Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Twitter menangguhkan peretas yang diduga mencuri data 45 juta warga Argentina

by

Twitter telah menangguhkan seorang peretas yang diduga mencuri semua data dari database Argentina yang menyimpan ID dan informasi semua 45 juta warga negara itu.

Seorang aktor ancaman yang menggunakan username @aniballleaks mengatakan bahwa mereka berhasil meretas Daftar Orang Nasional Argentina — juga dikenal sebagai RENAPER atau Registro Nacional de las Personas — dan menawarkan untuk menjual data tersebut di forum kejahatan dunia maya.

Data yang bocor termasuk nama, alamat rumah, ulang tahun, nomor Tramite, nomor warga negara, ID foto pemerintah, kode identifikasi tenaga kerja, penerbitan kartu ID dan tanggal kedaluwarsa.

Awalnya, peretas mulai membocorkan informasi terkenal Argentina seperti Lionel Messi dan Sergio Aguero. Namun dalam percakapan dengan The Record, peretas mengatakan bahwa mereka berencana untuk mempublikasikan informasi “1 juta atau 2 juta orang” sambil mencari pembeli yang tertarik dengan data tersebut.

Peretas juga secara diam-diam mengkonfirmasi bagaimana mereka berhasil masuk ke National Registry of Persons, mencatat bahwa “karyawan ceroboh” yang memungkinkan mereka masuk ke sistem.

Pemerintah Argentina merilis pernyataan pada 13 Oktober yang menyangkal bahwa National Registry of Persons telah diretas.

Tetapi pernyataan itu juga mengatakan bahwa VPN dari seseorang di dalam Kementerian Kesehatan telah digunakan untuk mengakses Sistem Identitas Digital tepat sebelum akun Twitter membocorkan data awal pada profil tinggi Argentina itu.

Selengkapnya: ZDNet

Microsoft meminta admin untuk menambal PowerShell untuk memperbaiki bypass WDAC

by Leave a Comment

Microsoft telah meminta administrator sistem untuk menambal PowerShell 7 terhadap dua kerentanan yang memungkinkan penyerang untuk melewati penegakan Windows Defender Application Control (WDAC) dan mendapatkan akses ke kredensial plain text.

PowerShell adalah solusi lintas platform yang menyediakan shell baris perintah, kerangka kerja, dan bahasa skrip yang berfokus pada otomatisasi untuk memproses cmdlet PowerShell.

Microsoft merilis PowerShell 7.0.8 dan PowerShell 7.1.5 untuk mengatasi kerentanan keamanan ini di cabang PowerShell 7 dan PowerShell 7.1 pada bulan September dan Oktober.

WDAC dirancang untuk melindungi perangkat Windows dari perangkat lunak yang berpotensi berbahaya dengan memastikan bahwa hanya aplikasi dan driver tepercaya yang dapat berjalan, sehingga memblokir peluncuran malware dan perangkat lunak yang tidak diinginkan.

Saat lapisan keamanan WDAC berbasis perangkat lunak diaktifkan di Windows, PowerShell secara otomatis masuk ke mode bahasa terbatas, membatasi akses hanya ke serangkaian API Windows yang terbatas.

Dengan memanfaatkan fitur keamanan Windows Defender Application Control melewati kerentanan yang dilacak sebagai CVE-2020-0951, pelaku ancaman dapat menghindari daftar yang diizinkan WDAC, yang memungkinkan mereka menjalankan perintah PowerShell yang seharusnya diblokir saat WDAC diaktifkan.

Cacat kedua, dilacak sebagai CVE-2021-41355, adalah kerentanan pengungkapan informasi di .NET Core di mana kredensial dapat bocor dalam clear teks pada perangkat yang menjalankan platform non-Windows.

Microsoft mengatakan tidak ada langkah-langkah mitigasi saat ini tersedia untuk memblokir eksploitasi kelemahan keamanan ini.

Admin disarankan untuk menginstal versi PowerShell 7.0.8 dan 7.1.5 yang diperbarui sesegera mungkin untuk melindungi sistem dari potensi serangan.

Selengkapnya: Bleeping Computer

Survei Gartner terhadap CIO menyoroti investasi dalam AI, cloud, dan keamanan siber

by

Sebuah survei baru dari Gartner menemukan bahwa mayoritas CIO (Chief Information Officer) memfokuskan investasi mereka tahun ini dan tahun depan pada AI dan teknologi cloud terdistribusi.

Survei Eksekutif Teknologi dan CIO 2022 menampilkan data yang dikumpulkan dari 2.387 responden CIO dan eksekutif teknologi di 85 negara, yang mewakili sekitar $9 triliun dalam anggaran pendapatan/sektor publik dan $198 miliar dalam pengeluaran TI.

Survei tersebut berfokus pada “komposabilitas bisnis”, — yang melibatkan pola pikir, teknologi, dan serangkaian kemampuan operasi yang memungkinkan organisasi untuk berinovasi dan beradaptasi dengan cepat terhadap perubahan kebutuhan bisnis.

Monika Sinha, wakil presiden riset di Gartner, mengatakan komposisi bisnis adalah “penangkal volatilitas.”

Menduduki daftar investasi yang direncanakan untuk tahun 2022, keamanan siber dan informasi dikutip oleh 66% dari semua responden sebagai bidang yang mereka harapkan untuk meningkatkan investasi untuk tahun depan.

Lebih dari setengahnya mengatakan intelijen bisnis dan analitik data juga akan menjadi area di mana mereka berencana untuk berinvestasi besar-besaran tahun depan.

Survei ini juga berfokus pada bagaimana CIO dapat mendorong pemikiran yang dapat disusun, arsitektur bisnis yang dapat disusun, dan teknologi yang dapat disusun.

Sinha mencatat bahwa bisnis berjalan di atas teknologi, tetapi teknologi itu sendiri harus dapat disusun untuk menjalankan bisnis yang dapat disusun. Komposabilitas, Sinha menjelaskan, perlu diperluas ke seluruh tumpukan teknologi, mulai dari infrastruktur yang mendukung integrasi cepat sistem baru dan mitra baru hingga teknologi tempat kerja yang mendukung pertukaran ide.

Selengkapnya: ZDNet

Peretas yang didukung negara melanggar perusahaan telekomunikasi dengan malware khusus

by

Aktor yang disponsori negara yang sebelumnya tidak dikenal sedang menyebarkan perangkat baru dalam serangan yang menargetkan penyedia telekomunikasi dan perusahaan TI di Asia Selatan.

Tujuan kelompok tersebut — dilacak sebagai Harvester oleh para peneliti di Symantec yang menemukannya — adalah untuk mengumpulkan intelijen dalam kampanye spionase yang sangat bertarget yang berfokus pada TI, telekomunikasi, dan entitas pemerintah.

Alat berbahaya Harvester belum pernah ditemukan di alam liar sebelumnya, menunjukkan bahwa ini adalah aktor ancaman tanpa koneksi ke musuh yang diketahui.

Berikut ringkasan alat yang digunakan oleh operator Harvester dalam serangan mereka:

  • Backdoor.Graphon – pintu belakang khusus yang menggunakan infrastruktur Microsoft untuk aktivitas C&C-nya
  • Custom Downloader – menggunakan infrastruktur Microsoft untuk aktivitas C&C-nya
  • Custom Screenshotter – secara berkala mencatat tangkapan layar ke file
  • Cobalt Strike Beacon – menggunakan infrastruktur CloudFront untuk aktivitas C&C-nya (Cobalt Strike adalah alat siap pakai yang dapat digunakan untuk menjalankan perintah, menyuntikkan proses lain, meningkatkan proses saat ini, atau meniru proses lain, serta mengunggah dan mengunduh file)
  • Metasploit – kerangka kerja modular siap pakai yang dapat digunakan untuk berbagai tujuan jahat pada mesin korban, termasuk eskalasi hak istimewa, tangkapan layar, untuk menyiapkan pintu belakang persisten, dan banyak lagi.

Sementara analis Symantec tidak dapat mengetahui vektor infeksi awal, ada beberapa bukti bahwa URL jahat digunakan untuk tujuan itu.

Graphon memberi aktor akses jarak jauh ke jaringan dan menyamarkan kehadirannya dengan memadukan aktivitas komunikasi perintah-dan-kontrol (C2) dengan lalu lintas jaringan yang sah dari CloudFront dan infrastruktur Microsoft.

Poin menarik ditemukan dalam cara custom downloader bekerja, membuat file yang diperlukan pada sistem, menambahkan nilai registri untuk titik muat baru, dan akhirnya membuka browser web tertanam di hxxps://usedust[.]com.

Symantec memperingatkan bahwa Harvester masih aktif di luar sana, kebanyakan menargetkan organisasi di Afghanistan saat ini.

Selengkapnya: Bleeping Computer

Windows 10, iOS 15, Ubuntu, Chrome jatuh di kontes peretasan Tianfu China

by

Peneliti keamanan China membawa pulang $ 1,88 juta setelah meretas beberapa perangkat lunak paling populer di dunia di Piala Tianfu, kompetisi peretasan terbesar dan paling bergengsi di negara itu.

Kontes, yang berlangsung selama akhir pekan 16 dan 17 Oktober di kota Chengdu, dimenangkan oleh peneliti dari perusahaan keamanan China Kunlun Lab, yang membawa pulang $654.500, sepertiga dari total dompet.

Kompetisi, sekarang pada edisi keempat, berlangsung menggunakan aturan klasik yang ditetapkan oleh kontes peretasan Pwn2Own.

Pada bulan Juli, penyelenggara mengumumkan serangkaian target, dan peserta memiliki waktu tiga hingga empat bulan untuk mempersiapkan eksploitasi yang akan mereka lakukan pada perangkat yang disediakan oleh penyelenggara di panggung kontes.

Para peneliti memiliki tiga upaya 5 menit untuk menjalankan eksploitasi mereka, dan mereka dapat mendaftar untuk meretas beberapa perangkat jika mereka ingin meningkatkan kemenangan mereka.

Edisi tahun ini mencakup daftar 16 kemungkinan target dan merupakan salah satu edisi Piala Tianfu yang paling sukses, dengan 11 peserta memasang eksploitasi yang berhasil terhadap 13 target.

Satu-satunya yang tidak berhasil diretas termasuk Synology DS220j NAS, smartphone Xiaomi Mi 11, dan kendaraan listrik China yang mereknya tidak pernah diungkapkan — yang bahkan tidak ada peserta yang mendaftar untuk mencoba mengeksploitasinya.

Di sisi lain, eksploitasi berhasil dipasang terhadap hampir semua hal lainnya, berikut list nya:

  • Windows 10 – diretas 5 kali
  • Adobe PDF Reader – 4 kali
  • Ubuntu 20 – 4 kali
  • Paralel VM – 3 kali
  • iOS 15 – 3 kali
  • Apple Safari – 2 kali
  • Google Chrome – 2 kali
  • Router ASUS AX56U – 2 kali
  • Docker CE – 1 kali
  • VMWare ESXi – 1 kali
  • VMWare Workstation – 1 kali
  • qemu VM – 1 kali
  • Microsoft Exchange – 1 kali

Selengkapnya: The Record

Geng TrickBot Memasuki Cybercrime Elite dengan Afiliasi Baru

by

Penjahat dunia maya di balik trojan TrickBot yang terkenal telah menandatangani dua afiliasi distribusi tambahan, dijuluki Hive0106 (alias TA551) dan Hive0107 oleh IBM X-Force. Hasilnya? Meningkatnya serangan ransomware pada perusahaan, terutama menggunakan ransomware Conti.

Perkembangan ini juga berbicara tentang peningkatan kecanggihan geng TrickBot dan berdiri di bawah tanah kejahatan dunia maya, peneliti IBM mengatakan: “Perkembangan terbaru ini menunjukkan kekuatan koneksinya dalam ekosistem kejahatan dunia maya dan kemampuannya untuk memanfaatkan hubungan ini untuk memperluas jumlah organisasi yang terinfeksi. malware-nya.”

Malware TrickBot mulai hidup sebagai trojan perbankan pada tahun 2016, tetapi dengan cepat berkembang menjadi ancaman layanan penuh modular. TrickBot mampu melakukan berbagai fungsi pintu belakang dan pencurian data, dapat memberikan muatan tambahan, dan memiliki kemampuan untuk bergerak cepat secara lateral di seluruh perusahaan.

Untuk mengurangi kemungkinan menderita kerusakan besar akibat infeksi (atau serangan ransomware lanjutan), IBM merekomendasikan untuk mengambil langkah-langkah berikut:

  • Pastikan Anda memiliki redundansi cadangan, disimpan secara terpisah dari zona jaringan yang dapat diakses penyerang dengan akses hanya baca. Ketersediaan cadangan yang efektif merupakan pembeda yang signifikan bagi organisasi dan dapat mendukung pemulihan dari serangan ransomware.
  • Terapkan strategi untuk mencegah pencurian data yang tidak sah, terutama yang berlaku untuk mengunggah data dalam jumlah besar ke platform penyimpanan cloud yang sah yang dapat disalahgunakan oleh penyerang.
  • Gunakan analitik perilaku pengguna untuk mengidentifikasi potensi insiden keamanan. Saat terpicu, anggap telah terjadi pelanggaran. Audit, pantau, dan lakukan tindakan cepat atas dugaan penyalahgunaan yang terkait dengan akun dan grup istimewa.
  • Gunakan otentikasi multi-faktor pada semua titik akses jarak jauh ke dalam jaringan perusahaan.
  • Amankan atau nonaktifkan remote desktop protocol (RDP). Beberapa serangan ransomware telah diketahui mengeksploitasi akses RDP yang lemah untuk mendapatkan entri awal ke dalam jaringan.

