan Carbon Black di bidang perawatan kesehatan menemukan Cerber sebagai bentuk ransomware yang paling umum, terhitung 58% dari serangan ransomware yang mencoba menargetkan sektor tersebut.

Selengkapnya: ZDNet

Extension Great Suspender telah dihapus dari Toko Web Chrome karena mengandung malware

February 5, 2021 by Winnie the Pooh

Kemarin, Google telah menghapus extension populer The Great Suspender karena mengandung malware dan secara proaktif menonaktifkan extension tersebut bagi mereka yang memilikinya.

The Great Suspender adalah – atau mungkin dulu – extension yang memaksa tab berlebih Anda untuk “tidur”, membantu mencegah Chrome menggunakan terlalu banyak RAM dan sumber daya lainnya.

Tahun lalu, seperti yang dijelaskan secara mendalam oleh TheMageKing, pengembangan The Great Suspender berpindah tangan dan kemudian dijual kepada pihak ketiga yang tidak dikenal.

Selanjutnya, dengan versi 7.1.8, The Great Suspender menambahkan sebuah exploit yang dapat digunakan untuk menjalankan hampir semua jenis kode di komputer Anda tanpa sepengetahuan Anda.

Eksploit ini menyebabkan extension dihapus dari toko extension Microsoft Edge, tetapi The Great Suspender diizinkan untuk tetap berada di Toko Web Chrome karena pembaruan yang lebih baru dilaporkan menghapus eksploit tersebut.

Lalu kemarin, Google tampaknya telah memberlakukan penghapusan The Great Suspender karena mengandung malware, menghapus extension dari Toko Web Chrome dan telah menonaktifkan extension tersebut secara paksa oleh Chrome.

Tidak diketahui apakah masalah malware ini akan membuat The Great Suspender dihapus secara permanen dari Toko Web Chrome, atau apakah akan dipulihkan tepat waktu. Sementara itu, komunitas telah membuat versi terakhir The Great Suspender yang bebas malware untuk membuat The Marvelous Suspender, yang sekarang tersedia di Toko Web Chrome.

Sumber: 9to5google

Perusahaan keamanan Stormshield mengungkapkan pelanggaran data, pencurian kode sumber

February 5, 2021 by Winnie the Pooh

Firma keamanan siber Prancis Stormshield, penyedia utama layanan keamanan dan perangkat keamanan jaringan untuk pemerintah Prancis, mengatakan hari ini bahwa pelaku ancaman memperoleh akses ke salah satu portal dukungan pelanggannya dan mencuri informasi beberapa pelanggannya.

Perusahaan juga melaporkan bahwa penyerang berhasil mencuri bagian dari kode sumber untuk firewall Keamanan Jaringan Stormshield (SNS), produk yang disertifikasi untuk digunakan di jaringan sensitif pemerintah Prancis, sebagai bagian dari gangguan.

Perusahaan mengatakan sedang menyelidiki insiden tersebut dengan badan keamanan siber Prancis ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), yang saat ini menilai dampak pelanggaran terhadap sistem pemerintah.

Insiden Stormshield saat ini diperlakukan sebagai pelanggaran keamanan besar di dalam pemerintahan Prancis. Dalam siaran persnya sendiri, pejabat ANSSI mengatakan mereka telah menempatkan produk SNS dan SNI Stormshield “dalam pengawasan” selama penyelidikan.

Tetapi selain meninjau kode sumber SNS, Stormshield mengatakan juga mengambil langkah lain untuk mencegah bentuk serangan lain, jika penyusup memiliki akses ke bagian lain dari infrastrukturnya.

Perusahaan Prancis itu mengatakan juga mengganti sertifikat digital yang mereka gunakan sebelum insiden untuk menandatangani pembaruan perangkat lunak SNS.

Selengkapnya: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings