Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Penerbit Game Terkemuka Mengalami Epidemi Kredensial yang Bocor

by

Perusahaan game terkemuka, seperti Ubisoft, telah menjadi target besar bagi penjahat siber yang bertujuan untuk menghasilkan keuntungan dengan menjual kredensial orang dalam yang bocor yang terkait dengan penerbit game teratas.

Lebih dari 500.000 kredensial curian yang memiliki kaitan dengan 25 perusahaan game teratas ditemukan di cache data yang dilanggar secara online dan tersedia untuk dijual di pasar kriminal, menurut para peneliti di Kela.

Yang membuat penelitian Kela unik adalah sorotan yang diterimanya dari terobosan yang telah dibuat oleh peretas di dalam industri senilai $196 miliar. Yang memicu tren, tulis penulis laporan tersebut, Almog Zoosman dan Victoria Kivilevich, adalah ledakan dalam sektor yang dipicu oleh permintaan COVID-19 untuk menjaga jarak sosial yang mendorong minat dalam aktivitas soliter dari video game.

Alat yang digunakan untuk menyerang perusahaan game termasuk malware AZORult, yang digunakan dalam serangan biasa dan serangan phishing canggih yang menargetkan karyawan perusahaan game. AZORult, malware pencuri info, digunakan untuk menyedot kredensial dari korban yang kemudian digunakan untuk menyusupi jaringan target lebih lanjut.

Sejumlah serangan yang berhasil, lapor para peneliti, telah memicu berkembang pesatnya black market untuk kredensial perusahaan game mulai dari yang terkait dengan layanan VPN, portal manajemen situs web, panel admin, lingkungan terkait pengembang, dan akses instans Jira. Tentu saja, serangan ransomware juga merupakan bagian dari pedoman para peretas.

Sumber: Threat Post

Malware menggunakan WiFi BSSID untuk identifikasi korban

by

Operator malware yang ingin mengetahui lokasi korban yang mereka infeksi biasanya mengandalkan teknik sederhana di mana mereka mengambil alamat IP korban dan memeriksanya dengan database IP-to-geo seperti MaxMind’s GeoIP untuk mendapatkan perkiraan lokasi geografis korban.

Operator malware biasanya memeriksa lokasi korban karena beberapa kelompok peretas hanya ingin meretas korban dalam negara tertentu.

Namun, dalam sebuah posting blog bulan lalu, Xavier Mertens, seorang peneliti keamanan dengan SANS Internet Storm Center, mengatakan ia menemukan jenis malware baru yang menggunakan teknik kedua di atas yang pertama.

Teknik kedua ini bergantung pada pengambilan BSSID pengguna yang terinfeksi.

Dikenal sebagai “Basic Service Set Identifier”, BSSID pada dasarnya adalah alamat fisik MAC dari router nirkabel atau titik akses yang digunakan pengguna untuk terhubung melalui WiFi.

Mertens mengatakan malware yang dia temukan mengumpulkan BSSID dan kemudian memeriksanya menggunakan database BSSID-to-geo gratis yang dikelola oleh Alexander Mylnikov.

Memeriksa BSSID terhadap database Mylnikov akan memungkinkan malware untuk secara efektif menentukan lokasi geografis fisik dari titik akses WiFi yang digunakan korban untuk mengakses internet, yang merupakan cara yang jauh lebih akurat untuk menemukan posisi geografis korban.

Menggunakan kedua metode secara bersamaan memungkinkan operator malware untuk mengonfirmasi bahwa kueri geolokasi berbasis IP awal sudah benar dengan metode BSSID kedua.

Sumber: ZDNet

Hati-hati: penipuan vaksin COVID-19 sekarang muncul secara online, melalui teks, dan melalui email

by

2020 adalah tahun yang ingin kita lupakan, dan ketika 2021 masuk dengan sedikit kemeriahan yang biasanya dikaitkan dengan perayaan Malam Tahun Baru, tantangan pandemi COVID-19 masih jauh dari selesai.

Selama beberapa minggu terakhir, penipu dan pelaku ancaman lainnya telah meluncurkan program mereka sendiri: bukan untuk kesehatan masyarakat, tetapi untuk mencuri informasi pribadi, melakukan pencurian identitas, korban penipuan, dan semua yang berpotensi untuk mendapatkan keuntungan finansial kriminal.

