Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Ransomware Ini Menyamar Sebagai Decryptor STOP Djvu Ransomware

by

Seorang peneliti keamanan menemukan strain ransomware baru yang disebut “Zorab” yang menyamar sebagai decryptor untuk STOP Djvu ransomware.

Michael Gillespie, kreator layanan ID Ransomware, melihat Zorab didistribusikan sebagai dekripsi untuk keluarga ransomware STOP Djvu.

Strain ransomware yang relatif umum, STOP Djvu terlibat dalam berbagai serangan digital selama sekitar setahun terakhir. Kembali pada Januari 2019, STOP menggunakan installer adware sebagai penyamarannya sebagai metode baru untuk mendistribusikan dirinya kepada pengguna yang tidak menaruh curiga. Itu hanya beberapa bulan sebelum para peneliti melihat varian dari keluarga ransomware STOP yang mengunduh infostealer Azorult ke mesin korban sebagai bagian dari proses infeksi.

Serangan dimulai ketika para korban memasukkan informasi mereka ke dekripsi Djvu STOP palsu dan mengklik tombol “Mulai Pindai”. Dalam prosesnya, program tersebut mengekstrak proses lain yang disebut “crab.exe” dan menyimpannya ke folder% Temp%.

Melansir Bleeping Computer, Crab.exe adalah ransomware lain yang disebut Zorab, yang akan mulai mengenkripsi data di komputer. Saat mengenkripsi file, ransomware akan menambahkan ekstensi .ZRB ke nama file. Ransomware juga akan membuat catatan tebusan bernama ‘–DECRYPT – ZORAB.txt.ZRB’ di setiap folder tempat file dienkripsi. Catatan ini berisi instruksi tentang cara menghubungi operator ransomware untuk melakukan pembayaran.

Zorab Ransomware
Pesan tebusan Zorab (Sumber: Bleeping Computer)

Ransomware ini sedang dianalisis, dan pengguna tidak boleh membayar uang tebusan sampai dipastikan tidak ada kelemahan yang dapat digunakan untuk memulihkan file terenkripsi Zorab secara gratis.

Tidak adanya jaminan untuk memulihkan file pada serangan Ransomware sebenarnya menjadi pendorong bagi seluruh perusahaan untuk melakukan langkah-langkah pencegahan sebelum ransomware menyerang jaringan perusahaan. Salah satunya dengan melakukan pencadangan (back up) data secara teratur dan menyimpannya di suatu tempat yang aman.

Berita selengkapnya dapat dibaca pada tautan di bawah ini:
Source: Tripwire

Honda Telah Mengonfirmasikan Bahwa Jaringannya Dilanda Serangan Cyber

by

Honda, sebuah produsen kendaraan asal Jepang, telah mengkonfirmasi adanya serangan cyber yang menyerang jaringan perusahaan mereka, termasuk sistem produksi di luar Jepang.

Dalam sebuah pernyataan, juru bicara Honda mengatakan “Honda dapat mengkonfirmasi bahwa serangan cyber telah terjadi di jaringan Honda, Kami juga dapat mengonfirmasi bahwa tidak ada pelanggaran data pada saat ini.”

Mereka menambahkan, “Pekerjaan sedang dilakukan untuk meminimalkan dampak dan mengembalikan fungsionalitas kegiatan produksi, penjualan dan pengembangan secara menyeluruh. Pada titik ini, kami melihat dampak bisnis yang rendah”.

Perusahaan mengatakan telah mengalami kesulitan untuk mengakses server, email dan sistem internal dan ada juga dampak pada sistem produksi di luar Jepang. Dikatakan bahwa “server internal” telah diserang secara eksternal dan “virus” telah menyebar – namun mereka tidak akan mengungkap rincian lebih lanjut untuk alasan keamanan.

Perusahaan telah mengkonfirmasi bahwa pekerjaan di pabrik Inggris telah dihentikan bersamaan dengan penangguhan operasi lain di Amerika Utara, Turki, Italia dan Jepang. Namun, ia menambahkan bahwa pihaknya berharap beberapa situs yang terkena dampak akan kembali online hari ini atau akhir minggu ini.

Beberapa pakar keamanan cyber mengatakan serangan cyber yang menimpa Honda seperti serangan ransomware, yang berarti peretas mungkin telah mengenkripsi data atau mengunci Honda dari beberapa sistem TI-nya.

“Sepertinya kasus ransomware Ekans digunakan,” kata Morgan Wright, kepala penasihat keamanan di perusahaan keamanan Sentinel One. ‘Ekans, atau Snake ransomware, dirancang untuk menyerang jaringan sistem kontrol industri. Fakta bahwa Honda menahan produksi dan mengirim pekerja pabrik pulang dapat mengacu pada adanya gangguan sistem manufaktur mereka.’

Tidak diketahui bagaimana para pelaku cyber menyusup ke sistem komputer Honda, tetapi penelitian menunjukkan bahwa serangan ransomware sedang meningkat dengan para peretas yang menggunakan umpan terkait Covid-19 untuk mengelabui para korban agar mengunduh dokumen-dokumen dan file-file yang berbahaya.

Berita selengkapnya dapat dibaca pada tautan di bawah;
Source: BBC

Apple Menerbitkan Sumber Daya Gratis Untuk Meningkatkan Keamanan Kata Sandi

by

Apple telah menerbitkan seperangkat alat dan sumber daya gratis untuk membantu pengembang pengelola kata sandi – dan juga aplikasi lain – untuk menghasilkan kata sandi yang kuat.

Alat itu disebut Sumber Daya Pengelola Kata Sandi ( Password Manager Resources), telah tersedia di GitHub sejak tanggal 6 Juni, 2020. Apple mengatakan alat baru ini dimaksudkan untuk membantu pengembang aplikasi pengelola kata sandi menciptakan pengalaman yang lebih baik bagi pengguna.

Apple mengatakan mereka menerbitkan alat ini untuk mengatasi masalah yang sudah lama terjadi kepada pengguna di semua sistem operasi dengan aplikasi pengelola kata sandi.

Masalahnya adalah bahwa sementara pengelola kata sandi membuat kata sandi yang unik dan kuat, kata sandi ini seringkali tidak kompatibel dengan situs web tempat mereka dibuat.

Pengguna yang mengalami kesalahan saat membuat kata sandi acak seringkali akan memilih untuk memilih kata sandi mereka sendiri, yang seringnya lebih pendek dan kurang aman daripada yang biasanya dihasilkan oleh aplikasi pengelola kata sandi.

Selain itu, Apple juga membagikan daftar URL situs web tempat pengguna saat ini diarahkan untuk mengubah kata sandi mereka. Apple mengatakan daftar ini akan berguna bagi pengembang pengelola kata sandi jika mereka mendeteksi kata sandi yang lemah dan ingin membawa pengguna langsung ke halaman di mana mereka dapat mengubah kata sandinya.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Eksploitasi Kritis Pada Windows 10 Telah Dikonfirmasi, Beberapa Bulan Setelah Pembaruan Darurat Microsoft

by

Badan keamanan siber pemerintah AS memperingatkan para actor cyber sedang menargetkan sistem Windows 10 yang masih rentan terhadap celah keamanan kritis yang telah 3 bulan diungkapkan.

CVE-2020-0796, yang lebih dikenal hari ini sebagai SMBGhost, dianggap sangat berbahaya jika digunakan sebagai senjata untuk menyerang, sehingga layak mendapat peringkat sistem penilaian kerentanan (CVSS) “sempurna” (10). Microsoft cepat bertindak. Mereka mengeluarkan pemberitahuan darurat dalam beberapa hari.

SMBGhost adalah sebuah kerentanan wormable yang dapat mengaktifkan eksekusi sembarang kode dari jarak jauh, kemudian pada akhirnya, mengendalikan sistem yang ditargetkan jika serangan berhasil diluncurkan.

Serangan seperti itu akan membutuhkan mesin Windows 10 atau Windows Server Core yang tidak ditambal dan rentan serta, yang terpenting, kode eksploit yang berfungsi dan tersedia.

Dalam sebuah pemberitahuan, CISA baru saja mengkonfirmasi bahwa mereka mengetahui kode proof of concept (PoC) yang tersedia untuk umum dan fungsional. Selain itu, CISA juga memperingatkan, “pelaku cyber jahat menargetkan sistem yang belum ditambal dengan PoC baru, menurut laporan sumber terbuka baru-baru ini.”

CISA telah mengatakan bahwa “sangat merekomendasikan menggunakan firewall untuk memblokir port SMB dari internet,” dan bahwa aplikasi tambalan dan pembaruan untuk kerentanan kritis tersebut harus diterapkan sesegera mungkin.

Pembaruan keamanan Microsoft yang menangani SMBGhost di Windows 10 versi 1909 dan 1903 dan Server Core untuk versi yang sama, dapat ditemukan di sini.

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Forbes

Ransomware Baru Ini Menargetkan PC Windows dan Linux Dengan Serangan ‘Unik’

by

Sebuah bentuk ransomware yang baru terungkap sedang mengejar sistem Windows dan Linux dalam kampanye yang ditargetkan.

Dinamai Tycoon, ransomware ini telah aktif sejak Desember 2019 dan terlihat sebagai ciptaan penjahat cyber yang sangat selektif dalam penargetan mereka. Malware ini juga menggunakan teknik penyebaran yang tidak biasa yang membantu tetap tersembunyi di jaringan yang dikompromikan.

Target utama Tycoon adalah organisasi dalam industri pendidikan dan perangkat lunak.

Tycoon ditemukan dan dirinci oleh para peneliti di BlackBerry yang bekerjasama dengan analis keamanan di KPMG. Ini adalah bentuk ransomware yang tidak biasa karena ditulis menggunakan bahasa pemograman Java, disebarkan sebagai trojanized Java Runtime Environment dan disusun dalam file gambar Java (Imagej) untuk menyembunyikan niat jahatnya.

Para peneliti berpendapat bahwa Tycoon berpotensi dikaitkan dengan bentuk ransomware lain, Dharma – juga dikenal sebagai Crysis – karena kesamaan dalam alamat email, nama file yang dienkripsi, dan teks catatan tebusan.

Tahap pertama serangan ransomware Tycoon adalah dengan intrusi awal yang datang melalui server internet-facing RDP yang tidak aman. Karena RDP adalah salah satu cara yang umum untuk melakukan serangan cyber, organisasi dapat memastikan bahwa satu-satunya port yang menghadap ke luar ke internet adalah yang benar-benar dibutuhkan saja.

Menerapkan patch keamanan saat dirilis juga dapat mencegah banyak serangan ransomware, karena dapat menghentikan penjahat yang mencoba mengeksploitasi kerentanan yang diketahui. Organisasi juga harus memastikan bahwa mereka secara teratur membuat cadangan jaringan mereka – dan bahwa cadangan itu dapat diandalkan – sehingga jika yang terburuk terjadi, jaringan tersebut dapat dipulihkan tanpa menuruti tuntutan para penjahat dunia maya.

Artikel selengkapnya dapat dibaca pada tautan di bawah:
Source: ZDNet

Stalkerware: Apa yang harus dilakukan jika Anda adalah targetnya

by

Sangat mudah bagi seseorang untuk membeli dan menginstal aplikasi yang mengganggu, yang dikenal sebagai stalkerware, pada perangkat orang lain. Aplikasinya berlimpah, menurut perusahaan perangkat lunak antivirus yang melacak prevalensinya.

Sebuah pemungutan suara Harris baru-baru ini dilakukan dengan perusahaan antivirus NortonLifeLock menemukan bahwa satu dari 10 orang mengakui menggunakan stalkerware untuk melacak pasangan atau mantan mereka. Aplikasi ini sangat sederhana sehingga beberapa orang di TikTok telah memposting tutorial 60 detik tentang cara menggunakannya.

Perangkat lunak ini bekerja pada komputer tetapi telah menjadi sangat kuat untuk digunakan pada ponsel, mengubah gadget menjadi perangkat pengawasan yang mengungkapkan data lokasi serta email, riwayat penelusuran web, dan banyak lagi. Mungkin ada alasan yang sah untuk menggunakan aplikasi pelacakan, seperti memantau telepon anak-anak, atau memantau karyawan (dengan persetujuan mereka). Namun, kenyataannya adalah bahwa aplikasi ini disalahgunakan oleh orang-orang yang memata-matai orang dewasa tanpa persetujuan mereka, menurut pejabat penegak hukum dan kekerasan dalam rumah tangga dan ahli hukum.

