Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Penipu menggunakan taktik licik ini untuk menipu Korban agar menyerahkan detail bank dan kata sandi

by

Ada peningkatan besar dalam kejahatan siber yang menggabungkan email penipuan dan panggilan telepon untuk mengelabui korban agar mengungkapkan informasi sensitif seperti kata sandi dan detail bank.

Dikenal sebagai serangan vishing, penjahat dan penipu menelepon korban dan mencoba menggunakan rekayasa sosial untuk mengelabui mereka agar menyerahkan data pribadi.

Sekarang, dalam upaya untuk membuat serangan vishing terlihat lebih sah, penjahat siber menggunakan apa yang peneliti keamanan siber di Agari, oleh HelpSystems gambarkan sebagai serangan vishing ‘hybrid’.

Ini berbeda dengan serangan vishing biasa karena mereka menggunakan beberapa tahapan yang berbeda, pertama menghubungi korban dengan iming-iming email phishing yang berisi nomor telepon yang diminta untuk mereka hubungi. Email akan sering mengklaim keadaan mendesak untuk membuat target panik untuk memanggil nomor tersebut.

Saat korban menelepon, mereka terhubung dengan scammer yang mengklaim mencoba mengekstrak informasi sensitif dari mereka dengan alasan palsu untuk membantu korban memperbaiki masalah palsu yang telah diberitahukan kepada mereka.

Tidak seperti banyak email phishing, email tersebut tidak berisi lampiran atau tautan berbahaya, sehingga lebih mudah melewati filter spam dan perlindungan anti-virus.

Para peneliti memperingatkan bahwa vishing dan serangan phishing berbasis email lainnya akan terus menjadi masalah. Ada beberapa langkah yang dapat dilakukan oleh organisasi untuk membantu mencegah serangan seperti, kemampuan untuk secara otomatis mendeteksi dan menghapus ancaman dari semua kotak masuk karyawan yang terinfeksi sebelum pengguna dapat berinteraksi dengan mereka. Serta pelatihan keamanan yang tepat, untuk mempersiapkan pengguna agar waspada terhadap ancaman tersebut.

Selengkapnya: ZDNet

Perusahaan Cyber ​​Luncurkan Standar Keamanan untuk Memantau Upaya Peretasan

by

Sekelompok 18 perusahaan teknologi dan siber mengatakan pada hari Rabu bahwa mereka sedang membangun standar data bersama untuk berbagi informasi keamanan siber. Mereka bertujuan untuk memperbaiki masalah bagi kepala keamanan perusahaan yang mengatakan bahwa produk siber sering tidak terintegrasi, sehingga sulit untuk menilai sepenuhnya ancaman peretasan.

Amazon. Bisnis cloud AWS com Inc., perusahaan keamanan siber Splunk Inc. dan unit keamanan International Business Machines Corp., antara lain, meluncurkan Open Cybersecurity Schema Framework, atau OCSF, Rabu di konferensi keamanan siber Black Hat USA di Las Vegas.

Produk dan layanan yang mendukung spesifikasi OCSF akan dapat menyusun dan menstandardisasi peringatan dari berbagai alat pemantauan dunia maya, pencatat jaringan, dan perangkat lunak lainnya, untuk menyederhanakan dan mempercepat interpretasi data tersebut, kata Patrick Coughlin, wakil presiden grup keamanan Splunk. pasar.

Perusahaan lain yang terlibat dalam inisiatif ini adalah CrowdStrike Holdings Inc., Rapid7 Inc., Palo Alto Networks Inc., Cloudflare Inc., DTEX Systems Inc., IronNet Inc., JupiterOne Inc., Okta Inc., Salesforce Inc., Securonix Inc. , Sumo Logic Inc., Tanium Inc., Zscaler Inc., dan Trend Micro Inc.

Kepala petugas keamanan informasi telah menggerutu tentang produk siber eksklusif yang memaksa tim keamanan untuk mengintegrasikan data secara manual. Lebih dari tiga perempat dari 280 profesional keamanan yang disurvei ingin melihat vendor membangun standar terbuka ke dalam produk mereka untuk memungkinkan interoperabilitas, menurut penelitian dari Asosiasi Keamanan Sistem Informasi dan unit analis TechTarget Inc. yang diterbitkan pada bulan Juli.

Seringkali, tim cyber membuat beberapa dasbor untuk memantau item seperti upaya login dan aktivitas jaringan yang tidak biasa. Untuk mendapatkan gambaran lengkap tentang peristiwa, mereka sering kali harus menulis kode khusus untuk memformat ulang data untuk satu dasbor atau alat analisis atau lainnya, kata Mark Ryland, direktur kantor CISO di AWS. “Ada banyak perangkat lunak khusus di luar sana di dunia keamanan,” katanya.

Produk yang mendukung OCSF akan dapat berbagi informasi dalam satu dasbor tanpa tenaga manual itu, kata Mr. Ryland. “Kami akan mendapat manfaat dari ini,” katanya tentang tim keamanan internal AWS.

Penyedia teknologi yang menulis versi awal OCSF berharap untuk memasukkannya ke dalam produk mereka dalam beberapa bulan mendatang, kata Chris Niggel, kepala petugas keamanan regional untuk Amerika di perusahaan manajemen identitas Okta.

Secara internal, Okta menggunakan layanan cloud dari Google Alphabet Inc., perusahaan sumber daya manusia Workday Inc., alat komunikasi Slack Inc., dan lainnya, kata Niggel. “Tim respons insiden kami harus menormalkan semua informasi itu sehingga mereka dapat melihat apa yang terjadi,” katanya.

Dengan data tentang potensi aktivitas peretasan dalam satu format, tim internal akan dapat mengenali serangan lebih awal, katanya. Plus, perusahaan akan dapat berbagi data insiden satu sama lain lebih cepat, tambahnya.

Standar dan dokumentasi OCSF akan ada di repositori sumber terbuka GitHub. Pekerjaan awal proyek dimulai bertahun-tahun yang lalu di Symantec, sekarang bagian dari perusahaan teknologi infrastruktur Broadcom Inc.

Sumber: WSJ

Masalah Printer Menggunakan USB Di Windows 10 Muncul Karena Pembaruan Terbaru Microsoft

by

Microsoft memperingatkan pelanggan bahwa pembaruan Windows yang dirilis sejak 28 Juni akan memicu masalah pencetakan/printing pada perangkat yang terhubung menggunakan USB.

Platform yang terpengaruh mencakup Windows 10, versi 20H2, 21H1, 21H2 dan server Windows Server, versi 20H2.

Gejala yang dilaporkan oleh pengguna adalah aplikasi yang merujuk ke printer yang menggunakan nama tertentu tidak dapat mencetak dan Windows menunjukkan salinan duplikat dari printer yang diinstal dengan nama yang mirip dengan akhiran “Copy1”.
Sementara Microsoft masih mengerjakan perbaikan untuk masalah tersebut, Microsoft memberikan solusi yang akan membantu penggguna memulihkan fungsi pencetakan pada perangkat mereka untuk sementara.

Tindakan yang dapat Anda coba untuk mengatasi masalah tersebut meliputi:

  • ​Membuka menu Settings, navigasikan ke “Bluetooth & devices”, dan pilih “Printers & scanners”.
  • ​Jika tampaknya ada penginstalan duplikat dari printer yang ada, seperti dengan akhiran “Copy1”, konfirmasikan apakah pencetakan berfungsi untuk printer ini. Printer ini harus beroperasi seperti yang diharapkan.
  • Jika Anda perlu menggunakan instalasi printer asli dan bukan duplikat, klik kanan printer duplikat, pilih “Printer properties”, dan pilih tab “Ports”. Perhatikan port yang digunakan.
  • Dari daftar yang ditampilkan, pilih opsi port yang digunakan oleh printer duplikat. Printer salinan duplikat dapat dihapus jika printer asli ini berfungsi normal.

Jika masalah masih muncul, Anda juga dapat mencoba menginstal ulang printer.

  1. Matikan printer Anda dan lepaskan semua kabel
  2. Buka menu Settings, navigasikan ke “luetooth & devices”, dan pilih “Printers & scanners”.
  3. Pilih printer yang terpengaruh dan pilih opsi “Remove Device”
  4. Mulai ulang perangkat Anda
  5. Nyalakan printer Anda dan sambungkan kembali ke perangkat Anda

Jika solusi di atas tidak membantu, Anda dapat mencoba memperbarui driver printer atau memeriksa situs web produsen printer untuk pembaruan firmware.

Selengkapnya: Bleeping Computer

QNAP ‘menyelidiki secara menyeluruh’ serangan ransomware DeadBolt baru

by

Vendor Network-attached storage (NAS) bernama QNAP sekali lagi memperingatkan pelanggan pada hari Jumat untuk mengamankan perangkat mereka dari kampanye serangan baru yang mendorong ransomware DeadBolt.

Perusahaan mendesak pengguna untuk memperbarui perangkat NAS mereka ke versi firmware terbaru dan memastikan mereka tidak terkena akses jarak jauh melalui Internet.

“QNAP baru-baru ini mendeteksi kampanye ransomware DeadBolt baru. Menurut laporan korban sejauh ini, kampanye tersebut tampaknya menargetkan perangkat QNAP NAS yang menjalankan QTS 4.x,” kata QNAP hari ini.

“Kami sedang menyelidiki kasus ini secara menyeluruh dan akan memberikan informasi lebih lanjut sesegera mungkin.”

Peringatan ini mengikuti beberapa tiga peringatan lain yang telah dikeluarkan perusahaan sejak awal 2022 [1, 2, 3], semua menyarankan pengguna untuk menjaga perangkat mereka tetap mutakhir dan tidak mengekspos mereka ke akses Internet.

Seperti yang terlihat pada serangan sebelumnya yang menargetkan perangkat QNAP NAS pada akhir Januari dan mengenai ribuan korban, ransomware DeadBolt membajak halaman login perangkat untuk menampilkan layar yang menyatakan, “PERINGATAN: File Anda telah dikunci oleh DeadBolt.”

Setelah diluncurkan pada perangkat NAS yang disusupi, DeadBolt menggunakan AES128 untuk mengenkripsi file, menambahkan ekstensi .deadbolt ke namanya.

Deadbolt juga menggantikan file /home/httpd/index.html sehingga korban akan melihat catatan tebusan saat mengakses perangkat yang dienkripsi.

Setelah korban membayar tebusan 0,03 bitcoin, pelaku ancaman membuat transaksi bitcoin ke alamat bitcoin yang sama yang berisi kunci dekripsi di bawah output OP_RETURN.

Selengkapnya: Bleeping Computer

QBot Sekarang Menggunakan Ransomware Black Basta Dalam Serangan Bertenaga Bot

by

Geng ransomware Black Basta telah bermitra dengan operasi malware QBot untuk mendapatkan akses awal ke lingkungan perusahaan.

QBot (QuakBot) adalah malware Windows yang mencuri kredensial bank, kredensial domain Windows, dan mengirimkan muatan malware lebih lanjut pada perangkat yang terinfeksi.

Korban biasanya terinfeksi Qbot melalui serangan phishing dengan lampiran berbahaya. Meskipun dimulai sebagai trojan perbankan, ia telah memiliki banyak kolaborasi dengan geng ransomware lain, termasuk MegaCortex, ProLock, DoppelPaymer, dan Egregor.

Black Basta adalah operasi ransomware yang relatif baru yang dimulai dengan mengesankan, melanggar banyak perusahaan dalam waktu yang relatif singkat sambil menuntut pembayaran uang tebusan yang besar.

Analis di NCC Group menemukan kemitraan baru antara Qakbot dan Black Basta selama incident response baru-baru ini di mana mereka dapat mengidentifikasi teknik yang digunakan oleh aktor ancaman.

Sementara geng ransomware biasanya menggunakan QBot untuk akses awal, NCC mengatakan bahwa geng Black Basta menggunakannya untuk menyebar secara lateral ke seluruh jaringan.

Malware dari jarak jauh akan membuat layanan sementara pada host target dan mengonfigurasinya untuk menjalankan DLL-nya menggunakan regsvr32.exe.

Setelah Qakbot aktif dan berjalan, ia dapat menginfeksi berbagi jaringan dan drive, memaksa akun AD, atau menggunakan protokol berbagi file SMB (Server Message Block) untuk membuat salinannya sendiri atau menyebar melalui default admin shares menggunakan kredensial pengguna saat ini.

NCC menyatakan bahwa pelaku ancaman juga menonaktifkan Windows Defender untuk menghindari deteksi dan meminimalkan kemungkinan membahayakan keberhasilan langkah enkripsi.

Selengkapnya: Bleeping Computer

Windows Zero-day Dieksploitasi Dalam Serangan Phishing Yang Menargetkan Pemerintah Lokal AS & Eropa

by

Pemerintah Eropa dan pemerintah lokal AS menjadi target kampanye phishing menggunakan dokumen Rich Text Format (RTF) berbahaya yang dirancang untuk mengeksploitasi kerentanan kritis Windows zero-day yang dikenal sebagai Follina.

BleepingComputer mengetahui pemerintah lokal di setidaknya dua negara bagian AS yang menjadi sasaran kampanye phishing ini.

Penyerang menggunakan janji kenaikan gaji untuk memancing karyawan membuka dokumen berbahaya, yang akan menjalankan skrip Powershell sebagai muatan terakhir.

