Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cyber Attack

Cyber Attack

NSA, A.S., dan Mitra Internasional Menerbitkan Panduan tentang Mengamankan Teknologi Berdasarkan Rancangan dan Kelalaian

by

Badan Keamanan Siber dan Infrastruktur (CISA), Badan Keamanan Nasional (NSA), dan Biro Investigasi Federal (FBI) bermitra dengan badan keamanan siber mitra internasional untuk mendorong produsen teknologi menciptakan produk yang dirancang dengan aman dan aman secara default.

Kelompok sembilan lembaga tersebut telah menerbitkan Lembar Informasi Keamanan Siber, “Menggeser Keseimbangan Risiko Keamanan Siber: Prinsip dan Pendekatan untuk Keamanan-oleh-Desain dan Default,” untuk meningkatkan kesadaran dan memfasilitasi percakapan internasional tentang prioritas utama, investasi, dan keputusan yang diperlukan untuk memproduksi teknologi yang aman, terjamin, dan tangguh.

Dalam laporan baru, agensi menyoroti pentingnya memprioritaskan keamanan di seluruh siklus hidup produk untuk mengurangi kemungkinan insiden keamanan. Prinsip-prinsip tersebut memastikan produk teknologi dibuat dan dikonfigurasi dengan cara yang melindungi terhadap pelaku dunia maya jahat yang mendapatkan akses ke perangkat, data, dan infrastruktur yang terhubung.

NSA dan mitranya merekomendasikan produsen teknologi dan eksekutif organisasi untuk memprioritaskan penerapan prinsip-prinsip yang dirancang dengan aman dan standar yang diuraikan dalam laporan tersebut.

Selain rekomendasi yang tercantum dalam laporan, lembaga penulis mendorong penggunaan Secure Software Development Framework (SSDF), juga dikenal sebagai SP 800-218 Institut Nasional Standar dan Teknologi (NIST). SSDF membantu produsen perangkat lunak menjadi lebih efektif dalam menemukan dan menghapus kerentanan dalam perangkat lunak yang dirilis, mengurangi dampak potensial dari eksploitasi kerentanan, dan mengatasi akar penyebab kerentanan untuk mencegah terulangnya kembali di masa mendatang.

sumber : nsa.gov

82% Pemimpin Cyber Setuju Bahwa Mereka Dapat Mengurangi Sebagian dari Semua Kerusakan

by

Dalam penelitian tersebut, Forrester Consulting mengungkapkan beberapa temuan yang membuka mata dari tekanan yang dihadapi para pemimpin dunia maya saat ini hingga dampak kekurangan bakat dunia maya, antara lain:

  • Tim siber menghadapi tekanan yang semakin besar dari pemimpin senior: 84% responden setuju bahwa tim keamanan siber merasakan tekanan yang meningkat untuk bersiap menghadapi serangan siber berikutnya.
  • Ancaman dunia maya semakin sulit dihentikan: 72% setuju lanskap ancaman semakin menantang.
  • Pelaporan tidak konsisten: Pemimpin senior harus membagikan kesiapan pelanggaran dan hasil respons insiden ke tingkat yang lebih tinggi, tetapi kurang dari 60% melakukannya hari ini. Selain itu, lebih dari setengah (55%) setuju bahwa tim keamanan siber mereka tidak memiliki data yang diperlukan untuk menunjukkan kesiapan dalam menanggapi ancaman siber dengan tepat.
  • Tim tidak diperlengkapi secara strategis untuk mempertahankan ketahanan dunia maya: Kurang dari sepertiga (32%) percaya bahwa organisasi mereka memiliki strategi formal untuk memastikan ketahanan dunia maya.
  • Kekurangan bakat mengancam ketahanan siber: 83% responden menganggap tim keamanan siber mereka kekurangan staf, dan 94% mengalami setidaknya satu tantangan manajemen bakat dengan tim keamanan siber.
  • Tim keamanan siber dapat mengurangi risiko dengan mengadopsi pendekatan modern untuk meningkatkan keterampilan: 64% responden setuju bahwa metode pelatihan keamanan siber tradisional (mis., sertifikasi, kursus pelatihan video, instruksi kelas) tidak cukup untuk memastikan ketahanan siber. Memanfaatkan pendekatan yang berpusat pada orang yang efektif, seperti simulasi langsung, dan pelatihan serta peningkatan keterampilan online yang progresif dan sejalan dengan jalur karier dapat meningkatkan kemampuan tim keamanan siber dan, pada gilirannya, ketahanan siber organisasi mereka.

Studi ini merekomendasikan bahwa untuk mengurangi kekurangan staf dan kurangnya keterampilan dunia maya internal, “perusahaan harus mengevaluasi kembali praktik perekrutan untuk merekrut dan menguji karyawan berpotensi tinggi” dan “berinvestasi dalam budaya yang memanfaatkan pendekatan berpusat pada orang yang efektif, seperti simulasi langsung, dan pelatihan online yang selaras dengan jalur karier yang progresif dan peningkatan keterampilan untuk meningkatkan kemampuan tim keamanan siber mereka dan, pada gilirannya, ketahanan dunia maya organisasi mereka.”

selengkapnya : digitalisationworld.com

Peneliti Spiderlabs Memperingatkan Jenis Malware Baru yang Menguras Dana Crypto

by

Para peneliti di Trustwave Spiderlabs baru-baru ini mengatakan mereka menemukan jenis malware baru yang secara sembunyi-sembunyi menarik dana dari dompet kripto. Menurut para peneliti, malware, yang dikenal sebagai Rilide, dianggap menyamar sebagai ekstensi Google Drive yang sah. Selain memberi penjahat dunia maya kemampuan untuk memantau riwayat penelusuran korban yang ditargetkan, Rilide memungkinkan injeksi “skrip berbahaya untuk mencuri dana dari pertukaran mata uang kripto.”

Dalam postingan blog mereka yang dipublikasikan pada 4 April, dua peneliti Pawel Knapczyk dan Wojciech Cieslak mengakui bahwa Rilide bukanlah malware pertama yang menggunakan ekstensi browser berbahaya. Namun, para peneliti mengatakan mereka telah melihat bagaimana malware menipu pengguna sebelum menguras dana dari dompet crypto masing-masing.

Sementara langkah-langkah seperti penegakan yang tertunda dari apa yang disebut manifes v3 diharapkan membuat hidup sedikit lebih sulit bagi penjahat dunia maya, Knapczyk dan Cieslak menegaskan bahwa ini saja mungkin tidak cukup “untuk menyelesaikan masalah sepenuhnya karena sebagian besar fungsi dimanfaatkan oleh Rilide akan tetap tersedia.”

Sementara itu, dalam peringatan mereka kepada pengguna, kedua peneliti tersebut menegaskan kembali pentingnya tetap “waspada dan skeptis” setiap kali mereka menerima email yang tidak diinginkan. Mereka menambahkan bahwa pengguna tidak boleh berasumsi bahwa konten apa pun di internet aman, meskipun tampaknya demikian. Demikian pula, pengguna harus selalu berusaha untuk tetap mendapat informasi dan terdidik tentang peristiwa terbaru dalam industri keamanan siber.

selengkapnya : news.bitcoin.com

MSI mengonfirmasi serangan cyber setelah permintaan masalah grup ransomware baru

by

Taiwanese hardware maker Micro-Star International (MSI) confirmed Friday that it was the victim of a cyberattack following reports that said a new ransomware group targeted the company.

In its statement, MSI did not specify when the attack occurred but said the incident was reported to law enforcement agencies “promptly” and recovery measures have been initiated.

This week, the Money Message ransomware group added the company to its list of victims, claiming to have stolen source code, firmware, frameworks and more. Cybersecurity researchers said the group only emerged this week.

MSI, based in New Taipei City, brought in more than $6.6 billion in revenue in 2021 through its work designing and developing computer hardware, including laptops, desktops, motherboards and graphics cards.

“Currently, the affected systems have gradually resumed normal operations, with no significant impact on financial business. MSI urges users to obtain firmware/BIOS updates only from its official website, and not to use files from sources other than the official website,” the company explained.

Perusahaan juga mengajukan pengajuan peraturan ke The Taiwan Stock Exchange pada hari Jumat, menulis bahwa mereka tidak memperkirakan adanya kerugian atau dampak dari serangan siber.

Grup Pesan Uang membagikan beberapa pesannya dengan BleepingComputer, mengklaim telah mengambil 1,5TB data dan mengeluarkan permintaan uang tebusan sebesar $4 juta. Geng ransomware tampaknya baru muncul dalam seminggu terakhir, dengan setidaknya satu korban muncul di forum situs berita teknologi pada 28 Maret.

ThreatLabz dari Zscaler juga menulis pada 29 Maret di Twitter bahwa mereka menyaksikan grup tersebut “melakukan serangan pemerasan ganda” — di mana grup tersebut meminta uang tebusan tidak hanya untuk membuka kunci data terenkripsi tetapi juga untuk tidak membocorkan apa yang telah dicuri.

Para peneliti di Cyble mengatakan pada hari Kamis bahwa grup tersebut “dapat mengenkripsi pembagian jaringan dan menargetkan sistem operasi Windows dan Linux.”

Beberapa vendor perangkat keras Taiwan menghadapi serangan ransomware selama tiga tahun terakhir, termasuk QNAP, Delta Electronics, GIGABYTE, Acer, Quanta, dan lainnya.

Bahan Terapan perusahaan bernilai miliaran dolar, yang menyediakan teknologi untuk industri semikonduktor, juga dipengaruhi oleh serangan ransomware pada pemasok yang mereka perkirakan akan menelan biaya $250 juta pada kuartal berikutnya.

selengkapnya:therecord.com

Procter & Gamble mengonfirmasi pencurian data melalui GoAnywhere zero-day

by

“P&G dapat mengonfirmasi bahwa itu adalah salah satu dari banyak perusahaan yang terkena dampak insiden GoAnywhere Fortra. Sebagai bagian dari insiden ini, pihak ketiga yang tidak berwenang memperoleh beberapa informasi tentang karyawan P&G,” kata Procter & Gamble kepada BleepingComputer.

“Data yang diperoleh pihak yang tidak berwenang tidak mencakup informasi seperti nomor Jaminan Sosial atau nomor KTP, detail kartu kredit, atau informasi rekening bank.”

P&G mengatakan tidak memiliki bukti bahwa pelanggaran data ini memengaruhi data pelanggan dan berhenti menggunakan layanan berbagi file aman GoAnywhere Fortra setelah menemukan insiden tersebut.

Clop mengklaim mencuri file dari lebih dari 130 organisasi
Geng ransomware Clop sebelumnya memberi tahu Bleeping Computer bahwa mereka mengeksploitasi kerentanan CVE-2023-0669 GoAnywhere sebagai zero-day untuk menembus dan mencuri data dari server penyimpanan aman lebih dari 130 organisasi.

Mereka diduga mencuri data selama sepuluh hari setelah melanggar server yang terpapar Internet yang rentan terhadap eksploitasi yang menargetkan bug ini.

Pelaku ancaman juga mengklaim bahwa mereka hanya mencuri dokumen yang disimpan di platform berbagi file korban yang disusupi, meskipun mereka juga dapat dengan mudah dipindahkan secara lateral melalui jaringan mereka untuk menyebarkan muatan ransomware.

Clop mulai secara terbuka memeras korban serangan GoAnywhere pada 10 Maret ketika menambahkan tujuh perusahaan ke situs kebocoran datanya.

Sejauh ini, daftar korban yang mengakui pelanggaran GoAnywhere dan bahwa Clop memeras mereka juga termasuk raksasa kesehatan Community Health Systems (CHS), platform fintech Hatch Bank, perusahaan keamanan siber Rubrik, Hitachi Energy, peritel merek mewah Saks Fifth Avenue, dan Kota Toronto, Kanada.

Dalam catatan tebusan yang dikirim ke para korban dan dilihat oleh BleepingComputer, geng ransomware memperkenalkan diri mereka sebagai “kelompok peretas Clop”, memperingatkan para korban bahwa mereka telah mencuri dokumen sensitif, yang akan dipublikasikan secara online di situs kebocoran Clop dan dijual di pasar gelap. jika korban tidak mau bernegosiasi.

selengkapnya : bleepingcomputer

Hacker Semakin Mengklaim Penargetan Sistem OT

by

Pada Januari 2023, grup hacktivist yang berafiliasi dengan Anonymous, GhostSec, mengklaim di media sosial telah menyebarkan ransomware untuk mengenkripsi unit terminal jarak jauh (RTU) Belarusia—sejenis perangkat teknologi operasional (OT) untuk pemantauan jarak jauh perangkat otomasi industri. Niat yang dinyatakan para aktor adalah untuk menunjukkan dukungan untuk Ukraina dalam invasi Rusia yang sedang berlangsung. Peneliti, profesional keamanan OT, dan media menganalisis klaim tersebut dan menyimpulkan bahwa aktor tersebut melebih-lebihkan implikasi dari dugaan serangan tersebut.

Meskipun tidak ada dampak yang signifikan dalam insiden khusus ini, acara tersebut menyoroti meningkatnya kebutuhan akan diskusi yang lebih luas mengenai sejauh mana risiko yang ditimbulkan para peretas terhadap lingkungan OT. Selama beberapa tahun terakhir, Mandiant telah melacak berbagai klaim peretas yang menargetkan sistem OT yang mengklaim kerusakan fisik sebagai akibatnya. Diperburuk oleh ketegangan geopolitik di berbagai kawasan—seperti invasi Rusia yang sedang berlangsung ke Ukraina—aktor-aktor ini baru-baru ini mengintensifkan aktivitas mereka, mengakibatkan klaim yang lebih sering dan jalan baru untuk memengaruhi target.

Dalam banyak kasus, klaim para peretas dibesar-besarkan atau tidak berdasar. Jumlah klaim palsu terkadang menantang untuk dibantah. Namun, terlepas dari ketidakakuratan sebagian besar klaim, ketika aktivitas peretas yang menargetkan OT menjadi hal yang biasa, kemungkinan insiden OT aktual dan bahkan substansial meningkat. Risikonya lebih tinggi untuk organisasi yang terkait dengan peristiwa politik atau perselisihan sosial berdasarkan lokasi geografis, kebangsaan, bahasa, atau industri yang relevan.

Mandiant menawarkan analisis komprehensif tentang aktivitas peretas baru-baru ini yang menargetkan sistem OT. Mandiant dapat memanfaatkan informasi dari insiden yang sebelumnya dirahasiakan dan diketahui untuk membahas implikasi potensial bagi pembela PL. Kesadaran tentang tren hacktivisme yang muncul membantu para pembela PL untuk memprioritaskan penanggulangan dan membedakan front yang disponsori negara yang memanfaatkan jubah hacktivism.

selengkapnya : mandiant.com

Peretas Mengeksploitasi Cacat Eskalasi Hak Istimewa Microsoft Outlook di Alam Liar

by

Menanggapi penemuan kerentanan kritis di Microsoft Outlook, CVE-2023-23397, yang secara aktif dieksploitasi oleh pelaku ancaman, Cisco Talos mendesak semua pengguna Outlook untuk memperbarui klien email mereka sesegera mungkin setelah kerentanan ditemukan .

Sementara Microsoft kemudian menentukan bahwa aktivitas tersebut dihasilkan dari aktor yang berbasis di Rusia, dan mereka digunakan dalam serangan yang ditargetkan terhadap sejumlah organisasi.

Sebagai akibat dari eksploitasi kerentanan keamanan ini, serangan dilakukan antara pertengahan April dan Desember 2022. Selama ini, pelaku ancaman menargetkan dan menerobos jaringan sekitar 15 organisasi penting terkait dengan:-

  • Pemerintah
  • Militer
  • Energi
  • Transportasi

Detail Cacat
Kerentanan CVE-2023-23397 memengaruhi semua produk Microsoft Outlook yang berjalan di sistem operasi Windows. Ini adalah kerentanan di NTLM dan dapat dieksploitasi untuk pencurian kredensial untuk mendapatkan akses kaya ke organisasi melalui eskalasi kerentanan hak istimewa.

  • CVE ID: CVE-2023-23397
  • Dirilis: 14 Mar 2023, Terakhir diperbarui: 15 Mar 2023
  • Dampak: Peningkatan Hak Istimewa
  • Rangkuman: Peningkatan Kerentanan Privilege Microsoft Outlook
  • Keparahan: Kritis
  • Skor CVSS: 9.8

Pelaku ancaman dapat membuat email, undangan kalender, atau tugas yang berisi properti MAPI yang diperluas “PidLidReminderFileParameter.”

“PidLidReminderFileParameter” memungkinkan klien untuk menentukan nama file suara yang akan diputar saat pengingat untuk suatu objek terlambat.

Properti PidLidReminderFileParameter ini digunakan oleh penyerang untuk menentukan jalur ke share SMB yang dikendalikan oleh penyerang melalui Konvensi Penamaan Universal (UNC).

