Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

CISA: Peretasan besar pemerintah AS tidak hanya menggunakan backdoor SolarWinds

by

Badan Keamanan Siber dan Infrastruktur AS (CISA) mengatakan bahwa kelompok APT di balik kampanye peretasan baru-baru ini yang menargetkan lembaga pemerintah AS menggunakan lebih dari satu vektor akses awal.

“CISA memiliki bukti vektor akses awal tambahan, selain dari platform SolarWinds Orion; namun, ini masih diselidiki. CISA akan memperbarui Peringatan ini saat informasi baru tersedia,” kata organisasi tersebut.

“Tidak semua organisasi yang memiliki backdoor yang dikirimkan melalui SolarWinds Orion telah menjadi sasaran musuh dengan tindakan lanjutan.”

Grup APT, yang dicurigai sebagai APT29 yang disponsori negara Rusia (alias Cozy Bear and The Dukes), hadir di jaringan organisasi yang dikompromikan untuk jangka waktu yang lama menurut CISA.

Selain itu, CISA mengatakan bahwa sangat mungkin aktor ancaman di balik kampanye peretasan terkoordinasi ini menggunakan taktik, teknik, dan prosedur (TTP) lain yang belum ditemukan sebagai bagian dari investigasi yang sedang berlangsung.

Badan ini juga sedang menyelidiki insiden di mana mereka menemukan TTP konsisten dengan aktivitas berbahaya yang sedang berlangsung ini, “termasuk beberapa di mana korban tidak memanfaatkan SolarWinds Orion atau di mana SolarWinds Orion hadir tetapi tidak ada aktivitas eksploitasi SolarWinds yang diamati.”

Detail teknis tambahan termasuk info tentang vektor infeksi awal, taktik, teknik, dan prosedur (TTP) yang digunakan dalam kampanye ini, langkah-langkah mitigasi, dan indikator gangguan tersedia dalam peringatan AA20-352A CISA.

Sumber: Bleeping Computer

Ransomware menyamar sebagai versi seluler Cyberpunk 2077

by

Aktor ancaman mendistribusikan installer Windows dan Android palsu game Cyberpunk 2077 yang berisi ransomware CoderWare.

Untuk mengelabui pengguna agar memasang malware, pelaku ancaman biasanya mendistribusikannya sebagai gamer installer, cheats, dan crack untuk software copyright.

Minggu ini, analis malware Kaspersky Tatyana Shishkova menemukan ransomware Android yang menyamar sebagai versi seluler dari game Cyberpunk 2077. Game tersebut didistribusikan dari situs web palsu yang meniru Google Play Store yang sah.

Sumber: BleepingComputer

Shishkova menulis di akun Twitter nya bahwa ransomware CoderWare menggunakan kunci hardcode, yang berarti decryptor dapat dibuat jika perlu untuk memulihkan file secara gratis.

Ransomware ini sama dengan yang ditemukan oleh MalwareHunterTeam pada bulan November yang menyamar sebagai installer Windows Cyberpunk 2077. Seperti versi Android, ransomware ini menyebut dirinya CoderWare tetapi merupakan varian dari ransomware BlackKingdom.

Seperti yang Anda lihat, saat mencoba menginstal perangkat lunak berhak cipta secara gratis, Anda menghadapi risiko besar adanya infeksi malware. Risiko ini bahkan lebih signifikan ketika Anda mencoba memasang aplikasi Android dari toko aplikasi pihak ketiga.

Sumber: Bleeping Computer

FBI mengatakan geng ransomware DoppelPaymer melecehkan korban yang menolak membayar

by

Biro Investigasi Federal AS mengatakan mereka mengetahui insiden di mana geng ransomware DoppelPaymer telah menggunakan cold-calling untuk mengintimidasi dan memaksa korban untuk membayar permintaan tebusan.

Peringatan PIN FBI, dikirim pada 10 Desember, mengonfirmasi laporan ZDNet dari 5 Desember yang merinci taktik cold-calling serupa yang digunakan oleh empat grup ransomware lainnya: Sekhmet (sekarang tidak berfungsi), Maze (sekarang tidak berfungsi), Conti, dan Ryuk. FBI mengatakan taktik ini sebenarnya pertama kali terlihat pada geng DoppelPaymer beberapa bulan sebelumnya.

“Doppelpaymer adalah salah satu varian ransomware pertama di mana para pelaku memanggil para korban untuk meminta pembayaran,” kata FBI.

