Security

Tema dan plugin bajakan adalah ancaman paling luas bagi situs WordPress

January 29, 2021 by Mally

Tema dan plugin bajakan (alias nulled) adalah sumber infeksi malware paling umum di situs WordPress pada tahun 2020, menurut Wordfence, penyedia solusi firewall aplikasi situs web (WAF) untuk situs WordPress.

Perusahaan keamanan tersebut mengatakan pemindai malware-nya mendeteksi lebih dari 70 juta file berbahaya di lebih dari 1,2 juta situs WordPress pada tahun 2020.

Dari 206.000 situs ini, 154.928 terinfeksi dengan versi malware WP-VCD, jenis malware WordPress yang dikenal karena penggunaan tema bajakan / nulled untuk distribusi.

Wordfence mengatakan operasi malware khusus ini sangat sukses tahun lalu sehingga menyumbang 13% dari semua situs yang terinfeksi pada tahun 2020.

Situs yang sah juga diserang dan terinfeksi. Metode lain di mana situs-situs ini diretas termasuk serangan brute force terhadap formulir login dan penggunaan kode eksploitasi yang memanfaatkan kerentanan yang belum ditambal.

Serangan ini berasal dari 57 juta alamat IP yang berbeda — kemungkinan besar bagian dari botnet serangan dan jaringan proxy — dan berjumlah 2.800 upaya login berbahaya per detik terhadap pelanggan Wordfence.

Untuk mengurangi serangan ini, Wordfence merekomendasikan agar pemilik situs memasang WAF atau mengaktifkan solusi autentikasi dua faktor untuk akun mereka.

Upaya eksploitasi lain juga mengandalkan injeksi SQL, bug eksekusi kode jarak jauh, masalah skrip lintas situs, atau bypass autentikasi, kata Wordfence.

Sumber: ZDNet

519 pemberitahuan pelanggaran data termasuk 33 dari entitas pemerintah Australia

January 29, 2021 by Mally

Entitas Australia yang dicakup oleh Privacy Act melaporkan 519 kasus pelanggaran data dalam enam bulan hingga Desember 2020, meningkat 5% dari paruh pertama tahun ini.

Pemberitahuan pelanggaran data ke Kantor Komisaris Informasi Australia (OAIC) menjadi wajib di bawah skema Notifiable Data Breaches (NDB) pada Februari 2018.

Sejak mandat tersebut, kesehatan telah menjadi sektor yang paling terpengaruh; Laporan terbaru tidak menunjukkan perubahan, dengan perhitungan kesehatan sebanyak 123 pemberitahuan, diikuti oleh bagian keuangan dengan 83 pemberitahuan. Pemerintah Australia memasuki lima sektor teratas untuk pertama kalinya, terhitung 6% dari total, dengan 33 pemberitahuan.

Menggali lebih dalam tentang kecerobohan pemerintah, kesalahan manusia adalah penyebab dari 29 dari total pemberitahuan sektor, dua berasal dari serangan jahat atau kriminal, satu dikaitkan dengan “insiden siber”, dan yang lainnya disebabkan rekayasa sosial/peniruan identitas.

“Insiden siber” dikonfirmasi sebagai serangan brute force pada entitas yang tidak disebutkan namanya.

Jenis kesalahan manusia yang paling umum disalahkan atas pemberitahuan pemerintah adalah informasi pribadi yang dikirim ke penerima yang salah. Kegagalan untuk menyunting adalah penyebab lima pemberitahuan.

Selengkapnya: ZDNet

Pihak berwenang berencana untuk menghapus Emotet secara massal dari host yang terinfeksi pada 25 April 2021

January 29, 2021 by Mally

Petugas penegak hukum di Belanda sedang dalam proses mengirimkan pembaruan Emotet yang akan menghapus malware dari semua komputer yang terinfeksi pada 25 April 2021.

Pembaruan ini terjadi setelah lembaga penegak hukum dari delapan negara mengatur penghapusan terkoordinasi minggu ini untuk menyita server dan menangkap individu di belakang Emotet, yang dianggap sebagai botnet malware terbesar saat ini.

Sementara server terletak di beberapa negara, pejabat Belanda mengatakan bahwa dua dari tiga server komando dan kendali utama (C&C) Emotet terletak di dalam perbatasannya.

Pejabat polisi Belanda mengatakan bahwa mereka menggunakan akses mereka ke dua server penting ini untuk menyebarkan pembaruan Emotet yang di-boobytrap ke semua host yang terinfeksi.

Menurut laporan publik, juga dikonfirmasi oleh ZDNet dengan dua firma keamanan siber yang secara historis melacak operasi Emotet, pembaruan ini berisi kode seperti bom waktu yang akan menghapus malware Emotet pada 25 April 2021, pada pukul 12:00, waktu lokal setiap komputer.

Selengkapnya: ZDNet

Bot Telegram Menjual Info Pengguna Facebook yang Dicuri seharga $ 20 per Pop

January 28, 2021 by Mally

Nomor telepon (dan ID situs terkait) dari sekitar 500 juta pengguna Facebook sekarang tampaknya dijual di forum kejahatan siber.

Penjahat atau sekelompok penjahat yang bertanggung jawab telah membangun bot Telegram untuk bertindak sebagai fungsi pencarian data.

Calon pembeli kini dapat menggunakan bot untuk menyaring data guna menemukan nomor telepon yang sesuai dengan ID pengguna — atau sebaliknya — dengan informasi lengkap dibuka kuncinya setelah membayar kueri “kredit”. Kredit tersebut mulai dari $20 untuk satu pencarian dan menjadi lebih murah jika dibeli dalam jumlah besar.

Aktivitas tersebut ditemukan oleh Alon Gal, salah satu pendiri dan CTO perusahaan keamanan siber Hudson Rock, yang memposting tentang skema tersebut di akun Twitter-nya, dan dilaporkan oleh Joseph Cox, di Motherboard.

In early 2020 a vulnerability that enabled seeing the phone number linked to every Facebook account was exploited, creating a database containing the information 533m users across all countries.

It was severely under-reported and today the database became much more worrisome 1/2 pic.twitter.com/ryQ5HuF1Cm

— Alon Gal (Under the Breach) (@UnderTheBreach) January 14, 2021

Sumber: Gizmodo

NAT Slipstreaming v2.0: Varian Serangan Baru Dapat Memaparkan Semua Perangkat Jaringan Internal ke Internet

January 27, 2021 by Mally

Peneliti Armis Ben Seri dan Gregory Vishnepolsky telah menemukan varian baru untuk teknik bypass NAT yang dikenal sebagai NAT Slipstreaming, dan telah bekerja dengan peneliti keamanan Samy Kamkar (yang awalnya mengungkapkan teknik tersebut pada 31 Oktober 2020) untuk lebih memahami serangan tersebut, dan memitigasi serangan tersebut.

Penemuan baru ini mencakup metode untuk melewati NAT dan firewall untuk menjangkau perangkat apa pun di jaringan internal. Sementara serangan asli sebagian dimitigasi oleh tambalan dari browser, varian baru memperkenalkan teknik primitif tambahan yang melewati mitigasi ini.

Dampak serangan terhadap perangkat yang tidak dikelola dapat menjadi parah, mulai dari gangguan hingga serangan ransomware yang sangat parah.

NATs/firewall tingkat perusahaan dari Fortinet, Cisco, dan HPE dipastikan terpengaruh, sementara yang lain kemungkinan juga terpengaruh.

Kolaborasi tersebut menghasilkan pengungkapan keamanan dengan vendor browser untuk mengurangi serangan tersebut. Google, Apple, Mozilla dan Microsoft telah merilis tambalan untuk Chrome, Safari, Firefox dan Edge, yang memitigasi varian baru ini.

Selama sebulan terakhir, semua browser yang disebutkan di atas telah merilis versi yang berisi mitigasi terhadap serangan ini (Chrome v87.0.4280.141, Firefox v85.0, Safari v14.0.3). Browser Microsoft Edge sekarang juga ditambal, karena bergantung pada kode sumber Chromium. Chromium melacak varian baru melalui CVE-2020-16043, sementara Firefox melacaknya melalui CVE-2021-23961.

Selengkapnya: Armis

Penjahat siber menggunakan akun staf yang telah meninggal untuk menyebarkan ransomware Nemty

January 27, 2021 by Mally

Dalam studi kasus yang didokumentasikan oleh kelompok cyberforensik Sophos, Rapid Response pada hari Selasa, sebuah organisasi menghubungi setelah terinfeksi oleh ransomware Nemty.

Menurut Sophos, ransomware – juga dikenal sebagai Nefilim – memengaruhi lebih dari 100 sistem, mengenkripsi file berharga dan menuntut pembayaran dengan imbalan kunci dekripsi.

