Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Perusahaan Antivirus Tiongkok Ternyata Bagian dari Serangan ‘Supply Chain’ APT41

by

Departemen Kehakiman AS telah mendakwa tujuh warga negara China sebagai peretasan yang menargetkan lebih dari 100 perusahaan game online dan teknologi tinggi. Pemerintah menuduh orang-orang tersebut menggunakan email phishing yang mengandung malware dan serangan “Supply Chain” untuk mencuri data dari perusahaan dan pelanggan mereka. Salah satu terduga peretas pertama kali diprofilkan pada tahun 2012 sebagai pemilik perusahaan antivirus China.

Kegiatan APT41 berlangsung dari pertengahan 2000 hingga saat ini. Awal tahun ini, grup tersebut terkait dengan kampanye malware yang sangat agresif yang mengeksploitasi kerentanan dalam produk jaringan yang banyak digunakan, termasuk Router Cisco dan D-Link, serta peralatan Citrix dan Pulse VPN. Firma keamanan FireEye menjuluki blitz peretasan itu sebagai “salah satu kampanye terluas yang dilakukan oleh aktor spionase dunia maya China yang kami amati dalam beberapa tahun terakhir”.

Pemerintah menuding kelompok itu memonetisasi akses terlarangnya dengan menyebarkan ransomware dan tools “cryptojacking” (menggunakan sistem yang terkompromi untuk menambang cryptocurrency seperti Bitcoin). Selain itu, geng tersebut menargetkan perusahaan video game dan pelanggan mereka dalam upaya untuk mencuri item digital berharga yang dapat dijual kembali, seperti poin, kekuatan, dan item lain yang dapat digunakan untuk meningkatkan pengalaman bermain game.

APT41 diketahui menyembunyikan malware-nya di dalam resume palsu yang dikirim ke target. Itu juga menyebarkan serangan rantai pasokan yang lebih kompleks, di mana mereka akan meretas perusahaan perangkat lunak dan memodifikasi kode dengan malware.

Anvisoft

Salah satu pria yang didakwa sebagai bagian dari APT41, Tan DaiLin berusia 35 tahun, adalah subjek dari cerita KrebsOnSecurity 2012 yang berusaha menjelaskan produk antivirus China yang dipasarkan sebagai Anvisoft. Pada saat itu, produk tersebut telah masuk dalam “whitelist” atau ditandai sebagai aman oleh vendor antivirus yang lebih mapan, meskipun perusahaan tersebut tampaknya tidak menanggapi keluhan pengguna dan pertanyaan tentang kepemimpinan dan asal-usulnya.

Anvisoft mengklaim berbasis di California dan Kanada, tetapi penelusuran pada nama merek perusahaan menemukan catatan pendaftaran merek dagang yang menempatkan Anvisoft di zona teknologi tinggi Chengdu di Provinsi Sichuan, China.

Tinjauan atas catatan pendaftaran situs web Anvisoft menunjukkan bahwa domain perusahaan awalnya dibuat oleh Tan DaiLin, seorang peretas China terkenal yang menggunakan alias “Wicked Rose” dan “Withered Rose”. Saat itu, DaiLin berusia 28 tahun.

Seperti dicatat oleh TechCrunch, setelah dakwaan diajukan, jaksa penuntut mengatakan bahwa mereka memperoleh surat perintah untuk menyita situs web, domain, dan server yang terkait dengan operasi grup, secara efektif menutupnya dan menghambat operasi mereka.

“Para peretas yang diduga masih diyakini berada di China, tetapi tuduhan tersebut berfungsi sebagai upaya hukuman sosial yang digunakan oleh Departemen Kehakiman dalam beberapa tahun terakhir terhadap penyerang dunia maya yang didukung negara,” tulis Zack Whittaker dari TechCrunch.

Source : KerbsOnSecurity

Ransomware Ini Mempunyai Trik Licik Untuk Mengirimkan Malware

by

Salah satu penjahat ransomware yang paling berbahaya merapkan taktik baru untuk membuat serangan tidak terdeteksi hingga, trik ini kemungkinan besar dipinjam dari grup ransomware lain.
Yang membuat Maze sangat berbahaya adalah selain memeras bitcoin berjumlah 6 digit untuk sebuah kunci dekripsi, mereka mengancam akan menerbitkan data internal yang dicuri jika tuntutan pemerasan mereka tidak dipenuhi.

Taktik ini sebelumnya digunakan oleh grup ransomware Ragnar Locker dan tampaknya Maze telah mengambil inspirasi dari mereka sebagai sarana untuk mengirimkan ransomware.
Peneliti keamanan siber di Sophos menemukan kesamaan antara taktik baru Maze dan teknik yang dipelopori oleh Ragnar Locker saat menyelidiki serangan ransomware Maze pada bulan Juli.

Menggunakan akses ke server file, para peretas dapat mengirimkan komponen yang diperlukan untuk serangan di dalam mesin virtual.
Cara mesin virtual diprogram menunjukkan bahwa penyerang sudah memiliki kendali yang kuat pada jaringan korban saat, tetapi dengan menyebarkan ransomware melalui mesin virtual, itu membantu mereka terdeteksi sebagai serangan sampai serangan dimulai dan jaringan dapat ditahan untuk tebusan.

“Mesin virtual memberikan penyerang mesin yang tidak terlindungi untuk menjalankan ransomware secara bebas tanpa takut terdeteksi,” kata Peter McKenzie, manajer respons insiden di Sophos.

Organisasi dapat melindungi dari serangan yang disebarkan dengan cara memblokir penggunaan aplikasi yang tidak perlu pada mesin, sehingga penyerang tidak dapat mengeksploitasinya.

Langkah-langkah lain yang dapat diambil organisasi untuk menghindari menjadi korban serangan ransomware termasuk memastikan bahwa patch keamanan diterapkan sesegera mungkin untuk mencegah peretas mengeksploitasi kerentanan yang diketahui, sorganisasi juga harus menerapkan multi- otentikasi faktor atau MFA

“Perlindungan terhadap serangan ransomware tidak hanya membutuhkan perangkat lunak keamanan canggih, tetapi juga pemburu ancaman dan tim Incident Response yang dapat melihat tanda-tanda penyusup di jaringan mereka dan mengambil tindakan yang sesuai untuk menetralkan ancaman,” kata McKenzie

Source : ZDNet

Keamanan IT Menjadi Perhatian Utama Untuk Bisnis di Dekade Berikutnya

by

Dalam beberapa bulan terakhir, terjadi dinamika peningkatan jenis infeksi yang terus-menerus muncul dalam berita. Serangan malware, upaya phishing, dan jenis kejahatan dunia maya lainnya mencapai rekor tertinggi pada tahun 2020. Sayangnya, perkembangan terbaru ini hanyalah puncak gunung es, karena ekspansi digitalisasi yang cepat telah meningkatkan paparan terhadap ancaman siber dalam beberapa tahun terakhir

Akibatnya, lebih dari 70 persen manajer keamanan siber internal berencana untuk meminta peningkatan anggaran yang signifikan selama tahun depan. Oleh karena itu, sudah waktunya untuk melihat kekuatandi balik kebutuhan solusi keamanan TI dalam dekade saat ini.

Serangan terkait virus corona sedang melonjak

Meskipun bekerja dari rumah atau WFH membantu membendung penyebaran virus korona, infeksi virus komputer kini meningkat karena peretas dan penjahat dunia maya memanfaatkan situasi untuk mengisi kantong mereka. Akibatnya, jumlah serangan malware dan ransomware melonjak sebesar 25 persen antara Q4 2019 dan Q1 2020. dan anda harus tahu bahwaa covid tidak hanya virus di dunia nyata, namun di dunia siber juga baca .

Penjahat memasukkan tema virus corona ke dalam serangan mereka, menggunakan umpan tentang informasi vaksin, masker, dan barang-barang persediaan untuk membantu korban.sebagian besar serangan ini adalah penipuan keuangan yang menjanjikan bantuan atau pembayaran pemerintah – tetapi sebenarnya bermaksud menipu korban untuk mendapatkan informasi pribadi dan atau uang mereka.

Selain itu, aplikasi konferensi video populer Zoom juga mengalami pelanggaran yang mengakibatkan kredensial login dan informasi pribadi dari setengah juta pengguna dicabut dan diiklankan untuk dijual di darkweb

Pemerintah menindak enkripsi

Bukan hanya penjahat dunia maya yang menargetkan data orang juga. Dengan tindakan Eliminating Abusive and Pengabaian Teknologi Interaktif (EARN IT) yang sekarang sedang berjalan melalui Kongres, mungkin tidak lama lagi siapa pun yang menggunakan layanan komunikasi berbasis enkripsi dapat disadap oleh pemerintah AS, karena perusahaan akan dipaksa untuk melemahkan enkripsi mereka dan pada dasarnya memberi pemerintah backdoor ke data pengguna.

Dengan upaya serupa untuk merusak enkripsi yang sekarang sedang berlangsung di beberapa negara, dan aliansi keamanan “Five Eyes” yang sekarang ingin menerapkan backdoor di aplikasi populer, privasi menjadi perhatian yang jauh harus dipertimbangkan daripada sebelumnya.

Source : Entrepreneur

Pengguna Microsoft Active Directory, Lakukan Ini Sekarang!

by Leave a Comment

CVE-2020-1472, kerentanan yang memengaruhi Microsoft Windows Netlogon Remote Protocol dapat dimanfaatkan oleh penyerang untuk mendapatkan akses administrator domain Active Directory.

Meskipun Microsoft telah merilis perbaikan untuk CVE-2020-1472 pada Agustus 2020, sistem yang belum ditambal akan menjadi target yang menarik bagi aktor siber.

Kami menghimbau pengguna dan administrator untuk segera menerapkan pembaruan dan solusi yang diperlukan.

Tidak melakukan ini SEKARANG dapat membuat sistem anda rentan untuk diambil alih oleh aktor siber.