“Pada Februari 2020, dalam banyak kasus, para pelaku DoppelPaymer telah mengikuti infeksi ransomware dengan menelepon para korban untuk memeras pembayaran melalui intimidasi atau mengancam akan merilis data yang dieksfiltrasi,” tambahnya.

Geng DoppelPaymer adalah satu dari 20 geng ransomware lebih yang mengoperasikan situs kebocoran tempat mereka mempublikasikan data dari perusahaan yang menolak membayar tebusan – sebagai bentuk balas dendam.

Dalam peringatan PIN DoppelPaymer, FBI merekomendasikan agar korban mengamankan jaringan mereka untuk mencegah gangguan sejak awal, dan dalam kasus serangan, merekomendasikan agar korban memberi tahu pihak berwenang dan mencoba untuk menghindari pembayaran tebusan karena ini memberikan penyerang semangat baru untuk melakukan serangan intrusi baru, tertarik dengan keuntungan mudah yang mereka hasilkan.

Sumber: ZDNet

Sistem pemasaran Subway diretas untuk mengirim email malware TrickBot

by

Subway UK telah mengungkapkan bahwa sistem yang digunakan untuk pemasaran perusahaan telah diretas dan bertanggung jawab atas email phishing yang berisi malware yang dikirim ke pelanggan kemarin.

Pelanggan Subway UK menerima email aneh dari ‘Subcard’ tentang pesanan Subway yang dilakukan. Di dalam email tersebut terdapat tautan ke dokumen yang diduga berisi konfirmasi pesanan.

Sumber: Bleeping Computer

Setelah menganalisis email phishing ini, ditemukan bahwa mereka menyebarkan dokumen Excel berbahaya yang akan menginstal versi terbaru malware TrickBot.

TrickBot adalah infeksi malware jahat yang memungkinkan penyerang, menyebar ke seluruh jaringan, data browser, data RDP, VNC, dan PuTTY Credentials, dan banyak lagi. Lebih buruk lagi, TrickBot pada akhirnya dapat menyediakan akses ke operasi ransomware Ryuk atau Conti.

Subway juga telah mengirim email pemberitahuan ke pelanggan yang terkena dampak yang menyatakan bahwa nama depan dan nama belakang pelanggan terungkap dalam serangan itu.

Jika Anda menerima email ini dan keliru membuka dokumen Excel yang berbahaya, Anda dapat memeriksa versi TrickBot saat ini dengan membuka Task Manager dan mencari proses bernama ‘Windows Problem Reporting’. Jika proses itu ditemukan, klik tombol ‘End Task’ untuk menghentikannya.

Sekarang lakukan pemindaian menyeluruh pada komputer Anda menggunakan perangkat lunak antivirus dan bersihkan apa pun yang ditemukan.

Sumber: Bleeping Computer

Akademisi mengubah RAM menjadi kartu Wi-Fi untuk mencuri data dari sistem yang memiliki celah udara

by

Akademisi dari sebuah universitas Israel telah menerbitkan penelitian baru yang merinci teknik untuk mengubah kartu RAM menjadi pemancar nirkabel dadakan dan mengirimkan data sensitif dari dalam komputer non-networked air-gapped yang tidak memiliki kartu Wi-Fi.

Dinamakan AIR-FI, teknik ini merupakan karya Mordechai Guri, kepala R&D di Universitas Ben-Gurion Negev, di Israel. Selama setengah dekade terakhir, Guri telah memimpin puluhan proyek penelitian yang menyelidiki pencurian data melalui metode tidak konvensional dari sistem celah udara.

Jenis teknik ini adalah apa yang oleh peneliti keamanan disebut “saluran eksfiltrasi data rahasia.” Itu bukanlah teknik untuk membobol komputer, tetapi teknik yang dapat digunakan untuk mencuri data dengan cara yang tidak diharapkan oleh pembela HAM.

Saluran eksfiltrasi data semacam itu bukanlah bahaya bagi pengguna biasa, tetapi merupakan ancaman konstan bagi administrator jaringan yang memiliki celah udara.

Guri mengatakan dia menguji teknik ini dengan rig komputer yang memiliki celah udara berbeda di mana kartu Wi-Fi dilepas dan mampu membocorkan data dengan kecepatan hingga 100 b/s ke perangkat yang berjarak beberapa meter.

Untuk teknikal detail dapat dibaca lebih lanjut melalui link berikut:
Sumber: ZDNet

SolarWinds mengatakan tidak ada produk lain yang dikompromikan dalam peretasan baru-baru ini

by

Tidak ada produk lain yang diidentifikasi mengandung kode berbahaya yang mirip dengan yang ditemukan di platform Orion, kata perusahaan perangkat lunak IT SolarWinds pada hari Selasa.

Penegasan perusahaan muncul setelah mereka melakukan audit internal terhadap semua aplikasinya setelah tersiar berita pada hari Minggu bahwa peretas yang disponsori negara Rusia melanggar jaringan internal dan memasukkan malware ke dalam Orion, sebuah platform pemantauan dan inventaris jaringan.

Malware tersebut, bernama SUNBURST (atau Solorigate), dimasukkan ke dalam aplikasi Orion versi 2019.4 hingga 2020.2.1, dirilis antara Maret 2020 dan Juni 2020.

Tetapi sementara SolarWinds senang bahwa malware tidak masuk ke produk lain, fakta bahwa itu berhasil masuk ke Orion, salah satu penawaran paling populer, sudah lebih dari cukup.

Dalam pengajuan SEC pada hari Senin, SolarWinds mengatakan bahwa dari total 300.000 pelanggannya, lebih dari 33.000 menggunakan platform Orion, dan sekitar 18.000 mengunduh versi yang mengandung malware.

Pada saat penulisan, daftar korban yang diketahui diretas dengan menggunakan platform Orion sebagai titik masuk mencakup hal-hal seperti:

  • Firma keamanan siber AS, FireEye
  • Departemen Keuangan AS
  • Departemen Perdagangan Telekomunikasi dan Informasi Administrasi Nasional (NTIA) AS
  • Departemen Kesehatan National Institutes of Health (NIH)
  • Badan Keamanan Siber dan Infrastruktur (CISA)
  • Departemen Keamanan Dalam Negeri (DHS)
  • Departemen Luar Negeri AS

Sumber: ZDNet

Twitter didenda oleh pengawas perlindungan data UE karena pelanggaran GDPR

by

Komisi Perlindungan Data Irlandia mendenda Twitter €450.000 (~ $550.000) karena gagal memberi tahu DPC tentang pelanggaran dalam jangka waktu 72 jam yang diberlakukan oleh Peraturan Perlindungan Data Umum (GDPR) Uni Eropa dan untuk mendokumentasikannya secara memadai.

Berdasarkan aturan GDPR, regulator data UE dapat mengenakan denda maksimum hingga €20 juta (sekitar $24,3 juta) atau 4% dari omset tahunan global perusahaan yang melanggar – mana saja yang lebih besar – untuk pelanggaran.

“Penyelidikan DPC dimulai pada Januari 2019 setelah menerima pemberitahuan pelanggaran dari Twitter dan DPC menemukan bahwa Twitter melanggar Pasal 33 (1) dan 33 (5) GDPR dalam hal kegagalan untuk memberi tahu pelanggaran tepat waktu ke DPC dan kegagalan untuk mendokumentasikan pelanggaran secara memadai,” kata DPC Irlandia.

Pelanggaran yang menyebabkan Twitter didenda disebabkan oleh bug berusia empat tahun di aplikasi Twitter Android yang bertanggung jawab atas pemaparan tweet pribadi akun yang dilindungi secara tidak sengaja.

“Pada 26 Desember 2018, kami menerima laporan bug melalui program bug bounty kami bahwa jika pengguna Twitter dengan akun yang dilindungi, menggunakan Twitter untuk Android, mengubah alamat email mereka, bug tersebut akan mengakibatkan akun mereka tidak terlindungi (private),” pemberitahuan pelanggaran dikirim ke DPC pada Januari 2019.

Twitter mengatakan bahwa pihaknya tidak menyadari tingkat keparahan masalah dan pelanggaran hingga 3 Januari 2019, saat proses respons insiden diaktifkan.

Sumber: Bleeping Computer

DAMPAK GLOBAL AMNESIA:33

by

Forescout Research Labs menemukan 33 kerentanan yang memengaruhi jutaan perangkat IoT, OT, dan IT yang menghadirkan risiko langsung bagi organisasi di seluruh dunia.

AMNESIA: 33 adalah serangkaian 33 kerentanan yang memengaruhi empat stack TCP/IP open source (uIP, FNET, picoTCP, dan Nut/Net), yang secara kolektif berfungsi sebagai komponen dasar dari jutaan perangkat yang terhubung di seluruh dunia.

Kerentanan ini terutama menyebabkan kerusakan memori, memungkinkan penyerang menyusupi perangkat, mengeksekusi kode berbahaya, melakukan serangan denial-of-service, dan mencuri informasi sensitif.

Lebih lengkapnya dapat dibaca pada tautan berikut:
Sumber: Fore Scout