Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Berikut adalah ‘skala peretasan’ untuk lebih memahami serangan siber SolarWinds

by

Beberapa peretasan adalah sebuah bencana besar, tetapi beberapa dapat bertahan. Kita melihat kenyataan ini dalam berbagai laporan yang keluar tentang “peretasan SolarWinds”. Beberapa organisasi sangat terpengaruh sementara yang lain tidak begitu terpengaruh. Namun perbedaan penting ini hilang saat kita mengatakan semuanya telah “diretas”.

Tidak ada “hacked scale” yang digunakan oleh para profesional, apalagi yang bisa digunakan oleh orang awam.

Jika kita ingin memahami perbedaan dalam kasus SolarWinds dengan lebih baik, kita perlu menentukan skala. Karena hal terpenting dalam peretasan adalah penyebaran dan tingkat keparahan, sistem stadium kanker memberikan model yang baik untuk beradaptasi karena melacak penyebaran dan tingkat keparahan kanker dalam lima tahap.

  • Tahap 0: Penyerang telah menemukan atau membuat titik masuk ke sistem atau jaringan tetapi belum menggunakannya atau tidak mengambil tindakan.

  • Tahap I: Penyerang memiliki kendali atas sistem tetapi belum berpindah ke luar sistem ke jaringan yang lebih luas.

  • Tahap II: Penyerang telah berpindah ke jaringan yang lebih luas dan berada dalam mode “read-only” yang berarti mereka dapat membaca dan mencuri data tetapi tidak mengubahnya

  • Tahap III: Penyerang telah berpindah ke jaringan yang lebih luas dan memiliki akses “write” ke jaringan yang berarti mereka dapat mengubah data serta membaca dan mencurinya.

  • Tahap IV: Penyerang memiliki kontrol administratif dari jaringan yang lebih luas yang berarti mereka dapat membuat akun dan cara baru untuk masuk ke jaringan serta mengubah, membaca, dan mencuri data.

Faktor kunci dalam level ini adalah akses dan kontrol penyerang: semakin sedikit semakin baik, semakin banyak semakin buruk.

Misalnya, SolarWinds mengatakan bahwa 18.000 pelanggan terkena dampaknya. Namun ini tidak berarti bahwa 18.000 jaringan pelanggan mengalami Tahap IV dan sepenuhnya dikendalikan oleh penyerang.

Informasi yang disediakan SolarWinds hanya memberi tahu kita bahwa pelanggan tersebut mengalami Tahap 0: penyerang mungkin memiliki cara untuk masuk lebih jauh ke dalam jaringan. Untuk mengetahui apakah penyerang bertindak lebih jauh dan pelanggan terkena dampak yang lebih parah, diperlukan penyelidikan lebih lanjut.

FireEye membuat pernyataan pada 8 Desember tentang peretasan yang menimpa mereka yang ternyata adalah bagian dari serangan SolarWinds. Tampaknya menunjukkan bahwa penyerang dapat mencuri informasi tetapi tidak memberikan indikasi bahwa penyerang dapat mengubah data atau mendapatkan kontrol administratif jaringan, kemungkinan membuat apa yang dialami perusahaan tersebut masih dalam Tahap II.

Poin utama bagi semua orang saat ini adalah memahami bahwa “diretas” bukanlah status biner sederhana: ada derajat yang berbeda-beda. Dengan memahami hal ini, kita dapat menilai dengan lebih baik seberapa serius suatu situasi dan apa yang perlu kita lakukan sebagai tanggapan.

Sumber: Geek Wire

Peringatan Adobe Flash mulai bermunculan di Windows 10

by

Adobe akan menghentikan dukungan untuk Flash, sesuatu yang telah direncanakan bertahun-tahun, dan sekarang memastikan pengguna Windows 10 mengetahuinya sebelum waktu itu tiba.

Flash telah lama menjadi kekurangan terbesar dari keamanan di Internet dan sebagian besar Web telah menjauh darinya demi teknologi yang lebih modern dan lebih standar. Adobe pasti memainkan kartu keamanan cukup banyak mencoba untuk menakut-nakuti pengguna menggunakan Flash. Bukan berarti mereka punya banyak pilihan pada Januari tahun depan.

Setelah 31 Desember 2020, Adobe secara resmi akan berhenti mendukung Flash. Dan mulai 12 Januari 2021, pemutar Adobe Flash dan hampir semua plugin Flash tidak akan lagi memutar konten flash. Meskipun demikian, bukan berarti Flash player dan plugin secara otomatis menjadi tidak aktif dan aman, itulah sebabnya Adobe dan Microsoft mengambil langkah ekstra untuk tidak disalahkan atas kompromi komputer.

Adobe telah mulai memunculkan peringatan di Windows 10 yang memberi tahu pengguna tentang tenggat waktu dan menyarankan mereka untuk menghapus program Flash Player. Sekalipun tidak digunakan, perangkat lunak masih dapat dieksploitasi untuk mendapatkan akses jarak jauh ke PC, terutama jika tidak lagi mendapat pembaruan keamanan. Pengguna hanya diberikan dua opsi untuk mencopot pemasangan atau diingatkan nanti.

Microsoft juga telah merencanakan tindakan yang lebih drastis yang secara otomatis akan menghapus Flash untuk Anda. Mereka akan meluncurkan pembaruan Windows opsional tahun depan yang akan menghapus Flash pada komputer Windows Anda. Namun, hal itu hanya memengaruhi Flash yang dipasang Windows 10 itu sendiri dan pengguna masih harus mencopot pemasangan pemutar Flash lain secara manual, dengan anggapan pembuat browser juga tidak melakukannya untuk mereka.

Sumber: Slashgear

Vietnam menjadi sasaran dalam serangan rantai pasokan yang kompleks

by

Sekelompok peretas misterius telah melakukan serangan rantai pasokan yang cerdik terhadap perusahaan swasta dan lembaga pemerintah Vietnam dengan memasukkan malware ke dalam perangkat lunak resmi milik pemerintah.

Serangan itu, ditemukan oleh firma keamanan ESET dan dirinci dalam laporan bernama “Operation SignSight,” menargetkan Otoritas Sertifikasi Pemerintah Vietnam (VGCA), organisasi pemerintah yang menerbitkan sertifikat digital yang dapat digunakan untuk menandatangani dokumen resmi secara elektronik.

Setiap warga negara Vietnam, perusahaan swasta, dan bahkan lembaga pemerintah lainnya yang ingin mengirimkan file ke pemerintah Vietnam harus menandatangani dokumen mereka dengan sertifikat digital yang kompatibel dengan VGCA.

ESET mengatakan bahwa sekitar tahun ini, peretas masuk ke situs web agensi, yang terletak di ca.gov.vn, dan memasukkan malware ke dalam dua aplikasi klien VGCA yang ditawarkan untuk diunduh di situs tersebut.

Kedua file tersebut adalah aplikasi klien 32-bit (gca01-client-v2-x32-8.3.msi) dan 64-bit (gca01-client-v2-x64-8.3.msi) untuk pengguna Windows.

ESET mengatakan bahwa antara 23 Juli dan 5 Agustus tahun ini, kedua file tersebut berisi trojan backdoor bernama PhantomNet, juga dikenal sebagai Smanager.

Malware itu tidak terlalu rumit namun hanyalah kerangka gambar untuk plugin yang lebih kuat, kata para peneliti.

Plugin tersebut memiliki fungsionalitas untuk mengambil pengaturan proxy untuk melewati firewall perusahaan dan kemampuan untuk mengunduh dan menjalankan aplikasi (berbahaya) lainnya.

Pada hari ESET menerbitkan laporannya, VGCA juga secara resmi mengakui pelanggaran keamanan dan menerbitkan tutorial tentang bagaimana pengguna dapat menghapus malware dari sistem mereka.

Sumber: ZDNet

PSA: Penipuan phishing Chase berpura-pura sebagai peringatan penipuan

by

Penipuan phishing skala besar sedang berlangsung yang berpura-pura sebagai pemberitahuan keamanan dari Chase yang menyatakan bahwa aktivitas penipuan telah terdeteksi dan menyebabkan akun penerima diblokir.

Diberitakan oleh BleepingComputer bahwa beberapa orang menerima penipuan “Pemberitahuan Keamanan” Chase palsu yang sama yang mencoba mencuri kredensial perbankan mereka.

Salah satu penerima mengatakan mereka tertipu setelah kartu mereka ditolak dalam pembelian online dan mengira email itu adalah peringatan penipuan Chase yang sah.

Email phishing ini menyatakan bahwa akun Chase penerima diblokir setelah aktivitas mencurigakan terdeteksi. Untuk “membuka” akun, penerima diminta untuk mengklik tombol ‘Restore Now’ di email, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Ketika tombol ‘Restore Now’ diklik, penerima akan dibawa ke halaman yang meminta mereka untuk masuk ke akun Chase mereka. Jika mereka memasukkan informasi login mereka, informasi tersebut akan dikirim ke penyerang, yang kemudian akan memiliki akses ke akun tersebut.

Penting untuk diingat bahwa peringatan penipuan Chase tidak pernah meminta Anda memasukkan informasi atau kredensial login Anda. Sebaliknya, email yang sah hanya meminta Anda untuk mengonfirmasi apakah transaksi itu sah dengan mengklik tombol di email.

Sumber: Bleeping Computer

Kampanye Emotet Dimulai Kembali Setelah Hiatus Tujuh Minggu

by

Pada bulan Oktober, tiga gelombang spam yang sarat dengan Emotet downloader bekerja untuk menyebarkan malware ke sistem pengguna yang rentan, memulai rangkaian yang sering mengakibatkan infeksi ransomware Ryuk atau upaya untuk mencuri kredensial rekening bank melalui Trojan perbankan Trickbot.

Tujuh minggu setelah kampanye besar Emotet terakhir, para penjahat siber di belakang kampanye tersebut telah memulai upaya mereka untuk menyusupi lebih banyak sistem, menurut beberapa organisasi keamanan siber.

Tim anti-spam Abuse.ch mencatat pada 22 Desember bahwa aktivitas kelompok kejahatan siber telah meningkatkan tepat sebelum Natal. Sehari sebelumnya, penyedia keamanan perpesanan Proofpoint mencatat bahwa sistemnya melihat lebih dari 100.000 pesan dalam berbagai bahasa dan dengan berbagai lampiran atau tautan.

Kampanye terbaru dapat menyebabkan sistem yang dikompromikan dan ancaman terhadap jaringan bisnis, karena sebagian besar karyawan terus bekerja dari rumah.

“Apa yang membuat Emotet sangat berbahaya bagi organisasi adalah bahwa itu telah menjadi pijakan utama untuk penyebaran Trojan perbankan lainnya di masa depan,” kata Sherrod DeGrippo, direktur senior penelitian dan deteksi ancaman di Proofpoint. “Pada titik ini, Trojan perbankan arus utama dapat menyebabkan serangan ransomware yang menghancurkan”.

Sementara kampanye Emotet terbaru dimulai sekitar pertengahan Desember, aktivitas tersebut menjadi paling jelas dalam beberapa hari terakhir. Proofpoint mengeluarkan pernyataan singkat di Twitter pada 21 Desember yang juga menampilkan tangkapan layar dari manipulasi psikologis yang digunakan untuk mencoba membuat korban mematikan fitur Microsoft 365 yang memblokir dokumen berbahaya.

Sumber: Dark Reading

Perusahaan teknologi besar termasuk Intel, Nvidia, dan Cisco semuanya terinfeksi selama peretasan SolarWinds

by

Minggu lalu, tersiar kabar bahwa perusahaan manajemen TI SolarWinds telah diretas, diduga oleh pemerintah Rusia, dan departemen Keuangan, Perdagangan, Negara, Energi, dan Keamanan Dalam Negeri AS telah terpengaruh – dua di antaranya mungkin telah dicuri emailnya akibat peretasan tersebut.

The Wall Street Journal sekarang melaporkan bahwa beberapa perusahaan teknologi besar telah terinfeksi juga. Cisco, Intel, Nvidia, Belkin, dan VMware semuanya memiliki komputer di jaringan mereka yang terinfeksi malware.

Mungkin ada lebih banyak lagi: SolarWinds telah menyatakan bahwa “kurang dari 18.000” perusahaan terkena dampak, seolah-olah angka itu seharusnya meyakinkan, dan bahkan berusaha menyembunyikan daftar klien yang menggunakan perangkat lunak yang terinfeksi.

Ada berbagai macam alasan mengapa grup peretas mungkin ingin masuk ke sistem perusahaan teknologi besar, termasuk akses ke paket produk di masa mendatang atau informasi karyawan dan pelanggan yang dapat dijual atau ditahan untuk mendapatkan tebusan, dengan asumsi mereka benar-benar mencari info tersebut.

Namun, mungkin juga perusahaan-perusahaan ini hanyalah “bonus” karena kelompok peretas ini mengejar lembaga pemerintah, yang kebetulan menggunakan sistem manajemen TI yang disediakan SolarWinds.

Sumber: The Verge

Petani mendapatkan panduan keamanan mereka sendiri seiring dengan meningkatnya serangan siber

by

Pusat Keamanan Siber Nasional Inggris (NCSC) telah mengeluarkan panduan pertama kali bagi para petani untuk membantu melindungi industri mereka dari malware dan ransomware.

Dengan memperhatikan masa depan pertanian dan teknologi, NCSC telah menerbitkan panduan untuk membantu sektor pertanian menanggapi ancaman yang sama yang dihadapi banyak organisasi lain. NCSC mencatat sistem utama yang digunakan di sektor ini termasuk email, alat akun online, sistem pembayaran online, serta peralatan pertanian yang terhubung ke internet yang dapat mengalami serangan siber.

Panduan baru dikembangkan bersama Serikat Petani Nasional (NFU), yang mendesak petani untuk meninjau dokumen tersebut.

Panduan tersebut meminta sektor pertanian untuk mempertimbangkan semua aspek bisnis mereka yang disentuh oleh teknologi jaringan saat ini, mulai dari mesin otomatis hingga kamera keamanan dan smartphone – pada dasarnya setiap bagian dari teknologi yang membantu petani menjalankan bisnis mereka.

Dokumen tersebut menguraikan risiko yang dihadapi petani dari serangan ransomware, yang mencakup membuat perangkat tidak dapat digunakan, melumpuhkan kendaraan pertanian, kehilangan data, gangguan pada sistem otomatis, dan membocorkan data rahasia pertanian.

Sumber: ZDNet

Microsoft dan McAfee menjadi berita utama ‘Ransomware Task Force’ yang baru dibentuk

by

Sebuah kelompok yang terdiri dari 19 perusahaan keamanan, perusahaan teknologi, dan nirlaba, yang dipimpin oleh nama-nama besar seperti Microsoft dan McAfee, telah mengumumkan pada hari Senin rencana untuk membentuk koalisi baru untuk menghadapi meningkatnya ancaman ransomware.

Dinamakan Ransomware Task Force (RTF), grup baru ini akan fokus pada penilaian solusi teknis yang ada yang memberikan perlindungan selama serangan ransomware.

RTF akan menugaskan pelaksana ahli tentang topik tersebut, melibatkan pemangku kepentingan di seluruh industri, mengidentifikasi celah dalam solusi saat ini, dan kemudian mengerjakan peta jalan umum untuk menangani masalah di antara semua anggota.

Hasil akhirnya harus berupa kerangka kerja standar untuk menangani serangan ransomware di seluruh vertikal, yang didasarkan pada konsensus industri daripada saran individu yang diterima dari kontraktor tunggal.

Saat ini, ransomware bukanlah bentuk malware yang paling tersebar luas maupun jenis serangan siber yang menyebabkan kerugian finansial terbesar bagi perusahaan setiap tahun. Gelar tersebut jatuh ke penipuan BEC, menurut FBI.

Namun demikian, ransomware masih menjadi ancaman utama dan tren yang terus meningkat, dengan permintaan tebusan yang terus meningkat dari kuartal ke kuartal.

Sumber: ZDNet