Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cyber Security

Cyber Security

Bentuk ransomware lama ini telah kembali dengan trik dan target baru

by

Suatu bentuk ransomware yang pernah menjadi pilihan paling populer di kalangan penjahat siber telah kembali dan digunakan untuk menargetkan perawatan kesehatan.

Kembali pada tahun 2017, Cerber adalah keluarga ransomware yang paling dominan, pada satu titik terhitung 90% dari semua serangan ransomware yang menargetkan sistem Windows.

Apa yang membuatnya begitu produktif adalah model ‘as-a-service’, di mana penulis Cerber mengizinkan penjahat siber lainnya untuk menggunakan kode mereka – lengkap dengan portal layanan yang mudah digunakan – dengan imbalan persentase bitcoin apa pun yang dibuat di pembayaran tebusan.

Pada tahun 2018, tampaknya Cerber telah menghilang, digantikan oleh bentuk lain dari ransomware karena model bisnis penjahat siber berubah dan penyerang mengejar seluruh jaringan perusahaan dan mulai menuntut jumlah yang jauh lebih tinggi untuk kunci dekripsi.

Tetapi Cerber kembali dengan peneliti keamanan siber di perusahaan keamanan VMware Carbon Black yang mengidentifikasinya sebagai ransomware paling umum yang menargetkan perawatan kesehatan selama tahun 2020.

Analisis terhadap 239 juta percobaan serangan siber yang menargetkan pelanggan Carbon Black di bidang perawatan kesehatan menemukan Cerber sebagai bentuk ransomware yang paling umum, terhitung 58% dari serangan ransomware yang mencoba menargetkan sektor tersebut.

Selengkapnya: ZDNet

Extension Great Suspender telah dihapus dari Toko Web Chrome karena mengandung malware

by

Kemarin, Google telah menghapus extension populer The Great Suspender karena mengandung malware dan secara proaktif menonaktifkan extension tersebut bagi mereka yang memilikinya.

The Great Suspender adalah – atau mungkin dulu – extension yang memaksa tab berlebih Anda untuk “tidur”, membantu mencegah Chrome menggunakan terlalu banyak RAM dan sumber daya lainnya.

Tahun lalu, seperti yang dijelaskan secara mendalam oleh TheMageKing, pengembangan The Great Suspender berpindah tangan dan kemudian dijual kepada pihak ketiga yang tidak dikenal.

Selanjutnya, dengan versi 7.1.8, The Great Suspender menambahkan sebuah exploit yang dapat digunakan untuk menjalankan hampir semua jenis kode di komputer Anda tanpa sepengetahuan Anda.

Eksploit ini menyebabkan extension dihapus dari toko extension Microsoft Edge, tetapi The Great Suspender diizinkan untuk tetap berada di Toko Web Chrome karena pembaruan yang lebih baru dilaporkan menghapus eksploit tersebut.

Lalu kemarin, Google tampaknya telah memberlakukan penghapusan The Great Suspender karena mengandung malware, menghapus extension dari Toko Web Chrome dan telah menonaktifkan extension tersebut secara paksa oleh Chrome.

Tidak diketahui apakah masalah malware ini akan membuat The Great Suspender dihapus secara permanen dari Toko Web Chrome, atau apakah akan dipulihkan tepat waktu. Sementara itu, komunitas telah membuat versi terakhir The Great Suspender yang bebas malware untuk membuat The Marvelous Suspender, yang sekarang tersedia di Toko Web Chrome.

Sumber: 9to5google

Perusahaan keamanan Stormshield mengungkapkan pelanggaran data, pencurian kode sumber

by

Firma keamanan siber Prancis Stormshield, penyedia utama layanan keamanan dan perangkat keamanan jaringan untuk pemerintah Prancis, mengatakan hari ini bahwa pelaku ancaman memperoleh akses ke salah satu portal dukungan pelanggannya dan mencuri informasi beberapa pelanggannya.

Perusahaan juga melaporkan bahwa penyerang berhasil mencuri bagian dari kode sumber untuk firewall Keamanan Jaringan Stormshield (SNS), produk yang disertifikasi untuk digunakan di jaringan sensitif pemerintah Prancis, sebagai bagian dari gangguan.

Perusahaan mengatakan sedang menyelidiki insiden tersebut dengan badan keamanan siber Prancis ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), yang saat ini menilai dampak pelanggaran terhadap sistem pemerintah.

Insiden Stormshield saat ini diperlakukan sebagai pelanggaran keamanan besar di dalam pemerintahan Prancis. Dalam siaran persnya sendiri, pejabat ANSSI mengatakan mereka telah menempatkan produk SNS dan SNI Stormshield “dalam pengawasan” selama penyelidikan.

