Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Perusahaan APAC menghadapi serangan siber yang terus meningkat, membutuhkan waktu lebih dari seminggu untuk memulihkannya

by

Lebih banyak organisasi di enam pasar Asia-Pasifik telah dilanggar tahun lalu, dengan rata-rata 60,83% membutuhkan lebih dari seminggu untuk memulihkan serangan keamanan siber ini.

Mereka mengutip kurangnya anggaran dan keterampilan sebagai tantangan utama, dan mengungkapkan rasa frustrasi atas kurangnya pemahaman yang jelas tentang betapa sulitnya mengelola risiko keamanan siber.

Sekitar 68% responden dalam studi Sophos mengatakan mereka berhasil dilanggar tahun lalu, naik dari 32% pada 2019. Di antara mereka yang dilanggar, 55% mengatakan mereka mengalami kehilangan data yang “sangat serius” atau “serius”, ungkap survei tersebut, yang dilakukan oleh Tech Research Asia dan melakukan survey terhadap 900 bisnis – dengan setidaknya 150 karyawan – di Singapura, India , Jepang, Malaysia, Australia, dan Filipina.

75% responden Singapura mengatakan mereka membutuhkan setidaknya satu minggu untuk memulihkan serangan siber. Diikuti oleh 68% responden Australia mereka mengaku juga membutuhkan waktu lebih dari seminggu untuk memulihkan serangan siber, seperti yang dilakukan 65% di India, 64% di Malaysia, 55% di Filipina, dan 38% di Jepang.

Organisasi Jepang, pada kenyataannya, dapat pulih dari pelanggaran tercepat, dengan 62% membutuhkan waktu kurang dari seminggu untuk melakukannya.

Di seluruh wilayah, responden menunjuk ransomware, malware, dan phishing sebagai tiga ancaman keamanan teratas.

Studi lebih lanjut mengungkapkan bahwa responden paling frustrasi atas asumsi dalam organisasi bahwa keamanan siber mudah dikelola dan ancaman dibesar-besarkan. Mereka juga mengungkapkan kekesalannya atas kurangnya anggaran untuk menangani dan ketidakmampuan untuk mempekerjakan profesional keamanan yang memadai.

Selengkapnya: ZDNet

Aplikasi Penipuan Bitcoin Disetujui oleh Apple dan Merugikan Pengguna iPhone sebesar $ 600.000 Lebih

by

Aplikasi penipuan bitcoin yang dirancang agar terlihat seperti aplikasi asli diterima oleh tim peninjau App Store Apple dan akhirnya merugikan pengguna iPhone Phillipe Christodoulou 17,1 bitcoin, atau lebih dari $ 600.000 (Rp 8 Milyar) pada saat pencurian, lapor The Washington Post.

Berawal dari Christodoulou ingin memeriksa saldo bitcoin-nya pada bulan Februari, dan mencari “Trezor” di ‌App Store‌ Apple, perusahaan yang membuat perangkat keras tempat dia menyimpan cryptocurrency-nya. Dia melihat aplikasi dengan logo gembok Trezor dan latar belakang hijau, jadi dia mengunduhnya dan memasukkan identitasnya.

Sayangnya, aplikasi tersebut palsu, dan dirancang agar terlihat seperti aplikasi yang sah untuk menipu pemilik bitcoin. Christodoulou memiliki total saldo bitcoin yang dicuri darinya, dan dia marah dengan Apple. “Apple tidak pantas lolos begitu saja,” katanya kepada The Washington Post.

Apple mengatakan aplikasi Trezor palsu berhasil melewati ‌App Store‌ melalui “bait-and-switch”. Itu disebut Trezor dan menggunakan logo dan warna Trezor, tetapi dikatakan bahwa itu adalah aplikasi “kriptografi” yang akan mengenkripsi file ‌iPhone‌ dan menyimpan kata sandi. Setelah aplikasi Trezor palsu disubmit, aplikasi itu berubah menjadi dompet cryptocurrency, yang tidak dapat dideteksi oleh Apple.

Juru bicara Apple Fred Sainz mengatakan kepada The Washington Post bahwa Apple mengambil tindakan cepat ketika penjahat menipu pengguna ‌iPhone‌. Apple mengakui telah menemukan penipuan mata uang kripto lainnya di ‌App Store, tetapi tidak memberikan rincian spesifik tentang jumlah atau apakah pernah ada aplikasi Trezor palsu sebelumnya.

Pengguna ‌iPhone‌ lain yang kehilangan Ethereum dan bitcoin senilai $ 14.000 (Rp 200 juta) mengatakan bahwa perwakilan Apple mengatakan kepadanya bahwa Apple tidak bertanggung jawab atas kerugian dari aplikasi Trezor palsu.

Selengkapnya: MacRumors

VMware memperbaiki bug yang memungkinkan penyerang mencuri kredensial admin

by

VMware telah menerbitkan pembaruan keamanan untuk mengatasi kerentanan tingkat keparahan tinggi dalam vRealize Operations yang memungkinkan penyerang mencuri kredensial admin setelah mengeksploitasi server yang rentan.

vRealize Operations adalah manajemen operasi TI yang didukung AI dan “berjalan sendiri” untuk lingkungan pribadi, hybrid, dan multi-cloud, tersedia sebagai solusi di lokasi atau SaaS.

Kerentanan tersebut ditemukan dan dilaporkan ke VMware oleh peneliti keamanan web Positive Technologies Egor Dimitrenko.

Kerentanan yang dilaporkan secara pribadi yang dilacak sebagai CVE-2021-21975 disebabkan oleh bug Server Side Request Forgery di vRealize Operations Manager API.

Penyerang dapat mengeksploitasi kerentanan dari jarak jauh tanpa memerlukan otentikasi atau interaksi pengguna dalam serangan dengan kompleksitas rendah untuk mencuri kredensial administratif.

VMware menilai kelemahan keamanan tersebut sebagai tingkat keparahan yang tinggi dengan memberinya skor dasar 8,6 dari 10.

Detail tentang cara mendapatkan patch keamanan untuk Operasi vRealize tersedia di artikel dukungan yang ditautkan di bawah ini:

Sumber: Bleeping Computer

Serangan Microsoft Exchange meningkat sementara WannaCry memulai kembali infeksinya

by

Kerentanan yang baru-baru ini ditambal di Microsoft Exchange telah memicu minat baru di antara penjahat siber, yang meningkatkan volume serangan yang berfokus pada vektor khusus ini.

Meskipun frekuensi serangan ransomware meningkat dalam enam bulan terakhir, perusahaan keamanan siber Check Point minggu lalu melihat lonjakan insiden yang menargetkan server Microsoft Exchange yang rentan terhadap apa yang disebut dengan bug kritis ProxyLogon.

Bahkan dengan patch yang bergerak dengan kecepatan tinggi, perusahaan melihat percobaan serangan tiga kali lipat di seluruh dunia, terhitung puluhan ribu.

Menurut Microsoft, ada sekitar 82.000 server Exchange yang rentan pada 14 Maret. Sekitar seminggu kemudian, jumlah tersebut turun drastis menjadi sekitar 30.000 mesin yang terpapar, sesuai data dari RiskIQ.

Data telemetri dari Check Point pekan lalu menunjukkan lebih dari 50.000 upaya serangan secara global, kebanyakan ditujukan pada organisasi di pemerintahan/militer, manufaktur, dan sektor perbankan/keuangan.

Perusahaan melihat peningkatan 57% dalam serangan ransomware selama enam bulan terakhir di tingkat global. Yang lebih mengkhawatirkan adalah kenaikan bulanan yang konstan sebesar 9% sejak awal tahun.

Selain strain ransomware normal yang diamati (Maze, Ryuk, REvil), perusahaan mencatat peningkatan 53% dalam jumlah organisasi yang terpengaruh oleh ransomware wormable WannaCry.

Alasan di balik tingginya angka tersebut adalah WannaCry yang menjadi wormable (serangan yang dapat menyebar dari satu mesin ke mesin lainnya tanpa interaksi manusia) dan ribuan sistem masih rentan terhadap EternalBlue yang dapat dijangkau melalui internet publik.

Sumber: Bleeping Computer

Miliaran catatan telah diretas. Jadikan keamanan siber sebagai prioritas atau risiko bencana, analis memperingatkan

by

Lebih banyak catatan data telah disusupi pada tahun 2020 daripada gabungan 15 tahun terakhir, dalam apa yang digambarkan sebagai “krisis pelanggaran data” yang meningkat dalam studi terbaru dari perusahaan analisis Canalys.

Selama 12 bulan terakhir, 31 miliar catatan data telah dikompromikan, kata Canalys. Data ini naik 171% dari tahun sebelumnya, dan merupakan lebih dari setengah dari 55 miliar catatan data yang telah disusupi secara total sejak 2005.

Kasus ransomware telah meningkat, dengan jumlah insiden yang dilaporkan naik 60% dibandingkan tahun 2019.

Menurut Canalys, ledakan serangan yang belum pernah terjadi sebelumnya ini sebagian dapat dikaitkan dengan pandemi COVID-19, yang memaksa organisasi di seluruh dunia untuk mendigitalkan dengan cepat, tanpa cukup memikirkan persyaratan keamanan baru yang datang dengan melakukan bisnis online.

Sumber: Canalys

Digitalisasi bisnis yang serba cepat, pada dasarnya, telah membuka banyak vektor serangan baru untuk dieksploitasi oleh pelaku ancaman. Dengan karyawan yang sekarang mengakses informasi perusahaan dari banyak lokasi berbeda, dan lebih banyak data disimpan dan diproses di luar lingkungan TI tradisional berbasis kantor, diperlukan langkah-langkah keamanan baru. Namun bisnis tampaknya tidak menanggapi ini dengan cukup serius.

Dengan kata lain, laju transformasi digital tidak diimbangi dengan pengamanan jaringan yang memadai terhadap ancaman siber.

Sumber: Canalys

Canalys, sebagai akibatnya, meminta para eksekutif bisnis untuk mengubah pola pikir mereka dari “jika” pelanggaran akan mempengaruhi perusahaan mereka menjadi “kapan”. “Prioritaskan keamanan siber dan berinvestasi dalam memperluas perlindungan, deteksi, dan tindakan respons atau menghadapi bencana,” menyimpulkan laporan itu. “Ini adalah kenyataan pahit bagi organisasi pada tahun 2021. Bagi banyak orang, ini sudah terlambat.”

Sumber: ZDNet

FBI mengungkap kelemahan dalam ransomware Mamba, DiskCryptor

by

Peringatan dari Biro Investigasi Federal A.S. tentang ransomware Mamba mengungkapkan titik lemah dalam proses enkripsi yang dapat membantu organisasi yang ditargetkan pulih dari serangan tanpa membayar uang tebusan.

FBI memperingatkan bahwa serangan ransomware Mamba telah diarahkan pada entitas di sektor publik dan swasta, termasuk pemerintah daerah, agen transportasi, layanan hukum, layanan teknologi, industri, komersial, manufaktur, dan bisnis konstruksi.

Mamba ransomware (alias HDDCryptor) mengandalkan solusi perangkat lunak sumber terbuka bernama DiskCryptor untuk mengenkripsi komputer korban di latar belakang dengan kunci yang ditentukan oleh penyerang.

FBI menjelaskan bahwa menginstal DiskCryptor memerlukan restart sistem untuk menambahkan driver yang diperlukan, yang terjadi dengan Mamba sekitar dua menit setelah menerapkan program.

Agensi tersebut selanjutnya mencatat bahwa kunci enkripsi dan variabel waktu penonaktifan disimpan dalam konfigurasi DiskCryptor, sebuah file plaintext bernama myConf.txt.

Sistem restart kedua terjadi setelah proses enkripsi selesai, sekitar dua jam kemudian, dan catatan tebusan muncul.

Karena tidak ada perlindungan di sekitar kunci enkripsi, karena disimpan dalam bentuk plaintext, FBI mengatakan bahwa jeda dua jam ini adalah peluang bagi organisasi yang terkena ransomware Mamba untuk memulihkannya.