Selama penyelidikan terhadap sumber infeksi, Sophos mempersempit intrusi jaringan asli ke akun administrator tingkat tinggi. Selama sebulan, para pelaku ancaman diam-diam menjelajahi sumber daya perusahaan, mendapatkan kredensial akun admin domain, dan mengeksfiltrasi data senilai ratusan gigabyte.

Setelah penyerang siber menyelesaikan pengintaian mereka dan mengambil semua yang berharga, Nemty dikerahkan.

Tim keamanan siber menanyakan siapa pemilik akun dengan hak istimewa tinggi. Perusahaan korban mengatakan bahwa akun itu milik mantan anggota staf yang meninggal sekitar tiga bulan sebelum gangguan siber tersebut.

Alih-alih mencabut akses dan menutup akun ‘hantu’, perusahaan memilih untuk tetap mengaktifkan dan terbuka “karena ada layanan yang digunakan untuk itu.”

Sophos menyarankan bahwa setiap akun hantu yang diizinkan untuk tetap terhubung ke sumber daya perusahaan setelah pengguna tidak membutuhkannya harus menonaktifkan login interaktif, atau jika akun tersebut benar-benar diperlukan, akun layanan harus dibuat sebagai gantinya.

Sumber: ZDNet

Firefox 85 menghapus Flash dan menambahkan perlindungan terhadap supercookies

January 27, 2021 by Mally

Mozilla telah merilis Firefox 85, versi baru dari peramban kesayangannya yang menghilangkan dukungan untuk plugin Adobe Flash Player tetapi juga meningkatkan perlindungan privasi dengan menambahkan pertahanan yang lebih komprehensif terhadap “supercookies.”

Firefox sekarang bergabung dengan Chrome dan Edge, yang keduanya menghapus dukungan untuk Flash awal bulan ini dengan dirilisnya Chrome 88 dan Edge 88.

Tetapi meskipun Firefox 85 adalah versi pertama yang dikirimkan tanpa plugin Flash yang banyak disalahgunakan, fitur yang lebih besar dalam rilis ini adalah “partisi jaringan”.

Pertama kali dilaporkan oleh ZDNet bulan lalu, fitur partisi jaringan berfungsi dengan memisahkan cache browser Firefox per situs web, solusi teknis yang mencegah situs web melacak pengguna saat mereka berpindah ke seluruh web.

Dalam posting blog, Mozilla mengatakan fitur baru ini secara efektif memblokir penggunaan supercookies di dalam Firefox di masa mendatang.

Fitur lain yang dikirimkan dengan Firefox 85 adalah perubahan cara bookmark disimpan di dalam Firefox.

Dimulai dengan versi ini, Firefox sekarang mengingat di mana pengguna menyimpan bookmark terakhir mereka dan menyimpan semua bookmark lainnya ke lokasi yang sama.

Perubahan lainnya dirinci dalam log perubahan Firefox 85 di sini, sementara pembaruan keamanan tercantum di sini.

Sumber: ZDNet

Pembuat derek terkemuka Palfinger terkena serangan siber global

January 27, 2021 by Mally

Produsen derek dan pengangkat terkemuka Palfinger menjadi sasaran serangan siber yang sedang berlangsung yang telah mengganggu sistem TI dan operasi bisnis.

Palfinger adalah pembuat solusi derek dan pengangkatan terkemuka yang biasa digunakan untuk konstruksi, serta solusi pengangkatan, pemuatan, dan penanganan darat dan laut.

Palfinger adalah perusahaan Austria dengan lebih dari 11.000 karyawan di 35 lokasi dan menghasilkan pendapatan €1,75 miliar untuk 2019.

Situs Palfinger saat ini menampilkan peringatan yang memperingatkan bahwa perusahaan mengalami serangan siber yang telah menghapus email mereka dan mengganggu operasi bisnis.

Pemberitahuan keamanan berjudul ‘Serangan siber di PALFINGER Group’ juga menyatakan bahwa sistem perencanaan sumber daya Perusahaan (ERP) mereka mati dan bahwa “sebagian besar lokasi grup di seluruh dunia terpengaruh.”

Palfinger juga meminta mitra untuk tidak membuat pesanan pembelian lebih lanjut untuk saat ini.

Tidak diketahui apa yang menyebabkan serangan siber tersebut, tetapi kemungkinan itu adalah serangan ransomware.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Security

Cookies Settings