Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Kelompok peretas ‘Bayaran’ merajalela di Timur Tengah, menurut penelitian keamanan siber

by

Dijuluki Bahamut, kelompok peretasan bayaran telah melakukan operasi ekstensif terhadap target di seluruh dunia dalam serangan multi-cabang yang telah dirinci oleh peneliti keamanan siber di BlackBerry. Kampanye tersebut tampaknya telah beroperasi setidaknya sejak 2016.

Operasi spionase ini menggunakan teknik phishing, rekayasa sosial, aplikasi jahat, malware khusus, dan serangan zero-day yang secara diam-diam menargetkan pemerintah, industri swasta, dan individu selama bertahun-tahun.

“Kecanggihan dan cakupan aktivitas berbahaya yang dapat ditautkan oleh tim kami ke Bahamut sungguh mengejutkan,” kata Eric Milam, VP operasi penelitian di BlackBerry.

Kemampuan Bahamut untuk memanfaatkan eksploitasi zero-day menempatkannya dengan beberapa operasi peretasan paling kuat.

Namun, peneliti BlackBerry mencatat bahwa penggunaan malware seringkali hanya menjadi pilihan terakhir bagi Bahamut, karena malware dapat meninggalkan bukti serangan dan bahwa kelompok tersebut lebih suka menggunakan rekayasa sosial dan serangan phishing sebagai cara utama untuk secara diam-diam membobol jaringan organisasi target dengan bantuan kredensial yang dicuri.

Dalam satu kasus, Bahamut mengambil alih domain asli untuk apa yang dulunya merupakan situs web teknologi dan keamanan informasi dan menggunakannya untuk memposting artikel tentang geopolitik, penelitian, dan berita industri, lengkap dengan profil penulis. Sementara penulis menggunakan persona palsu, mereka menggunakan gambar jurnalis asli.

Selain malware dan rekayasa sosial, Bahamut juga menggunakan aplikasi seluler berbahaya untuk pengguna iPhone dan Android. Dengan menginstal salah satu aplikasi berbahaya, pengguna memasang backdoor ke perangkat mereka yang dapat digunakan penyerang untuk memantau semua aktivitas korban, seperti kemampuan untuk membaca pesan, mendengarkan panggilan, memantau lokasi dan aktivitas spionase lainnya.

Bahamut diyakini masih berusaha untuk melakukan kampanye aktif dan sifat kelompok tentara bayaran yang berarti bahwa setiap organisasi atau individu profil tinggi berpotensi menjadi target.

BlackBerry tidak menyebut salah satu target Bahamut secara langsung, tetapi para peneliti sebelumnya telah secara terbuka mengidentifikasi aktivis hak asasi manusia Timur Tengah, pejabat militer Pakistan, dan pengusaha Teluk Arab sebagai sasaran kelompok tersebut.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Reuters | ZDNet

3 cara penjahat menggunakan kecerdasan buatan dalam serangan keamanan siber

by

Tiga ahli keamanan siber menjelaskan bagaimana kecerdasan buatan dan machine learning dapat digunakan untuk menghindari pertahanan keamanan siber dan membuat pelanggaran lebih cepat dan lebih efisien selama cybersecurity summit NCSA dan Nasdaq.

Data poisoning

Elham Tabassi, kepala staf laboratorium teknologi informasi, Institut Standar dan Teknologi Nasional, mengatakan bahwa pelaku kejahatan terkadang menargetkan data yang digunakan untuk melatih model machine learning.

Data Poisoning dirancang untuk memanipulasi set data pelatihan guna mengontrol perilaku prediksi model terlatih untuk mengelabui model agar berperforma salah, seperti memberi label email spam sebagai konten yang aman.

Ada dua jenis data poisoning: Serangan yang menargetkan ketersediaan algoritme ML dan serangan yang menargetkan integritasnya. Penelitian menunjukkan bahwa 3% pelatihan data set poisoning menyebabkan penurunan akurasi sebesar 11%.

Tabassi mengatakan bahwa teknik untuk meracuni data dapat ditransfer dari satu model ke model lainnya. Tabassi juga mengatakan industri membutuhkan standar dan pedoman untuk memastikan kualitas data dan bahwa NIST sedang mengerjakan pedoman nasional untuk AI yang dapat dipercaya.

Generative Adversarial Networks

Generative Adversarial Networks (GANs) pada dasarnya adalah dua sistem AI yang diadu satu sama lain — satu yang mensimulasikan konten asli dan satu lagi yang menemukan kesalahannya. Dengan berkompetisi satu sama lain, mereka bersama-sama membuat konten yang cukup meyakinkan untuk disandingkan dengan aslinya.

Tim Bandos, kepala petugas keamanan informasi di Digital Guardian, mengatakan bahwa penyerang menggunakan GAN untuk meniru pola lalu lintas normal, untuk mengalihkan perhatian dari serangan, dan untuk menemukan serta mengekstrak data sensitif dengan cepat.

GAN juga dapat digunakan untuk memecahkan sandi, menghindari deteksi malware, dan menipu pengenalan wajah, seperti yang dijelaskan Thomas Klimek dalam makalah, “What Are They and Why We Should Be Afraid.”

Bandos mengatakan bahwa algoritma AI yang digunakan dalam keamanan siber harus sering dilatih ulang untuk mengenali metode serangan baru.

Manipulating bots

Panelis Greg Foss, ahli strategi keamanan siber senior di VMware Carbon Black, mengatakan bahwa jika algoritme AI membuat keputusan, mereka dapat dimanipulasi untuk membuat keputusan yang salah.

Foss menggambarkan serangan baru-baru ini pada sistem perdagangan cryptocurrency yang dijalankan oleh bot.

“Penyerang masuk dan menemukan bagaimana bot melakukan perdagangan mereka dan mereka menggunakan bot untuk mengelabui algoritme,” katanya. “Ini dapat diterapkan di seluruh implementasi lain.”

Foss menambahkan bahwa teknik ini bukanlah hal baru tetapi sekarang algoritma ini membuat keputusan yang lebih cerdas yang meningkatkan risiko membuat keputusan yang buruk.

Artikel selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Tech Republic

Ransomware: Lonjakan serangan saat peretas memanfaatkan organisasi yang berada di bawah tekanan

by

Jumlah serangan ransomware telah meningkat secara signifikan selama beberapa bulan terakhir karena penjahat siber berupaya memanfaatkan kerentanan keamanan yang terbuka dengan meningkatnya pekerja jarak jauh.

Para peneliti di perusahaan keamanan siber Check Point mengatakan jumlah serangan ransomware harian di seluruh dunia telah meningkat setengahnya selama tiga bulan terakhir – dan jumlahnya hampir dua kali lipat di AS.

Bekerja dari rumah juga membuat perangkat pemantauan untuk aktivitas berbahaya lebih sulit bagi tim keamanan informasi daripada jika setiap pengguna berada di bawah satu atap, memberi peretas peluang yang lebih baik untuk menjalankan bisnis mereka tanpa diketahui.

Menyelidiki dan memulihkan jaringan setelah serangan ransomware membutuhkan waktu berminggu-minggu atau berbulan-bulan dan ketika ini digabungkan dengan karyawan yang bekerja dari jarak jauh, beberapa organisasi lebih suka menyerah pada tuntutan tebusan dan membayar ratusan ribu atau bahkan jutaan dolar dalam bitcoin untuk memulihkan jaringan secepat mungkin.

Penjahat siber juga menambahkan taktik baru untuk mendorong korban membayar – mengancam akan membocorkan informasi rahasia atau data pribadi jika pembayaran tidak diterima.

Namun, membayar penjahat siber hanya mendorong mereka untuk melanjutkan serangan ransomware pada korban lainnya.

Ransomware memangsa organisasi yang tidak mampu jika jaringan mereka dihancurkan oleh suatu serangan – yang mungkin menjadi alasan mengapa para peneliti menunjuk pada peningkatan dua kali lipat dalam jumlah serangan ransomware terhadap organisasi perawatan kesehatan selama beberapa bulan terakhir.

Namun, jauh dari mustahil untuk melindungi jaringan dari serangan ransomware. Peneliti Check Point merekomendasikan patch keamanan sebagai komponen “penting” untuk melindungi dari serangan ransomware, karena banyak yang mengeksploitasi kerentanan yang diketahui untuk mendapatkan pijakan di jaringan.

Penting juga bagi organisasi untuk terus mencadangkan data mereka, karena jika terjadi serangan ransomware atau situasi lain yang merusak file dan data, jaringan dapat dipulihkan.

Bisnis juga harus melatih pengguna tentang cara mengidentifikasi dan menghindari potensi serangan ransomware, terutama jika karyawan akan bekerja dari jarak jauh ke depannya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

PoetRAT Muncul Kembali dalam Serangan di Azerbaijan Di Tengah Meningkatnya Konflik

by

Iterasi baru dari spyware PoetRAT, dengan peningkatan keamanan operasional, kode yang efisiensi dan membingungkan, sedang beredar di Azerbaijan, menargetkan sektor publik dan organisasi penting lainnya seiring dengan meningkatnya konflik negara dengan Armenia atas wilayah yang disengketakan.

Peneliti intelijen ancaman telah mengamati beberapa serangan baru menggunakan malware yang menunjukkan “perubahan dalam kemampuan aktor” dan “kedewasaan menuju keamanan operasional yang lebih baik,” sambil mempertahankan taktik spear-phishing untuk memikat pengguna agar mengunduh dokumen berbahaya, peneliti Cisco Talos mengungkapkan dalam sebuah posting blog, hari Selasa kemarin.

PoetRAT muncul pada bulan April sebagai backdoor yang bertindak sebagai ujung tombak untuk kerangka spionase yang lebih besar.

Kali ini, serangan tersebut menggunakan dokumen Microsoft Word yang diduga berasal dari pemerintah Azerbaijan – lengkap dengan Lambang Nasional Azerbaijan di pojok atas – untuk menginstal PoetRAT di dua file terpisah pada mesin korban, menurut peneliti Warren Mercer, Paul Rascagneres. dan Vitor Ventura.

Perbedaan antara kampanye sebelumnya dan yang terbaru termasuk perubahan dalam bahasa pemrograman yang digunakan untuk malware dari skrip Python ke Lua.

Kampanye terbaru juga menampilkan beberapa taktik baru untuk menghindari deteksi, catat para peneliti. Ini termasuk protokol eksfiltrasi baru untuk menyembunyikan aktivitas penyerang, serta “teknik obfuscation tambahan untuk menghindari deteksi berdasarkan string atau signatures,” termasuk Base64 dan algoritme kompresi LZMA, catat para peneliti.

Korban kampanye termasuk VIP Azerbaijan dan organisasi di sektor publik, dengan penyerang yang menunjukkan akses ke informasi sensitif, seperti paspor diplomatik milik beberapa warga negara.

Berita selengkapnya:
Source: Threat Post

Keamanan email di tempat kerja dalam lima langkah

by

David Mitchell, Direktur Senior Manajemen Produk Email di Sophos, membagikan kiat utamanya untuk mengoptimalkan keamanan email di tempat kerja.

Data terbaru dari SophosLabs menunjukkan bahwa pada September 2020, 97% spam berbahaya yang ditangkap oleh perangkap spam mereka adalah email phishing, untuk mencari kredensial atau informasi lainnya.

Phishing tetap menjadi taktik yang sangat efektif bagi penyerang, terlepas dari tujuan akhirnya.

Contoh yang bagus adalah munculnya Business Email Compromise (BEC). Tidak lagi terbatas pada pesan yang dieja atau diformat dengan buruk yang berpura-pura datang dari CEO dan menuntut transfer dana yang signifikan secara langsung dan rahasia, iterasi terbaru lebih halus dan lebih cerdas.

Lima langkah untuk mengamankan email organisasi Anda

Berikut adalah lima langkah penting untuk mengamankan email organisasi Anda.