Tetapi selain meninjau kode sumber SNS, Stormshield mengatakan juga mengambil langkah lain untuk mencegah bentuk serangan lain, jika penyusup memiliki akses ke bagian lain dari infrastrukturnya.

Perusahaan Prancis itu mengatakan juga mengganti sertifikat digital yang mereka gunakan sebelum insiden untuk menandatangani pembaruan perangkat lunak SNS.

Selengkapnya: ZDNet

Perangkat Android terjerat botnet DDoS

by

Netlab, divisi keamanan jaringan dari perusahaan keamanan China Qihoo 360, mengatakan minggu ini menemukan operasi malware baru yang saat ini menginfeksi perangkat Android untuk tujuan merakit botnet DDoS.

Dinamakan Matryosh, botnet ini mengejar perangkat Android yang vendornya telah membiarkan antarmuka diagnostik dan debug yang dikenal sebagai Android Debug Bridge diaktifkan dan terbuka di internet.

Aktif pada port 5555, antarmuka ini telah menjadi sumber masalah untuk perangkat Android selama bertahun-tahun, dan tidak hanya untuk smartphone tetapi juga smart TV, set-top box, dan perangkat pintar lainnya yang menjalankan OS Android.

Menurut sebuah laporan yang diterbitkan minggu ini, Netlab mengatakan Matryosh adalah yang terbaru dari botnet yang menargetkan ADB, tetapi yang hadir dengan twistnya sendiri.

Keunikan ini berasal dari penggunaan jaringan Tor untuk menyembunyikan server perintah dan kontrolnya dan penggunaan proses berlapis-lapis untuk mendapatkan alamat server ini — oleh karena itu nama botnet, terinspirasi dari boneka matryoshka klasik Rusia.

Sumber: Netlab

Tim Netlab mengatakan mereka menemukan fungsi dalam kode khusus untuk fitur yang akan menggunakan perangkat yang terinfeksi untuk meluncurkan serangan DDoS melalui protokol seperti TCP, UDP, dan ICMP.

Sumber: ZDNet

Cisco memperbaiki bug eksekusi kode penting di router VPN SMB

by

Cisco telah mengatasi beberapa kerentanan pre-auth remote code execution (RCE) yang memengaruhi beberapa router VPN bisnis kecil dan memungkinkan penyerang mengeksekusi kode arbitrer sebagai root pada perangkat yang berhasil dieksploitasi.

Bug keamanan dengan tingkat keparahan 9.8 / 10 ditemukan di antarmuka manajemen berbasis web dari router bisnis kecil Cisco.

“Kerentanan ini muncul karena permintaan HTTP tidak divalidasi dengan benar,” Cisco menjelaskan dalam sebuah laporan.

“Penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan permintaan HTTP yang dibuat ke antarmuka pengelolaan berbasis web dari perangkat yang terpengaruh.”

Menurut Cisco, Small Business Routers berikut ini rentan terhadap serangan yang mencoba mengeksploitasi kerentanan ini jika menjalankan versi firmware yang lebih lama dari Rilis 1.0.01.02:

  • RV160 VPN Router
  • RV160W Wireless-AC VPN Router
  • RV260 VPN Router
  • RV260P VPN Router with POE
  • RV260W Wireless-AC VPN Router

Cisco mengatakan bahwa Router VPN Dual WAN Gigabit (termasuk RV340, RV340W, RV345, dan RV345P) tidak terpengaruh.

Perusahaan telah memperbaiki kerentanan dalam rilis firmware 1.0.01.02 dan yang lebih baru yang dikeluarkan untuk semua router yang terkena dampak.

Sumber: Bleeping Computer

Add-on Chrome dan Edge yang berbahaya memiliki cara baru untuk bersembunyi di dalam 3 juta perangkat

by

Pada bulan Desember, Ars melaporkan bahwa sebanyak 3 juta orang telah terinfeksi oleh extension browser Chrome dan Edge yang mencuri data pribadi dan mengarahkan pengguna ke situs iklan atau phishing.

Sekarang, para peneliti yang menemukan penipuan tersebut telah mengungkapkan sejauh mana pengembang extension menyembunyikan perbuatan jahat mereka.

28 extension yang tersedia di repositori resmi Google dan Microsoft mengiklankan diri mereka sendiri sebagai cara untuk mengunduh gambar, video, atau konten lain dari situs-situs termasuk Facebook, Instagram, Vimeo, dan Spotify.

Di belakang layar, mereka ternyata juga mengumpulkan tanggal lahir pengguna, alamat email, dan informasi perangkat serta mengalihkan klik dan hasil penelusuran ke situs berbahaya. Google dan Microsoft akhirnya menghapus extension tersebut.

Para peneliti dari Avast mengatakan pada hari Rabu bahwa pengembang extension menggunakan cara baru untuk menyembunyikan lalu lintas berbahaya yang dikirim antara perangkat yang terinfeksi dan server perintah dan kontrol tempat mereka terhubung.

Secara khusus, extension tersebut menyalurkan perintah ke tajuk kontrol cache lalu lintas yang disamarkan agar muncul sebagai data yang terkait dengan Google analytics, yang digunakan situs web untuk mengukur interaksi pengunjung.

Server penyerang kemudian akan merespons dengan header Cache-Control yang dibentuk khusus, yang kemudian akan didekripsi, diurai, dan dieksekusi oleh klien.

Selengkapnya: Ars Technica

3 Miliar Email dan Password Bocor, Periksa Emailmu Dengan Cara Ini !

by

kompilasi baru diposting di forum peretasan online baru-baru ini berisi lebih dari 3,2 miliar pasang email dan sandi yang tidak terenskripsi dari kebocoran sebelumnya.

Dilansir CyberNews, kebocoran data baru ini disebut sebagai COMB “Compilation of Many Breaches” karena berisi lebih dari dua kali lipat jumlah pasangan email dan kata sandi unik daripada koleksi kebocoran data tahun 2017 di mana 1,4 miliar kredensial tersedia secara online.

COMB merupakan kompilasi terbesar dari beberapa kebocoran data yang pernah diposting secara online. Database COMB berisi skrip bernama count_total.sh dan terdapat skrip query.sh untuk menanyakan email dan sorter.sh untuk menyortir data di dalamnya.

Untuk memeriksa apakah data anda bocor, anda dapat melakukan pengecekan dengan memasukkan email anda pada website ini https://cybernews.com/personal-data-leak-check/

Untuk mencegah data anda bocor, kami merekomendasikan agaranda mengatur authentikasi multi-faktor dan menggunakan password manager untuk memberi perlindungan tambahan pada akun online anda.

Source : Techradar

Singapura menilai perubahan kebijakan privasi WhatsApp, tidak ‘terpengaruh buruk’ dalam kejadian SolarWinds

by

Ketika berita tentang pelanggaran keamanan SolarWinds pecah, Badan Keamanan Siber Singapura (CSA) menaikkan tingkat peringatan ancaman siber nasional, kata Menteri Komunikasi dan Informasi S. Iswaran.

Memperhatikan bahwa serangan itu canggih dan menghindari deteksi selama berbulan-bulan, dia mengatakan pelanggaran itu sangat “patut diperhatikan” karena perangkat lunak SolarWinds adalah bagian dari kontrol jaringan dan infrastruktur manajemen dan, karenanya, dipercaya dan memiliki akses istimewa ke jaringan internal.

Iswaran juga menanggapi pertanyaan terkait dengan perubahan kebijakan privasi WhatsApp yang akan datang, mengungkapkan bahwa pemerintah sedang “menyelidiki kekhawatiran” yang diajukan oleh konsumen.

WhatsApp dalam beberapa minggu terakhir telah mulai memberikan pemberitahuan kepada pengguna tentang pembaruan pada pernyataan privasinya, mencatat bahwa mereka harus menerima perubahan setelah 8 Februari untuk terus menggunakan platform perpesanan atau, jika tidak, menghapus akun mereka. Kebijakan sebelumnya telah memungkinkan pengguna untuk memilih keluar dari sebagian besar berbagi data dengan Facebook.

Menurut Iswaran, saat ini terdapat 1,22 juta pelanggan saluran WhatsApp Pemerintah Singapura, di antara beberapa platform yang digunakan untuk berkomunikasi dengan publik. Ini termasuk Telegram, Twitter, serta situs web Pemerintahnya sendiri, katanya, menambahkan bahwa platform ini disadap untuk menyiarkan “informasi yang tidak diklasifikasikan dan tersedia untuk umum”.

Memperhatikan bahwa komunikasi data rahasia melalui platform perpesanan komersial dilarang, menteri mengatakan pemerintah Singapura memiliki aturan tentang penggunaan aplikasi semacam itu. Aturan ini tidak tergantung pada perubahan syarat dan kebijakan privasi platform perpesanan, termasuk WhatsApp, tambahnya.
Dia mengatakan Komisi Perlindungan Data Pribadi sedang “melibatkan” WhatsApp sehubungan dengan kebijakan privasi terbaru dan berbagi data pribadi dengan Facebook.

Source : ZDnet