Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Ransomware Baru Ini Menargetkan PC Windows dan Linux Dengan Serangan ‘Unik’

by

Sebuah bentuk ransomware yang baru terungkap sedang mengejar sistem Windows dan Linux dalam kampanye yang ditargetkan.

Dinamai Tycoon, ransomware ini telah aktif sejak Desember 2019 dan terlihat sebagai ciptaan penjahat cyber yang sangat selektif dalam penargetan mereka. Malware ini juga menggunakan teknik penyebaran yang tidak biasa yang membantu tetap tersembunyi di jaringan yang dikompromikan.

Target utama Tycoon adalah organisasi dalam industri pendidikan dan perangkat lunak.

Tycoon ditemukan dan dirinci oleh para peneliti di BlackBerry yang bekerjasama dengan analis keamanan di KPMG. Ini adalah bentuk ransomware yang tidak biasa karena ditulis menggunakan bahasa pemograman Java, disebarkan sebagai trojanized Java Runtime Environment dan disusun dalam file gambar Java (Imagej) untuk menyembunyikan niat jahatnya.

Para peneliti berpendapat bahwa Tycoon berpotensi dikaitkan dengan bentuk ransomware lain, Dharma – juga dikenal sebagai Crysis – karena kesamaan dalam alamat email, nama file yang dienkripsi, dan teks catatan tebusan.

Tahap pertama serangan ransomware Tycoon adalah dengan intrusi awal yang datang melalui server internet-facing RDP yang tidak aman. Karena RDP adalah salah satu cara yang umum untuk melakukan serangan cyber, organisasi dapat memastikan bahwa satu-satunya port yang menghadap ke luar ke internet adalah yang benar-benar dibutuhkan saja.

Menerapkan patch keamanan saat dirilis juga dapat mencegah banyak serangan ransomware, karena dapat menghentikan penjahat yang mencoba mengeksploitasi kerentanan yang diketahui. Organisasi juga harus memastikan bahwa mereka secara teratur membuat cadangan jaringan mereka – dan bahwa cadangan itu dapat diandalkan – sehingga jika yang terburuk terjadi, jaringan tersebut dapat dipulihkan tanpa menuruti tuntutan para penjahat dunia maya.

Artikel selengkapnya dapat dibaca pada tautan di bawah:
Source: ZDNet

Stalkerware: Apa yang harus dilakukan jika Anda adalah targetnya

by

Sangat mudah bagi seseorang untuk membeli dan menginstal aplikasi yang mengganggu, yang dikenal sebagai stalkerware, pada perangkat orang lain. Aplikasinya berlimpah, menurut perusahaan perangkat lunak antivirus yang melacak prevalensinya.

Sebuah pemungutan suara Harris baru-baru ini dilakukan dengan perusahaan antivirus NortonLifeLock menemukan bahwa satu dari 10 orang mengakui menggunakan stalkerware untuk melacak pasangan atau mantan mereka. Aplikasi ini sangat sederhana sehingga beberapa orang di TikTok telah memposting tutorial 60 detik tentang cara menggunakannya.

Perangkat lunak ini bekerja pada komputer tetapi telah menjadi sangat kuat untuk digunakan pada ponsel, mengubah gadget menjadi perangkat pengawasan yang mengungkapkan data lokasi serta email, riwayat penelusuran web, dan banyak lagi. Mungkin ada alasan yang sah untuk menggunakan aplikasi pelacakan, seperti memantau telepon anak-anak, atau memantau karyawan (dengan persetujuan mereka). Namun, kenyataannya adalah bahwa aplikasi ini disalahgunakan oleh orang-orang yang memata-matai orang dewasa tanpa persetujuan mereka, menurut pejabat penegak hukum dan kekerasan dalam rumah tangga dan ahli hukum.

Tidak mudah untuk memutuskan apa yang harus dilakukan tentang hal itu, kata pakar kekerasan dalam rumah tangga, karena pasangan atau mantan Anda mungkin menjadi lebih berbahaya jika Anda menghapus software tersebut pada perangkat Anda. Tetapi ada beberapa langkah yang dapat Anda ambil untuk mempelajari lebih lanjut tentang software ini dan apakah itu ada di perangkat Anda.

Apa itu stalkerware?

Stalkerware mengacu pada sekelompok besar aplikasi yang orang lain dapat instal pada perangkat Anda untuk mencegat teks dan panggilan telepon, mengakses lokasi Anda, mencatat aktivitas penjelajahan web Anda dan menyalakan kamera atau mikrofon Anda. Informasi yang dikumpulkan oleh aplikasi seperti itu biasanya dikirim ke portal atau aplikasi pendamping yang diakses oleh orang yang memasang stalkerware. Orang yang memasang stalkerware biasanya harus mendapatkan akses fisik ke telepon pengguna untuk menginstal aplikasi.

Bagaimana saya tahu jika ponsel saya memiliki stalkerware?

Ini bisa saja sulit. Perangkat lunak ini sering menyamar, baik dengan menampilkan ikon yang tidak berbahaya (seperti monitor baterai), atau dengan tidak menampilkan ikon sama sekali, kata Kevin Roundy, direktur teknis di kelompok riset NortonLifeLock.

Sekalipun ikon aplikasi tersembunyi di ponsel Anda, ikon itu akan muncul di pengaturan Anda sebagai item dalam daftar aplikasi yang berjalan di perangkat Anda. Aplikasi ini mungkin masih tidak memiliki label yang dapat teridentifikasi sebagai stalkerware, kata Roundy, jadi carilah aplikasi yang tidak Anda kenal. Anda dapat mencari aplikasi yang tampak tidak biasa secara online di perangkat lain untuk melihat apakah Anda dapat menemukan informasi lebih lanjut tentang itu.

Langkah tambahan adalah menggunakan perangkat lunak antivirus di ponsel Anda.

Haruskah saya menghapus stalkerware?

Menghapus aplikasi adalah opsi yang harus dipertimbangkan, tetapi Anda harus membuat keputusan dengan hati-hati. Menghapus aplikasi pengintai mungkin membuat Anda dalam bahaya yang lebih besar jika itu mendorong pasangan atau mantan Anda untuk terlibat dalam perilaku yang bahkan lebih menakutkan. Kekhawatiran ini adalah mengapa banyak perusahaan antivirus tidak secara otomatis menghapus stalkerware dari ponsel penggunanya.

Cara menghapus, menghancurkan, atau mengganti

Pertama, Anda dapat menghapus akses aplikasi ke hal-hal seperti kamera dan mikrofon Anda, dan kemudian menghapusnya dari telepon Anda. Proses ini dapat bervariasi, dan panduan untuk menghapus aplikasi tertentu dapat dicari secara online, kadang-kadang bahkan di situs web pembuat aplikasi. Penghapusan adalah rute yang paling tidak mengganggu yang bisa Anda ambil, tetapi bisa membuat Anda bertanya-tanya apakah ada sesuatu yang tersisa di ponsel Anda yang dapat memata-matai Anda.

Jika Anda masih merasa tidak nyaman bahwa perangkat Anda aman, Anda dapat melakukan reset pabrik. Melakukan ini dapat mengembalikan ponsel Anda ke keadaan seperti saat Anda membelinya. Anda akan dikeluarkan dari semua akun Anda, dan semua aplikasi tambahan yang diinstal pada ponsel Anda setelah pembelian akan hilang. Sebelum Anda melakukan reset pabrik, penting untuk membuat cadangan foto atau file yang belum Anda simpan di tempat lain.

Terakhir, Anda bisa mendapatkan perangkat baru. Ini adalah nasihat yang sulit bagi siapa pun untuk didengar, terutama jika keadaan keuangan Anda sulit atau pasangan Anda mengendalikan pengeluaran Anda.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: CNET

Serangan Cyber Iran Bertujuan untuk Meningkatkan Level Klorin di Air Israel

by

Serangan cyber Iran pada bulan April di sistem air Israel bertujuan untuk meningkatkan kadar klorin dalam air minum, Financial Times melaporkan pada hari Minggu, mengutip seorang pejabat intelejen yang tidak disebutkan namanya dari negara Barat.

Serangan itu, pertama kali dilaporkan oleh harian Israel Yedioth Ahronoth pada awal Mei, telah diketahui setelah pompa air mulai tidak berfungsi. Menurut laporan itu, serangan itu fokus “pada sistem operasional dan mekanisme untuk menambahkan klorin ke dalam sumur.”

