Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Kejahatan siber diperkirakan akan meningkat di Filipina pada tahun 2021

by

Grup Bisnis Filipina mengatakan dalam pernyataan bersama bahwa dampak kejahatan siber di negara itu diperkirakan akan terus meningkat.

Secara global, diperkirakan akan mencapai $ 6 triliun pada tahun 2021 dan hingga $ 10,5 triliun per tahun pada tahun 2025, karena pengguna terus mengabaikan pemberitahuan dan peringatan perusahaan dalam transaksi keuangan. Data ini berdasarkan penelitian Cybersecurity Ventures.

Grup tersebut mengatakan bahwa phishing, smishing, vishing dan skema penipuan online lainnya menargetkan klien bank, pemegang kartu kredit, akun e-wallet, belanja online dan pengguna layanan keuangan online lainnya berada di bawah lonjakan yang signifikan karena adopsi platform online menjadi lazim selama pandemi.

Ada 869 penipuan online yang tercatat dari Maret hingga September tahun lalu, 37 persen lebih tinggi dari 633 insiden yang tercatat pada periode yang sama pada 2019, seperti dikutip data dari Grup Anti-Kejahatan Siber Kepolisian Nasional Filipina.

Pengguna internet Filipina juga mengalami peningkatan 20 persen terkait skimmer kartu kredit online tahun lalu.

Selengkapnya: W Media

Google memperbaiki kerentanan zero-day kedua yang aktif dieksploitasi bulan ini

by

Google telah memperbaiki zero-day Chrome yang dieksploitasi secara aktif bulan ini dengan merilis Chrome 89.0.4389.90 ke saluran desktop Stabil untuk pengguna Windows, Mac, dan Linux.

Zero-day yang dilacak sebagai CVE-2021-21193 dinilai oleh Google sebagai kerentanan dengan tingkat keparahan tinggi dan dilaporkan oleh peneliti Anonymous pada hari Selasa.

Google menggambarkannya sebagai “use after free bug in Blink”, mesin rendering browser sumber terbuka yang dikembangkan oleh proyek Chromium dengan kontribusi dari Google, Facebook, Microsoft, dan lainnya.

Eksploitasi zero-day yang berhasil dapat mengakibatkan eksekusi kode arbitrer pada sistem yang menjalankan versi Chrome yang rentan.

Meskipun Google mengatakan bahwa mereka mengetahui CVE-2021-21193 aktif dieksploitasi, Google tidak membagikan info mengenai serangan yang sedang berlangsung ini.

Hingga informasi lebih lanjut tersedia, pengguna Chrome seharusnya memiliki lebih banyak waktu untuk menerapkan pembaruan keamanan yang diluncurkan dalam beberapa hari mendatang untuk mencegah upaya eksploitasi.

Kurangnya info tambahan juga akan mencegah pelaku ancaman lainnya mengembangkan eksploitasi mereka sendiri yang menargetkan zero-day ini.

Sumber: Bleeping Computer

F5 mendesak pelanggan untuk menambal bug RCE pre-auth BIG-IP yang penting

by

F5 Networks, penyedia terkemuka perlengkapan jaringan perusahaan, telah mengumumkan empat kerentanan eksekusi kode jarak jauh (RCE) kritis yang memengaruhi sebagian besar versi perangkat lunak BIG-IP dan BIG-IQ.

F5 BIG-IP perangkat lunak dan pelanggan perangkat keras termasuk pemerintah, perusahaan Fortune 500, bank, penyedia layanan internet, dan merek konsumen (termasuk Microsoft, Oracle, dan Facebook), dengan perusahaan mengklaim bahwa “48 dari Fortune 50 mengandalkan F5”.

Empat kerentanan kritis yang tercantum di bawah ini juga mencakup cacat keamanan RCE pre-auth (CVE-2021-22986) yang memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk menjalankan perintah sewenang-wenang pada perangkat BIG-IP yang disusupi:

  • CVE-2021-22986: iControl REST unauthenticated remote command execution (9.8/10)
  • CVE-2021-22987: Appliance Mode TMUI authenticated remote command execution
  • CVE-2021-22991: TMM buffer-overflow (9.0/10)
  • CVE-2021-22992: Advanced WAF/ASM buffer-overflow (9.0/10)

Eksploitasi yang berhasil dari kerentanan BIG-IP RCE yang kritis dapat menyebabkan gangguan sistem penuh, termasuk intersepsi lalu lintas aplikasi pengontrol dan perpindahan lateral ke jaringan internal.