Seperti yang ditemukan BleepingComputer saat memeriksa muatan PowerShell terakhir dari serangan ini, pelaku ancaman mengumpulkan sejumlah besar info yang mengungkapkan sifat dari serangan pengintaian karena data yang dikumpulkan dapat digunakan untuk akses awal:

  • Kata sandi browser: Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Yandex, Vivaldi, CentBrowser, Comodo, CheDot, Orbitum, Chromium, Slimjet, Xvast, Kinza, Iridium, CocCoc, dan AVAST Browser.
  • Data dari aplikasi lain: Mozilla Thunderbird, file session Netsarang, kontak Windows Live Mail, kata sandi Filezilla, file konfigurasi ToDesk, WeChat, Oray SunLogin RemoteClient, MailMaster, ServU, Putty, FTP123, WinSCP, RAdmin, Microsoft Office, Navicat
  • Informasi Windows: Informasi komputer, daftar nama pengguna, informasi domain Windows

CVE-2022-30190 masih belum ditambal dan memengaruhi semua versi Windows yang masih menerima pembaruan keamanan (mis., Windows 7+ dan Server 2008+).

Hingga Microsoft merilis pembaruan keamanan resmi, Anda dapat menambal sistem Anda terhadap serangan yang sedang berlangsung ini menggunakan tambalan tidak resmi yang dirilis oleh layanan micropatch 0patch.

Selengkapnya: Bleeping Computer

Kerangka Kerja Keamanan Siber NIST telah menjadi bahasa umum untuk keamanan siber internasional

by

Kerangka Kerja Keamanan Siber NIST menawarkan seperangkat pedoman yang jelas untuk menangani dan mengelola risiko keamanan siber, berdasarkan standar, pedoman, dan praktik terbaik yang ada yang diterbitkan oleh NIST.

Meskipun kerangka kerja ini awalnya dikembangkan untuk meningkatkan manajemen risiko yang berkaitan dengan infrastruktur penting di Amerika Serikat, tim keamanan dapat menggunakannya di sektor ekonomi atau masyarakat mana pun.

NIST dengan jelas menyatakan: “organisasi di luar Amerika Serikat juga dapat menggunakan kerangka kerja untuk memperkuat upaya keamanan siber mereka sendiri, dan kerangka kerja tersebut dapat berkontribusi untuk mengembangkan bahasa yang sama untuk kerja sama internasional dalam keamanan siber infrastruktur penting.”

Adapun Kerangka NIST, ada beberapa kegunaan inti yang perlu ditunjukkan. Awalnya, tim keamanan dapat memanfaatkan kerangka kerja sebagai panduan untuk membantu menentukan aktivitas mana yang paling penting untuk memastikan operasi kritis dan untuk membantu memprioritaskan investasi dan memaksimalkan dampak pengeluaran keamanan siber.

Bagi para praktisi, ini menjadi sumber yang sangat berguna yang harus dibagikan oleh industri. Pernyataan seperti dari Gedung Putih dan peringatan ransomware seperti ini yang dikeluarkan sebagai pemberitahuan bersama dari FBI, CISA, dan NSA perlu ditanggapi dengan serius.

Sementara lembaga pemerintah diharuskan mengikuti pedoman untuk melindungi infrastruktur penting, sebagian besar entitas saat ini beroperasi di sektor swasta. Ini juga terjadi secara internasional, di mana penjahat dunia maya tidak berbeda dan selalu berusaha mencari jalan masuk tanpa memperhatikan bagaimana suatu organisasi menyebarkan perusahaannya.

Selengkapnya: SC Magazine

Microsoft memperbaiki NTLM relay zero-day baru di semua versi Windows

by

Microsoft telah memperbaiki kerentanan zero-day Windows LSA spoofing yang dieksploitasi secara aktif yang dapat dieksploitasi oleh penyerang dari jarak jauh untuk memaksa domain controller mengautentikasi mereka melalui protokol keamanan Windows NT LAN Manager (NTLM).

LSA (kependekan dari Local Security Authority) adalah subsistem Windows yang dilindungi yang memberlakukan kebijakan keamanan lokal dan memvalidasi pengguna untuk login lokal dan jarak jauh.

Kerentanan, dilacak sebagai CVE-2022-26925 dan dilaporkan oleh Raphael John dari Bertelsmann Printing Group, telah dieksploitasi di alam liar dan tampaknya menjadi vektor baru untuk serangan relay PetitPotam NTLM.

Ditemukan oleh peneliti keamanan GILLES Lionel pada Juli 2021, PetitPotam memiliki beberapa variasi yang coba diblokir oleh Microsoft. Namun, pada titik ini, mitigasi resmi dan pembaruan keamanan berikutnya tidak sepenuhnya memblokir semua vektor PetitPotam.

Operator ransomware LockFile telah menyalahgunakan metode serangan relay PetitPotam NTLM untuk membajak domain Windows dan menyebarkan muatan berbahaya.

Microsoft menyarankan admin Windows untuk memeriksa mitigasi PetitPotam dan langkah-langkah mitigasi terhadap NTLM Relay Attacks pada Active Directory Certificate Services (AD CS) untuk info selengkapnya tentang melindungi sistem mereka dari serangan CVE-2022-26925.

Selengkapnya: Bleeping Computer