Panduan Microsoft tentang Cara mengelola perubahan dalam koneksi saluran aman Netlogon:
Microsoft Support

Malware Polisi Eropa Dapat Mengambil GPS, Pesan, Kata Sandi dan Lainnya

by

Malware yang disebarkan oleh penegak hukum Prancis secara massal ke perangkat Encrochat, jaringan telepon terenkripsi besar menggunakan ponsel Android, memiliki kemampuan untuk memanen “semua data yang disimpan di dalam perangkat,” termasuk pesan obrolan, data geolokasi, nama pengguna, kata sandi , dan lebih banyak lagi, menurut dokumen yang diperoleh Motherboard.

Dokumen tersebut menambahkan lebih spesifik seputar peretasan penegakan hukum dan penghapusan Encrochat berikutnya awal tahun ini.

Kelompok kejahatan terorganisir di seluruh Eropa dan seluruh dunia banyak menggunakan jaringan ini sebelum penyitaannya, dalam banyak kasus untuk memfasilitasi perdagangan narkoba skala besar.

Operasi tersebut adalah salah satu operasi peretasan massal penegakan hukum terbesar hingga saat ini, dengan penyelidik mendapatkan lebih dari seratus juta pesan terenkripsi.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Vice

Kerentanan di PDFium Google Chrome dapat mengakibatkan eksekusi kode jarak jauh

by Leave a Comment

Peneliti telah menemukan erentanan dalam fungsi PDFium dari Google Chrome. Kerentanan tersebut dapat dimanfaatkan oleh musuh untuk merusak memori dan berpotensi mengeksekusi kode jarak jauh.

PDFium adalah fitur Google Chrome yang memungkinkan pengguna untuk membuka file PDF di dalam Chrome.

Cisco Talos baru-baru ini menemukan kerentanan yang memungkinkan penyerang mengirim halaman web berbahaya ke pengguna dan kemudian menyebabkan akses memori di luar batas.

Kerentanan ini dilacak sebagai CVE-2020-6513, berada pada cara Google Chrome 83.0.4103.61 menjalankan JavaScript dalam dokumen PDF.

Halaman web yang dibuat secara khusus dapat menyebabkan akses memori di luar batas. Untuk mengaktifkan kerentanan, korban harus mengunjungi halaman web berbahaya atau membuka dokumen PDF berbahaya.

Kerentanan ini telah diperbaiki pada versi Google Chrome terbaru. Pengguna disarankan untuk segera memperbarui aplikasi Google Chrome segera.

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Cisco Talos

Ransomware ini telah mengadaptasi trik licik untuk mengirimkan malware ke korbannya

by

Salah satu operasi ransomware kriminal siber paling berbahaya saat ini telah menerapkan taktik baru untuk membantu serangannya tetap tidak terdeteksi, yang kemungkinan besar dipinjam dari grup ransomware lain.

Taktik serupa sebelumnya telah digunakan oleh grup ransomware Ragnar Locker dan tampaknya Maze telah mengambil inspirasi dari mereka sebagai sarana tambahan untuk mengirimkan ransomware.

Menggunakan akses ke server file, para peretas dapat mengirimkan komponen yang diperlukan untuk serangan di dalam mesin virtual.

Cara mesin virtual diprogram menunjukkan bahwa penyerang sudah memiliki kendali yang kuat pada jaringan korban saat ini – tetapi dengan menyebarkan ransomware melalui mesin virtual, itu membantu menjaga serangan di bawah radar sampai enkripsi dipicu dan jaringan dapat ditahan untuk tebusan.

“Mesin virtual memberikan penyerang mesin yang tidak dilindungi untuk menjalankan ransomware secara bebas tanpa takut terdeteksi,” kata Peter McKenzie, manajer respons insiden di Sophos kepada ZDNet.

Berita selengkapnya;
Source: ZDNet

Rumah Sakit Di Jerman Diretas, Pasien Yang Dibawa ke Kota Lain Meninggal Dunia

by

Sistem Klinik Universitas Duesseldorf telah terganggu sejak Kamis lalu. Rumah sakit tersebut mengatakan para penyelidik telah menemukan bahwa sumber masalahnya adalah serangan peretas di titik lemah “perangkat lunak tambahan komersial yang banyak digunakan”, yang tidak teridentifikasi.

Akibatnya, sistem berangsur-angsur rusak dan rumah sakit tidak dapat mengakses data; pasien darurat dibawa ke tempat lain dan operasi ditunda.

Rumah sakit mengatakan bahwa “tidak ada permintaan tebusan yang konkret.” Ia menambahkan bahwa tidak ada indikasi bahwa data hilang dan sistem IT-nya secara bertahap dimulai ulang.

Jaksa melakukan penyelidikan terhadap pelaku tak dikenal atas dugaan kelalaian pembunuhan karena seorang pasien dalam kondisi kritis yang seharusnya dibawa ke rumah sakit Jumat malam lalu malah dikirim ke rumah sakit di Wuppertal, sekitar 32 kilometer ditempuh dengan kendaraan. Dokter tidak dapat merawatnya selama satu jam dan dia dilaporkan meninggal.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Securityweek