Langkah 1: Instal solusi keamanan multi-kemampuan yang cerdas yang akan menyaring, mendeteksi, dan memblokir sebagian besar hal buruk sebelum mencapai Anda
Untuk mempertahankan jaringan, data, dan karyawan Anda dari serangan berbasis email yang berkembang pesat, Anda harus mulai dengan perangkat lunak keamanan yang efektif. Agar solusi keamanan Anda berfungsi dengan baik, Anda juga perlu menyetel kontrol yang sesuai untuk email masuk dan keluar.

Langkah 2: Terapkan langkah-langkah canggih untuk autentikasi email
Solusi keamanan email Anda harus dapat memeriksa setiap email masuk terhadap aturan autentikasi yang ditetapkan oleh domain asal email tersebut. Cara terbaik untuk melakukannya adalah dengan menerapkan satu atau lebih standar yang diakui untuk autentikasi email.

Standar industri utama adalah:

  • Sender Policy Framework (SPF)
  • DomainKeys Identified Mail (DKIM)
  • Domain Message Authentication Reporting and Conformance(DMARC)

Langkah 3: Didik karyawan tentang apa yang harus diwaspadai
Memberi tahu karyawan yang mengetahui tanda peringatan dari email yang mencurigakan adalah garis pertahanan yang luar biasa.
Anda dapat menerapkan pelatihan online formal, membagikan contoh ancaman terbaru, menjalankan pengujian, dan menunjukkan kepada mereka beberapa pemeriksaan standar.

Langkah 4: Didik karyawan tentang apa yang harus dilakukan ketika mereka menemukan sesuatu
Anda perlu memudahkan rekan kerja untuk melaporkan hal-hal yang tidak mereka yakini. Ini berarti memberi mereka proses sederhana, seperti kotak surat intranet untuk melaporkan pesan yang mencurigakan.

Langkah 5: Jangan lupa tentang email keluar
Email yang dikirim dari organisasi Anda akan dinilai sendiri oleh penerima berdasarkan metode autentikasi yang tercantum di atas. Anda perlu memastikan bahwa Anda memiliki kontrol yang kuat terhadap nama domain Anda sendiri. Anda mungkin juga ingin mempertimbangkan apa lagi yang perlu Anda pantau dan kendalikan terkait email keluar.

Apakah Anda memindai aktivitas yang tidak wajar atau pola perilaku yang tidak biasa yang dapat mengindikasikan akun email internal yang disusupi atau serangan cyber aktif, misalnya?

Ancaman email berkembang sepanjang waktu saat penyerang memanfaatkan teknologi baru, lingkungan baru, atau sekadar mengasah taktik manipulasi psikologis mereka. Tinjau keamanan email Anda secara teratur dan pastikan keamanannya mengikuti perubahan dalam organisasi dan teknik penyerang.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Naked Security

Badan Intelijen Asing Menggunakan Situs Media Sosial untuk Menargetkan Orang-orang dengan Izin Keamanan

by

FBI merilis sebuah peringatan mengenai ancaman dari China.

China dan pemerintah asing lainnya menggunakan situs media sosial jejaring profesional untuk menargetkan orang-orang dengan izin keamanan pemerintah AS.

Badan intelijen asing mungkin menggunakan profil palsu, permintaan yang tampaknya ramah, janji pembayaran yang menguntungkan, dan taktik lain untuk mencoba mendapatkan informasi non-publik dan rahasia untuk keuntungan mereka.

FBI mendesak semua orang — terutama mereka yang memegang (atau pernah memegang) izin keamanan — untuk berhati-hati saat didekati oleh individu secara online mengenai peluang karier.

Apa yang Harus Anda Lakukan?

  • Tinjau pengaturan akun Anda di jejaring sosial dan profesional untuk mengontrol informasi yang tersedia untuk umum, terutama yang berkaitan dengan izin keamanan.
  • Hanya bentuk kontak online dengan orang yang Anda kenal atau setelah Anda memverifikasi sah dengan cara lain.
  • Beri tahu petugas keamanan Anda jika ada kontak dari perusahaan atau individu yang Anda curigai.
  • Jika Anda adalah mantan pemegang izin pemerintah A.S., hubungi kantor FBI terdekat untuk melaporkan penargetan jahat di situs media sosial jejaring profesional atau kirimkan tip secara daring di tips.fbi.gov.

Selengkapnya: FBI

Peringatan CISA memperingatkan serangan Emotet terhadap entitas pemerintah AS

by

Badan Keamanan Siber dan Infrastruktur (CISA) mengeluarkan peringatan untuk memperingatkan gelombang serangan Emotet yang telah menargetkan beberapa negara bagian dan pemerintah lokal di AS sejak Agustus.

Selama waktu itu, Sistem Deteksi Intrusi EINSTEIN milik agensi tersebut telah mendeteksi sekitar 16.000 peringatan terkait aktivitas Emotet.

Menurut para ahli dari CISA, serangan Emotet ditargetkan pada entitas pemerintah AS.

Trojan perbankan Emotet telah aktif setidaknya sejak 2014, botnet dioperasikan oleh pelaku ancaman yang dilacak sebagai TA542. Pada pertengahan Agustus, malware tersebut digunakan dalam kampanye spam baru bertema COVID19.

Trojan perbankan terkenal juga digunakan untuk memberikan kode berbahaya lainnya, seperti Trickbot dan QBot trojan atau ransomware seperti Conti (TrickBot) atau ProLock (QBot).

Peringatan yang diterbitkan oleh CISA didasarkan pada data yang disediakan oleh Multi-State Information Sharing & Analysis Center (MS-ISAC) dan CISA sendiri sejak Juli 2020.

CISA dan MS-ISAC merekomendasikan admin dan pengguna untuk menggunakan solusi antimalware untuk memblokir lampiran yang mencurigakan dan untuk memblokir alamat IP yang mencurigakan.

Peringatan tersebut mencakup mitigasi, Indikator Kompromi (IoCs) dan Teknik MITRE ATT&CK.

Mata-mata asing menggunakan perusahaan untuk menyamarkan peretasan mereka, meminjam taktik penyamaran lama

by

Peretas profesional yang sudah mencoba menyembunyikan aktivitas mereka melalui berbagai cara teknis sekarang tampaknya mencoba lebih banyak penyamaran perusahaan, dengan membuat perusahaan depan atau bekerja sebagai kontraktor pemerintah untuk meningkatkan legitimasi mereka.

“Ini hanya mempersulit untuk mengetahui siapa yang melakukan apa, dan apa motivasi mereka,” John Demers, asisten jaksa agung AS untuk keamanan nasional, mengatakan tentang motivasi yang terlihat dalam wawancara baru-baru ini.

Departemen Kehakiman pada 16 September membuka segel dakwaan terhadap lima pria China dan dua warga negara Malaysia atas dugaan peran mereka dalam skema mata-mata selama bertahun-tahun yang menginfeksi perangkat lunak termasuk Asus, CCleaner dan Netsarang dengan malware.

Beberapa tersangka yang bekerja sebagai bagian dari operasi yang lebih besar berfungsi sebagai bagian dari Chengdu 404, yang memasarkan dirinya sebagai perusahaan penetration testing dengan “semangat patriotik”, kata satu dakwaan.

Saat mengiklankan uji peretasan ofensif, Chengdu 404 menggunakan phishing dan cara lain untuk melanggar lebih dari 100 organisasi di AS, Korea Selatan, Jepang, dan negara lain, menurut tuduhan tersebut.

Peretas akan mengeksploitasi akses mereka untuk mencuri kode sumber, sertifikat penandatanganan perangkat lunak, dan informasi identitas pribadi atas nama Beijing, sambil mengumpulkan uang untuk mereka sendiri. (Perusahaan keamanan telah mengaitkan aktivitas tersebut dengan APT41, unit spionase siber China yang diduga terkait dengan Kementerian Keamanan Negara.)

Sejarah yang kurang membanggakan dari peretasan serupa

Jaksa penuntut AS mengatakan tiga pria Ukraina yang ditangkap pada 2018 mengklaim mengoperasikan Combi Security sebagai perusahaan penetration testing yang sah. Alih-alih benar-benar melakukan tes, perusahaan itu meretas terminal tempat penjualan, mencuri informasi kartu kredit, dan melanggar restoran besar Amerika dan rantai ritel.

Berita selengkapnya:
Source: Cyber Scoop