Pada bulan Desember, Interpol memperingatkan bahwa penegak hukum harus bersiap untuk menangani penipuan dan kejahatan siber terkait COVID-19 selama beberapa bulan mendatang.

Hanya empat minggu setelah peringatan tersebut dikeluarkan, skenario Interpol telah terwujud, dengan masyarakat umum dan rantai pasokan vaksin sebagai target utama.

PRODUK PALSU

Yang terburuk adalah vaksin palsu yang ditawarkan untuk dijual secara online, yang dapat berdampak buruk pada kesehatan pembeli. Peneliti Check Point menemukan “vaksin virus corona” dan “obat virus corona” dijual melalui posting forum yang terhubung ke Dark Web. Vendor yang mengklaim memiliki akses ke vaksin COVID-19 yang tidak ditentukan meminta bayaran hingga $300 dalam cryptocurrency.

EMAIL PHISHING

Email phishing terkait virus Corona beredar tinggi selama tahun 2020 dan tidak menunjukkan tanda-tanda penurunan – kecuali, sekarang, beberapa kampanye telah beralih ke vaksin sebagai subjeknya.

Dalam beberapa kasus, penipu akan meminta penerima untuk membuka situs web dan mengisi formulir untuk mengamankan tempat mereka di ‘antrean vaksin’. Informasi termasuk nama, alamat, nomor Jaminan Sosial, tanggal lahir, dan kemungkinan data medis dapat diminta – yang semuanya adalah Informasi Pribadi (PII) yang dapat digunakan untuk penipuan yang lebih rumit dan serangan manipulasi psikologis.

PESAN TEKS

Pesan teks penipuan terkait COVID-19 telah mulai beredar, dengan pesan yang mengklaim bahwa pejabat pemerintah meminta Anda untuk melakukan “tes virus korona online”, seperti yang dilaporkan oleh Better Business Bureau. Pejabat pemerintah juga ditiru, dan dalam beberapa sampel, penjahat juga mencoba untuk menggaet korban dengan mengirimkan pesan SMS terkait cek stimulus dan pembayaran IRS / pajak.

Sumber: ZDNet

Tren Keamanan Siber 2021: Anggaran Lebih Besar, Penekanan Endpoint, dan Cloud

by

Anggaran keamanan siber pada tahun 2021 naik lebih tinggi dari batas pra-pandemi. Autentikasi, perlindungan data cloud, dan pemantauan aplikasi akan menjadi prioritas teratas anggaran CISO dan prioritas keamanan siber. Menurut para ahli, ini hanyalah beberapa tema yang mendominasi tahun depan.

Berikut adalah opini-opini pakar yang menerangi tahun depan.

Rumah adalah Tempat Serangan Akan Terjadi di 2021

Tidak diragukan lagi, staf TI masih belum pulih dari pergeseran kerja dari rumah yang memaksa mereka untuk memikirkan kembali keamanan siber dan menempatkan ketergantungan baru pada teknologi seperti layanan cloud dan alat kolaboratif digital seperti Zoom, Skype, dan Slack. Tren tahun 2020 tersebut akan memiliki dampak yang bertahan lama.

Ancaman Orang Dalam

Peneliti Forrester yakin tren tenaga kerja jarak jauh akan meningkatkan ancaman orang dalam. Mereka menjelaskan, sudah 25 persen pelanggaran data terkait dengan ancaman orang dalam dan pada 2021 persentase itu diperkirakan akan melonjak menjadi 33 persen. Forcepoint memperingatkan akan pertumbuhan model “insider-as-a-service” pada tahun 2021.

Inbox Bullseye

Kotak masuk (inbox) adalah celah di garis depan keamanan lapis baja, seringkali merupakan vektor sempurna untuk serangan ransomware, penipuan peretasan email bisnis, dan infeksi malware, menurut analisis tantangan Crowdstrike. Ke depan, para peneliti memperingatkan bahwa perusahaan harus memperkirakan “peningkatan besar” dalam serangan spear phishing pada tahun 2021 – karena otomatisasi.

Cybersecurity Cloud Burst

Analisis Gartner tentang prioritas cloud 2021 menyebut “cloud terdistribusi” sebagai fokus masa depan untuk bisnis yang akan memiliki implikasi keamanan yang signifikan. Cloud terdistribusi adalah migrasi proses bisnis ke cloud publik dan privat – atau cloud hybrid. Menurut Muralidharan Palanisamy, chief solutions officer di AppViewX, perubahan itu akan mendorong Cloud Security Posture Management (CSPM) pada 2021.