F5 juga menerbitkan peringatan keamanan pada tiga kerentanan RCE lainnya (dua tinggi dan satu medium, dengan peringkat keparahan CVSS antara 6,6 dan 8,8), memungkinkan penyerang jarak jauh yang diautentikasi untuk menjalankan perintah sistem sewenang-wenang.

Tujuh kerentanan diperbaiki dalam versi BIG-IP berikut: 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3, dan 11.6.5.3.

Sumber: Bleeping Computer

Peretas negara bagian China menargetkan sistem Linux dengan malware baru

by

Peneliti keamanan di Intezer telah menemukan backdoor yang sebelumnya tidak dikenali yang dijuluki RedXOR, dengan tautan ke grup peretasan yang disponsori China dan digunakan dalam serangan berkelanjutan yang menargetkan sistem Linux.

Sampel malware RedXOR yang ditemukan oleh Intezer diunggah ke VirusTotal (1, 2) dari Taiwan dan Indonesia (target yang diketahui untuk peretas negara China) dan memiliki tingkat deteksi yang rendah.

Berdasarkan server perintah-dan-kontrol yang masih aktif, backdoor Linux digunakan dalam serangan yang sedang berlangsung yang menargetkan server dan endpoint Linux.

RedXOR hadir dengan sejumlah besar kemampuan, termasuk menjalankan perintah dengan hak istimewa sistem, mengelola file pada kotak Linux yang terinfeksi, menyembunyikan prosesnya menggunakan rootkit sumber terbuka Adore-ng, membuat proxy lalu lintas berbahaya, memperbarui jarak jauh, dan banyak lagi.

Malware baru itu diyakini sebagai alat berbahaya baru yang ditambahkan ke gudang senjata kelompok ancaman Winnti China.

Intezer juga menemukan banyak koneksi antara backdoor Linux RedXOR dan beberapa strain malware yang terhubung ke peretas Winnti state, termasuk backdoor PWNLNX dan botnet Groundhog dan XOR.DDOS.

Selengkapnya:

Ransomware DEARCRY baru menargetkan Server Microsoft Exchange

by Leave a Comment

Ransomware baru bernama ‘DEARCRY’ menargetkan server Microsoft Exchange, dengan satu korban menyatakan bahwa mereka terinfeksi melalui kerentanan ProxyLogon.

Sejak Microsoft mengungkapkan awal bulan ini bahwa pelaku ancaman membahayakan server Microsoft Exchange menggunakan kerentanan ProxyLogon zero-day yang baru, kekhawatiran yang signifikan adalah ketika pelaku ancaman akan menggunakannya untuk menyebarkan ransomware.

Menurut Michael Gillespie, pembuat situs identifikasi ransomware ID-Ransomware, mulai tanggal 9 Maret, pengguna mulai mengirimkan catatan tebusan baru dan jenis file terenkripsi ke sistemnya.

Setelah meninjau kiriman, Gillespie menemukan bahwa pengguna mengirimkan hampir semuanya dari server Microsoft Exchange.

Menurut Advanced Intel’s Vitali Kremez, ketika diluncurkan, ransomware DearCry akan mencoba mematikan layanan Windows bernama ‘msupdate’. Tidak diketahui ini layanan apa, tetapi tampaknya bukan layanan Windows yang sah.

Ransomware sekarang akan mulai mengenkripsi file di komputer. Saat mengenkripsi file, itu akan menambahkan ekstensi .CRYPT pada nama file.

Sumber: Bleeping Computer

Gillespie memberi tahu BleepingComputer bahwa ransomware menggunakan AES-256 + RSA-2048 untuk mengenkripsi file dan menambahkan ‘DEARCRY!’ string ke awal setiap file yang dienkripsi.

Sayangnya, ransomware tampaknya tidak memiliki kelemahan yang memungkinkan korban untuk memulihkan file mereka secara gratis.

Sumber: Bleeping Computer

Serangan Phishing Google reCAPTCHA Palsu Mencuri Kata Sandi Office 365

by

Pengguna Microsoft menjadi sasaran ribuan email phishing, dalam serangan berkelanjutan yang bertujuan untuk mencuri kredensial Office 365 mereka.

Penyerang menambahkan kesan legitimasi pada kampanye dengan memanfaatkan sistem Google reCAPTCHA palsu dan halaman landing domain level teratas yang menyertakan logo perusahaan korban.

Menurut peneliti, setidaknya 2.500 email semacam itu tidak berhasil dikirim ke karyawan tingkat senior di sektor perbankan dan TI, selama tiga bulan terakhir. Email pertama kali membawa penerima ke halaman sistem Google reCAPTCHA palsu.

