Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Juataan Ponsel sudah Terinfeksi Malware, Kata Para Peneliti

by

Penjahat telah menginfeksi jutaan Android di seluruh dunia dengan firmware jahat bahkan sebelum perangkat dikirim dari pabrik mereka, menurut peneliti Trend Micro di Black Hat Asia.

Perangkat keras ini sebagian besar adalah perangkat seluler Android murah, meskipun jam tangan pintar, TV, dan hal-hal lain terperangkap di dalamnya.

Pembuatan gadget tersebut dialihdayakan ke produsen peralatan asli (OEM). Pengalihdayaan itu memungkinkan seseorang di jalur manufaktur – seperti pemasok firmware – untuk menginfeksi produk dengan kode berbahaya saat dikirimkan, kata para peneliti.

Ini sudah berlangsung cukup lama, menurut kami; misalnya, kami menulis tentang sakit kepala serupa di tahun 2017. Orang-orang Trend Micro mencirikan ancaman saat ini sebagai “masalah yang berkembang bagi pengguna dan perusahaan biasa”. Jadi, anggap ini sebagai pengingat dan peringatan sekaligus.

Penyisipan malware ini dimulai saat harga firmware ponsel turun, kami diberi tahu. Persaingan antara distributor firmware menjadi sangat sengit sehingga akhirnya penyedia tidak dapat memungut biaya untuk produk mereka.

“Tapi tentu saja tidak ada yang gratis,” kata Yarochkin, yang menjelaskan bahwa, sebagai akibat dari situasi yang sulit ini, firmware mulai hadir dengan fitur yang tidak diinginkan – plugin senyap. Tim menganalisis lusinan gambar firmware untuk mencari perangkat lunak berbahaya. Mereka menemukan lebih dari 80 plugin berbeda, meskipun banyak di antaranya tidak didistribusikan secara luas.

Plugin yang paling berdampak adalah yang memiliki model bisnis yang dibangun di sekitarnya, dijual di bawah tanah, dan dipasarkan secara terbuka di tempat-tempat seperti Facebook, blog, dan YouTube.

selengkapnya : theregister.com

NIST Merevisi Pedoman SP 800-171 untuk Melindungi Informasi Sensitif

by

National Institute of Standards and Technology (NIST) telah memperbarui draf panduannya untuk melindungi informasi rahasia yang sensitif, dalam rangka membantu lembaga federal dan kontraktor pemerintah menerapkan persyaratan keamanan siber secara lebih konsisten.

Rancangan pedoman yang telah direvisi, Melindungi Informasi Terkontrol Terkontrol dalam Sistem dan Organisasi Nonfederal (Publikasi Khusus NIST [SP] 800-171 Revisi 3), akan menjadi perhatian khusus bagi ribuan bisnis yang melakukan kontrak dengan pemerintah federal.

Aturan federal yang mengatur perlindungan informasi yang tidak terklasifikasi (CUI), yang mencakup data sensitif seperti informasi kesehatan, informasi infrastruktur energi kritis, dan kekayaan intelektual, mengacu pada persyaratan keamanan SP 800-171.

Perubahan tersebut dimaksudkan sebagian untuk membantu bisnis ini lebih memahami bagaimana menerapkan perlindungan keamanan siber khusus yang disediakan dalam publikasi NIST yang terkait erat, SP 800-53 Rev. 5.

Penulis telah menyelaraskan bahasa kedua publikasi tersebut, sehingga bisnis dapat lebih mudah menerapkan katalog alat teknis, atau kontrol SP 800-53, untuk mencapai hasil keamanan siber SP 800-171.

Menurut NIST, pembaruan ini dirancang untuk membantu mempertahankan pertahanan yang konsisten terhadap ancaman tingkat tinggi terhadap keamanan informasi.

NIST meminta komentar publik tentang draf pedoman paling lambat 14 Juli 2023. Pembaruan penting dalam draf meliputi:
1. Perubahan untuk mencerminkan kontrol keamanan siber negara-praktik;
2. Revisi kriteria yang digunakan oleh NIST untuk mengembangkan persyaratan keamanan;
3. Meningkatkan spesifisitas dan penyelarasan persyaratan keamanan di SP 800-171 Rev. 3 dengan SP 800-53 Rev. 5, untuk membantu implementasi dan penilaian; Dan
4. Sumber daya tambahan untuk membantu pelaksana memahami dan menganalisis pembaruan yang diusulkan.