Tidak mudah untuk memutuskan apa yang harus dilakukan tentang hal itu, kata pakar kekerasan dalam rumah tangga, karena pasangan atau mantan Anda mungkin menjadi lebih berbahaya jika Anda menghapus software tersebut pada perangkat Anda. Tetapi ada beberapa langkah yang dapat Anda ambil untuk mempelajari lebih lanjut tentang software ini dan apakah itu ada di perangkat Anda.

Apa itu stalkerware?

Stalkerware mengacu pada sekelompok besar aplikasi yang orang lain dapat instal pada perangkat Anda untuk mencegat teks dan panggilan telepon, mengakses lokasi Anda, mencatat aktivitas penjelajahan web Anda dan menyalakan kamera atau mikrofon Anda. Informasi yang dikumpulkan oleh aplikasi seperti itu biasanya dikirim ke portal atau aplikasi pendamping yang diakses oleh orang yang memasang stalkerware. Orang yang memasang stalkerware biasanya harus mendapatkan akses fisik ke telepon pengguna untuk menginstal aplikasi.

Bagaimana saya tahu jika ponsel saya memiliki stalkerware?

Ini bisa saja sulit. Perangkat lunak ini sering menyamar, baik dengan menampilkan ikon yang tidak berbahaya (seperti monitor baterai), atau dengan tidak menampilkan ikon sama sekali, kata Kevin Roundy, direktur teknis di kelompok riset NortonLifeLock.

Sekalipun ikon aplikasi tersembunyi di ponsel Anda, ikon itu akan muncul di pengaturan Anda sebagai item dalam daftar aplikasi yang berjalan di perangkat Anda. Aplikasi ini mungkin masih tidak memiliki label yang dapat teridentifikasi sebagai stalkerware, kata Roundy, jadi carilah aplikasi yang tidak Anda kenal. Anda dapat mencari aplikasi yang tampak tidak biasa secara online di perangkat lain untuk melihat apakah Anda dapat menemukan informasi lebih lanjut tentang itu.

Langkah tambahan adalah menggunakan perangkat lunak antivirus di ponsel Anda.

Haruskah saya menghapus stalkerware?

Menghapus aplikasi adalah opsi yang harus dipertimbangkan, tetapi Anda harus membuat keputusan dengan hati-hati. Menghapus aplikasi pengintai mungkin membuat Anda dalam bahaya yang lebih besar jika itu mendorong pasangan atau mantan Anda untuk terlibat dalam perilaku yang bahkan lebih menakutkan. Kekhawatiran ini adalah mengapa banyak perusahaan antivirus tidak secara otomatis menghapus stalkerware dari ponsel penggunanya.

Cara menghapus, menghancurkan, atau mengganti

Pertama, Anda dapat menghapus akses aplikasi ke hal-hal seperti kamera dan mikrofon Anda, dan kemudian menghapusnya dari telepon Anda. Proses ini dapat bervariasi, dan panduan untuk menghapus aplikasi tertentu dapat dicari secara online, kadang-kadang bahkan di situs web pembuat aplikasi. Penghapusan adalah rute yang paling tidak mengganggu yang bisa Anda ambil, tetapi bisa membuat Anda bertanya-tanya apakah ada sesuatu yang tersisa di ponsel Anda yang dapat memata-matai Anda.

Jika Anda masih merasa tidak nyaman bahwa perangkat Anda aman, Anda dapat melakukan reset pabrik. Melakukan ini dapat mengembalikan ponsel Anda ke keadaan seperti saat Anda membelinya. Anda akan dikeluarkan dari semua akun Anda, dan semua aplikasi tambahan yang diinstal pada ponsel Anda setelah pembelian akan hilang. Sebelum Anda melakukan reset pabrik, penting untuk membuat cadangan foto atau file yang belum Anda simpan di tempat lain.

Terakhir, Anda bisa mendapatkan perangkat baru. Ini adalah nasihat yang sulit bagi siapa pun untuk didengar, terutama jika keadaan keuangan Anda sulit atau pasangan Anda mengendalikan pengeluaran Anda.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: CNET

Serangan Cyber Iran Bertujuan untuk Meningkatkan Level Klorin di Air Israel

by

Serangan cyber Iran pada bulan April di sistem air Israel bertujuan untuk meningkatkan kadar klorin dalam air minum, Financial Times melaporkan pada hari Minggu, mengutip seorang pejabat intelejen yang tidak disebutkan namanya dari negara Barat.

Serangan itu, pertama kali dilaporkan oleh harian Israel Yedioth Ahronoth pada awal Mei, telah diketahui setelah pompa air mulai tidak berfungsi. Menurut laporan itu, serangan itu fokus “pada sistem operasional dan mekanisme untuk menambahkan klorin ke dalam sumur.”

Menurut laporan Financial Times, serangan itu, jika berhasil, bisa menyebabkan puluhan ribu tempat tanpa air, termasuk petani, dan, paling buruk, ratusan orang bisa jatuh sakit.

Sumber intelijen Barat Financial Times mengatakan serangan itu “lebih canggih dari yang mereka bayangkan sebelumnya.”
“Serangan itu hampir berhasil, dan tidak sepenuhnya jelas mengapa itu tidak berhasil,” sumber itu menambahkan.

Israel dilaporkan menanggapi serangan itu dengan menonaktifkan sistem komputer di pelabuhan Iran yang sibuk, sangat mendukung lalu lintas maritim.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Haaretz

Keamanan Siber: Setengah Dari Karyawan Mengakui Bahwa Mereka Mengambil Jalan Pintas Ketika Bekerja Dari Rumah

by

Setengah dari karyawan mengambil jalan pintas berkenaan dengan cybersecurity saat bekerja dari rumah – dan bisa menempatkan organisasi mereka dalam risiko serangan cyber atau pelanggaran data sebagai hasilnya.

Analisis oleh para peneliti di perusahaan cybersecurity Tessian mengungkapkan bahwa 52% karyawan percaya bahwa mereka dapat lolos dari perilaku berisiko ketika bekerja dari rumah, seperti berbagi file rahasia melalui email dan bukannya melalui mekanisme yang lebih tepercaya.

Menurut The State of Data Loss Report dari Tessian, beberapa alasan utama mengapa karyawan tidak sepenuhnya mengikuti praktik data yang aman seperti biasa termasuk bekerja dari perangkat mereka sendiri, bukan dari perusahaan yang mengeluarkannya, serta merasa seolah-olah mereka dapat mengambil risiko tambahan karena mereka tidak diawasi oleh TI dan keamanan.

Dalam beberapa kasus, karyawan tidak sengaja mengabaikan praktik keamanan, tetapi gangguan saat bekerja dari rumah – seperti pengasuhan anak, teman sekamar dan tidak memiliki meja set-up seperti yang mereka lakukan di kantor – berdampak pada bagaimana orang mengoprasikannya.

Sementara itu, beberapa karyawan mengatakan mereka dipaksa untuk mengambil jalan pintas keamanan karena mereka di bawah tekanan untuk menyelesaikan pekerjaan dengan cepat.

“Orang akan mengambil jalan pintas pada praktik terbaik keamanan ketika bekerja dari jarak jauh dan menemukan solusi jika kebijakan keamanan mengganggu produktivitas mereka dalam kondisi kerja baru ini,” kata Tim Salder, CEO Tessian.

“Tapi, yang diperlukan hanyalah satu email yang salah arah, file data yang salah disimpan, atau kata sandi yang lemah, sebelum bisnis menghadapi pelanggaran data yang parah yang mengakibatkan adanya peraturan baru dan gejolak keuangan,” tambahnya.

Sementara lonjakan kerja jarak jauh membawa tantangan tambahan bagi karyawan dan pengusaha, ada sejumlah langkah sederhana yang dapat diambil untuk meningkatkan keamanan tanpa menghambat produktivitas. Salah satunya adalah menggunakan otentikasi multi-faktor, memberikan penghalang ekstra untuk pertahanan yang membantu menghentikan penjahat cyber mendapatkan akses ke akun – dan data perusahaan.

Baca berita selengkapnya pada tautan di bawah ini:
Source: ZDNet