Google reCAPTCHA adalah layanan yang membantu melindungi situs web dari spam dan penyalahgunaan, dengan menggunakan tes Turing untuk membedakan antara manusia dan bot (dengan meminta pengguna untuk mengeklik hidran kebakaran dari serangkaian gambar, misalnya).

Setelah korban “lulus” tes reCAPTCHA, mereka kemudian diarahkan ke halaman arahan phishing, yang meminta kredensial Office 365 mereka.

Email phishing berpura-pura menjadi email otomatis dari alat komunikasi terpadu korban, yang mengatakan bahwa mereka memiliki lampiran pesan suara. Yang lain memberi tahu penerima email untuk “MENINJAU DOKUMEN AMAN”.

Peneliti menemukan berbagai halaman phishing yang terkait dengan kampanye, yang dihosting menggunakan domain level teratas umum seperti .xyz, .club, dan .online.

Selengkapnya: The Threat Post

Zero day kritis yang menargetkan peneliti keamanan mendapat tambalan dari Microsoft

by

Microsoft telah menambal kerentanan zero-day kritis yang digunakan peretas Korea Utara untuk menargetkan peneliti keamanan dengan malware.

Serangan di alam liar terungkap pada bulan Januari di postingan dari Google dan Microsoft. Peretas yang didukung oleh pemerintah Korea Utara, kata kedua unggahan tersebut, menghabiskan berminggu-minggu mengembangkan hubungan kerja dengan peneliti keamanan. Untuk memenangkan kepercayaan para peneliti, para peretas membuat blog penelitian dan persona Twitter yang menghubungi peneliti untuk menanyakan apakah mereka ingin berkolaborasi dalam suatu proyek.

Akhirnya, profil Twitter palsu meminta para peneliti untuk menggunakan Internet Explorer untuk membuka halaman web. Mereka yang mengambil umpan akan menemukan bahwa mesin Windows 10 mereka yang sepenuhnya ditambal memasang layanan jahat dan in-memory backdoor yang menghubungi server yang dikendalikan peretas.

Microsoft pada hari Selasa memperbaiki kerentanan tersebut. CVE-2021-26411, dinilai kritis dan hanya membutuhkan kode serangan dengan kompleksitas rendah untuk dieksploitasi.

Google hanya mengatakan bahwa orang-orang yang menghubungi para peneliti bekerja untuk pemerintah Korea Utara. Microsoft mengatakan mereka adalah bagian dari Zinc, nama Microsoft untuk grup ancaman yang lebih dikenal sebagai Lazarus.

Meskipun Microsoft mendeskripsikan CVE-2021-26411 sebagai “Kerentanan Korupsi Memori Internet Explorer,” advisory hari Senin mengatakan kerentanan juga memengaruhi browser Edge nya.

Selengkapnya: Ars Technica

Otoritas Perbankan Uni Eropa Diretas Saat Serangan Microsoft Exchange Berlanjut

by

Otoritas Perbankan Eropa (EBA) telah mengonfirmasi telah menjadi korban serangan Microsoft Exchange yang sedang berlangsung.

Dengan total empat eksploitasi zero-day, kerentanan yang sebelumnya tidak dilaporkan yang memberi penjahat siber permulaan dalam kampanye serangan apa pun, serangan terhadap server Microsoft Exchange lokal selalu akan menjadi masalah besar.

Serangan awal tersebut, yang mendorong Microsoft untuk menerbitkan pembaruan keamanan darurat di luar jalur, dikaitkan dengan grup yang disponsori negara yang diidentifikasi sebagai HAFNIUM.

Dilaporkan oleh Forbes, sumber yang dapat dipercaya menunjukkan bahwa serangan terhadap server Microsoft Exchange yang rentan dianggap telah membahayakan ‘ratusan ribu’ server, lebih dari 30.000 di AS saja.

Salah satu yang diserang di luar AS adalah regulator perbankan Uni Eropa, Otoritas Perbankan Eropa. Pada 7 Maret, EBA mengeluarkan pernyataan yang mengonfirmasi bahwa mereka “telah menjadi sasaran serangan siber terhadap Server Microsoft Exchange-nya.”

Informasi lebih lanjut, memang, tersedia melalui update pada tanggal 8 Maret.
“Penyelidikan EBA masih berlangsung dan kami menerapkan langkah-langkah keamanan tambahan dan pemantauan ketat untuk memulihkan fungsionalitas penuh dari server email. Pada tahap ini, infrastruktur email EBA telah diamankan dan analisis kami menunjukkan bahwa tidak ada ekstraksi data yang telah dilakukan dan kami tidak memiliki indikasi untuk berpikir bahwa pelanggaran telah melampaui server email kami”.

Selengkapnya: Forbes