Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Kegunaan ESXiArgs-Recover untuk memulihkan Virtual Machine Terserang Ransomware

by

ESXiArgs-Recover adalah alat untuk memungkinkan organisasi mencoba memulihkan virtual machine yang terkena serangan ransomware ESXiArgs.

CISA mengetahui bahwa beberapa organisasi telah melaporkan keberhasilan memulihkan file tanpa membayar uang tebusan. CISA menyusun alat ini berdasarkan sumber daya yang tersedia untuk umum, termasuk tutorial oleh Enes Sonmez dan Ahmet Aykac. Alat ini bekerja dengan merekonstruksi metadata virtual machine dari disk virtual yang tidak dienkripsi oleh malware. Untuk informasi selengkapnya, lihat Panduan Pemulihan virtual machine ESXiArgs Ransomware CISA.

disclaimer
Skrip ESXiArgs CISA didasarkan pada temuan yang diterbitkan oleh peneliti pihak ketiga yang disebutkan di atas. Setiap organisasi yang ingin menggunakan skrip pemulihan ESXiArgs CISA harus meninjau skrip dengan hati-hati untuk menentukan apakah skrip tersebut sesuai untuk lingkungan mereka sebelum menerapkannya. Skrip ini tidak berusaha untuk menghapus file konfigurasi terenkripsi, melainkan berusaha membuat file konfigurasi baru yang memungkinkan akses ke VM. Meskipun CISA bekerja untuk memastikan bahwa skrip seperti ini aman dan efektif, skrip ini dikirimkan tanpa jaminan, baik implisit maupun eksplisit. Jangan gunakan skrip ini tanpa memahami bagaimana hal itu dapat memengaruhi sistem Anda. CISA tidak bertanggung jawab atas kerusakan yang disebabkan oleh skrip ini.

Skrip ini disediakan “sebagaimana adanya” hanya untuk tujuan informasi. CISA tidak mendukung produk atau layanan komersial apa pun, termasuk subjek analisis apa pun. Referensi apa pun untuk produk, proses, atau layanan komersial tertentu oleh merek layanan, merek dagang, pabrikan, atau lainnya, bukan merupakan atau menyiratkan dukungan, rekomendasi, atau dukungan oleh CISA.

selengkapnya : github

Siswa Virginia Barat Kembali ke Kelas Setelah Pemadaman Selama Berhari-hari Setelah CyberAttack

by Leave a Comment

Hampir 20.000 siswa di Virginia Barat terpaksa bolos pada hari Senin karena serangan siber yang melumpuhkan sekolah mereka.

Berkeley County Schools mengatakan pada hari Jumat pihaknya mengalami pemadaman internet dan telepon pada hari Jumat dan menghabiskan akhir pekan untuk mengatasi masalah yang terkait dengan serangan dunia maya.

Inspektur Ronald Stephens menulis catatan kepada siswa dan orang tua yang mengatakan operasi TI di seluruh distrik dibatasi karena serangan dunia maya dan mencatat bahwa lembaga penegak hukum telah dihubungi.

Pada hari Minggu, Stephens mengonfirmasi bahwa kelas-kelas dibatalkan dan semua kegiatan sekolah akan ditunda.

Kelas akan dilanjutkan pada hari Selasa tetapi distrik tersebut masih bekerja untuk memulihkan sistem operasi dan menyelidiki serangan dunia maya, menurut pernyataan dari Berkeley County Schools pada Senin sore.

Berkeley County Schools adalah distrik sekolah terbesar kedua di West Virginia dan county – yang berjarak sekitar dua jam dari Washington DC – memiliki populasi sekitar 120.000.

Sekolah tidak menanggapi permintaan komentar tentang apakah mereka menderita serangan ransomware.

Orang tua mengungkapkan keprihatinannya kepada MetroNews karena sekolah membawa banyak informasi sensitif terkait perintah perlindungan anak dan data lain tentang kontak darurat.

Pihak sekolah mengatakan perangkat siswa tidak terpengaruh oleh serangan itu tetapi menjelaskan bahwa pertemuan Dewan Pendidikan yang dijadwalkan pada Senin tidak akan disiarkan lagi karena pemadaman teknologi.

CISA mengatakan jumlah insiden siber K-12 yang dilaporkan antara 2018 dan 2021 meningkat setiap tahun, dari 400 menjadi lebih dari 1.300. Pakar ransomware Emsisoft Brett Callow menjelaskan bahwa 45 distrik dengan 1.981 sekolah terkena dampak ransomware pada tahun 2022.

Serangan di Berkeley County Schools adalah insiden keenam yang dilaporkan pada tahun 2023.

selengkapnya : therecord.media

Geng Ransomware LockBit Mengklaim Serangan Cyber Royal Mail

by

Operasi ransomware LockBit telah mengklaim cyberattack pada layanan pengiriman surat terkemuka di Inggris, Royal Mail, yang memaksa perusahaan untuk menghentikan layanan pengiriman internasionalnya karena “gangguan layanan yang parah”

Ini terjadi setelah LockBitSupport, perwakilan publik geng ransomware, sebelumnya memberi tahu BleepingComputer bahwa grup cybercrime LockBit tidak menyerang Royal Mail.

Sebaliknya, mereka menyalahkan pelaku penyerabgan lain yang menggunakan pembuat ransomware LockBit 3.0 yang bocor di Twitter pada September 2022.

LockBitSupp gagal menjelaskan mengapa catatan tebusan Royal Mail yang dicetak yang dilihat oleh BleepingComputer menyertakan tautan ke situs negosiasi Tor dan kebocoran data LockBit daripada yang dioperasikan oleh aktor ancaman lain.

Lockbit Black ransom note printer during the attack on Royal Mail (Daniel Card)

Royal Mail belum mengakui bahwa itu berurusan dengan serangan ransomware yang kemungkinan dapat menyebabkan pelanggaran data karena operator ransomware LockBit dikenal mencuri data dan membocorkannya secara online jika permintaan tebusan mereka tidak dipenuhi.

Untuk saat ini, perusahaan tersebut masih menggambarkan serangan tersebut sebagai “insiden dunia maya” dan mengatakan bahwa mereka telah memulihkan beberapa layanan yang terkena dampak serangan tersebut.

sumber : bleepingcomputer

Tim Keamanan Siber, Berhati-hatilah: Dilema Pembela adalah Kebohongan

by

Hampir setiap profesional keamanan pernah mengalami “dilema pembela” dalam karir mereka. Bunyinya seperti ini: “Pembela harus benar setiap saat. Penyerang hanya perlu benar sekali.”

Hal bohong lainnya adalah gagasan bahwa penyerang memiliki semua keuntungan dan bahwa pembela harus pasif dan menunggu sesuatu untuk ditanggapi secara praktis merupakan aksioma keamanan dunia maya.

Mendasarkan strategi keamanan pada dilema pembela HAM akan membahayakan program keamanan. Berawal dari premis yang salah mengarah pada keputusan yang buruk.

Jika mempercayai kebohongan dari dilema pembela, maka ada kebohongan lain yang harus dipercayai juga karena dilema pembela bergantung padanya.

Berikut adalah beberapa kebohongan pembela, yaitu Pertahanan dan pelanggaran terpisah, Pembela harus bertugas 24/7, Pembela harus bermain adil, dan sebagainya.

Selengkapnya: Tech Chrunch+

Presiden Indonesia Memperingatkan Regulator untuk Meningkatkan Pengawasan Setelah Kekalahan Adani

by

Presiden Indonesia, Joko Widodo pada hari Senin mendesak regulator keuangan negaranya untuk memperkuat pengawasan di pasar modal setelah krisis di Grup Adani India.

Saham di perusahaan Grup Adani telah terpukul dengan aksi jual besar-besaran sejak short-seller Hindenburg Research yang berbasis di AS membuat tuduhan manipulasi saham dan utang yang tidak berkelanjutan.

Jokowi berbicara dalam pertemuan otoritas jasa keuangan tahunan, menunjuk depresiasi rupee dan arus keluar modal dari India setelah kehancuran nilai pasar saham perusahaan Grup Adani.

Beliau mewanti-wanti dampak negatif manipulasi saham sebagai salah satu upaya untuk mencegah hal tersebut terjadi di Indonesia.

Selengkapnya: Reuters

Polisi Melakukan Penangkapan dan Menyita Obat-obatan Setelah Hack Aplikasi Perpesanan Terenkripsi Exclu

by

Polisi Eropa telah menutup layanan pesan terenkripsi yang digunakan oleh ribuan orang termasuk anggota kelompok kejahatan terorganisir.

Sebuah operasi gabungan yang dipimpin oleh polisi Belanda dan Jerman telah menyebabkan lebih dari 45 penangkapan menyusul penyelidikan multi-negara terhadap layanan pesan terenkripsi Exclu.

Polisi diam-diam membaca komunikasi yang didekripsi di aplikasi selama lima bulan sebelum meluncurkan penggerebekan terkoordinasi, menurut serangkaian pengumuman pada Senin 6 Februari 2023.

Exclu mengklaim di situs webnya untuk menawarkan “protokol enkripsi paling aman”, yang katanya telah diaudit oleh pakar kriptografi untuk memastikan mereka tidak mengandung kerentanan pintu belakang.

“Enkripsi end-to-end memastikan hanya Anda dan orang yang berkomunikasi dengan Anda yang dapat membaca apa yang dikirim, dan tidak ada orang di antaranya, bahkan Exclu,” klaimnya.

Pelanggan dapat membeli langganan enam bulan ke layanan tersebut, memungkinkan mereka untuk berbagi pesan teks, gambar, dan video, menurut pernyataan dari badan peradilan Eropa Eurojust.

