Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Google menandai aplikasi yang dibuat oleh raksasa e-commerce China yang populer sebagai Malware

by

Google telah menandai beberapa aplikasi yang dibuat oleh raksasa e-commerce China sebagai malware, memperingatkan pengguna yang menginstalnya, dan menangguhkan aplikasi resmi perusahaan.

Dalam beberapa minggu terakhir, beberapa peneliti keamanan China menuduh Pinduoduo, raksasa e-commerce yang sedang naik daun dengan hampir 800 juta pengguna aktif, membuat aplikasi untuk Android yang berisi malware yang dirancang untuk memantau pengguna.

Secara efektif, Google telah menetapkan Google Play Protect, mekanisme keamanan Android-nya, untuk memblokir pengguna agar tidak menginstal aplikasi berbahaya ini, dan memperingatkan mereka yang sudah menginstalnya, meminta mereka untuk menghapus aplikasi tersebut.

Meminta anonimitas, seorang peneliti keamanan memberi tahu TechCrunch tentang klaim terhadap aplikasi tersebut, dan mengatakan analisis mereka juga menemukan bahwa aplikasi tersebut mengeksploitasi beberapa eksploitasi zero-day untuk meretas pengguna.

Sebagai pengujian, TechCrunch memasang salah satu aplikasi yang dicurigai, yang memicu peringatan bahwa aplikasi tersebut mungkin berbahaya.

Penting untuk dicatat bahwa Google Play tidak tersedia di China, dan menurut peneliti keamanan, aplikasi tersebut hadir di toko aplikasi khusus Samsung, Huawei, Oppo, dan Xiaomi.

selengkapnya : techcrunch.com

Hacker Semakin Mengklaim Penargetan Sistem OT

by

Pada Januari 2023, grup hacktivist yang berafiliasi dengan Anonymous, GhostSec, mengklaim di media sosial telah menyebarkan ransomware untuk mengenkripsi unit terminal jarak jauh (RTU) Belarusia—sejenis perangkat teknologi operasional (OT) untuk pemantauan jarak jauh perangkat otomasi industri. Niat yang dinyatakan para aktor adalah untuk menunjukkan dukungan untuk Ukraina dalam invasi Rusia yang sedang berlangsung. Peneliti, profesional keamanan OT, dan media menganalisis klaim tersebut dan menyimpulkan bahwa aktor tersebut melebih-lebihkan implikasi dari dugaan serangan tersebut.

Meskipun tidak ada dampak yang signifikan dalam insiden khusus ini, acara tersebut menyoroti meningkatnya kebutuhan akan diskusi yang lebih luas mengenai sejauh mana risiko yang ditimbulkan para peretas terhadap lingkungan OT. Selama beberapa tahun terakhir, Mandiant telah melacak berbagai klaim peretas yang menargetkan sistem OT yang mengklaim kerusakan fisik sebagai akibatnya. Diperburuk oleh ketegangan geopolitik di berbagai kawasan—seperti invasi Rusia yang sedang berlangsung ke Ukraina—aktor-aktor ini baru-baru ini mengintensifkan aktivitas mereka, mengakibatkan klaim yang lebih sering dan jalan baru untuk memengaruhi target.

Dalam banyak kasus, klaim para peretas dibesar-besarkan atau tidak berdasar. Jumlah klaim palsu terkadang menantang untuk dibantah. Namun, terlepas dari ketidakakuratan sebagian besar klaim, ketika aktivitas peretas yang menargetkan OT menjadi hal yang biasa, kemungkinan insiden OT aktual dan bahkan substansial meningkat. Risikonya lebih tinggi untuk organisasi yang terkait dengan peristiwa politik atau perselisihan sosial berdasarkan lokasi geografis, kebangsaan, bahasa, atau industri yang relevan.

Mandiant menawarkan analisis komprehensif tentang aktivitas peretas baru-baru ini yang menargetkan sistem OT. Mandiant dapat memanfaatkan informasi dari insiden yang sebelumnya dirahasiakan dan diketahui untuk membahas implikasi potensial bagi pembela PL. Kesadaran tentang tren hacktivisme yang muncul membantu para pembela PL untuk memprioritaskan penanggulangan dan membedakan front yang disponsori negara yang memanfaatkan jubah hacktivism.

selengkapnya : mandiant.com

Korban Baru Muncul setelah Serangan Ransomware Massal

by

Clop mengklaim meretas 130 organisasi secara massal. Jumlah korban terserang ransomware massal, yang disebabkan oleh bug pada alat transfer data populer yang digunakan oleh bisnis di seluruh dunia, terus bertambah berdasarkan keterangan organisasi lain yang juga teretas pada TechCrunch.

Raksasa pembiayaan Kanada Investissement Québec, mengonfirmasi bahwa beberapa informasi pribadi karyawan baru-baru ini dicuri oleh grup ransomware yang mengklaim telah melanggar lusinan perusahaan lain. Juru bicara Isabelle Fontaine mengatakan insiden itu terjadi di Fortra, sebelumnya dikenal sebagai HelpSystems, yang mengembangkan alat transfer file GoAnywhere yang rentan.

Hitachi Energy juga mengkonfirmasi bahwa beberapa data karyawannya telah dicuri dalam insiden serupa yang melibatkan sistem GoAnywhere-nya, tetapi mengatakan bahwa insiden tersebut terjadi di Fortra.

Beberapa hari terakhir, geng Clop yang terkait dengan Rusia telah menambahkan beberapa organisasi lain ke situs kebocoran web gelapnya untuk memeras perusahaan lebih lanjut dengan mengancam akan menerbitkan file yang dicuri kecuali jika permintaan uang tebusan dibayarkan.

Sementara jumlah korban peretasan massal meningkat, dampak yang diketahui paling tidak jelas.

Sejak serangan pada akhir Januari atau awal Februari, Clop mengungkapkan kurang dari setengah dari 130 organisasi yang diklaim telah disusupi melalui GoAnywhere, sebuah sistem yang dapat dihosting di cloud atau di jaringan organisasi yang memungkinkan perusahaan untuk mentransfer set besar data dan file besar lainnya dengan aman.

Detail baru terungkap pada 2 Februari setelah reporter keamanan independen Brian Krebs pertama kali melaporkan detail bug tersebut, yang disembunyikan Fortra di balik layar login di situs webnya. Fortra merilis perbaikan keamanan untuk GoAnywhere lima hari kemudian.

Pengguna GoAnywhere lain yang teridentifikasi tidak menanggapi beberapa permintaan komentar, termasuk penyedia rehabilitasi dan kesehatan mental Kanada Homewood Health, penyedia perumahan terjangkau yang berbasis di Inggris Guinness Partnership, perusahaan perbankan ritel Avidia Bank, Medex Healthcare, Cornerstone Home Lending dan raksasa energi Kolombia Grupo Vanti.

Selengkapnya: TechCrunch+

Geng Ransomware BianLian Mengalihkan Fokus ke Pemerasan Data Murni

by

Laporan yang disunting bahwa operator BianLian tetap mempertahankan akses awal dan teknik gerakan lateral yang sama dan terus menerapkan backdoor berbasis Go kustom yang memberi mereka akses jarak jauh pada perangkat yang disusupi, meskipun versinya sedikit lebih baik.

Pelaku ancaman memposting korban mereka dalam bentuk topeng secepat 48 jam setelah pelanggaran di situs pemerasan mereka, memberi mereka kira-kira sepuluh hari untuk membayar uang tebusan.

Pada 13 Maret 2023, BianLian telah mendaftarkan total 118 organisasi korban di portal pemerasan mereka, dengan sebagian besar (71%) adalah perusahaan yang berbasis di A.S.