Selengkapnya: NIST

Peretas merancang taktik baru untuk memastikan pembayaran ransomware

by

Ransomware tetap menjadi salah satu ancaman keamanan dunia maya terbesar yang terus dihadapi organisasi dan pemerintah. Namun, para peretas sedang merekayasa cara-cara baru untuk mengekstraksi uang tebusan dari korban mereka karena organisasi mengambil keputusan untuk menolak permintaan pembayaran uang tebusan.

Dengan jatuhnya geng ransomware paling terkenal, Conti, pada Mei 2022, diasumsikan bahwa serangan ransomware akan mengalami penurunan besar. Namun, Tenable menemukan bahwa 35,5% pelanggaran pada tahun 2022 adalah hasil dari serangan ransomware, penurunan kecil sebesar 2,5% dari tahun 2021.

Pembayaran dari korban ransomware, sementara itu, menurun sebesar 38% pada tahun 2022 — dan ini telah mendorong peretas untuk mengadopsi taktik yang lebih profesional dan korporat untuk memastikan pengembalian yang lebih tinggi, menurut Laporan Keamanan Cyber Tahunan Trend Micro.

“Penjahat dunia maya semakin memiliki KPI dan target yang ingin dicapai. Ada target khusus yang perlu mereka tembus dalam jangka waktu tertentu. Ini telah menjadi kejahatan yang sangat terorganisir karena model bisnis yang diikuti oleh kelompok ransomware yang menyebabkan mereka mulai meningkatkan tekanan,” kata Maheswaran S, manajer negara di Varonis Systems.

Salah satu taktik yang semakin banyak digunakan oleh kelompok ransomware adalah pemerasan ganda. Dalam metode pemerasan ganda, grup ransomware, selain mengenkripsi file di sistem korban, juga mengunduh informasi sensitif dari mesin korban.

“Ini memberi mereka lebih banyak pengaruh, karena sekarang pertanyaannya bukan hanya tentang mendekripsi data yang dikunci tetapi juga tentang membocorkannya,” kata Mehardeep Singh Sawhney, peneliti ancaman di CloudSEK.

Contohnya adalah geng ransomware BlackCat. Geng ransomware ini dapat mengenkripsi dan mencuri data dari mesin korban dan aset lain yang berjalan di dalamnya, misalnya server ESXi, kata CloudSEK.

selengkapnya : csoonline.com

Pakar Merinci Kerentanan Windows Zero-Click Baru untuk Pencurian Kredensial NTLM

by

Peneliti keamanan siber telah membagikan detail tentang kelemahan keamanan yang sekarang sudah ditambal di platform Windows MSHTML yang dapat disalahgunakan untuk melewati perlindungan integritas pada mesin yang ditargetkan.

Kerentanan, dilacak sebagai CVE-2023-29324 (skor CVSS: 6,5), telah dijelaskan sebagai pemintas fitur keamanan. Itu ditangani oleh Microsoft sebagai bagian dari pembaruan Patch Tuesday untuk Mei 2023.

Peneliti keamanan Akamai Ben Barnea, yang menemukan dan melaporkan bug tersebut, mencatat bahwa semua versi Windows terpengaruh, tetapi menunjukkan Microsoft, server Exchange dengan pembaruan Maret menghilangkan fitur yang rentan.

Akamai mengatakan masalah ini berasal dari penanganan jalur yang rumit di Windows, sehingga memungkinkan aktor ancaman membuat URL berbahaya yang dapat menghindari pemeriksaan zona keamanan internet.

“Kerentanan ini adalah contoh lain dari pemeriksaan tambalan yang mengarah ke kerentanan baru dan jalan pintas,” kata Barnea. “Ini adalah permukaan serangan parsing media tanpa klik yang berpotensi mengandung kerentanan korupsi memori kritis.”