“Aplikasi tersebut dipuji oleh pengguna karena tingkat keandalan dan layanannya yang tinggi,” katanya.

Layanan pesan terenkripsi memiliki 3.000 pengguna, termasuk 750 penutur bahasa Belanda.

selengkapnya : computerweekly

Bing yang Diberdayakan Oleh ChatGPT dari Microsoft Terbuka untuk Dicoba Oleh Semua Mulai Hari ini

by

Pengalaman Bing baru yang diberdayakan oleh ChatGPT dari Microsoft akan tersedia hari ini untuk semua orang sebagai “pratinjau terbatas” di desktop. Anda akan memiliki sejumlah kueri terbatas yang dapat Anda gunakan dengannya, tetapi Anda akan segera dapat mendaftar untuk akses penuh.

Jika Anda mengunjungi Bing.com, Anda mungkin melihat beberapa contoh pencarian yang dapat Anda coba, jika antarmuka baru ditampilkan. Mengkliknya akan mengarahkan Anda ke halaman pencarian Bing dengan hasil tradisional di sebelah kiri, dan jendela obrolan di sebelah kanan dengan jawaban yang dihasilkan AI.

Perusahaan mengharapkan untuk meluncurkan akses ke jutaan orang dalam beberapa minggu mendatang, serta meluncurkan versi seluler dari pengalaman tersebut. Dalam sebuah posting blog tentang peluncuran, Microsoft mengatakan “sangat bersemangat untuk menempatkan Bing dan Edge baru ke dunia nyata untuk mendapatkan umpan balik kritis yang diperlukan untuk meningkatkan model kami saat kami menskalakan.”

Laman daftar tunggu menunjukkan beberapa contoh kegunaan alat ini, seperti memintanya membuat menu vegetarian tiga menu untuk enam orang dengan makanan penutup cokelat atau untuk menemukan mobil all-wheel drive yang dapat menampung enam orang dan memiliki sub -enam detik 0–60 kali.

Beberapa contoh kueri yang dapat Anda coba sekarang

Microsoft mengumumkan berita itu hanya satu hari setelah Google mengungkapkan bahwa mereka sedang mengerjakan alat bertenaga AI serupa yang disebut Bard. Kedua perusahaan saat ini terlibat dalam pertempuran sengit mengenai masa depan AI, dan ini kemungkinan baru permulaan.

Selengkapnya : theverge

Eksploitasi dirilis untuk GoAnywhere MFT Zero-day yang Dieksploitasi Secara Aktif

by

Kode eksploit telah dirilis untuk kerentanan zero-day yang dieksploitasi secara aktif yang memengaruhi konsol administrator MFT GoAnywhere yang terpapar Internet.

GoAnywhere MFT adalah alat transfer file berbasis web dan terkelola yang dirancang untuk membantu organisasi mentransfer file secara aman dengan mitra dan menyimpan log audit siapa yang mengakses file bersama.

Pengembangnya adalah Fortra (sebelumnya dikenal sebagai HelpSystems), pakaian di balik alat emulasi ancaman Cobalt Strike yang banyak disalahgunakan.

Fortra mengatakan bahwa “vektor serangan eksploit ini memerlukan akses ke konsol administratif aplikasi, yang dalam banyak kasus hanya dapat diakses dari dalam jaringan perusahaan swasta, melalui VPN, atau dengan alamat IP yang diizinkan (ketika berjalan di cloud lingkungan, seperti Azure atau AWS).”

Namun, pemindaian Shodan menunjukkan bahwa hampir 1.000 instans GoAnywhere terekspos di Internet, meskipun lebih dari 140 berada di port 8000 dan 8001 (yang digunakan oleh konsol admin yang rentan).

Untuk menonaktifkan server lisensi, admin harus mengomentari atau menghapus servlet dan konfigurasi pemetaan servlet untuk Servlet Respons Lisensi di file web.xml untuk menonaktifkan titik akhir yang rentan. Restart diperlukan untuk menerapkan konfigurasi baru.

“Ini termasuk kata sandi dan kunci yang digunakan untuk mengakses sistem eksternal apa pun yang terintegrasi dengan GoAnywhere.

“Pastikan bahwa semua kredensial telah dicabut dari sistem eksternal tersebut dan tinjau log akses relevan yang terkait dengan sistem tersebut. Ini juga termasuk kata sandi dan kunci yang digunakan untuk mengenkripsi file di dalam sistem.”

Fortra juga merekomendasikan untuk mengambil langkah-langkah berikut setelah mitigasi di lingkungan dengan kecurigaan atau bukti adanya serangan:

  • Rotate Master Encryption Key.
  • Reset credentials – keys and/or passwords – for all external trading partners/systems.
  • Review audit logs dan delete semua suspicious admin and/or web user accounts
  • kontak support via the portal https://my.goanywhere.com/, email goanywhere.support@helpsystems.com, atau telephone 402-944-4242 for further assistance.

sumber : bleepingcomputer