Pada 13 Maret 2023, BianLian telah mendaftarkan total 118 organisasi korban di portal pemerasan mereka, dengan sebagian besar (71%) adalah perusahaan yang berbasis di A.S.

Korban BianLian sejak Juli 2022

Perbedaan utama yang terlihat dalam serangan baru-baru ini adalah bahwa BianLian berupaya memonetisasi pelanggarannya tanpa mengenkripsi file korban. Sebaliknya, sekarang hanya mengandalkan ancaman untuk membocorkan data yang dicuri.

“Grup berjanji bahwa setelah mereka dibayar, mereka tidak akan membocorkan data yang dicuri atau mengungkap fakta bahwa organisasi korban telah mengalami pelanggaran. BianLian menawarkan jaminan ini berdasarkan fakta bahwa “bisnis” mereka bergantung pada reputasi mereka,” sebut Disunting dalam laporan.

Tidak diketahui apakah BianLian mengabaikan taktik enkripsi karena Avast merusak enkripsi mereka atau karena peristiwa ini membantu mereka menyadari bahwa mereka tidak memerlukan bagian rantai serangan itu untuk memeras korban agar membayar uang tebusan.

Perlu disebutkan bahwa ketika Avast merilis decryptor gratisnya, BianLian meremehkan pentingnya, mengatakan itu hanya akan bekerja pada versi awal “musim panas 2022” dari ransomware dan akan merusak file yang dienkripsi oleh semua build berikutnya.

selengkapnya : bleepingcomputer

Grup Ransomware Mengklaim Peretasan Cincin Amazon

by

Geng ransomware mengklaim telah melanggar cincin perusahaan kamera keamanan yang sangat populer, yang dimiliki oleh Amazon. Geng ransomware mengancam akan merilis data Ring. Ring memberi tahu Motherboard bahwa ia tidak memiliki bukti pelanggaran sistemnya sendiri, tetapi mengatakan vendor pihak ketiga telah terkena ransomware.
ALPHV lebih dari sekadar mengunci file korban, dan memiliki situs web yang menamai dan mempermalukan korbannya dalam upaya untuk memeras mereka. Jika target tersebut tidak membayar, ALPHV mengancam akan merilis data yang dicuri dari mereka secara publik. Situs ALPHV menonjol karena bagian situsnya yang menerbitkan data yang diretas, yang disebut “Koleksi”, lebih mudah dicari daripada beberapa situs grup peretasan lainnya.

Motherboard memverifikasi bahwa daftar penamaan Cincin saat ini ada di situs pembuangan data ALPHV. Kolektif keamanan siber VX Underground men-tweet tangkapan layar dari daftar tersebut sebelumnya pada hari Senin.

Setelah publikasi, satu orang membagikan tautan ke artikel ini di saluran internal Amazon Slack, dan menulis “Jangan membahas apa pun tentang ini. Tim keamanan yang tepat dilibatkan.”

Tidak jelas data spesifik apa yang dapat diakses oleh ALPHV. Dalam sebuah pernyataan, Ring memberi tahu Motherboard, “Saat ini kami tidak memiliki indikasi bahwa Ring telah mengalami peristiwa ransomware.” Tetapi perusahaan menambahkan bahwa mereka mengetahui vendor pihak ketiga yang telah mengalami peristiwa ransomware, dan Ring bekerja sama dengan perusahaan tersebut untuk mempelajari lebih lanjut. Ring mengatakan vendor ini tidak memiliki akses ke catatan pelanggan.

Amazon telah bermitra dengan setidaknya dua ribu departemen kepolisian di seluruh negeri untuk memudahkan pengguna berbagi rekaman dengan penegak hukum. Kamera — dan rekaman yang mereka ambil, yang sering diposting online — telah menjadi sangat populer sehingga Amazon meluncurkan acara televisi yang disebut “Ring Nation”, yang merupakan acara ragam yang sebagian besar terdiri dari blooper yang diambil oleh kamera Ring.