Agar tetap terlindungi sepenuhnya, Microsoft selanjutnya merekomendasikan pengguna untuk menginstal pembaruan Kumulatif Internet Explorer untuk mengatasi kerentanan di platform MSHTML dan mesin skrip.

selengkapnya : thehackernews.com

Strain Ransomware Baru ‘CACTUS’ Mengeksploitasi Cacat VPN untuk Menyusup ke Jaringan

by

Peneliti keamanan siber telah menjelaskan jenis ransomware baru ‘CACTUS’ yang ditemukan memanfaatkan kelemahan yang diketahui pada peralatan VPN untuk mendapatkan akses awal ke jaringan yang ditargetkan.

Saat sudah dalam jaringan, aktor CACTUS mencoba menghitung akun pengguna lokal dan jaringan selain titik akhir yang dapat dijangkau sebelum membuat akun pengguna baru dan memanfaatkan skrip khusus untuk mengotomatiskan penyebaran dan peledakan ransomware encryptor melalui tugas terjadwal.

Ransomware telah diamati menargetkan entitas komersial besar sejak Maret 2023, dengan serangan menggunakan taktik pemerasan ganda untuk mencuri data sensitif sebelum enkripsi. Tidak ada situs kebocoran data yang telah diidentifikasi hingga saat ini.

Serangan CACTUS juga memanfaatkan Cobalt Strike dan alat tunnel ‘Chisel’ untuk perintah dan kontrol, bersama perangkat lunak pemantauan dan manajemen jarak jauh (RMM) seperti AnyDesk untuk mendorong file ke host yang terinfeksi.

Diambil pula langkah-langkah untuk menonaktifkan dan mencopot solusi keamanan serta mengekstrak kredensial dari browser web dan Layanan Subsistem Otoritas Keamanan Lokal (LSASS) untuk meningkatkan hak istimewa.

Pada dasarnya, ‘CACTUS’ mengenkripsi dirinya sendiri, membuatnya lebih sulit untuk dideteksi dan membantunya menghindari antivirus dan alat pemantauan jaringan, memanfaatkan kerentanan dalam alat VPN yang populer, menunjukkan pelaku ancaman terus menargetkan layanan akses jarak jauh dan kerentanan yang belum ditambal untuk akses awal.

Selengkapnya: The Hacker News

Microsoft mengeluarkan perbaikan opsional untuk Secure Boot zero-day yang digunakan oleh malware

by

Microsoft telah merilis pembaruan keamanan untuk mengatasi kerentanan Secure Boot zero-day yang dieksploitasi oleh malware BlackLotus UEFI untuk menginfeksi sistem Windows yang telah ditambal sepenuhnya.

Secure Boot adalah fitur keamanan yang memblokir bootloader yang tidak dipercaya oleh OEM pada komputer dengan firmware Unified Extensible Firmware Interface (UEFI) dan chip Trusted Platform Module (TPM) untuk mencegah rootkit memuat selama proses startup.

Menurut posting blog Microsoft Security Response Center, kelemahan keamanan (dilacak sebagai CVE-2023-24932) digunakan untuk mem-bypass patch yang dirilis untuk CVE-2022-21894, bug Boot Aman lainnya yang disalahgunakan dalam serangan BlackLotus tahun lalu.

Semua sistem Windows yang mengaktifkan perlindungan Boot Aman dipengaruhi oleh kelemahan ini, termasuk perangkat lokal, mesin virtual, dan berbasis cloud.

Namun, patch keamanan CVE-2023-24932 yang dirilis hari ini hanya tersedia untuk versi Windows 10, Windows 11, dan Windows Server yang didukung.

Untuk menentukan apakah perlindungan Boot Aman diaktifkan di sistem Anda, Anda dapat menjalankan perintah msinfo32 dari prompt perintah Windows untuk membuka aplikasi Informasi Sistem.

Secure Boot diaktifkan jika Anda melihat pesan “Secure Boot State ON” di sisi kiri jendela setelah memilih “System Summary.”

selengkapnya : bleepingcomputer.com

Kunci Private Intek BootGuard OEM Bocor dari Pencurian Siber MSI

by

Intel sedang menyelidiki laporan bahwa kunci privat BootGuard, yang digunakan untuk melindungi PC dari malware tersembunyi, bocor saat data milik Micro-Star International (MSI) dicuri dan dibuang secara online.