Penyerang mungkin dapat menggunakan hash Net-NTLMv2 yang dikirim oleh sistem yang rentan untuk melakukan serangan Relay NTLM terhadap sistem lain.

Mitigasi
Akibatnya, peneliti Microsoft telah menegaskan beberapa mitigasi utama yang harus diikuti organisasi sebagai tindakan pencegahan untuk menjaga diri mereka aman dari serangan cyber semacam ini:-

  • Menginstal tambalan, Microsoft menyediakan sesegera mungkin akan ideal untuk mengatasi kerentanan ini.
  • Untuk mencegah penggunaan NTLM sebagai metode otentikasi, pengguna harus menggunakan Grup Keamanan Pengguna yang Dilindungi.
  • Sangat penting bahwa Anda memblokir port keluar TCP/445 dari jaringan Anda untuk mencegah pesan NTLM meninggalkan jaringan.
  • Skrip yang dirilis oleh Microsoft memberi administrator kemampuan untuk mengaudit server Exchange mereka untuk item pesan yang memiliki PidLidReminderFileParameters yang disetel ke jalur Konvensi Penamaan Universal (UNC).
  • Admin harus membersihkan properti dan menghapus item berbahaya atau bahkan menghapus item secara permanen jika diperlukan dengan bantuan skrip ini.

Microsoft Outlook di Windows dipengaruhi oleh kerentanan eskalasi hak istimewa ini dengan tingkat keparahan 9,8, yang memengaruhi semua versi aplikasi.

Dengan mengirimkan email jahat ke target, penyerang dapat menggunakan kerentanan ini untuk mencuri kredensial NTLM mereka dalam hitungan detik.

Setiap kali Outlook terbuka, pengingat akan ditampilkan di sistem, dan tidak diperlukan interaksi dengan pengguna karena eksploitasi terjadi secara otomatis.

Singkatnya, sangat disarankan oleh analis keamanan bahwa admin harus segera menerapkan dan memeriksa semua mitigasi yang disarankan untuk mencegah serangan apa pun secara efektif.

selengkapnya : cybersecuritynews.com

Geng Ransomware BianLian Mengalihkan Fokus ke Pemerasan Data Murni

by

Laporan yang disunting bahwa operator BianLian tetap mempertahankan akses awal dan teknik gerakan lateral yang sama dan terus menerapkan backdoor berbasis Go kustom yang memberi mereka akses jarak jauh pada perangkat yang disusupi, meskipun versinya sedikit lebih baik.

Pelaku ancaman memposting korban mereka dalam bentuk topeng secepat 48 jam setelah pelanggaran di situs pemerasan mereka, memberi mereka kira-kira sepuluh hari untuk membayar uang tebusan.

Pada 13 Maret 2023, BianLian telah mendaftarkan total 118 organisasi korban di portal pemerasan mereka, dengan sebagian besar (71%) adalah perusahaan yang berbasis di A.S.

Pada 13 Maret 2023, BianLian telah mendaftarkan total 118 organisasi korban di portal pemerasan mereka, dengan sebagian besar (71%) adalah perusahaan yang berbasis di A.S.

Korban BianLian sejak Juli 2022

Perbedaan utama yang terlihat dalam serangan baru-baru ini adalah bahwa BianLian berupaya memonetisasi pelanggarannya tanpa mengenkripsi file korban. Sebaliknya, sekarang hanya mengandalkan ancaman untuk membocorkan data yang dicuri.

“Grup berjanji bahwa setelah mereka dibayar, mereka tidak akan membocorkan data yang dicuri atau mengungkap fakta bahwa organisasi korban telah mengalami pelanggaran. BianLian menawarkan jaminan ini berdasarkan fakta bahwa “bisnis” mereka bergantung pada reputasi mereka,” sebut Disunting dalam laporan.

Tidak diketahui apakah BianLian mengabaikan taktik enkripsi karena Avast merusak enkripsi mereka atau karena peristiwa ini membantu mereka menyadari bahwa mereka tidak memerlukan bagian rantai serangan itu untuk memeras korban agar membayar uang tebusan.

Perlu disebutkan bahwa ketika Avast merilis decryptor gratisnya, BianLian meremehkan pentingnya, mengatakan itu hanya akan bekerja pada versi awal “musim panas 2022” dari ransomware dan akan merusak file yang dienkripsi oleh semua build berikutnya.

selengkapnya : bleepingcomputer