CSPM mencakup menemukan konektivitas jaringan yang salah konfigurasi, menilai risiko data, mendeteksi izin akun liberal, pemantauan cloud untuk pelanggaran kebijakan, deteksi dan perbaikan kesalahan konfigurasi otomatis, serta kepatuhan peraturan dengan GDPR, HIPAA, dan CCPA.

Otomasi, Kecerdasan Buatan (AI) dan Pembelajaran Mesin(ML)

Sebuah studi oleh Splunk, melaporkan 47 persen eksekutif TI yang diwawancarai mengatakan serangan siber meningkat sejak pandemi dimulai. Baru-baru ini, 36 persen mengatakan mereka mengalami peningkatan volume kerentanan keamanan karena pekerjaan jarak jauh.

“Jumlah peringatan keamanan, potensi ancaman, terlalu banyak untuk ditangani manusia sendiri. Otomatisasi dan pembelajaran mesin sudah membantu analis keamanan manusia memisahkan peringatan paling mendesak dari lautan data, dan mengambil tindakan perbaikan instan terhadap profil ancaman tertentu,” tulis Splunk.

Mobile Menace

Ancaman seluler dipercepat dengan latar belakang pandemi COVID-19 – sebuah tren yang diperkirakan akan terus berlanjut. Ancamannya berkisar dari spyware khusus yang dirancang untuk mengintip aplikasi perpesanan terenkripsi hingga penjahat yang mengeksploitasi banyak kerentanan keamanan kritis Android.

Untuk alasan tersebut, defenders perlu memperhatikan pelajaran tahun lalu dan membuat program keamanan yang berfokus pada seluler, para ahli mengatakan Seluler akan berkontribusi pada “de-perimeterization” dan cloudifikasi jaringan perusahaan yang sedang berlangsung.

Sumber: Threat Post

Waspadalah: Teks phishing PayPal menyatakan akun Anda ‘terbatas’

by

Kampanye phishing pesan teks PayPal sedang berlangsung yang berupaya mencuri kredensial akun Anda dan informasi sensitif lainnya yang dapat digunakan untuk pencurian identitas.

Phishing baru tersebut berpura-pura berasal dari PayPal, yang menyatakan bahwa akun Anda telah dibatasi secara permanen kecuali Anda memverifikasi akun dengan mengeklik tautan.

Saat PayPal mendeteksi aktivitas mencurigakan atau penipuan di akun, status akun akan disetel ke “terbatas/limited”, yang akan memberi batasan sementara pada penarikan, pengiriman, atau penerimaan uang.

Pesan teks smishing itu berbunyi, “PayPal: Kami telah membatasi akun Anda secara permanen, silakan klik tautan di bawah untuk memverifikasi”.

Mengklik tautan terlampir akan membawa Anda ke halaman phishing yang meminta Anda untuk masuk ke akun Anda, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Jika Anda masuk di halaman phishing, kredensial PayPal yang dimasukkan akan dikirim ke pelaku ancaman. Halaman phishing kemudian melangkah lebih jauh dan akan mencoba mengumpulkan detail lebih lanjut dari Anda, termasuk nama, tanggal lahir, alamat, detail bank, dan lainnya.

Informasi yang dikumpulkan digunakan untuk melakukan serangan pencurian identitas, mendapatkan akses ke akun Anda yang lain, atau melakukan serangan spear-phishing yang ditargetkan.

Sumber: Bleeping Computer

Malware Emotet menyerang Pusat Kesehatan Umum Nasional Lituania

by

Jaringan internal Pusat Kesehatan Masyarakat Nasional (NVSC) Lituania dan beberapa kota telah terinfeksi malware Emotet setelah kampanye besar-besaran yang menargetkan lembaga negara bagian.

“Ketika penerima yang terinfeksi membuka pesan yang terinfeksi, virus memasuki jaringan internal institusi,” kata pejabat NVSC dalam sebuah pernyataan yang diterbitkan hari ini.

“Komputer yang terinfeksi, setelah mengunduh file tambahan, mulai mengirim email palsu atau terlibat dalam jenis aktivitas berbahaya lainnya.”

Pejabat pemerintah Lithuania, perwakilan kementerian, dan ahli diagnostik epidemiologi yang sebelumnya telah dihubungi oleh spesialis NVSC melalui email semuanya telah menerima email yang terinfeksi Emotet dari sistem yang terinfeksi.

Sistem email NVSC telah ditutup sementara pada hari Selasa untuk menghentikan penyebaran virus lebih lanjut.

Spesialis teknologi informasi NVSC, bersama dengan para ahli dari Pusat Telekomunikasi Negara Bagian dan Pusat Keamanan Siber Nasional saat ini bekerja untuk membersihkan sistem yang terkena infeksi Emotet, serta memulihkan email NVSC dan memulihkan akses email.

Ini adalah kampanye Emotet besar kedua yang menargetkan Lituania tahun ini, yang sebelumnya terdeteksi oleh NKSC pada bulan Oktober.

NKSC menerbitkan sebuah laporan pada saat itu yang merekomendasikan target potensial (termasuk namun tidak terbatas pada lembaga negara dan perusahaan) untuk mengaktifkan dan mengkonfigurasi otentikasi email Sender Policy Framework (SPF) dengan benar.

Sumber: Bleeping Computer

Data breach T-Mobile mengeskpos nomor telepon serta catatan panggilan

by

T-Mobile telah mengumumkan pelanggaran data yang mengekspos informasi jaringan milik pelanggan (CPNI), termasuk nomor telepon dan catatan panggilan.

Mulai kemarin, T-Mobile mulai mengirim pesan kepada pelanggan nya bahwa “insiden keamanan” membongkar informasi akun mereka.

Menurut T-Mobile, tim keamanannya baru-baru ini menemukan “akses tidak sah dan berbahaya” ke sistem mereka. Setelah membawa firma keamanan siber untuk melakukan penyelidikan, T-Mobile menemukan bahwa pelaku ancaman memperoleh akses ke informasi telekomunikasi yang dihasilkan oleh pelanggan, yang dikenal sebagai CPNI.

Informasi yang terungkap dalam pelanggaran ini termasuk nomor telepon, catatan panggilan, dan jumlah saluran pada akun.

T-Mobile menyatakan bahwa pelanggaran data ini tidak mengungkap nama pemegang akun, alamat fisik, alamat email, data keuangan, informasi kartu kredit, nomor jaminan sosial, ID pajak, kata sandi, atau PIN.

Dalam sebuah pernyataan kepada BleepingComputer, T-Mobile menyatakan bahwa pelanggaran ini mempengaruhi “sejumlah kecil pelanggan (kurang dari 0,2%)”. T-Mobile memiliki sekitar 100 juta pelanggan, yang setara dengan sekitar 200.000 orang yang terkena dampak pelanggaran ini.

Sumber: Bleeping Computer

Worm baru mengubah server Windows, Linux menjadi penambang Monero

by

Sebuah Malware berbasis Golang yang baru ditemukan dan menyebar sendiri telah secara aktif menjatuhkan penambang cryptocurrency XMRig di server Windows dan Linux sejak awal Desember.

Malware multi-platform ini juga memiliki kemampuan worm yang memungkinkannya menyebar ke sistem lain dengan melakukan brute-forcing pada layanan publik (mis., MySQL, Tomcat, Jenkins, dan WebLogic) dengan sandi yang lemah seperti yang diungkapkan oleh peneliti keamanan Intezer Avigayil Mechtinger.

Para penyerang di balik kampanye ini telah secara aktif memperbarui kemampuan worm melalui server command-and-control (C2) sejak pertama kali terlihat yang mengisyaratkan malware yang dipelihara secara aktif.

Server C2 digunakan untuk meng-host skrip bash atau PowerShell dropper (tergantung pada platform yang ditargetkan), worm berbasis Golang, dan penambang XMRig dikerahkan untuk secara diam-diam menambang cryptocurrency Monero yang tidak dapat dilacak pada perangkat yang terinfeksi.

Malware secara otomatis akan mati sendiri jika mendeteksi bahwa sistem yang terinfeksi mendengarkan pada port 52013. Jika port tersebut tidak digunakan, worm akan membuka soket jaringannya sendiri.

Sumber: BleepingComputer

Untuk bertahan dari serangan brute force yang diluncurkan oleh worm multi-platform baru ini, Anda harus membatasi login dan menggunakan sandi yang sulit ditebak pada semua layanan yang terpapar Internet, serta otentikasi dua faktor jika memungkinkan.

Sumber: Bleeping Computer