Dapat dipahami bahwa kunci privat dibuat oleh MSI untuk digunakan dengan teknologi BootGuard Intel, dan berada di antara kode sumber internal dan materi lain yang diambil dari sistem TI pembuat suku cadang komputer bulan lalu – setidaknya beberapa di antaranya telah dibagikan di internet.

PC dengan chip Intel dan perlindungan BootGuard diaktifkan dan dikonfigurasi, biasanya dan secara umum, hanya menjalankan firmware jika ditandatangani secara digital menggunakan kunci seperti yang dibocorkan dari MSI. Firmware itu memulai OS – proses yang dijelaskan oleh Intel di sini [PDF] dan diperlukan untuk memenuhi persyaratan Windows Secure Boot.

Jika firmware tidak ditandatangani secara digital dengan benar, mungkin karena seseorang telah mencoba menumbangkan kode untuk memasukkan beberapa spyware tidak resmi di bawah sistem operasi, tidak terlihat oleh antivirus dan alat pertahanan lainnya. Idealnya, Anda ingin BootGuard mencegah firmware aneh tersebut dimulai.

Penjahat memposting tangkapan layar untuk membuktikannya, dan mengancam akan merilis data ini kecuali MSI membayar uang tebusan $4 juta. Telah dipahami setidaknya beberapa dari informasi tersebut – seperti kode sumber firmware MSI dan kunci BootGuard pribadi – telah lolos ke alam liar dari situs kebocoran pemeras.

selengkapnya : theregister.com

FBI: Agen Keamanan Rusia telah menggunakan Jaringan Rahasia Komputer yang Rusak untuk Memata-matai NATO selama beberapa dekade, tetapi AS baru saja membukanya

by

Departemen Kehakiman mengungkapkan pada hari Selasa mengenai hal tersebut.

FBI berhasil mengacaukan jaringan komputer global yang telah disusupi oleh malware canggih ‘Snake’. Agensi melakukan operasi resmi pengadilan untuk menonaktifkan ‘Snake’ di komputer yang dikompromikan dengan menggunakan alat yang menginstruksikan malware untuk menghancurkan dirinya sendiri.

Badan Keamanan Infrastruktur dan Keamanan Siber (CISA) menganggap ‘Snake’ sebagai alat spionase siber paling canggih di gudang senjata FSB selama hampir dua dekade untuk menargetkan dan mencuri dokumen sensitif dari sistem komputer di banyak negara di seluruh dunia, termasuk anggota NATO, Justice menurut departemen.

FSB telah menggunakan Snake untuk mengumpulkan intelijen sensitif dari target prioritas tinggi, seperti jaringan pemerintah, fasilitas penelitian, dan jurnalis.

CISA merinci satu kasus spesifik di mana agen FSB berhasil menggunakan Snake untuk mengakses dan mengekstraksi dokumen hubungan internasional yang sensitif, serta komunikasi diplomatik lainnya melalui korban di negara NATO yang tidak ditentukan. Di AS, FSB telah mengorbankan beberapa sektor, termasuk fasilitas pemerintah, manufaktur kritis, jasa keuangan, pendidikan, organisasi media, dan usaha kecil, kata penasihat itu.

Menurut pernyataan tertulis FBI, agensi tersebut bekerja dengan mitra intelijen AS dan pemerintah asing untuk menyelidiki cara kerja Snake. FSB menggunakan Snake untuk menarik data dari sistem komputer sensitif dan mengirimkan data melalui sistem yang dikompromikan di AS sebelum dikirim kembali ke Rusia. Melakukan hal itu mempersulit korban untuk mengungkap bagaimana jaringan itu terhubung.

Melalui analisis Departemen Kehakiman terhadap Snake, FBI mengembangkan kemampuan untuk memecahkan kode dan mendekripsi komunikasi Snake. FBI kemudian menciptakan alat ‘Perseus’ yang dapat berkomunikasi dengan Snake pada sistem tertentu dan menggunakan perintah untuk memaksa malware untuk menghancurkan dirinya sendiri.

Pejabat tinggi Departemen Kehakiman memuji kemampuan FBI untuk menetralisir jaringan FSB.

Selengkapnya: Insider