Cybersecurity

Telegram muncul sebagai Dark Web baru untuk penjahat siber

September 20, 2021 by Winnie the Pooh

Sebuah penelitian baru menunjukkan bahwa Telegram telah meledak sebagai pusat bagi penjahat dunia maya yang ingin membeli, menjual, dan berbagi data curian dan alat peretasan, ketika aplikasi perpesanan muncul sebagai alternatif dari dark web.

Investigasi oleh kelompok intelijen siber Cyberint, bersama dengan Financial Times, menemukan jaringan besar peretas yang berbagi kebocoran data di platform perpesanan populer, terkadang di channel dengan puluhan ribu pelanggan.

Dalam banyak kasus, kontennya mirip dengan pasar yang ditemukan di dark web, sekelompok situs web tersembunyi yang populer di kalangan peretas dan diakses menggunakan software anonim tertentu.

“Kami baru-baru ini menyaksikan peningkatan 100 persen lebih dalam penggunaan Telegram oleh penjahat siber,” kata Tal Samra, analis ancaman siber di Cyberint.

“Layanan pesan terenkripsinya semakin populer di kalangan pelaku ancaman yang melakukan aktivitas penipuan dan menjual data curian . . . karena lebih nyaman digunakan daripada dark web.”

Meningkatnya aktivitas jahat datang ketika pengguna berbondong-bondong menggunakan aplikasi obrolan terenkripsi awal tahun ini setelah perubahan kebijakan privasi saingan milik Facebook, WhatsApp, mendorong banyak orang untuk mencari alternatif lain.

Menurut Cyberint, jumlah penyebutan di Telegram tentang “Email: pass” dan “Combo” – bahasa peretas yang digunakan untuk menunjukkan bahwa daftar email dan kata sandi curian dibagikan – naik empat kali lipat selama setahun terakhir menjadi hampir 3.400.

Dalam satu channel Telegram publik yang disebut “combolist”, yang memiliki lebih dari 47.000 pelanggan, peretas menjual atau hanya mengedarkan dump data besar dari ratusan ribu nama pengguna dan kata sandi yang bocor.

Jenis data lain yang diperdagangkan termasuk data keuangan seperti informasi kartu kredit, salinan paspor dan kredensial untuk rekening bank dan situs seperti Netflix, menurut penelitian tersebut. Penjahat online juga membagikan perangkat lunak berbahaya, eksploitasi, dan panduan peretasan melalui aplikasi, kata Cyberint.

Selengkapnya: Financial Times

Malware baru menggunakan Subsistem Windows untuk Linux untuk serangan tersembunyi

September 17, 2021 by Winnie the Pooh

Peneliti keamanan telah menemukan binari Linux berbahaya yang dibuat untuk Windows Subsystem for Linux (WSL), menunjukkan bahwa peretas mencoba metode baru untuk menyusup ke mesin Windows.

Temuan ini menggarisbawahi bahwa aktor ancaman sedang mengeksplorasi metode serangan baru dan memfokuskan perhatian mereka pada WSL untuk menghindari deteksi.

Sampel pertama yang menargetkan lingkungan WSL ditemukan pada awal Mei dan terus muncul setiap dua hingga tiga minggu hingga 22 Agustus. Sampel tersebut bertindak sebagai loader untuk lingkungan WSL dan menikmati deteksi yang sangat rendah pada layanan pemindaian file publik.

Dalam sebuah laporan, peneliti keamanan di Lumen’s Black Lotus Labs mengatakan bahwa file berbahaya memiliki muatan yang disematkan atau mengambilnya dari server jarak jauh.

Langkah selanjutnya adalah menyuntikkan malware ke dalam proses yang berjalan menggunakan panggilan Windows API, sebuah teknik yang tidak baru atau canggih lagi.

Dari sejumlah kecil sampel yang diidentifikasi, hanya satu yang datang dengan alamat IP yang dapat dirutekan secara publik, mengisyaratkan bahwa pelaku ancaman sedang menguji penggunaan WSL untuk menginstal malware di Windows.

File berbahaya terutama mengandalkan Python 3 untuk menjalankan tugasnya dan dikemas sebagai executable ELF untuk Debian menggunakan PyInstaller.

Laporan dari Lumen’s Black Lotus Labs memberikan indicators of compromise (IoC) yang terkait dengan kampanye yang terdeteksi untuk membantu para defenders membuat aturan deteksi. Untuk hash file dan data tentang aktivitas aktor ini, para peneliti merujuk ke halaman GitHub perusahaan.

Selengkapnya: Bleeping Computer

Pembaruan keamanan Windows baru merusak network printing

September 17, 2021 by Winnie the Pooh

Administrator Windows melaporkan masalah pencetakan (printing) jaringan skala luas setelah menginstal pembaruan keamanan Patch Tuesday September 2021 minggu ini.

Pada hari Selasa, Microsoft merilis enam puluh pembaruan keamanan dan perbaikan untuk banyak bug sebagai bagian dari pembaruan Patch Tuesday bulanan mereka, termasuk perbaikan untuk kerentanan PrintNightmare terakhir yang dilacak sebagai CVE-2021-36958.

Kerentanan ini sangat penting untuk diperbaiki karena digunakan oleh banyak geng ransomware dan pelaku ancaman untuk segera mendapatkan hak istimewa SISTEM pada perangkat yang rentan, seperti yang ditunjukkan di bawah ini.

Namun, banyak administrator sistem Windows sekarang melaporkan bahwa komputer mereka tidak dapat lagi mencetak ke printer jaringan setelah menginstal perbaikan PrintNightmare di server cetak mereka.

Dalam percakapan dengan beberapa admin Windows yang menangani masalah ini, mereka semua memberi tahu BleepingComputer bahwa pembaruan merusak pencetakan jaringan mereka, dan mereka hanya dapat memperbaikinya dengan menghapus pembaruan.

Masalah ini juga tampaknya memengaruhi semua printer jaringan, termasuk HP, Canon, Konica Minolta, dan printer label, serta untuk driver printer Tipe 3 dan Tipe 4. Mereka yang memiliki printer USB yang terhubung langsung ke komputer mereka tidak mengalami masalah apa pun.

Sayangnya, untuk memperbaiki kerentanan PrintNightmare, Microsoft harus membuat perubahan signifikan selama dua bulan terakhir pada fitur Windows Point and Print dan bagaimana driver dapat diinstal dari server print.

Perubahan ini termasuk mewajibkan hak administrator untuk menginstal driver printer melalui fitur Point and Print.

Setelah Microsoft membuat perubahan ini, pengguna Windows mulai menerima kesalahan saat mencoba mencetak, atau Windows akan meminta kata sandi administratif untuk memperbarui driver printer.

Selengkapnya: Bleeping Computer

Titik siber terang yang langka: ACSC melaporkan total insiden turun 28%

September 16, 2021 by Winnie the Pooh

Tidak sering di bidang keamanan siber bahwa suatu indikator mengarah ke arah yang menyenangkan, tetapi itulah yang dilakukan oleh keseluruhan jumlah insiden dalam Laporan Ancaman Siber Tahunan ACSC.

Untuk tahun fiskal 2020-21, Pusat Keamanan Siber Australia (ACSC) menanggapi 1.630 insiden, yang berarti sekitar 31 insiden seminggu. Dibandingkan dengan tahun keuangan sebelumnya, jumlah total insiden keamanan siber pada tahun keuangan 2020–21 mengalami penurunan sebesar 28%.

Kabar baik lainnya termasuk ACSC tidak harus menanggapi insiden apa pun di sepertiga teratas dari enam kategori penilaian insidennya. Pada tahun sebelumnya, dilaporkan satu insiden kategori 1 dan empat insiden kategori 2.

Sekarang untuk berita buruk nya…

Secara total, ACSC melihat kelas kategori yang lebih tinggi menjadi yang paling banyak dilaporkan, dengan kategori 4 menggantikan kategori 5. Kategori 4 menyumbang 49% sedangkan tahun lalu menyumbang 35% dari semua insiden.

“Proporsi insiden tertinggi yang ditanggapi ACSC terkait dengan aktivitas jahat tingkat rendah seperti pengintaian yang ditargetkan, phishing, atau kehilangan data yang tidak sensitif, terhitung lebih dari setengah insiden keamanan siber,” kata laporan itu.

Laporan tersebut menyoroti peningkatan jumlah kerugian finansial yang terkait dengan kompromi email bisnis (BEC) meskipun jumlah insiden BEC menuju lebih rendah. Total kerugian mencapai AU$81,5 juta, meningkat 15%, dan kerugian rata-rata untuk setiap transaksi BEC yang berhasil melonjak 54% menjadi AU$50.600.

Selengkapnya: ZDNet

Peneliti keamanan di Wiz menemukan kerentanan lain di Azure

September 16, 2021 by Winnie the Pooh

Vendor keamanan cloud Wiz—yang baru-baru ini membuat berita dengan menemukan kerentanan besar dalam layanan database yang dikelola CosmosDB Microsoft Azure—telah menemukan lubang lain di Azure.

Kerentanan baru berdampak pada mesin virtual Linux di Azure. Mereka berakhir dengan layanan yang kurang dikenal yang disebut OMI diinstal sebagai produk sampingan dari mengaktifkan salah satu dari beberapa pelaporan logging dan/atau opsi manajemen di UI Azure.

Paling buruk, kerentanan di OMI dapat dimanfaatkan ke dalam eksekusi kode root jarak jauh — meskipun untungnya, firewall Azure on-by-default, di luar-VM akan membatasinya hanya untuk sebagian besar jaringan internal pelanggan.

OMI—kependekan dari Open Management Interface—dimaksudkan untuk berfungsi seperti layanan WMI Microsoft Windows, memungkinkan pengumpulan log dan metrik serta beberapa manajemen jarak jauh.

Bagian dari spesifikasi OMI memerlukan autentikasi untuk mengikat perintah dan permintaan ke ID pengguna (UID) tertentu—namun sayangnya, bug menyebabkan permintaan cacat yang menghilangkan bait otentikasi sepenuhnya untuk diterima seolah-olah diberikan oleh pengguna root itu sendiri.

Ketika dikonfigurasi untuk manajemen jarak jauh, OMI menjalankan server HTTPS pada port 5986, yang dapat dihubungkan dengan klien HTTPS standar seperti curl dan diberi perintah yang dapat dibaca manusia secara wajar dalam protokol SOAP yang diturunkan dari XML. Dalam konfigurasi lain, OMI hanya berjalan pada soket Unix lokal di /var/opt/omi/run/omiserver.sock, yang membatasi eksploitasinya hanya untuk pengguna lokal.

Selengkapnya: Ars Technica

CEO Cloudflare mengatakan pertukaran crypto adalah target populer bagi penyerang dunia maya

September 16, 2021 by Winnie the Pooh

Pertukaran Cryptocurrency telah menjadi target populer bagi penjahat siber, CEO Cloudflare Matthew Prince mengatakan kepada Jim Cramer dari CNBC pada hari Senin.

“Pepatah lama adalah, Mengapa perampok bank merampok bank? Itu karena di situlah uangnya,” kata Prince dalam sebuah wawancara di “Mad Money.” “Salah satu tempat terbesar yang sedang dikejar penyerang dunia maya saat ini adalah berbagai pertukaran mata uang kripto dan bagian mata uang kripto lainnya di alam semesta.”

Cryptocurrency menarik perhatian sehubungan dengan kejahatan dunia maya awal tahun ini setelah serangan ransomware tingkat tinggi, terutama insiden Colonial Pipeline pada bulan Mei yang untuk sementara mengganggu pasokan bahan bakar di beberapa bagian Pantai Timur.

Peristiwa tersebut memicu perdebatan seputar peran mata uang digital berbasis blockchain dalam munculnya serangan ransomware. Beberapa berpendapat bahwa cryptocurrency memungkinkan insiden ransomware, sementara yang lain mengatakan fakta bahwa transaksi dicatat pada buku besar publik dapat membantu dalam memecahkan kejahatan dunia maya.

Komentar Prince pada hari Senin datang sebagai tanggapan atas pertanyaan dari Cramer, yang menanyakan apakah eksekutif akan merasa aman berinvestasi melalui pertukaran crypto yang merupakan pelanggan Cloudflare. Cramer, yang telah berinvestasi dalam cryptocurrency, mengatakan kepada Prince bahwa dia secara pribadi khawatir “akan ada peretasan dan uang saya akan hilang.”

Selengkapnya: CNBC

Microsoft memperbaiki kerentanan Windows PrintNightmare yang tersisa

September 15, 2021 by Winnie the Pooh

Microsoft telah merilis pembaruan keamanan untuk memperbaiki kerentanan zero-day PrintNightmare terakhir yang tersisa yang memungkinkan penyerang mendapatkan hak administratif pada perangkat Windows dengan cepat.

Pada bulan Juni, kerentanan print spooler Windows zero-day yang dijuluki PrintNightmare (CVE-2021-34527) secara tidak sengaja diungkapkan. Kerentanan ini mengeksploitasi fitur Windows Point and Print untuk melakukan eksekusi kode jarak jauh dan mendapatkan hak istimewa SISTEM lokal.

Sementara Microsoft merilis dua pembaruan keamanan untuk memperbaiki berbagai kerentanan PrintNightmare, kerentanan lain yang diungkapkan secara publik oleh peneliti keamanan Benjamin Delpy masih memungkinkan pelaku ancaman untuk dengan cepat mendapatkan hak istimewa SISTEM hanya dengan menghubungkan ke server cetak jarak jauh.

Lebih buruk lagi, geng ransomware, seperti Vice Society, Magniber, dan Conti, mulai memanfaatkan bug untuk mendapatkan hak istimewa yang lebih tinggi pada perangkat yang disusupi.

Dalam pembaruan keamanan Patch Tuesday September 2021 hari ini, Microsoft telah merilis pembaruan keamanan baru untuk CVE-2021-36958 yang memperbaiki kerentanan PrintNightmare yang tersisa.

Delpy, yang menguji eksploitasinya terhadap pembaruan keamanan baru, mengonfirmasi kepada BleepingComputer bahwa bug tersebut sekarang telah diperbaiki.

Selain memperbaiki kerentanan, Delpy mengatakan kepada BleepingComputer bahwa Microsoft telah menonaktifkan fitur CopyFiles secara default dan menambahkan kebijakan grup tidak berdokumen yang memungkinkan admin untuk mengaktifkannya kembali.

Karena perubahan ini akan memengaruhi perilaku default Windows, tidak jelas masalah apa yang akan ditimbulkannya saat melakukan printing di Windows.

Selengkapnya: Bleeping Computer

Microsoft memperbaiki bug zero-day Windows CVE-2021-40444 MSHTML

September 15, 2021 by Winnie the Pooh

Microsoft hari ini memperbaiki kerentanan zero-day dengan tingkat keparahan tinggi yang dieksploitasi secara aktif dalam serangan yang ditargetkan terhadap Microsoft Office dan Office 365 di komputer Windows 10.

Kelemahan keamanan eksekusi kode jarak jauh (RCE), dilacak sebagai CVE-2021-40444, ditemukan di mesin rendering browser Internet Explorer MSHTML yang digunakan oleh dokumen Microsoft Office.

Menurut Microsoft, CVE-2021-40444 berdampak pada Windows Server 2008 hingga 2019 dan Windows 8.1 atau lebih baru, dan memiliki tingkat keparahan 8,8 dari maksimum 10.

Untungnya, serangan ini dapat digagalkan jika Microsoft Office berjalan dengan konfigurasi default, yang membuka dokumen tidak tepercaya dalam mode Protected View (atau dengan Application Guard untuk pelanggan Office 365).

Namun, seperti yang kemudian dikatakan oleh analis kerentanan CERT/CC Will Dormann kepada BleepingComputer, perlindungan bawaan terhadap eksploitasi CVE-2021-40444 ini kemungkinan akan dilewati baik oleh pengguna yang mengabaikan peringatan Protected View atau oleh penyerang yang mengirimkan dokumen berbahaya yang dibundel dalam arsip 7Zip atau ISO kontainer.

Selain itu, Dormann juga menemukan bahwa pelaku ancaman dapat mengeksploitasi kerentanan ini menggunakan file RTF berbahaya, yang tidak memanfaatkan fitur keamanan Protected View Office.

“Microsoft telah merilis pembaruan keamanan untuk mengatasi kerentanan ini,” kata perusahaan hari ini dalam pembaruan penasihat yang diterbitkan sebagai bagian dari Patch Tuesday bulan ini.

“Silakan lihat tabel Pembaruan Keamanan untuk pembaruan yang berlaku untuk sistem Anda. Kami menyarankan Anda segera menginstal pembaruan ini.”

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings