Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Geng ransomware membocorkan data yang dicuri dari universitas Colorado, Miami

by

Nilai dan nomor jaminan sosial untuk mahasiswa di University of Colorado dan data pasien di University of Miami telah diposting online oleh grup ransomware Clop.

Mulai bulan Desember, pelaku ancaman yang berafiliasi dengan operasi ransomware Clop mulai menargetkan server Accellion FTA dan mencuri data yang tersimpan di dalamnya. Perusahaan menggunakan server ini untuk berbagi file dan informasi sensitif dengan orang di luar organisasi mereka.

Geng ransomware kemudian menghubungi organisasi tersebut dan meminta $ 10 juta dalam bentuk bitcoin atau mereka akan mempublikasikan data yang dicuri.

Sumber: BleepingComputer

Sejak Februari, operasi ransomware Clop telah menerbitkan file yang dicuri menggunakan kerentanan di server berbagi file Accellion FTA.

Minggu ini, geng ransomware Clop mulai menerbitkan tangkapan layar file yang dicuri dari server Accellion FTA yang digunakan oleh Universitas Miami dan Colorado.

Pada bulan Februari, University of Colorado (CU) mengungkapkan bahwa mereka mengalami serangan siber di mana pelaku ancaman mencuri data melalui kerentanan Accellion FTA.

Clop ransomware telah mulai memposting tangkapan layar dari data yang dicuri, termasuk dokumen keuangan universitas, nilai siswa, catatan akademik, informasi pendaftaran, dan informasi biografi siswa.

Sementara University of Miami tidak pernah mengungkapkan insiden keamanan, operasi ransomware Clop juga menerbitkan tangkapan layar data pasien.

Data ini mencakup rekam medis, laporan demografis, dan spreadsheet dengan alamat email dan nomor telepon.

Selengkapnya: Bleeping Computer

Microsoft memperingatkan serangan phishing yang melewati gateway email

by

Operasi phishing berkelanjutan yang mencuri sekitar 400.000 kredensial OWA (Outlook Web Access) dan Office 365 sejak Desember kini telah meluas dengan menyalahgunakan layanan baru yang sah untuk melewati secure email gateways (SEG).

Serangan tersebut merupakan bagian dari beberapa kampanye phishing yang secara kolektif dijuluki Kampanye “Compact”, aktif sejak awal tahun 2020 yang pertama kali terdeteksi oleh Tim Intelijen Ancaman Global WMC.

“Phisher terus menemukan keberhasilan dalam menggunakan akun yang disusupi di layanan pemasaran email untuk mengirim email berbahaya dari domain dan range IP yang sah,” kata pakar keamanan Microsoft.

Email phishing mereka disamarkan sebagai pemberitahuan dari layanan konferensi video, berbagai solusi keamanan, dan alat produktivitas untuk menambah legitimasi.

Pelaku ancaman juga menggunakan akun yang disusupi untuk layanan pengiriman email SendGrid dan MailGun, memanfaatkan gateway email yang aman memungkinkan daftar tersebut menjadi domain tepercaya.

Hal ini memungkinkan pesan phishing untuk melewati mereka dan masuk ke kotak masuk target, membujuk mereka untuk mengklik hyperlink yang disematkan yang mengarahkan mereka ke halaman arahan phishing yang dirancang untuk meniru halaman login Microsoft.

Sumber: Microsoft

Domain dan akun yang digunakan selama kampanye phishing ini akan dihapus segera setelah Microsoft dan WMC Global mendeteksinya.

Selengkapnya: Bleeping Computer

Server Microsoft Exchange sekarang ditargetkan oleh ransomware Black Kingdom

by

Operasi ransomware lain yang dikenal sebagai ‘Black Kingdom’ mengeksploitasi kerentanan Microsoft Exchange Server ProxyLogon untuk mengenkripsi server.

Selama akhir pekan, peneliti keamanan Marcus Hutchins, alias MalwareTechBlog, men-tweet bahwa pelaku ancaman membahayakan server Microsoft Exchange melalui kerentanan ProxyLogon untuk menyebarkan ransomware.

Berdasarkan log dari honeypots-nya, Hutchins menyatakan bahwa pelaku ancaman menggunakan kerentanan untuk menjalankan skrip PowerShell yang mengunduh ransomware yang dapat dieksekusi dari ‘yuuuuu44[.]Com’ dan kemudian mendorongnya ke komputer lain di jaringan.

Michael Gillespie, pencipta ID Ransomware, memberi tahu BleepingComputer bahwa sistemnya telah melihat lebih dari 30 pengiriman unik ke sistemnya, dengan banyak yang dikirim langsung dari server email.

Korban berada di AS, Kanada, Austria, Swiss, Rusia, Prancis, Israel, Inggris, Italia, Jerman, Yunani, Australia, dan Kroasia.

Saat mengenkripsi perangkat, ransomware akan mengenkripsi file menggunakan ekstensi acak dan kemudian membuat catatan tebusan bernama decrypt_file.TxT, seperti yang ditunjukkan di bawah ini.

blackkingdom ransomware
Sumber: BleepingComputer

Black Kingdom adalah ransomware terkonfirmasi kedua setelah DearCry ransomware yang menargetkan kerentanan Microsoft Exchange ProxyLogon.

Sumber: Bleeping Computer

Target sempurna Phisher: Karyawan kembali ke kantor

by

Phisher telah mengeksploitasi ketakutan dan keingintahuan orang-orang tentang terobosan dan berita umum terkait pandemi COVID-19 sejak awal, dan akan terus melakukannya selama hal itu memengaruhi kehidupan pribadi dan pekerjaan.

Penjahat siber terus mengeksploitasi kepentingan publik dalam bantuan COVID-19, vaksin, dan berita varian, menipu Pusat Pengendalian Penyakit (CDC), Layanan Pendapatan Internal AS (IRS), Departemen Kesehatan dan Layanan Kemanusiaan (HHS) AS, Organisasi Kesehatan Dunia (WHO), dan badan serta bisnis lainnya.

Menurut peneliti Inky, karyawan yang perlahan-lahan kembali bekerja di kantor dan lokasi perusahaan lain dapat ditargetkan oleh penjahat siber yang menyamar sebagai kolega dan kepemimpinan perusahaan mereka.

Dilihat dari kampanye yang terdeteksi sebelumnya, penyerang akan memukul karyawan dengan email yang dibuat seolah-olah mereka berasal dari HR atau departemen lain, atau dari CEO.

Sumber: Helpnetsecurity

Email tersebut akan berisi elemen desain yang terkait dengan perusahaan (logo, dll.). Tautan akan mengarah ke pengumpulan kredensial atau situs yang menyajikan malware pada domain yang dibajak, dan akan terlihat seperti mengarah ke alat yang sah (Google, Basecamp, SharePoint, dll).

Phisher akan mencoba menciptakan rasa urgensi, kewajiban, dan bahkan mengancam karyawan dengan sanksi agar mereka mengikuti tautan tersebut.

Selengkapnya: Help Net Security

Pekerjaan jarak jauh membuat keamanan siber menjadi kekhawatiran utama bagi para CEO

by

Para CEO Inggris telah mengungkapkan keprihatinan utama mereka setelah setahun melihat pekerjaan jarak jauh menjadi norma, dengan transformasi digital yang dipercepat dan serangan siber yang sangat terlihat.

Survei CEO global PwC, yang dilakukan pada bulan Januari dan Februari 2021 dengan 5.050 CEO, menghasilkan gambaran yang menarik dan perbandingan dengan survei tahun 2020.

Tidak mengherankan, 94% CEO Inggris menominasikan pandemi dan krisis kesehatan sebagai perhatian utama, diikuti oleh ancaman dunia maya untuk 91% CEO Inggris, sementara 86% mengatakan pertumbuhan ekonomi yang tidak pasti menjadi perhatian utama.

Ketika ditanya tiga ancaman teratas mana yang secara eksplisit diperhitungkan dalam aktivitas manajemen risiko strategis mereka, ‘ancaman siber’ adalah yang paling banyak dipilih oleh CEO Inggris dan dipilih oleh 75%, di depan ‘pandemi dan krisis kesehatan lainnya’ (62%), dan ‘ketidakpastian pertumbuhan ekonomi’ (57%).

Dua pertiga dari CEO Inggris mengatakan mereka berencana untuk meningkatkan investasi dalam keamanan siber dan privasi data. Di tingkat global, ancaman siber menjadi perhatian utama para CEO dalam manajemen aset dan kekayaan, asuransi, ekuitas swasta, perbankan dan pasar modal, dan sektor teknologi, menurut PwC.

Selengkapnya: ZDNet

Keamanan API menjadi prioritas ‘atas’ untuk pemain perusahaan

by

Ketika serangan terhadap API terus meningkat, perusahaan mulai mengambil aspek keamanan adopsi API dengan lebih serius.

Dalam laporan baru yang dirilis oleh Imvision, “API Security is Coming,” Perusahaan meminta lebih dari 100 profesional Cybersecurity di AS dan Eropa untuk wawasan tentang Keamanan API Perusahaan saat ini.

Application programming interfaces (API) menghubungkan layanan dan sistem teknologi yang berbeda. Mereka dapat memproses kueri dari klien, berurusan dengan instruksi sisi server, dan dapat memfasilitasi pengambilan dan pemrosesan data.

Menurut laporan itu, 91% profesional TI mengatakan keamanan API harus dianggap sebagai prioritas dalam dua tahun ke depan, terutama karena lebih dari 70% perusahaan perusahaan diperkirakan menggunakan lebih dari 50 API.