Selengkapnya: Threat Post

Total $590 juta pembayaran ransomware dilaporkan ke A.S. pada tahun 2021 saat serangan melonjak

by

Data baru yang keluar pada hari Jumat menunjukkan $590 juta dalam pembayaran terkait ransomware dilaporkan ke otoritas AS pada paruh pertama tahun 2021, menetapkan kecepatan untuk mengalahkan total untuk dekade sebelumnya ketika pemerasan dunia maya sedang booming.

Menurut laporan Departemen Keuangan AS, angka tersebut 42 persen lebih tinggi dari jumlah yang dilaporkan oleh lembaga keuangan sepanjang tahun 2020.

“Jika tren saat ini berlanjut, (laporan) yang diajukan pada tahun 2021 diproyeksikan memiliki nilai transaksi terkait ransomware yang lebih tinggi daripada (laporan) yang diajukan dalam gabungan 10 tahun sebelumnya,” kata Departemen Keuangan.

Kejahatan itu melibatkan pembobolan jaringan entitas untuk mengenkripsi datanya, kemudian menuntut tebusan, biasanya dibayar melalui cryptocurrency dengan imbalan kunci digital untuk membukanya.

Washington telah berusaha untuk menindak peningkatan tajam dalam serangan, termasuk mengeluarkan sanksi pertamanya terhadap pertukaran online di mana operator gelap diduga menukar cryptocurrency dengan uang tunai.

Data baru tentang skala pembayaran yang terkait dengan peretasan muncul setelah lebih dari dua lusin negara memutuskan untuk bersama-sama memerangi ransomware selama pertemuan puncak yang dipimpin Washington.

Amerika Serikat mengumpulkan negara-negara – dengan pengecualian Rusia – untuk menyatukan dan meningkatkan upaya memerangi kejahatan dunia maya yang transnasional, meningkat dan berpotensi menghancurkan.

Keamanan digital yang lebih kuat dan pencadangan offline serta secara kolektif menargetkan pencucian hasil serangan diidentifikasi sebagai langkah penting dalam pertarungan.

Selengkapnya: Japan Today

Perusahaan Berebut Untuk Menerapkan Zero Trust Security

by

Rekor tingkat ransomware, serangan rantai pasokan, dan berbagai jenis pelanggaran memotivasi organisasi untuk memprioritaskan keamanan “tanpa kepercayaan” pada tahun 2021.

Zero trust adalah inisiatif strategis yang membantu mencegah pelanggaran data yang berhasil dengan menghilangkan konsep kepercayaan dari arsitektur jaringan organisasi. Zero trust bukan tentang membuat sistem dipercaya; ini adalah tentang menghilangkan kepercayaan sepenuhnya.

Laju upaya pelanggaran dan serangan siber yang tak henti-hentinya terus meningkat, membuat adopsi berbasis zero trust semakin mendesak bagi perusahaan, menurut survei baru-baru ini terhadap para profesional keamanan siber.

Delapan puluh persen organisasi mengatakan mereka berencana untuk menerapkan zero trust security dalam waktu kurang dari 12 bulan; 83% setuju bahwa zero trust secara strategis diperlukan untuk bisnis mereka yang berkelanjutan.

Selain itu, Departemen Pertahanan sekarang diberi mandat untuk beralih ke pendekatan zero trust, menandai pertama kalinya persyaratan strategi dunia maya global telah ditetapkan untuk lembaga pemerintah utama.

Survei Dinamika Pasar Zero Trust pertama Ericom menilai persepsi pasar tentang kerangka zero trust security, mengeksplorasi rencana organisasi untuk adopsi dan implementasi, dan mengidentifikasi masalah utama yang menghambat pergerakan mereka ke zero trust.

Sekitar 1.300 profesional keamanan dan risiko berpartisipasi dalam survei Ericom Juli 2021.

Kerangka kerja keamanan tanpa kepercayaan sekarang menjadi topik reguler di tingkat dewan dan Eksekutif tingkat C. Eksekutif menuntut lebih banyak visibilitas dan kontrol di seluruh jaringan mereka hingga endpoint. Dengan mempertimbangkan dinamika pasar tersebut, wawasan utama dari Survei Dinamika Pasar Zero Trust Ericom meliputi:

  • Delapan puluh dua persen profesional S&R (Security & Risk) mengatakan zero trust adalah strategi penting untuk organisasi mereka, dan 56% berencana untuk beralih ke zero trust dalam enam bulan atau kurang.
  • Eksekutif tingkat C mengatakan anggaran mereka mencerminkan peningkatan penekanan pada infrastruktur cloud multi-cloud dan hybrid karena organisasi mereka berusaha untuk menjadi sepenuhnya virtual
  • Lima puluh dua persen profesional S&R mengadopsi zero trust security untuk mencapai pendekatan yang lebih proaktif untuk mengamankan operasi bisnis inti mereka.

Selengkapnya: Venturebeat