Menurut laporan Financial Times, serangan itu, jika berhasil, bisa menyebabkan puluhan ribu tempat tanpa air, termasuk petani, dan, paling buruk, ratusan orang bisa jatuh sakit.

Sumber intelijen Barat Financial Times mengatakan serangan itu “lebih canggih dari yang mereka bayangkan sebelumnya.”
“Serangan itu hampir berhasil, dan tidak sepenuhnya jelas mengapa itu tidak berhasil,” sumber itu menambahkan.

Israel dilaporkan menanggapi serangan itu dengan menonaktifkan sistem komputer di pelabuhan Iran yang sibuk, sangat mendukung lalu lintas maritim.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Haaretz

Keamanan Siber: Setengah Dari Karyawan Mengakui Bahwa Mereka Mengambil Jalan Pintas Ketika Bekerja Dari Rumah

by

Setengah dari karyawan mengambil jalan pintas berkenaan dengan cybersecurity saat bekerja dari rumah – dan bisa menempatkan organisasi mereka dalam risiko serangan cyber atau pelanggaran data sebagai hasilnya.

Analisis oleh para peneliti di perusahaan cybersecurity Tessian mengungkapkan bahwa 52% karyawan percaya bahwa mereka dapat lolos dari perilaku berisiko ketika bekerja dari rumah, seperti berbagi file rahasia melalui email dan bukannya melalui mekanisme yang lebih tepercaya.

Menurut The State of Data Loss Report dari Tessian, beberapa alasan utama mengapa karyawan tidak sepenuhnya mengikuti praktik data yang aman seperti biasa termasuk bekerja dari perangkat mereka sendiri, bukan dari perusahaan yang mengeluarkannya, serta merasa seolah-olah mereka dapat mengambil risiko tambahan karena mereka tidak diawasi oleh TI dan keamanan.

Dalam beberapa kasus, karyawan tidak sengaja mengabaikan praktik keamanan, tetapi gangguan saat bekerja dari rumah – seperti pengasuhan anak, teman sekamar dan tidak memiliki meja set-up seperti yang mereka lakukan di kantor – berdampak pada bagaimana orang mengoprasikannya.

Sementara itu, beberapa karyawan mengatakan mereka dipaksa untuk mengambil jalan pintas keamanan karena mereka di bawah tekanan untuk menyelesaikan pekerjaan dengan cepat.

“Orang akan mengambil jalan pintas pada praktik terbaik keamanan ketika bekerja dari jarak jauh dan menemukan solusi jika kebijakan keamanan mengganggu produktivitas mereka dalam kondisi kerja baru ini,” kata Tim Salder, CEO Tessian.

“Tapi, yang diperlukan hanyalah satu email yang salah arah, file data yang salah disimpan, atau kata sandi yang lemah, sebelum bisnis menghadapi pelanggaran data yang parah yang mengakibatkan adanya peraturan baru dan gejolak keuangan,” tambahnya.

Sementara lonjakan kerja jarak jauh membawa tantangan tambahan bagi karyawan dan pengusaha, ada sejumlah langkah sederhana yang dapat diambil untuk meningkatkan keamanan tanpa menghambat produktivitas. Salah satunya adalah menggunakan otentikasi multi-faktor, memberikan penghalang ekstra untuk pertahanan yang membantu menghentikan penjahat cyber mendapatkan akses ke akun – dan data perusahaan.

Baca berita selengkapnya pada tautan di bawah ini:
Source: ZDNet

NSA Memperingatkan: Peretas Paling Terkenal Rusia Masih Aktif Melakukan Kampanye Peretasan

by

Badan Keamanan Nasional Amerika mengumumkan pada hari Kamis bahwa unit intelijen Rusia yang sama yang membocorkan file Demokrat pada 2016 terlibat dalam kampanye peretasan email yang sedang berlangsung.

Peretas di GRU Rusia, badan intelijen militer Russia, secara teratur menargetkan akun email, seperti yang biasa dilakukan oleh banyak orang dengan kemampuan cyber yang kuat. Namun ini adalah pertama kalinya NSA mengeluarkan peringatan publik langsung yang menyebutkan agensi tersebut dan memperingatkan akan adanya kampanye peretasan yang sedang berlangsung.

Peringatan tersebut menjelaskan bagaimana GRU menargetkan kerentanan dalam sistem Unix yang tidak ditambal, sebuah alternatif untuk sistem operasi Microsoft dan Apple. Mereka tidak merinci siapa yang telah ditargetkan. Namun mereka merinci bahwa kampanye adalah karya Unit 74455 GRU, yang telah dikaitkan dengan beberapa serangan cyber paling terkenal dalam sejarah.

“Mereka mungkin organisasi serangan cyber yang paling berani dan paling sukses di Rusia,” kata John Hulquist, direktur intelijen ancaman di FireEye, yang melacak kelompok itu.

Amerika telah menyebut 74455 sebagai pencipta NotPetya, cacing ransomware yang tumbuh liar di luar kendali dan menyebar ke seluruh dunia pada 2017, menyebabkan kerusakan miliaran dolar dan memicu kemarahan internasional.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: NBC

Grup Hacker Turla Menggunakan Inbox Gmail Untuk Mengirim Perintah Kepada Malware

by

Peneliti keamanan dari ESET telah menemukan serangan baru yang dilakukan oleh Turla, salah satu kelompok peretasan yang disponsori negara paling maju di Rusia.

Serangan-serangan baru itu terjadi pada Januari 2020. Para peneliti ESET mengatakan serangan itu menargetkan tiga entitas terkenal, seperti parlemen nasional di Kaukasus dan dua Kementerian Luar Negeri di Eropa Timur.

Serangan ini, menurut ESET, menggunakan versi terbaru dari malware ComRAT, yang berisi beberapa fitur baru yang cukup pintar.

Malware ComRAT, juga dikenal sebagai Agent.BTZ, adalah salah satu senjata tertua Turla, dan yang mereka gunakan untuk menyedot data dari jaringan Pentagon pada 2008.

Versi terbaru, yang dikenal sebagai ComRAT v4, pertama kali terlihat pada tahun 2017, namun, dalam sebuah laporan yang diterbitkan kemarin, ESET mengatakan mereka telah melihat variasi ComRAT v4 yang mencakup dua fitur baru, seperti kemampuan untuk mengambil log antivirus dan kemampuan untuk mengendalikan malware menggunakan kotak masuk Gmail.

Fitur pertama adalah kemampuan malware untuk mengumpulkan log antivirus dari host yang terinfeksi dan mengunggahnya ke salah satu server perintah dan kontrolnya. Matthieu Faou, peneliti ESET yang menganalisis malware ini, mengatakan kepada ZDNet bahwa operator Turla mungkin mengumpulkan log antivirus agar “memungkinkan mereka untuk lebih memahami jika dan salah satu sampel malware mereka terdeteksi.” Jika operator Turla melihat deteksi, mereka kemudian dapat mengubah malware mereka dan menghindari deteksi di masa depan pada sistem lain, di mana mereka kemudian dapat beroperasi tanpa terdeteksi.

Yang kedua, dan yang baru, adalah penggunaan antarmuka web Gmail. Faou mengatakan bahwa ComRAT v4 terbaru mengambil alih salah satu browser korban, memuat file cookie yang telah ditentukan, dan kemudian memulai sesi ke dasbor web Gmail. Di sini, malware membaca email terbaru di kotak masuk, mengunduh lampiran file, dan kemudian membaca instruksi yang terkandung di dalam file.

Idenya adalah bahwa setiap kali operator Turla ingin mengeluarkan perintah baru untuk instance ComRAT yang berjalan di host yang terinfeksi, peretas hanya perlu mengirim email ke alamat Gmail.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Bug Baru Android Yang Memungkinkan Malware Bertindak Seperti Aplikasi Legit Dan Mencuri Data Pengguna

by

Peneliti keamanan telah menemukan kerentanan besar di hampir setiap versi Android, yang memungkinkan malware meniru aplikasi yang sah untuk mencuri kata sandi aplikasi dan data sensitif lainnya.