Meskipun Ring sendiri tidak dikompromikan selama insiden tersebut, para peretas memang memanfaatkan kelemahan dalam pengaturan keamanan default Ring. Sejak peretasan tersebut, Ring telah mengubah beberapa praktik keamanannya untuk mempermudah dan memperjelas bagi pengguna untuk memeriksa pengaturan keamanan mereka.

selengkapnya : vice

ChatGPT Terintegrasi Ke Dalam Produk Keamanan Siber Saat Industri Menguji Kemampuannya

by

Perusahaan keamanan Kubernetes Armo telah mengintegrasikan AI generatif ChatGPT ke dalam platformnya untuk memudahkan pengguna membuat kebijakan keamanan berdasarkan Open Policy Agent (OPA).

“Armo Custom Controls melatih ChatGPT dengan Regos keamanan dan kepatuhan dan konteks tambahan, memanfaatkan dan memanfaatkan kekuatan AI untuk menghasilkan kontrol yang dibuat khusus yang diminta melalui bahasa alami. Pengguna mendapatkan aturan OPA lengkap yang dihasilkan oleh ChatGPT, serta deskripsi bahasa alami dari aturan tersebut dan perbaikan yang disarankan untuk memperbaiki kontrol yang gagal — dengan cepat, sederhana, dan tanpa perlu mempelajari bahasa baru, ”kata perusahaan itu.

Logpoint baru-baru ini mengumumkan integrasi ChatGPT untuk solusi LogPoint SOAR (orkestrasi keamanan, otomasi, dan respons) di lingkungan lab.

“Integrasi ChatGPT baru untuk Logpoint SOAR memungkinkan pelanggan menyelidiki potensi penggunaan playbook SOAR dengan ChatGPT dalam keamanan siber,” kata perusahaan itu.

Perusahaan perangkat lunak konvergensi keamanan fisik-cyber AlertEnterprise telah meluncurkan chatbot yang didukung oleh ChatGPT. Ini memungkinkan pengguna untuk dengan cepat mendapatkan informasi tentang akses fisik, manajemen akses identitas, manajemen pengunjung, analitik pembaca pintu, dan pelaporan keamanan dan keselamatan. Pengguna dapat mengajukan pertanyaan chatbot seperti “berapa banyak lencana karyawan baru yang kami terbitkan bulan lalu?” atau “tunjukkan masa berlaku pelatihan karyawan yang akan datang untuk akses area terbatas”.

Accenture Security telah menganalisis kemampuan ChatGPT untuk mengotomatiskan beberapa tugas terkait pertahanan dunia maya.

Perusahaan keamanan siber seperti Coro dan Trellix juga sedang menjajaki kemungkinan menyematkan ChatGPT dalam penawaran mereka.

Selengkapnya: Security Week

Vulnerability dalam implementasi SHA-3, Shake, EDDSA, dan algoritma yang disetujui NIST lainnya dalam implementasi SHA-3, Shake, EDDSA, dan algoritma yang disetujui NIST lainnya

by

Makalah ini menggambarkan vulnerability dalam beberapa implementasi algoritma hash aman 3 (SHA-3) yang telah dirilis oleh desainernya. vulnerability telah hadir sejak pembaruan putaran akhir Keccak diserahkan ke Kompetisi Fungsi Hash Institute of Standards and Technology (NIST) SHA-3 pada Januari 2011, dan hadir dalam Paket Kode Keccak (XKCP) yang diperluas dari Tim Keccak. Ini mempengaruhi semua proyek perangkat lunak yang telah mengintegrasikan kode ini, seperti bahasa skrip Python dan php hypertext preprocessor (PHP).

vulnerability adalah overflow buffer yang memungkinkan nilai yang dikendalikan penyerang menjadi eksklusif (XORED) ke dalam memori (tanpa batasan nilai yang harus disedot dan bahkan jauh di luar lokasi buffer asli), dengan demikian membuat banyak langkah perlindungan standar terhadap Buffer overflows (mis., Nilai kenari) sama sekali tidak efektif.

Pertama, kami menyediakan skrip Python dan PHP yang menyebabkan kesalahan segmentasi ketika versi rentan penafsir digunakan. Kemudian, kami menunjukkan bagaimana vulnerability ini dapat digunakan untuk membangun preimage dan preimage kedua untuk implementasi, dan kami menyediakan file yang dibangun secara khusus yang, ketika hash, memungkinkan penyerang untuk menjalankan kode sewenang -wenang pada perangkat korban. vulnerability berlaku untuk semua ukuran nilai hash, dan semua sistem operasi Windows, Linux, dan MacOS 64-bit, dan juga dapat memengaruhi algoritma kriptografi yang memerlukan SHA-3 atau variannya, seperti algoritma tanda tangan digital Edwards-Curve (EDDSA) Edward Ketika kurva Edwards448 digunakan. Kami memperkenalkan uji init-update-final (IUFT) untuk mendeteksi vulnerability ini dalam implementasi.

@misc{cryptoeprint:2023/331,
author = {Nicky Mouha and Christopher Celi},
title = {A Vulnerability in Implementations of SHA-3, SHAKE, EdDSA, and Other NIST-Approved Algorithm},
howpublished = {Cryptology ePrint Archive, Paper 2023/331},
year = {2023},
note = {\url{https://eprint.iacr.org/2023/331}},
url = {https://eprint.iacr.org/2023/331}
}

sumber : eprint.iacr.org

Acer Mengonfirmasi Pembobolsn di Salah Satu Servernya

by

Acer telah mengkonfirmasi seseorang membobol salah satu servernya setelah penjahat menjual database 160GB dari apa yang diklaim sebagai informasi rahasia pembuat PC Taiwan itu.

Kernelware mengklaim barang yang dicuri termasuk slide dan presentasi rahasia, manual teknis staf, file Format Pencitraan Windows, biner, data infrastruktur backend, dokumen produk rahasia, Kunci Produk Digital Pengganti, file ISO, file Gambar Penyebaran Sistem Windows, komponen BIOS, dan file ROM .

Pencuri mengatakan bahwa mereka hanya akan menerima cryptocurrency Monero sebagai pembayaran untuk tangkapan tersebut, dan hanya akan menjual melalui perantara. Tidak ada harga yang diminta – meskipun ada catatan yang memberi tahu calon pembeli untuk mengirim pesan pribadi dengan penawaran.

Acer tidak menanggapi pertanyaan Daftar tentang sifat data yang dicuri, atau apakah telah memverifikasi informasi yang bocor.

Bahkan jika penjahat tidak mencuri informasi pelanggan, data dump masih bisa menyebabkan kerusakan pembuat komputer, menurut Erich Kron, advokat kesadaran keamanan di KnowBe4.

“Tidak semua pelanggaran data harus mengandung informasi pribadi tentang pelanggan atau karyawan, atau informasi keuangan seperti kartu kredit, untuk menjadi perhatian,” kata Kron kepada The Register. “Dalam hal ini Acer berpotensi merilis beberapa kekayaan intelektualnya dan dokumen perusahaan yang berpotensi sensitif.”

Jenis informasi kepemilikan dan teknis tentang prosedur dan produk perusahaan ini dapat menjadi keuntungan bagi pesaing dan penjahat, tambahnya. “Dalam dunia elektronik dan teknologi yang sangat kompetitif, informasi ini bisa sangat berharga bagi pesaing, dan informasi teknis mungkin sangat berharga bagi pelaku kejahatan yang ingin melakukan eksploitasi yang menargetkan produk korban.”

Pelanggaran terbaru mengikuti beberapa snafus keamanan pada tahun 2021. Pada bulan Maret, raksasa PC itu adalah salah satu korban REvil dan geng ransomware terkenal menuntut $50 juta.

selengkapnya : theregister