Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cyber Attack

Cyber Attack

‘Serangan siber yang serius’ menghantam dewan London

by

Hackney Council di London utara mengatakan telah menjadi target serangan siber yang serius, yang memengaruhi banyak layanan dan sistem IT-nya.

“Investigasi ini masih dalam tahap awal, dan informasi terbatas saat ini tersedia. Kami akan terus memberikan pembaruan seiring perkembangan investigasi kami,” kata Philip Glanville, Walikota Hackney.

Dia mengatakan fokus saat ini adalah untuk terus memberikan layanan garis depan yang penting, terutama bagi penduduk yang paling rentan, “dan melindungi data, sambil memulihkan layanan yang terkena dampak secepat mungkin.”

“Kami meminta penduduk dan bisnis hanya menghubungi kami jika benar-benar diperlukan, dan untuk bersabar sementara kami berusaha menyelesaikan masalah ini.”

Selengkapnya:
Source: ZDNet

3 cara penjahat menggunakan kecerdasan buatan dalam serangan keamanan siber

by

Tiga ahli keamanan siber menjelaskan bagaimana kecerdasan buatan dan machine learning dapat digunakan untuk menghindari pertahanan keamanan siber dan membuat pelanggaran lebih cepat dan lebih efisien selama cybersecurity summit NCSA dan Nasdaq.

Data poisoning

Elham Tabassi, kepala staf laboratorium teknologi informasi, Institut Standar dan Teknologi Nasional, mengatakan bahwa pelaku kejahatan terkadang menargetkan data yang digunakan untuk melatih model machine learning.

Data Poisoning dirancang untuk memanipulasi set data pelatihan guna mengontrol perilaku prediksi model terlatih untuk mengelabui model agar berperforma salah, seperti memberi label email spam sebagai konten yang aman.

Ada dua jenis data poisoning: Serangan yang menargetkan ketersediaan algoritme ML dan serangan yang menargetkan integritasnya. Penelitian menunjukkan bahwa 3% pelatihan data set poisoning menyebabkan penurunan akurasi sebesar 11%.

Tabassi mengatakan bahwa teknik untuk meracuni data dapat ditransfer dari satu model ke model lainnya. Tabassi juga mengatakan industri membutuhkan standar dan pedoman untuk memastikan kualitas data dan bahwa NIST sedang mengerjakan pedoman nasional untuk AI yang dapat dipercaya.

Generative Adversarial Networks

Generative Adversarial Networks (GANs) pada dasarnya adalah dua sistem AI yang diadu satu sama lain — satu yang mensimulasikan konten asli dan satu lagi yang menemukan kesalahannya. Dengan berkompetisi satu sama lain, mereka bersama-sama membuat konten yang cukup meyakinkan untuk disandingkan dengan aslinya.

Tim Bandos, kepala petugas keamanan informasi di Digital Guardian, mengatakan bahwa penyerang menggunakan GAN untuk meniru pola lalu lintas normal, untuk mengalihkan perhatian dari serangan, dan untuk menemukan serta mengekstrak data sensitif dengan cepat.

GAN juga dapat digunakan untuk memecahkan sandi, menghindari deteksi malware, dan menipu pengenalan wajah, seperti yang dijelaskan Thomas Klimek dalam makalah, “What Are They and Why We Should Be Afraid.”

Bandos mengatakan bahwa algoritma AI yang digunakan dalam keamanan siber harus sering dilatih ulang untuk mengenali metode serangan baru.

Manipulating bots

Panelis Greg Foss, ahli strategi keamanan siber senior di VMware Carbon Black, mengatakan bahwa jika algoritme AI membuat keputusan, mereka dapat dimanipulasi untuk membuat keputusan yang salah.

Foss menggambarkan serangan baru-baru ini pada sistem perdagangan cryptocurrency yang dijalankan oleh bot.

“Penyerang masuk dan menemukan bagaimana bot melakukan perdagangan mereka dan mereka menggunakan bot untuk mengelabui algoritme,” katanya. “Ini dapat diterapkan di seluruh implementasi lain.”

Foss menambahkan bahwa teknik ini bukanlah hal baru tetapi sekarang algoritma ini membuat keputusan yang lebih cerdas yang meningkatkan risiko membuat keputusan yang buruk.

