Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Cina meluncurkan tindakan keras terhadap browser web seluler, mengecam ‘kekacauan’ informasi

by

Otoritas siber tertinggi Cina mengatakan pada hari Senin akan melakukan “pembetulan” browser internet seluler Cina untuk mengatasi apa yang disebutnya sebagai masalah sosial atas “kekacauan” informasi yang dipublikasikan secara online.

Aturan sensor internet Cina yang ketat telah diperketat berkali-kali dalam beberapa tahun terakhir dan dalam tindakan keras terbaru, Cyberspace Administration of China (CAC) telah memberi tahu perusahaan yang mengoperasikan browser seluler bahwa mereka memiliki waktu hingga 9 November untuk melakukan “pemeriksaan mandiri” dan memperbaiki masalah.

Masalahnya termasuk penyebaran rumor, penggunaan headline yang sensasional, dan penerbitan konten yang melanggar nilai-nilai inti sosialisme, katanya dalam sebuah pernyataan.

Kampanye ini awalnya akan berfokus pada delapan browser seluler paling berpengaruh di China, termasuk yang dioperasikan oleh Huawei Technologies Co Ltd [HWT.UL], UCWeb Alibaba Group Holding dan Xiaomi Corp.

Yang lainnya termasuk platform QQ yang dimiliki oleh Tencent, 360 milik Qihoo, Oppo dan Sogou.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Reuters

Ransomware vs WFH: Bagaimana kerja jarak jauh membuat serangan siber lebih mudah dilakukan

by

Kondisi unik tahun 2020 berarti bisnis lebih bergantung pada koneksi digital daripada sebelumnya. Penjahat siber mengetahui hal ini, itulah sebabnya serangan ransomware menjadi semakin meluas – dan efektif selama tahun ini.

Peretas membobol jaringan organisasi mulai dari perusahaan teknologi hingga pemerintah daerah dan hampir setiap sektor lainnya; mengenkripsi server, layanan, dan file dengan ransomware sebelum meminta tebusan bitcoin yang dapat diukur dalam ratusan ribu atau bahkan jutaan dolar.

Sebagian dari alasan peningkatan serangan ransomware yang berhasil adalah peningkatan besar pada kerja jarak jauh sebagai akibat dari pandemi.

Bagi banyak karyawan, pandemi ini bisa jadi merupakan kali pertama mereka bekerja dari jarak jauh. Dan karena terisolasi dari lingkungan perusahaan – tempat mereka melihat atau mendengar peringatan tentang keamanan siber dan tetap aman saat online setiap hari, serta dapat langsung meminta nasihat secara langsung, membuat lebih sulit untuk membuat keputusan yang baik tentang keamanan.

Bekerja dari jarak jauh berarti lebih banyak aktivitas kantor sehari-hari kita yang dilakukan melalui email dan itu memberikan jalur yang lebih mulus bagi peretas untuk menyusup ke jaringan melalui serangan phishing.

Masalah keamanan WFH lainnya; Bagi sebagian orang, laptop kerja mereka mungkin satu-satunya komputer mereka, yang berarti mereka juga menggunakan perangkat ini untuk aktivitas pribadi seperti berbelanja online, mengakses media sosial, atau menonton sebuah serial/film. Artinya, penjahat siber dapat melancarkan serangan phishing terhadap alamat email pribadi, yang jika dibuka di perangkat yang tepat, dapat memberikan akses ke jaringan perusahaan.

Dan dengan karyawan yang tersebar melalui kerja jarak jauh – dan dalam banyak kasus, jam kerja yang tidak teratur – akan lebih sulit bagi tim keamanan informasi untuk mengidentifikasi aktivitas yang tidak biasa atau mencurigakan oleh penyusup di jaringan. Terutama terjadi jika tim keamanan informasi tidak memiliki pengalaman sebelumnya dalam melindungi pekerja jarak jauh sebelum tahun ini.

Sementara peningkatan dalam pekerjaan jarak jauh telah memberi penjahat siber rute baru yang potensial ke dalam jaringan yang membahayakan dengan ransomware, masih mungkin bagi sebuah organisasi untuk pindah ke pekerjaan jarak jauh sambil juga menjaga staf dan servernya terlindungi dari serangan siber.

Beberapa di antaranya berasal dari tingkat manusia, dengan melatih dan terlibat dengan staf, bahkan saat mereka WFH, sehingga mereka tahu apa yang harus dicari dalam email phishing atau aktivitas online mencurigakan lainnya.

Otentikasi multi-faktor adalah suatu keharusan dalam membantu melindungi jaringan dari serangan siber, jadi jika pengguna menjadi korban serangan phishing dan memberikan kata sandinya secara tidak sengaja – atau jika penyerang berhasil menebak kata sandi yang lemah dari suatu port yang menghadap ke internet – lapisan perlindungan kedua mencegah mereka untuk dengan mudah dapat menggunakan celah itu sebagai gerbang ke seluruh jaringan.

Alasan ransomware tetap menguntungkan adalah karena korban membayar tebusan, korban memilih melakukannya karena mereka menganggapnya sebagai cara terbaik untuk memulihkan jaringan. Tetapi membayar tebusan berarti serangan akan membuat terus berlanjut.

Source: ZDNet

Peretas mencuri $24 juta dari layanan cryptocurrency ‘Harvest Finance’

by

Seorang peretas telah mencuri aset cryptocurrency senilai sekitar $24 juta dari layanan keuangan terdesentralisasi (DeFi) Harvest Finance, sebuah portal web yang memungkinkan pengguna menginvestasikan cryptocurrency dan kemudian menumbuhkan variasi harga untuk hasil keuntungan kecil.

Peretasan terjadi pada tanggal 26 Oktober 2020 dan hampir segera dikonfirmasi oleh administrator Harvest Finance dalam pesan yang diposting di akun Twitter perusahaan dan saluran Discord.

Dalam pesan yang diposting di saluran Discord-nya, Harvest Finance mengklaim bahwa serangan itu meninggalkan “sejumlah besar informasi yang dapat diidentifikasi secara pribadi tentang penyerang” dan menggambarkan mereka sebagai “yang terkenal di komunitas crypto.”

Dalam serangkaian pesan yang diposting di Twitter, Harvest Finance mengakui bahwa serangan tersebut terjadi karena kesalahan di pihaknya dan membiarkan pintu terbuka bagi penyerang untuk mengembalikan dana tanpa konsekuensi apa pun.

“Kami membuat kesalahan teknis, kami mengakuinya,” kata perusahaan itu.

“Kami tidak memiliki kepentingan untuk melakukan doxxing terhadap penyerang […]. Orang-orang harus memiliki privasi mereka,” perusahaan menambahkan. “Anda telah membuktikan maksud Anda. Jika Anda dapat mengembalikan dana kepada pengguna, itu akan sangat dihargai oleh komunitas, dan mari kita lanjutkan.”

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Adware ditemukan di 21 aplikasi Android dengan lebih dari 7 juta unduhan

by

Google telah menghapus 15 dari 21 aplikasi Android dari Play Store resmi selama akhir pekan menyusul laporan dari pembuat antivirus Ceko, Avast.

Perusahaan keamanan mengatakan aplikasi tersebut terinfeksi dengan jenis malware yang dikenal sebagai HiddenAds.

Ditemukan pada tahun 2019, jenis adware Android ini beroperasi dengan menampilkan iklan yang berlebihan dan mengganggu dan dengan membuka browser seluler di halaman yang dipenuhi iklan atau halaman promosi.

Setelah pengguna menginstal salah satu aplikasi ini, malware HiddenAds akan menyembunyikan ikon aplikasi (untuk menyulitkan pengguna menghapus aplikasi di masa mendatang) dan kemudian mulai membombardir pengguna dengan iklan.

Enam dari 21 aplikasi masih tersedia di Play Store pada saat penulisan, seperti: Shoot Them, Helicopter Shoot, Find 5 Differences – 2020 NEW, Rotate Shape, Cover art Find the Differences – Puzzle Game, dan Money Destroyer.

Jika Anda memiliki salah satu dari daftar aplikasi di atas, sangat disarankan untuk menghapus nya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Bug Containerd Mengekspos Kredensial Akun Cloud

by

Kerentanan keamanan dapat dimanfaatkan untuk memaksa platform cloud containerd untuk mengungkap registri host atau kredensial akun cloud pengguna.

Containerd menyebut dirinya sebagai alat runtime yang “mengelola siklus hidup kontainer lengkap dari sistem hostnya, mulai dari transfer dan penyimpanan gambar hingga eksekusi kontainer dan pengawasan hingga penyimpanan tingkat rendah hingga lampiran jaringan dan seterusnya. Dengan demikian, ia menawarkan visibilitas yang dalam ke lingkungan cloud pengguna, di berbagai vendor.

Kerentanan ini (CVE-2020-15157) terletak dalam proses pengambilan gambar kontainer, menurut Gal Singer, peneliti di Aqua.

“Gambar kontainer adalah kombinasi dari file manifes dan beberapa file lapisan individu,” tulisnya dalam posting baru-baru ini. “File manifes [dalam format Gambar V2 Schema 2]… dapat berisi ‘lapisan asing’ yang ditarik dari registri jarak jauh. Saat menggunakan containerd, jika registri jarak jauh merespons dengan kode status HTTP 401, bersama dengan header HTTP tertentu, host akan mengirimkan token autentikasi yang dapat dicuri.”

Non-Trivial Exploitation

Peneliti Brad Geesaman di Darkbit, yang melakukan penelitian tentang kerentanan (yang ia sebut “ContainerDrip”), mengumpulkan proof-of-concept (PoC) untuk vektor serangan terkait.

“Pertanyaannya menjadi: ‘Bagaimana caranya membuat mereka mengirim kredensial mereka kepada saya [untuk otentikasi registri jarak jauh]?'” Katanya dalam sebuah posting awal bulan ini. “Ternyata, yang harus Anda lakukan adalah menanyakan pertanyaan yang tepat.”

Containerd telah menambal kerentanan ini, yang terdaftar dengan tingkat keparahan medium, di versi 1.2.4; containerd 1.3.x tidak rentan.

Untuk detail teknis dan PoC dapat dilihat pada tautan berikut:
Source: The Threat Post

Pelanggaran Vastaamo: Peretas yang Memeras Pasien Psikoterapi

by

Aktor siber telah meretas sistem raksasa psikoterapi Vastaamo – dan mengancam akan mengekspos file pasien mereka jika mereka tidak membayar uang tebusan.

Vastaamo yang berbasis di Finlandia, yang memiliki lebih dari 40.000 pasien psikoterapi, mengatakan di situs webnya bahwa daftar pelanggannya kemungkinan besar telah disusupi antara akhir November 2018 dan Maret 2019 (tidak jelas mengapa datanya baru muncul sekarang).

Menurut Vastaamo dan berbagai korban yang dilaporkan berbicara di Twitter, para penjahat siber sekarang mendekati pasien dan menuntut uang tebusan 200 € (Rp 3,5 juta) dari mereka – yang jumlahnya akan meningkat menjadi 500 € (Rp 8,7 juta) jika mereka tidak membayar dalam waktu 24 jam.

Para penyerang juga dilaporkan meminta 450.000 € (Rp 7,8 miliar) dalam bentuk Bitcoin dari Vastaamo.

Jack Mannino, CEO di nVisium, mengatakan kepada Threatpost bahwa banyak penyedia layanan kesehatan skala kecil hingga menengah dan lembaga pendidikan swasta tidak memiliki kontrol dan perlindungan keamanan dasar – seringkali karena tidak adanya pemahaman atau sumber daya untuk mengatasi tantangan ini.

“Sayangnya, lembaga-lembaga ini seringkali tidak memiliki kemampuan internal untuk melakukan pemantauan keamanan dan pengerasan lingkungan mereka secara terus menerus,” katanya. “Saat permukaan serangan mereka terus meningkat, data pasien akan tetap menjadi target di seluruh penyedia layanan kesehatan dan sekolah.”

“Meskipun semua kebocoran, terutama yang terkait dengan kesehatan pasien, bersifat sensitif, jenis data ini tidak sesederhana kasus tekanan darah tinggi,” kata Ray Kelly, insinyur keamanan utama di WhiteHat Security, kepada Threatpost.

“Kemampuan penyerang untuk mengungkapkan catatan psikologis pasien dapat sangat merusak reputasi seseorang dan memengaruhi banyak aspek, seperti hubungan atau karier mereka. Insentif bagi seseorang untuk membayar aktor jahat sangat tinggi dalam situasi ini.”

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Para Ahli Memperingatkan Risiko Privasi yang Disebabkan oleh Pratinjau Tautan di Aplikasi Perpesanan

by

Peneliti keamanan siber selama akhir pekan mengungkapkan risiko keamanan baru yang terkait dengan pratinjau tautan di aplikasi perpesanan populer yang menyebabkan layanan membocorkan alamat IP, mengekspos tautan yang dikirim melalui obrolan terenkripsi end-to-end, dan bahkan mengunduh gigabyte data secara diam-diam di latar belakang.