Selengkapnya: Bleeping Computer

Evil Corp beralih ke ransomware Hades untuk menghindari sanksi

by

Ransomware Hades telah dikaitkan dengan geng kejahatan siber Evil Corp yang menggunakannya untuk menghindari sanksi yang dijatuhkan oleh Kantor Pengawasan Aset Luar Negeri (OFAC) Departemen Keuangan.

Evil Corp (alias geng Dridex atau INDRIK SPIDER) telah aktif setidaknya sejak 2007 dan dikenal karena mendistribusikan malware Dridex.

Mereka kemudian beralih ke “bisnis” ransomware, pertama menggunakan ransomware Locky dan kemudian jenis ransomware mereka sendiri yang dikenal sebagai BitPaymer, diterapkan dalam serangan hingga 2019.

Departemen Keuangan AS memberi sanksi kepada anggota geng Evil Corp pada Desember 2019 setelah didakwa karena menggunakan Dridex untuk menyebabkan kerugian finansial lebih dari $ 100 juta.

Karena itu, korban mereka menghadapi situasi sulit jika mereka ingin membayar uang tebusan Evil Corp karena mereka juga akan melanggar sanksi.

Mulai Juni 2020, Evil Corp memperbarui taktiknya untuk menghindari sanksi, menyebarkan ransomware WastedLocker baru dalam serangan yang menargetkan organisasi perusahaan.

CrowdStrike sekarang menghubungkan geng kejahatan siber tersebut ke ransomware Hades berdasarkan “significant code overlap”. Alat malware baru yang sebelumnya tidak memiliki atribut ini membantu Evil Corp melewati sanksi untuk menghasilkan uang dari serangan mereka.

Hades ransomware adalah varian WastedLocker yang dikompilasi 64-bit yang ditingkatkan dengan obfuscation kode tambahan dan beberapa perubahan fitur kecil.

Meskipun tidak banyak serangan ransomware Hades yang dilaporkan oleh organisasi yang terpengaruh, korban Evil Corp telah menggunakan layanan ID-Ransomware untuk memeriksa apakah sistem mereka terkena ransomware Hades sejak grup tersebut mulai menggunakan jenis baru.

Selengkapnya: Bleeping Computer

OpenSSL memperbaiki DoS yang parah, kerentanan validasi sertifikat

by

Proyek OpenSSL telah mengeluarkan peringatan untuk dua kerentanan tingkat keparahan tinggi CVE-2021-3449 dan CVE-2021-3450 yang bersembunyi di produk OpenSSL.

OpenSSL adalah library perangkat lunak yang umum digunakan untuk membangun aplikasi jaringan dan server yang perlu membangun komunikasi yang aman.

Kerentanan ini meliputi:

  • CVE-2021-3449: Cacat Denial of Service (DoS) karena dereferensi penunjuk NULL yang hanya memengaruhi instance server OpenSSL, bukan klien.
  • CVE-2021-3450: Kerentanan validasi sertifikat Certificate Authority (CA) yang tidak tepat yang memengaruhi instance server dan klien.

Kerentanan DoS (CVE-2021-3449) di server OpenSSL TLS dapat menyebabkan server macet jika selama negosiasi ulang klien mengirim pesan ClientHello berbahaya.

Kerentanan hanya memengaruhi server OpenSSL yang menjalankan versi antara 1.1.1 dan 1.1.1j (keduanya inklusif) yang memiliki TLSv1.2 dan negosiasi ulang yang diaktifkan.

Namun, karena ini adalah konfigurasi default pada versi server OpenSSL ini, banyak server aktif yang berpotensi rentan. Klien OpenSSL tidak terpengaruh.

Untungnya, semua yang diperlukan untuk memperbaiki bug DoS ini adalah perbaikan satu baris, yang terdiri dari pengaturan peer_sigalgslen ke nol.

Kedua kerentanan diperbaiki di OpenSSL 1.1.1k dan pengguna disarankan untuk meningkatkan ke versi ini untuk melindungi instance mereka.

Sumber: Bleeping Computer