Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Capcom menkonfirmasi adanya data breach data breach dalam serangan siber

by

Jika anda tumbuh di masa-masa permainan arcade, maka anda pasti mengenal Capcom, pengembang waralaba game terkenal seperti Street Fighter, Resident Evil, Ghosts and Goblins, Devil May Cry, dan Mega Man. Raksasa game Jepang tersebut telah mengumumkan databreach setelah mengonfirmasi bahwa penyerang mencuri informasi sensitif pelanggan dan karyawan selama serangan ransomware baru-baru ini.

Diketahui bahwa malware yang menyebabkan insiden tersebut adalaj ransomware Ragnar Locker, yang menyebabkan serangan cyber Capcom setelah peneliti keamanan menemukan sampel malware yang digunakan dalam serangan mereka.

Capcom menyatakan tidak ada indikasi bahwa data apa pun telah dicuri.
“Lebih lanjut, disebutkan bahwa saat ini tidak ada indikasi bahwa informasi pelanggan telah dilanggar,” kata Capcom dalam siaran pers 4 November.
Namun, pernyataan mereka bertentangan dengan sampel data yang dicuri yang dilihat oleh BleepingComputer dan diterbitkan oleh Ragnar Locker di situs web dan catatan tebusan mereka.

Capcom mengakui bahwa tidak hanya dokumen rahasia perusahaan yang dicuri, tetapi pelaku ancaman juga mencuri data pelanggan dan karyawan.

Selama serangan itu, para peretas memperoleh akses ke nama pelanggan, alamat, jenis kelamin, nomor telepon, alamat email, tanggal lahir, nama investor, dan jumlah kepemilikan saham, dan foto.
Bagi karyawan, informasi yang terekspos dapat mencakup nama, alamat, informasi paspor, tanda tangan, tanggal lahir, nomor telepon, foto, alamat email, dan lainnya.

Jika anda pernah mendaftarkan akun anda ke Capcom, kami menyarankan untuk mengubah kata sandi Anda dan memastikannya tidak digunakan di situs lain

Heartbleed, BlueKeep dan kerentanan lainnya tidak hilang hanya karena tidak pernah dibicarakan lagi.

by

Karena kerentanan kritis baru ditemukan dan dipublikasikan hampir setiap hari, maka tidak heran jika profesional keamanan dan media berorientasi keamanan cenderung berfokus pada hal ini dan tidak kembali ke kerentanan yang muncul sebelumnya. Kecuali jika ada kampanye eksploitasi besar-besaran. Hal ini tidak menimbulkan masalah bagi organisasi, yang berhasil menambal kerentanan tepat waktu, tetapi bagi banyak orang lainnya kerentanan “historis” masih menimbulkan bahaya yang nyata dan nyata.

Jan Kaprova, penulis di Internet Storm Center melihat jumlah mesin yang yang masih terpengaruh oleh CVE-2020-0796, juga dikenal sebagai SMBGhost. Melihat sangat tinggi membuat jan berpikir tentang seberapa tinggi angka tersebut untuk kerentanan berdampak tinggi lainnya (dan yang lebih lama). dan menghasilkan report top 10 kerentanan “lawas” dengan CVE-2019-0211 yang masih terdapat pada 3357835 sistem dengan skor CVSSv3 7.8.

bahkan CVE-2014-0160, atau yang dikenal dengan Heartbleed. masih beradmpak pada 204878 sistem dengan skor CVSSv3 7.5. Angka yang cukup tinggi untuk kerentanan yang berusia 6 Tahun. Jan memperingatkan salah satu dari kerentanan ini mungkin berpotensi mengancam kemanan sistem suatu hari nanti.

Source : Internet Storm Center

Firefox 83 dirilis dengan ‘HTTPS-Only Mode’ yang hanya memuat situs HTTPS

by

Firefox 83, dijadwalkan untuk rilis hari ini, akan memiliki fitur keamanan baru bernama “HTTPS-Only Mode” yang akan mencoba memuat semua situs web melalui HTTPS atau menampilkan pesan kesalahan di situs yang hanya mendukung protokol HTTP yang lebih lama dan tidak aman.

Secara default, fitur baru ini dinonaktifkan, tetapi pengguna dapat mengaktifkannya dengan membuka halaman Opsi Firefox, ke bagian Privasi & Keamanan, lalu mencari pengaturan HTTPS-Only Mode.

sumber: Mozilla

Fitur HTTPS-Only Mode baru ini juga dapat diaktifkan atau dinonaktifkan dengan mengklik ikon kunci di bilah alamat dan memilihnya dari drop-down panel yang muncul.

sumber: Mozilla

Menurut Mozilla, fitur baru ini bekerja dengan mencoba menemukan versi HTTPS dari situs web mana pun, meskipun pengguna telah mengakses situs tersebut dengan mengetik atau mengklik tautan HTTP.

Jika Firefox tidak dapat meningkatkan versi situs secara otomatis ke koneksi HTTPS, browser akan menampilkan halaman eror kepada pengguna dan meminta mereka untuk mengklik tombol untuk mengonfirmasi bahwa mereka ingin mengakses situs web tersebut melalui koneksi HTTP yang lebih lama.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Mayoritas perusahaan APAC memilih untuk membayar tebusan ransomware

by

Mayoritas bisnis di kawasan Asia-Pasifik memilih untuk membayar setelah menjadi korban serangan ransomware, dengan 88% di Australia dan 78% di Singapura, masing-masing, membayar tebusan seluruhnya atau sebagian.

Sekitar 45% perusahaan di Singapura memerlukan waktu antara lima sampai 10 hari untuk pulih sepenuhnya dari serangan ransomware, dibandingkan dengan 11% di India dan 35% di China, menurut Laporan Ketahanan Ransomware 2020 Veritas. Dilakukan oleh Wakefield Research pada bulan September, studi global tersebut disurvey 2.690 eksekutif senior TI dari perusahaan dengan sedikitnya 1.000 karyawan, termasuk 150 responden masing-masing dari enam pasar Asia-Pasifik, termasuk Jepang dan Korea Selatan.

Hanya 1% di Singapura yang mengatakan mereka membutuhkan lebih dari sebulan untuk pulih sepenuhnya dari serangan Ransomware, seperti halnya 2% di Australia dan 8% di China.

Setelah mengalami serangan ransomware, 62% di China membayar tebusan secara penuh atau sebagian, sementara 77% di India dan 57% di Jepang melakukan hal yang sama. 69% lainnya di Korea Selatan membayar tebusan secara penuh atau sebagian.

Studi tersebut juga mengungkapkan bahwa, secara keseluruhan, perusahaan yang mengelola kompleksitas yang lebih besar dalam infrastruktur multi-cloud mereka lebih cenderung membayar uang tebusan untuk mendapatkan kembali data mereka yang dibajak, dengan jumlah yang melakukannya secara penuh menjalankan rata-rata 17,11 layanan cloud.

Andy Ng, wakil presiden dan direktur pelaksana Veritas Asia-Pasifik, menggarisbawahi pendekatan berlapis tiga langkah yang direkomendasikan vendor keamanan untuk mendeteksi, melindungi, dan memulihkan.

Dia mencatat bahwa pandemi global telah membuat perusahaan lebih rentan terhadap serangan dunia maya, karena mereka kurang siap untuk mendigitalkan operasi mereka dan melengkapi karyawan mereka untuk bekerja dari jarak jauh.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: ZDNet

Chrome 87 dirilis dengan perbaikan untuk serangan NAT Slipstream

by

Google hari ini telah merilis versi 87 dari browser Chrome-nya, rilis yang dilengkapi dengan perbaikan keamanan untuk teknik serangan NAT Slipstream dan penghentian protokol FTP yang lebih luas.

Rilis hari ini tersedia untuk Windows, Mac, Linux, Chrome OS, Android, dan iOS. Pengguna dapat memperbarui ke versi baru melalui utilitas pembaruan bawaan Chrome.

Sementara di versi sebelumnya, Google telah mengirimkan beberapa perubahan pada pengaturan Chrome dan elemen UI, hampir semua fitur utama Chrome 87 yang baru ditujukan untuk pengembang web.

Chrome 87 juga dilengkapi dengan perbaikan untuk serangan baru yang diungkapkan pada akhir Oktober oleh Samy Kamkar, peneliti keamanan dan peretas komputer terkenal.

Dinamakan NAT Slipstream, teknik ini memungkinkan penyerang melewati firewall dan membuat sambungan ke jaringan internal dengan menipu pengguna agar mengakses situs berbahaya – secara efektif mengubah Chrome menjadi proxy bagi penyerang.

Chrome 87 akan menjadi browser pertama yang memblokir serangan NAT Slipstream dengan memblokir akses ke port 5060 dan 5061, yang digunakan serangan tersebut untuk melewati firewall dan skema network address translation (NAT).

Selain itu, Google juga menindaklanjuti rencananya untuk menghapus dukungan FTP dari Chrome. Proses ini dimulai tahun lalu, dan awalnya direncanakan untuk Chrome 81, namun ditunda karena covid-19. Dukungan untuk FTP akan dinonaktifkan untuk 50% pengguna Chrome 87, dengan penghapusan lengkap dijadwalkan untuk Chrome 88.

Chrome 87 juga dilengkapi dengan beberapa peningkatan kinerja dengan penambahan tab throttling, occlusion tracking, dan back-forward cache.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Microsoft Tidak Akan Melakukan Pembaruan Windows 10 pada Desember 2020

by

Microsoft telah memberi tahu pemilik Windows 10 dan admin TI untuk tidak mengharapkan pembaruan pratinjau Windows 10 pada bulan Desember untuk memberi mereka istirahat ketika tingkat staf rendah selama musim liburan.

Desember akan menjadi jeda dari jadwal biasa pembaruan Windows 10 setiap bulan, yang mencakup pratinjau opsional yang tiba setelah pembaruan keamanan Patch Tuesday wajib di minggu kedua setiap bulan.

Perusahaan akan melanjutkan pembaruan bulanan dengan rilis keamanan Januari 2021, katanya.

Microsoft merilis pembaruan Windows 10 non-keamanan opsional untuk memberi pelanggan waktu untuk menguji pembaruan terhadap sistem.

Ini disebut dalam minggu pertama setiap bulan ‘A Week’ dan biasanya masalah perbaikan untuk Office. Minggu kedua adalah ‘B Week’ atau Patch Tuesday. C dan D Week terjadi pada minggu ketiga dan keempat setiap bulan. Itu adalah ketika Microsoft merilis pembaruan kumulatif opsional atau pratinjau perbaikan non-keamanan untuk profesional dan admin TI.

Microsoft akan memulai force upgrade “segera” karena Windows 10 versi 1903 tidak akan lagi menerima pembaruan keamanan setelah 8 Desember, Patch Tuesday berikutnya.

Baca berita selengkapnya pada tautan di bawah ini;
Sumber: ZDNet

Jupyter trojan: Malware yang baru ditemukan secara diam-diam mencuri nama pengguna dan kata sandi

by

Kampanye malware trojan yang baru ditemukan menargetkan bisnis dan lembaga pendidikan tinggi dalam upaya untuk mencuri nama pengguna, kata sandi, dan informasi pribadi lainnya serta membuat backdoor yang persisten ke sistem yang disusupi.

Penyalahgunaan Jupyter telah dirinci oleh perusahaan keamanan siber Morphisec yang menemukannya di jaringan lembaga pendidikan tinggi yang tidak disebutkan namanya di AS. Trojan tersebut diperkirakan telah aktif sejak Mei tahun ini.

Serangan tersebut terutama menargetkan data browser Chromium, Firefox, dan Chrome, tetapi juga memiliki kemampuan tambahan untuk membuka backdoor pada sistem yang disusupi, memungkinkan penyerang untuk menjalankan skrip dan perintah PowerShell, serta kemampuan untuk mengunduh dan menjalankan malware tambahan.

Installer Jupyter disamarkan dalam file zip, sering kali menggunakan ikon Microsoft Word dan nama file yang sepertinya harus segera dibuka, berkaitan dengan dokumen penting, detail perjalanan, atau kenaikan gaji.

Jika installer dijalankan, ia akan menginstal alat yang sah dalam upaya untuk menyembunyikan tujuan sebenarnya dari instalasi – mengunduh dan menjalankan installer jahat ke dalam folder temporary di latar belakang.

Setelah terinstal sepenuhnya pada sistem, Jupyter mencuri informasi termasuk nama pengguna, kata sandi, autocompletes, riwayat penjelajahan & cookie dan mengirimkannya ke server perintah dan kontrol.

Analisis malware menunjukkan bahwa siapa pun yang membuatnya terus-menerus mengubah kode untuk mengumpulkan lebih banyak informasi sekaligus mempersulit korban untuk mendeteksi.

Para peneliti percaya bahwa Jupyter berasal dari Rusia. Analisis malware tidak hanya mengungkapkan bahwa itu terkait dengan server perintah dan kontrol di Rusia, tetapi reverse image searching yang dilakukan mengungkapkan gambar planet Jupiter di panel admin infostealer yang asli berasal dari forum berbahasa Rusia.

Berita selengkapnya:
Sumber: ZDNet

Malware Lazarus menyerang rantai pasokan Korea Selatan

by

Malware Lazarus telah dilacak dalam kampanye baru melawan rantai pasokan Korea Selatan, yang kemungkinan menggunakan sertifikat keamanan yang dicuri.

Pada hari Senin, peneliti keamanan siber dari ESET mengungkapkan penyalahgunaan sertifikat, yang dicuri dari dua perusahaan resmi Korea Selatan yang terpisah.

Lazarus, juga dikenal sebagai Hidden Cobra, adalah istilah umum untuk kelompok ancaman tertentu – termasuk entitas cabang – yang dicurigai terkait dengan Korea Utara.

Dalam serangan rantai pasokan ini, pelaku ancaman menggunakan “mekanisme rantai pasokan yang tidak biasa,” kata ESET, di mana Lazarus menyalahgunakan persyaratan standar untuk pengguna internet Korea Selatan – kebutuhan untuk memasang perangkat lunak keamanan tambahan saat mereka mengunjungi situs web pemerintah atau layanan keuangan.

Biasanya, pengguna akan diminta untuk mengunduh WIZVERA VeraPort, program yang digunakan untuk mengatur unduhan perangkat lunak yang diperlukan untuk mengunjungi domain tertentu. WIZVERA VeraPort menandatangani secara digital dan memverifikasi unduhan secara kriptografis.

“[Inilah] mengapa penyerang tidak dapat dengan mudah mengubah konten file konfigurasi ini atau membuat situs palsu mereka sendiri,” kata para peneliti. “Namun, para penyerang dapat mengganti perangkat lunak yang akan dikirimkan ke pengguna WIZVERA VeraPort dari situs web yang sah tetapi disusupi. Kami yakin ini adalah skenario yang digunakan penyerang Lazarus”.

Sumber: ZDNet

Lazarus telah menargetkan link yang lebih lemah dalam rantai tersebut dengan secara ilegal memperoleh sertifikat penandatanganan kode dari dua perusahaan keamanan Korea Selatan.

Untuk mengeksploitasi perangkat lunak, sertifikat yang dicuri – tetapi valid – digunakan untuk meluncurkan muatan malware Lazarus.

Jika korban mengunjungi situs web berbahaya, misalnya, dan tanpa disadari mengunduh perangkat lunak yang dikompromikan, Lazarus kemudian akan meluncurkan dropper melalui WIZVERA VeraPort yang mengekstrak downloader dan file konfigurasi.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: ZDNet