Kerentanan, yang dijuluki Strandhogg 2.0, mempengaruhi semua perangkat yang menjalankan Android 9.0 dan yang lebih lama. Ini adalah “kembaran jahat” dari bug sebelumnya dengan nama yang sama, menurut perusahaan keamanan Norwegia Promon, yang menemukan kedua kerentanan itu.

Strandhogg 2.0 berfungsi dengan menipu korban agar berpikir bahwa mereka memasukkan kata sandi pada aplikasi yang sah yang sebenarnya adalah jendela berbahaya. Strandhogg 2.0 juga dapat membajak izin aplikasi lain untuk menyedot data pengguna yang sensitif, seperti kontak, foto, dan melacak lokasi real-time korban.

Promon mengatakan bahwa mereka tidak memiliki bukti bahwa peretas telah menggunakan bug dalam kampanye peretasan aktif. Khawatir bug masih bisa disalahgunakan oleh peretas, Promon menunda merilis rincian bug sampai Google dapat memperbaiki kerentanan “kritis” ini.

Seorang korban harus mengunduh aplikasi jahat – yang disamarkan sebagai aplikasi normal – yang dapat mengeksploitasi kerentanan Strandhogg 2.0. Setelah terinstal dan ketika korban membuka aplikasi yang sah, aplikasi jahat dengan cepat membajak aplikasi dan menyuntikkan konten jahat di tempatnya, seperti jendela masuk palsu.

Ketika seorang korban memasukkan kata sandi mereka pada jendela palsu tersebut, kata sandi mereka akan dikirimkan ke server peretas. Aplikasi sebenarnya kemudian muncul seolah-olah login itu nyata.

Strandhogg 2.0 juga dapat membajak izin aplikasi lain yang memiliki akses ke kontak, foto, dan pesan korban dengan memicu permintaan izin.

Risiko untuk pengguna cenderung rendah, tetapi bukan tidak mungkin. Promon mengatakan memperbarui perangkat Android dengan pembaruan keamanan terbaru – sekarang – akan memperbaiki kerentanan. Pengguna disarankan untuk memperbarui perangkat Android mereka sesegera mungkin.

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Tech Crunch

Ribuan Sistem Perusahaan Terinfeksi Oleh Malware Blue Mockingbird Baru

by

Ribuan sistem perusahaan diyakini telah terinfeksi dengan malware penambangan cryptocurrency yang dioperasikan oleh kelompok yang dilacak dengan nama Blue Mockingbird.

Ditemukan awal bulan ini oleh analis malware dari perusahaan keamanan cloud Red Canary, kelompok Blue Mockingbird diyakini telah aktif sejak Desember 2019. Para peneliti mengatakan Blue Mockingbird menyerang public-facing server yang menjalankan aplikasi ASP.NET yang menggunakan kerangka Telerik untuk komponen antarmuka pengguna (UI) mereka.

Peretas mengeksploitasi kerentanan CVE-2019-18935 untuk menanam web shell di server yang diserang. Mereka kemudian menggunakan versi teknik Juicy Potato untuk mendapatkan akses tingkat admin dan mengubah pengaturan server untuk mendapatkan (re)boot persistence.

Begitu mereka mendapatkan akses penuh ke suatu sistem, mereka mengunduh dan menginstal XMRRig, aplikasi penambangan cryptocurrency populer untuk cryptocurrency Monero (XMR).

Analis Red Canary mengatakan bahwa jika server IIS yang menghadap publik terhubung ke jaringan internal perusahaan, grup tersebut juga berupaya menyebar secara internal melalui koneksi RDP (Remote Desktop Protocol) atau SMB (Server Message Block) yang tidak diamankan dengan maksimal.

Dalam wawancara email awal bulan ini, Red Canary mengatakan kepada ZDNet bahwa mereka tidak memiliki pandangan penuh tentang operasi botnet ini, tetapi mereka percaya bahwa botnet setidaknya telah membuat 1.000 infeksi sejauh ini, hanya dari jarak pandang terbatas yang mereka miliki. Namun, Red Canary mengatakan jumlah perusahaan yang terkena dampak bisa jauh lebih tinggi, dan bahkan perusahaan yang percaya bahwa mereka aman berisiko terkena serangan.

Baca berita selengkapnya pada link di bawah ini:
Source: ZDNet | Red Canary