Namun, menemukan pendekatan holistik untuk ‘tulang punggung’ keamanan API ini tetap menjadi tantangan. Lebih dari 80% organisasi diperkirakan menggunakan, atau berencana untuk menggunakan, solusi manajemen terpusat untuk keamanan API – seperti platform Manajemen API (APIM) – tetapi hanya sepertiga responden yang percaya bahwa penyiapan API mereka cukup dilindungi dari serangan siber hari ini.

Perusahaan mengutip integrasi solusi API dengan sistem dan alur kerja saat ini dan mendapatkan visibilitas ke dalam penggunaan API secara keseluruhan sebagai penghalang utama untuk meningkatkan keamanan API.

Selengkapnya: ZDNet

10 Pelajaran Cybersecurity yang dapat dipetik satu tahun dalam pandemi

by

Menurut laporan Global Digital Trust Insights 2021 PWC, 96% eksekutif bisnis dan teknologi memprioritaskan investasi siber mereka karena Covid-19 dan dampaknya terhadap organisasi mereka tahun ini.

Laporan ini didasarkan pada wawancara dengan 3.249 eksekutif bisnis dan teknologi di seluruh dunia, dan setengah dari eksekutif yang disurvei mengatakan cybersecurity dan privasi sedang dimasukkan dalam setiap keputusan dan rencana bisnis. Pada tahun 2019, angka itu mendekati 25%.

Sumber: PwC

Kemampuan aktor jahat untuk di rumah pada kesenjangan cybersecury, dalam sistem dan manusia, terbukti secara akurat pada tahun 2020. Dari banyak pelajaran yang dipetik pada tahun 2020, mungkin yang paling berharga adalah bahwa elemen manusia harus datang lebih dulu.

Berikut ini adalah 10 pelajaran teratas yang dipelajari dalam satu tahun pandemi, menurut Cisos, CIO, dan tim mereka:

  1. Rantai pasokan dunia nyata rentan terhadap serangan siber
  2. Tenaga kerja virtual membuat self-diagnosing dan self-remediating endpoint menjadi sebuah keharusan
  3. Perdagangan Touchless berarti Kode QR sekarang menjadi vektor ancaman yang tumbuh paling cepat
  4. Peningkatan akan serangan siber terhadap penyedia layanan terkelola (MSP).
  5. Penyerang dapat membahayakan rantai pasokan perangkat lunak dan memodifikasi executable
  6. Rekayasa Sosial Dapat Mengompromi Platform Media Sosial
  7. Menggunakan zero-trust untuk mengelola identitas mesin
  8. Aktor jahat Mengubah Catatan Perawatan Kesehatan menjadi Penjualan Terbaik
  9. Kesalahan konfigurasi keamanan cloud adalah penyebab utama pelanggaran data cloud
  10. Pemantauan infrastruktur sangat penting untuk mengidentifikasi anomali.

Selengkapnya: Venturebeat

Booter DDoS sekarang menyalahgunakan server DTLS untuk memperkuat serangan

by

Layanan DDoS-for-hire sekarang secara aktif menyalahgunakan server Datagram Transport Layer Security (D / TLS) yang salah dikonfigurasi atau kedaluwarsa untuk memperkuat serangan Distributed Denial of Service (DDoS).

DTLS adalah versi protokol Transport Layer Security (TLS) berbasis UDP yang mencegah penyadapan dan gangguan pada aplikasi dan layanan yang sensitif terhadap penundaan.

Menurut laporan yang muncul pada bulan Desember, serangan DDOS menggunakan DTLS untuk memperkuat lalu lintas dari perangkat Citrix ADC yang rentan yang menggunakan konfigurasi DTLS tanpa mekanisme anti-spoofing ‘HelloClientVerify’ yang dirancang untuk memblokir penyalahgunaan tersebut.

Serangan DDoS menggunakan DTLS dapat mencapai faktor amplifikasi 35 menurut vendor perlindungan DDoS Jerman Link11 atau rasio amplifikasi 37,34: 1 berdasarkan info dari firma mitigasi DDoS Netscout.

Platform DDoS-for-hire, juga dikenal sebagai stressers atau booters, sekarang juga menggunakan DTLS sebagai vektor amplifikasi yang menempatkannya di tangan penyerang yang kurang canggih.

Layanan booter digunakan oleh pelaku ancaman, orang iseng, atau peretas tanpa waktu untuk berinvestasi atau keterampilan untuk membangun infrastruktur DDoS mereka sendiri.

Mereka menyewa layanan stresser untuk meluncurkan serangan DDoS yang memicu penolakan layanan yang biasanya membuat server atau situs yang ditargetkan down atau menyebabkan berbagai tingkat gangguan.

Selengkapnya: Bleeping Computer