Artikel selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Tech Republic

Cloudflare sekarang dapat mengirim peringatan DDoS untuk situs yang sedang diserang

by

Cloudflare sekarang memungkinkan pelanggan berbayar untuk membuat pemberitahuan yang memperingatkan mereka ketika situs mereka diserang DDoS.

Serangan distributed denial of service (DDoS) terjadi saat penyerang membanjiri server web atau koneksi Internet dengan lebih banyak permintaan daripada yang dapat ditangani. Banjir permintaan ini menyebabkan layanan menjadi tidak tersedia, dan perusahaan atau orang mengalami pemadaman.

Cloudflare selalu menawarkan perlindungan DDoS sebagai salah satu penawaran intinya, tetapi kecuali pemilik atau administrator situs secara aktif menggunakan situs mereka atau menggunakan alat pemantauan, mereka tidak akan tahu bahwa layanan mereka sedang diserang sampai sudah terlambat.

Kemarin, Cloudflare mengumumkan bahwa semua pelanggan berbayar sekarang dapat mengonfigurasi peringatan yang memberi tahu mereka ketika situs yang mereka kelola berada di bawah serangan DDoS.

Ada juga jenis DDoS berbeda yang dapat korban terima – HTTPS DDoS dan serangan L3/L4. Ketersediaan setiap jenis peringatan tergantung pada layanan apa yang Anda gunakan dengan Cloudflare.

Ketika serangan DDoS terjadi, Cloudflare akan memberi tahu Anda ketika serangan itu terdeteksi, jenis serangan DDoS, seberapa besar serangannya, dan apa targetnya.

Sumber: Cloudflare

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Lonjakan ancaman ransomware, Ryuk menyerang sekitar 20 org per minggu

by

Peneliti malware yang memantau ancaman ransomware melihat peningkatan tajam dalam beberapa serangan ransomware selama beberapa bulan terakhir dibandingkan dengan enam bulan pertama tahun 2020.

Di bagian atas daftar adalah keluarga ransomware Maze, Ryuk, dan REvil (Sodinokibi), menurut data yang baru-baru ini diterbitkan dari Check Point dan tim IBM Security X-Force Incident Response.

Data dari Check Point mengacu pada kuartal ketiga tahun ini menunjukkan bahwa Maze dan Ryuk adalah keluarga ransomware yang paling umum, dengan ransomware menyerang rata-rata 20 perusahaan per minggu.

Perusahaan mengatakan bahwa serangan ransomware meningkat sebesar 50% pada tingkat global pada kuartal ketiga tahun 2020, Ryuk dan Maze adalah ancaman yang paling umum.

Di Amerika, serangan ini hampir dua kali lipat pada kuartal ketiga, menempatkannya di lima besar negara yang paling terpengaruh di Q3:

  • Amerika Serikat (98,1% meningkat)
  • India (39,2% meningkat)
  • Sri Lanka (436% meningkat)
  • Rusia (57,9% meningkat)
  • Turki (32,5% meningkat)

Serangan ransomware sangat menguntungkan bagi penjahat siber sehingga hampir tidak ada peluang ancaman ini menghilang dalam waktu dekat, terutama dengan taktik yang berkembang (mencuri data dan membocorkan atau menjualnya di web gelap) yang dirancang untuk memaksa membayar tebusan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Anatomi perampokan siber senilai $15 juta di perusahaan AS

by

Penipu berpengalaman mendapatkan $15 juta dari perusahaan AS setelah dengan hati-hati menjalankan email yang telah disusupi yang membutuhkan waktu sekitar dua bulan untuk menyelesaikannya.

Penjahat siber melaksanakan rencana mereka dengan sangat teliti setelah mendapatkan akses ke percakapan email tentang transaksi komersial. Mereka memasukkan diri mereka ke dalam pertukaran untuk mengalihkan pembayaran dan mampu menyembunyikan pencurian cukup lama untuk mendapatkan uang.

Meskipun peneliti menyelidiki peristiwa pada satu korban, mereka menemukan petunjuk yang menunjukkan bahwa lusinan bisnis di sektor konstruksi, ritel, keuangan, dan hukum ada dalam daftar target mereka.

Setelah aktor tersebut memutuskan sebuah target, mereka menghabiskan waktu sekitar dua minggu untuk mencoba mengakses akun email. Setelah masuk, mereka menghabiskan waktu seminggu lagi untuk mengumpulkan informasi dari kotak surat korban dan mengidentifikasi peluang.

Selama empat minggu, penyerang dengan hati-hati membuat rencana mereka menggunakan informasi yang dikumpulkan dari kotak masuk eksekutif senior yang disusupi. Mereka mengambil alih percakapan menggunakan domain palsu pada saat yang tepat untuk memberikan detail yang diubah untuk pengiriman uang.

Untuk menyembunyikan pencurian hingga mereka memindahkan uang ke bank asing dan membuatnya hilang selamanya, penyerang menggunakan aturan penyaringan kotak masuk untuk memindahkan pesan dari alamat email tertentu ke folder tersembunyi.

Itu adalah langkah yang membuat pemilik kotak masuk yang sah tidak mengetahui komunikasi mengenai pemindahan uang. Itu berlangsung sekitar dua minggu, cukup bagi aktor untuk membuat $15 juta menghilang.

Organisasi dapat memperkuat pertahanan mereka terhadap jenis serangan ini dengan mengikuti sekumpulan rekomendasi sederhana yang mencakup, antara lain, mengaktifkan otentikasi dua faktor di Office 365 dan mencegah email forwarding ke alamat eksternal.

Baca berita selengkapnya pada tautan dibawah ini;
Source: Bleeping Computer

Peretas Mengunggah Sidik Jari Sendiri ke TKP Dalam Serangan Cyber Terbodoh Yang Pernah Ada

by

Max Heinemeyer, direktur threat hunting di Darktrace, membagikan cerita serangan siber yang aneh, tidak konvensional, dan tidak diragukan lagi original kepada Forbes.

Peretas mengunggah sidik jarinya sendiri ke TKP

Paling sering, ketika Anda mendengar profesional keamanan siber berbicara tentang sidik jari peretas, mereka merujuk pada jejak apa pun, jejak digital apa pun, yang telah ditinggalkan oleh pelaku. Jenis sidik jari ini dapat membantu membuat atribusi serangan yang luas, tetapi tetap hampir mustahil untuk mendapatkan atribusi definitif murni dari bukti siber tersebut.

Kecuali, jika Anda adalah peretas yang bertanggung jawab atas serangan terhadap perusahaan barang mewah yang terjadi pada tahun 2018 tetapi baru saja diungkapkan oleh Heinemeyer.

“AI Darktrace mendeteksi peretasan pertama di mana para pelaku dengan sengaja meninggalkan sidik jari mereka di TKP,” kata Heinemeyer, “secara harfiah, sidik jari mereka”. Bisnis barang mewah tersebut telah memasang sepuluh pemindai sidik jari untuk membatasi akses ke gudang dalam upaya mengurangi risiko. “Tanpa sepengetahuan mereka,” lanjut Heinemeyer, “seorang penyerang mulai mengeksploitasi kerentanan di salah satu pemindai. Dalam langkah peretas yang mungkin paling aneh, mereka mulai menghapus sidik jari resmi dan mengunggah sidik jari mereka sendiri dengan harapan mendapatkan akses fisik.”

Otak AI mengambil ini karena satu pemindai berperilaku berbeda dari yang lain, yang berarti tim keamanan menjadi sadar akan serangan itu dalam beberapa menit. Dan, tentu saja, memiliki beberapa bukti yang cukup meyakinkan untuk diberikan kepada penegak hukum.

Ambil contoh kasus aneh lain dari insiden porno meteran parkir. Dikaitkan dengan peretas ‘grey hat’, AI Darktrace juga menangkap insiden ini pada tahun 2018.

Ini melibatkan kios parkir digital di bandara internasional. “Kios mencoba untuk membuat koneksi ke situs web yang menampilkan konten dewasa,” kata Heinemeyer, “ini memperlambat fungsi normal kios, tetapi tidak ada layar untuk menampilkan konten.”

Lalu ada kasus yang menggambarkan betapa internet of things membuka vektor serangan yang tidak akan Anda bayangkan. Pada 2017, sebuah kasino diserang oleh penjahat siber yang ingin mengakses data terkait para pemain papan atas. Mereka melakukannya dengan cara meretas tangki ikan. Atau, lebih tepatnya, sensor yang secara otomatis mengatur suhu, salinitas, dan jadwal makan melalui internet dan jaringan pribadi virtual individu.

Kasino tersebut sebenarnya telah melindungi sistem IT-nya dengan firewall biasa dan software anti-virus tetapi lupa bahwa tangki futuristik terhubung ke sistemnya.

Ada beberapa cerita peretasan aneh lain yang dapat di baca pada tautan di bawah ini;
Source: Forbes

Dua merchant perhotelan Amerika Utara diretas pada bulan Mei dan Juni

by

Dalam peringatan keamanan yang diterbitkan pada hari Kamis, Visa mengungkapkan bahwa dua merchant perhotelan Amerika Utara diretas dan sistem mereka terinfeksi malware point-of-sale (POS) awal tahun ini.

Malware POS dirancang untuk menginfeksi sistem Windows, mencari aplikasi POS, kemudian mencari dan memantau memori komputer untuk detail kartu pembayaran yang sedang diproses di dalam aplikasi pembayaran POS.

PERETASAN BULAN JUNI: HACKERS MENGGUNAKAN TIGA STRAIN POS MALWARE YANG BERBEDA

Dari kedua insiden tersebut, insiden kedua yang terjadi pada bulan Juni adalah yang paling menarik dilihat dari sudut pandang insiden respon (IR).

Visa mengatakan telah menemukan tiga jenis malware POS di jaringan korban – yaitu RtPOS, MMon (alias Kaptoxa), dan PwnPOS. Alasan mengapa geng malware menyebarkan tiga jenis malware tidak diketahui, tetapi bisa jadi penyerang ingin memastikan mereka mendapatkan semua data pembayaran dari berbagai sistem.

PERETASAN BULAN MEI: MENGGUNAKAN EMAIL PHISHING SEBAGAI TITIK MASUK

Malware POS yang digunakan dalam insiden ini diidentifikasi sebagai versi strain TinyPOS.

Dua serangan baru-baru ini menunjukkan bahwa terlepas dari peningkatan dan perhatian baru-baru ini bahwa insiden skimming web (magecart) dan ransomware semakin meningkat di media, geng-geng kejahatan siber tidak melupakan penargetan sistem POS.

“Serangan baru-baru ini menunjukkan minat terus-menerus pelaku ancaman dalam menargetkan sistem POS merchant untuk mengambil data rekening pembayaran saat ini,” kata Visa.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Malware NodeJS mengambil informasi IP, nama pengguna, dan nama perangkat di GitHub

by

Beberapa paket NodeJS yang sarat dengan kode berbahaya telah terlihat di registri npm.

Paket “typosquatting” ini tidak memiliki tujuan selain mengumpulkan data dari perangkat pengguna dan menyiarkannya di halaman GitHub publik.
Penemuan ini ditemukan oleh sistem deteksi malware otomatis Sonatype dan diselidiki lebih lanjut oleh tim Riset Keamanan perusahaan yang termasuk saya.
Paket yang sebelumnya ada di registry npm open source termasuk:

1. electorn (kesalahan eja yang disengaja dari paket “electron” yang sah)
2. loadyaml
3. loadyml.dll
4. lodashs (kesalahan eja yang disengaja dari paket “lodash” yang sah)

Keempat paket diterbitkan oleh pengguna yang sama “simplelive12” dan sekarang telah dihapus, dengan dua paket pertama telah dihapus oleh npm per 1 Oktober 2020. Dua paket sebelumnya tidak dipublikasikan oleh pembuatnya sendiri.

Setelah instal, electron menjalankan skrip di latar belakang setiap jam yang mengumpulkan IP pengguna yang masuk, data geolokasi, nama pengguna, jalur ke direktori home, dan informasi model CPU.

Sampai saat ini, keempat paket telah mencetak lebih dari 400 total unduhan.

Tidak jelas apa tujuan pengumpulan data ini dan mengapa itu dipublikasikan di web agar dunia dapat melihatnya, namun, insiden seperti ini menyoroti potensi serangan typosquatting pada ekosistem open-source.