“Tautan yang dibagikan dalam obrolan mungkin berisi informasi pribadi yang ditujukan hanya untuk penerima,” kata peneliti Talal Haj Bakry dan Tommy Mysk.

“Ini bisa berupa tagihan, kontrak, catatan medis, atau apa pun yang mungkin dirahasiakan.”

“Aplikasi yang mengandalkan server untuk menghasilkan pratinjau tautan mungkin melanggar privasi penggunanya dengan mengirimkan tautan yang dibagikan dalam obrolan pribadi ke server mereka.”

Pratinjau tautan yang dihasilkan di sisi penerima membuka pintu ke risiko baru yang memungkinkan pelaku kejahatan untuk mengukur perkiraan lokasi mereka tanpa tindakan apa pun yang diambil oleh penerima hanya dengan mengirimkan tautan ke server di bawah kendali mereka.

Ini terjadi karena aplikasi perpesanan, setelah menerima pesan dengan tautan, membuka URL secara otomatis untuk membuat pratinjau dengan mengungkapkan alamat IP ponsel dalam permintaan yang dikirim ke server.

Reddit Chat dan aplikasi yang dirahasiakan, yang “dalam proses memperbaiki masalah ini”, ditemukan mengikuti pendekatan ini, menurut para peneliti.

Penggunaan server eksternal untuk menghasilkan pratinjau, sambil mencegah masalah kebocoran alamat IP, menciptakan masalah baru: Apakah server yang digunakan untuk membuat pratinjau menyimpan salinan, dan jika demikian, untuk berapa lama, dan untuk apa mereka menggunakannya?

Beberapa aplikasi, termasuk Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter, dan Zoom, termasuk dalam kategori ini, tanpa ada indikasi bagi pengguna bahwa “server mengunduh apa pun yang mereka temukan di tautan”.

Pengujian aplikasi ini mengungkapkan bahwa kecuali untuk Facebook Messenger dan Instagram, yang lain memberlakukan batas 15-50 MB untuk file yang diunduh oleh server masing-masing. Slack, misalnya, menyimpan pratinjau tautan dalam cache selama sekitar 30 menit.

Meski begitu, para peneliti memperingatkan, ini bisa menjadi “mimpi buruk privasi” jika server menyimpan salinannya dan “pernah ada pelanggaran data dari server ini.”

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Hacker News

Botnet KashmirBlack diyakini sebagai botnet di balik serangan siber pada WordPress, Joomla, Drupal, dan lainnya

by

Botnet yang sangat canggih diyakini telah menginfeksi ratusan ribu situs web dengan menyerang platform sistem manajemen konten (CMS) yang mendasarinya.

Dinamakan KashmirBlack, botnet ini mulai beroperasi pada November 2019.

Peneliti keamanan dari Imperva —yang menganalisis botnet minggu lalu— mengatakan tujuan utama botnet tampaknya untuk menginfeksi situs web dan kemudian menggunakan server mereka untuk penambangan mata uang kripto, mengarahkan lalu lintas sah situs ke halaman spam, dan ke derajat yang lebih rendah, menunjukkan adanya perusakan web.

Imperva mengatakan botnet ini awalnya kecil, tetapi setelah berbulan-bulan pertumbuhan konstan, telah berkembang menjadi raksasa canggih yang mampu menyerang ribuan situs per hari.

Saat ini, KashmirBlack “dikelola oleh satu server C&C (Command and Control) dan menggunakan lebih dari 60 – kebanyakan pengganti yang tidak bersalah – server sebagai bagian dari infrastrukturnya,” kata Imperva.

KashmirBlack berkembang dengan memindai internet untuk situs-situs yang menggunakan perangkat lunak usang dan kemudian menggunakan eksploitasi untuk mengetahui kerentanan yang diketahui menginfeksi situs dan server yang mendasarinya.

Sejak November 2019, Imperva mengatakan telah melihat 16 kerentanan yang disalahgunakan oleh botnet ini.

Berdasarkan beberapa petunjuk yang ditemukan, peneliti Imperva mengatakan mereka yakin botnet itu adalah karya seorang peretas bernama Exect1337, anggota kru peretas Indonesia PhantomGhost.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet