Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Peretas Korea Utara menggunakan malware Vyveva baru untuk menyerang kapal barang

by

Grup peretasan Lazarus yang didukung Korea Utara menggunakan malware baru dengan kemampuan backdoor yang dijuluki Vyveva dan menargetkan serangan terhadap perusahaan logistik pengiriman Afrika Selatan.

Meskipun ESET hanya menemukan dua mesin yang terinfeksi malware ini, keduanya milik perusahaan pengiriman Afrika Selatan yang sama, backdoor kemungkinan digunakan dalam kampanye spionase yang ditargetkan sejak pertama kali digunakan di alam liar.

Malware ini hadir dengan serangkaian kemampuan spionase dunia maya yang memungkinkan operator Lazarus memanen dan mengekstrak file dari sistem yang terinfeksi ke server di bawah kendali mereka menggunakan jaringan anonim Tor sebagai saluran komunikasi yang aman.

Lazarus juga dapat menggunakan Vyveva untuk mengirim dan mengeksekusi kode berbahaya sewenang-wenang pada sistem yang dikompromikan di jaringan korban.

Sementara backdoor akan terhubung ke server command-and-control (C2) setiap tiga menit, ia juga menggunakan pengawas yang dirancang untuk melacak drive yang baru terhubung atau sesi pengguna aktif untuk memicu koneksi C2 baru pada sesi baru atau drive event.

Sumber: Bleeping Computer

Indikator gangguan, termasuk hash sampel Vyveva yang digunakan selama serangan yang menargetkan perusahaan angkutan Afrika Selatan, tersedia di akhir laporan ESET.

Mengambil pendekatan DIY terhadap keamanan siber adalah proposisi yang berbahaya

by

Ada suatu masa ketika TI perusahaan hanya mengkhawatirkan komputasi, jaringan, dan penyimpanan data. Tapi kini, daftar tanggung jawab TI mencakup lusinan kategori. Di atau dekat bagian atas adalah keamanan siber. Dan untuk organisasi besar, keamanan siber tidak semata-mata menjadi tanggung jawab TI.

Ancaman yang meningkat dan jaringan cloud dan pengguna jarak jauh yang terus berkembang telah meningkatkan keamanan siber dari daftar tugas menjadi keharusan bisnis teratas. Bagi banyak organisasi, keamanan siber adalah departemen terpisah dengan eksekutif tingkat-C dan visibilitas dewan direksi.

Tapi keamanan siber bukanlah proposisi satu-dan-selesai. Mencegah ancaman keamanan siber dan memulihkan insiden adalah tanggung jawab yang kompleks dan tidak pernah berakhir. Aktor negara jahat, penjahat dunia maya, dan spionase perusahaan hanyalah beberapa sumber serangan dunia maya. Masing-masing menggunakan lusinan teknik yang terus berkembang untuk mengatasi perlindungan keamanan.

Banyak organisasi beralih ke deteksi dan respons terkelola (MDR) untuk meningkatkan postur keamanan siber mereka. MDR disediakan sebagian atau seluruhnya oleh penyedia layanan.

Layanan MDR profesional mencakup hampir semua proses, teknologi, dan teknik yang digunakan untuk mencegah, mendeteksi, menahan, dan memulihkan ancaman dan serangan keamanan siber. Ini termasuk pengguna jarak jauh, aplikasi cloud, komputasi cloud, jaringan area luas, dan situs jarak jauh.

Penyedia MDR terkemuka dapat mengganti atau menambah pusat operasi keamanan tradisional (SOC) dengan SOC-as-a-Service.

Anda dapat mengoperasikan SOC Anda sendiri dan melakukan pendekatan do-it-yourself (DIY). Tetapi membuat, memelihara, dan mengembangkan SOC adalah salah satu tantangan tersulit dari strategi DIY.

Memiliki SOC 24x7x365 itu rumit. Anda perlu membuat SOC yang diperkuat keamanan dengan semua alat, monitor, perangkat lunak, sistem, peralatan jaringan, dan sensor yang diperlukan. Selain itu, Anda perlu memperoleh, mengintegrasikan, dan mengelola semua layanan dan lisensi pihak ketiga.

SOC harus memiliki sumber daya tambahan yang diperlukan untuk mengevaluasi dan mengintegrasikan teknologi baru. Itu juga harus terus berkembang untuk mengimbangi volume yang terus meningkat dan kompleksitas ancaman dunia maya.

Aspek terberat dalam mengembangkan dan memelihara SOC adalah mempekerjakan tim insinyur tingkat 3. Orang-orang ini harus ahli dalam keamanan siber dengan pengalaman yang cukup untuk mengidentifikasi, menahan, dan memulihkan serangan siber kritis sebelum mereka merusak organisasi secara parah.

Selengkapnya: Security Magazine

Saatnya Menghentikan Klise Keamanan Siber

by

Di pihak pembela, dengan mengatakan bahwa Anda harus selalu benar setiap saat sama saja dengan mengadvokasi keamanan yang sempurna. Keamanan yang sempurna adalah tugas orang bodoh – itu tidak akan terjadi. Seperti yang tersirat oleh Franz Kafka dalam cerpennya, “A Hunger Artist,” pencarian kesempurnaan, pada akhirnya, adalah ketidakmampuan untuk menerima kenyataan apa adanya. Keamanan mutlak gagal karena hal itu menciptakan keengganan untuk berkompromi serta ketakutan yang melumpuhkan akan kegagalan.

Menggagalkan penyerang membutuhkan keterampilan, tekad, dan fleksibilitas. Anda harus cermat dan menggunakan kemampuan yang tersedia untuk Anda. Anda juga tidak boleh puas dengan beberapa tingkat kesuksesan, tetapi harus selalu waspada.

Penyerang bekerja keras untuk membuat pelanggaran terjadi. Mereka meneliti permukaan serangan untuk mencari kerentanan. Mereka memiliki bagian kegagalan, tetapi mereka bertahan. Penjahat dunia maya tampaknya tidak memperhatikan dugaan serangan sukses yang tak terhindarkan. Namun, para pembela menganggap sebagai Injil bahwa mereka akan kehilangan, meskipun banyak alat tersedia yang dapat menemukan dan menangkal gangguan permusuhan.

Langkah pertama untuk mengubur klise adalah membuat program manajemen risiko yang sejalan dengan proses yang sudah ada, seperti NIST Cybersecurity Framework (CSF). CSF penting, karena memberikan pedoman, standar, dan praktik terbaik yang memungkinkan organisasi membuat infrastruktur keamanan yang dapat mengidentifikasi dan mengurangi risiko keamanan siber. Penting juga untuk mengintegrasikan pemodelan ancaman, mengukur keseriusan ancaman dan kerentanan, serta memprioritaskan sumber daya mitigasi serangan, ke dalam kerangka kerja. Peta serangan MITRE ATT & CK sangat berguna saat membuat skenario risiko.

Selain membuat program manajemen risiko yang kuat menggunakan kerangka kerja dan pemodelan ancaman, organisasi dapat menggunakan banyak teknologi yang mengurangi permukaan serangan yang tersedia (misalnya, kebersihan keamanan), membuat penghalang (misalnya anti-malware dan firewall), kontrol identitas (misalnya manajemen identitas yang diistimewakan) ), visibilitas (mis. IDS / IPS), segmentasi (mis. kepercayaan nol), penipuan (mis. honeypot) dan analitik (mis. SIEM). Akhirnya, dilema bromida bagi pembela HAM pada akhirnya dikalahkan oleh kesadaran dan praktik keamanan. Jalankan latihan tabletop kesadaran keamanan, lakukan pengujian penetrasi dan operasi tim merah dan biru, serta pantau terus operasi penyerang dan ancaman yang ada.

selengkapnya : securityboulevard.com

Konten dewasa dari ratusan pembuat konten OnlyFans bocor secara online

by

Setelah Google Drive yang dibagikan diposting secara online yang berisi video dan gambar pribadi dari ratusan akun OnlyFans, seorang peneliti telah membuat alat yang memungkinkan pembuat konten untuk memeriksa apakah mereka adalah salah satu dari korban kebocoran.

Bulan lalu, para peneliti di perusahaan keamanan siber BackChannel menemukan postingan di forum peretasan tempat seorang anggota membagikan Google Drive yang berisi konten bertema dewasa OnlyFans dengan anggota lain di forum tersebut.

Tidak mungkin untuk melihat seberapa besar folder itu tanpa mengunduhnya. Namun, pendiri BackChannel Aaron DeVera mengatakan kepada BleepingComputer bahwa folder Google Drive awalnya berisi folder untuk 279 creator OnlyFans, dengan salah satu folder tersebut memiliki lebih dari 10GB video dan foto.

Dari tanggal file di share folder, sebagian besar konten tampaknya telah diupload pada Oktober 2020.

Karena banyaknya creator yang bocor di share folder ini, BackChannel yakin itu telah dikompilasi oleh banyak orang.

Untuk membantu pembuat konten OnlyFans menentukan apakah konten mereka adalah bagian dari kebocoran ini, BackChannel telah membuat halaman web ‘Alat Pencarian OnlyFans‘. Alat ini memungkinkan pembuat OnlyFans untuk memasukkan nama membernya dan menentukan apakah konten mereka telah dibagikan tanpa izin.

Jika creator memasukkan member mereka dan konten mereka ditemukan dalam kebocoran, situs akan merekomendasikan agar pengguna mengunjungi https://labac.dev/content, yang berisi template pemberitahuan pelanggaran DMCA yang dapat digunakan untuk menghapus konten.

Selengkapnya: Bleeping Computer

Pusat keamanan siber Canberra mendapat lampu hijau

by

Ibu kota Australia, Canberra, membangun pusat keamanan siber untuk memajukan dan memamerkan keahlian kota sebagai ibu kota dunia maya di negara tersebut.

Pemerintah Australian Capital Territory (ACT) menginvestasikan $ 700.000 di Canberra Cyber Hub, yang juga bertujuan untuk memanfaatkan kemampuan dunia maya Canberra untuk menciptakan lebih banyak lapangan kerja dan lebih mendiversifikasi ekonomi ACT, sambil menumbuhkan sektor keamanan siber di wilayah tersebut.

Keamanan dunia maya adalah salah satu sektor dengan pertumbuhan tercepat di negara ini. Selama beberapa tahun ke depan, pengeluaran Australia di sektor ini diharapkan tumbuh 35 persen menjadi $ 7,6 miliar, sementara sekitar 7.000 pekerjaan keamanan siber tambahan akan tercipta.

Dr Michael Frater, sebelumnya dari University of New South Wales Canberra, akan memimpin pembentukan proyek Canberra Cyber Hub, yang akan berfokus pada empat tujuan utama:

  • mengembangkan jalur pelatihan keamanan siber Canberra
  • mempercepat SME untuk menumbuhkan koneksi dan menarik investasi
  • mempromosikan kemampuan penelitian ACT; dan
  • menampilkan kemampuan keamanan siber Canberra.

selengkapnya : www.smartcitiesworld.net

VISA: Semakin banyak peretas yang menggunakan web shell untuk mencuri kartu kredit

by

Pemroses pembayaran global VISA memperingatkan bahwa pelaku ancaman semakin banyak menggunakan web shell pada server yang disusupi untuk mengekstrak informasi kartu kredit yang dicuri dari pelanggan toko online.

Sepanjang tahun lalu, VISA telah melihat tren yang berkembang dari web shell yang digunakan untuk menyuntikkan skrip berbasis JavaScript yang dikenal sebagai skimmer kartu kredit ke toko online yang diretas dalam serangan skimming web (alias skimming digital, e-Skimming, atau Magecart).

Setelah digunakan, skimmer memungkinkan mereka untuk mencuri pembayaran, dan informasi pribadi yang dikirimkan oleh pelanggan toko online yang disusupi dan mengirimkannya ke server yang mereka kendalikan.

Pada bulan Februari, temuan VISA dikonfirmasi oleh tim Microsoft Defender Advanced Threat Protection (ATP), yang mengatakan bahwa jumlah web shell yang digunakan pada server yang disusupi hampir dua kali lipat sejak tahun lalu.

Peneliti keamanan perusahaan menemukan rata-rata 140.000 alat berbahaya semacam itu di server yang diretas setiap bulan, antara Agustus 2020 hingga Januari 2021.

Sebagai perbandingan, Microsoft mengatakan dalam laporan tahun 2020 bahwa mereka mendeteksi rata-rata 77.000 web shell setiap bulan, berdasarkan data yang dikumpulkan dari sekitar 46.000 perangkat berbeda antara Juli dan Desember 2019.

Selengkapnya: Bleeping Computer

REvil ransomware sekarang mengubah kata sandi menjadi auto-login dalam Mode Aman

by

Perubahan terbaru pada REvil ransomware memungkinkan pelaku ancaman untuk mengotomatiskan enkripsi file melalui Safe Mode setelah mengubah sandi Windows.

Pada akhir Maret, sampel baru REvil ransomware ditemukan oleh peneliti keamanan R3MRUM yang menyempurnakan metode enkripsi Safe Mode baru dengan mengubah kata sandi pengguna yang masuk dan mengkonfigurasi Windows untuk masuk secara otomatis (auto-login) saat reboot.

Dengan contoh baru ini, ketika argumen -smode digunakan, ransomware akan mengubah kata sandi pengguna menjadi ‘DTrump4ever.’

Ransomware kemudian mengkonfigurasi nilai Registry berikut sehingga Windows secara otomatis akan login dengan informasi akun baru.

Meskipun tidak diketahui apakah sampel baru pengenkripsi ransomware REvil terus menggunakan kata sandi ‘DTrump4ever’, setidaknya dua sampel yang diunggah ke VirusTotal dalam dua hari terakhir terus melakukannya.

Perubahan ini menggambarkan bagaimana geng ransomware terus mengembangkan taktik mereka untuk berhasil mengenkripsi perangkat korban dan memaksa pembayaran tebusan.

REvil juga baru-baru ini memperingatkan bahwa mereka akan melakukan serangan DDoS pada korban dan mengirim email ke mitra bisnis korban tentang data yang dicuri jika uang tebusan tidak dibayarkan.

Sumber: Bleeping Computer

Ransomware Cring baru menyerang perangkat Fortinet VPN yang belum ditambal

by

Kerentanan yang memengaruhi Fortinet VPN sedang dieksploitasi oleh jenis ransomware baru yang dioperasikan oleh manusia yang dikenal sebagai Cring untuk menerobos dan mengenkripsi jaringan perusahaan sektor industri.

Cring ransomware (juga dikenal sebagai Crypt3r, Vjiszy1lo, Ghost, Phantom) ditemukan oleh Amigo_A pada bulan Januari dan dilihat oleh tim CSIRT dari penyedia telekomunikasi Swiss, Swisscom.

Operator Cring menjatuhkan sampel Mimikatz yang disesuaikan, diikuti oleh CobaltStrike setelah mendapatkan akses awal dan menerapkan muatan ransomware dengan mengunduh menggunakan pengelola sertifikat Windows CertUtil yang sah untuk melewati perangkat lunak keamanan.

Seperti yang diungkapkan para peneliti Kaspersky dalam sebuah laporan yang diterbitkan kemarin, para penyerang mengeksploitasi server Fortigate SSL VPN yang terpapar Internet tanpa patch terhadap kerentanan CVE-2018-13379, yang memungkinkan mereka untuk menembus jaringan target mereka.

“Korban serangan ini termasuk perusahaan industri di negara-negara Eropa,” kata peneliti Kaspersky.

“Setidaknya dalam satu kasus, serangan ransomware mengakibatkan penghentian sementara proses industri karena server yang digunakan untuk mengontrol proses industri menjadi terenkripsi.”

Sumber: Kaspersky

Selengkapnya: Bleeping Computer