Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Security

Security

Peretas membocorkan data 2,28 juta pengguna situs kencan

by

Seorang peretas terkenal minggu ini membocorkan rincian lebih dari 2,28 juta pengguna yang terdaftar di MeetMindful.com, sebuah situs kencan yang didirikan pada tahun 2014.

Data situs kencan telah dibagikan sebagai unduhan gratis di forum peretasan yang dapat diakses publik yang dikenal karena perdagangannya dalam database yang diretas.

Data yang bocor, file 1,2 GB, tampaknya merupakan dump dari database pengguna situs.

Konten file ini mencakup banyak informasi yang diberikan pengguna saat mereka menyiapkan profil di situs MeetMindful dan aplikasi seluler.

Beberapa poin data paling sensitif yang disertakan dalam file tersebut meliputi:

  • Nama asli
  • Alamat email
  • Detail kota, negara bagian, dan kode pos
  • Detail tubuh
  • Preferensi kencan
  • Status pernikahan
  • Tanggal lahir
  • Lintang dan bujur
  • Alamat IP
  • Kata sandi akun dengan hash Bcrypt
  • ID pengguna Facebook
  • Token otentikasi Facebook
Sumber: ZDNet

Meskipun tidak semua akun yang bocor menyertakan detail lengkapnya, bagi banyak pengguna MeetMindful, data yang diberikan dapat digunakan untuk melacak profil kencan mereka kembali ke identitas dunia nyata mereka.

Data situs dirilis oleh pelaku ancaman yang dikenal sebagai ShinyHunters, yang awal pekan ini juga membocorkan detail jutaan pengguna yang terdaftar di Teespring, sebuah portal web yang memungkinkan pengguna membuat dan menjual pakaian yang dicetak khusus.

Sumber: ZDNet

Laptop yang diberikan ke sekolah-sekolah Inggris sudah ditanami dengan worm remote-access

by

Sebuah pengiriman laptop yang dipasok ke sekolah-sekolah Inggris oleh Departemen Pendidikan untuk membantu anak-anak belajar karena lockdown telah ditanami dengan malware, The Register mengungkapkan.

Laptop yang terpengaruh, didistribusikan ke sekolah-sekolah di bawah skema Get Help With Technology (GHWT) pemerintah Inggris, yang dimulai tahun lalu, dibundel dengan Gamarue – worm remote-access lama dari tahun 2010-an. Perangkat lunak jahat ini tidak hanya menyebar dari komputer ke komputer, tetapi juga mencoba untuk terhubung ke server luar untuk instruksi yang harus dilakukan.

Register melaporkan bahwa sekumpulan 23.000 komputer, GeoBook 1E yang menjalankan Windows 10, yang dibuat oleh Tactus Group yang bermarkas di Shenzhen, berisi unit yang dimuat dengan malware. 77.000 unit Geo telah dikirim sejauh ini di bawah GHWT, dengan beberapa ribu tersisa untuk dikirimkan.

The Register telah diperlihatkan email yang dikirim ke dan dari Departemen Pendidikan (DfE), yang mengawasi skema GHWT, menandai kekhawatiran tentang laptop. Tampaknya setidaknya satu sekolah memformat dan menginstal ulang laptop dari awal yang diketahui sebagai akibat infeksi sebelum memberikannya kepada siswa.

Sumber: The Register

Server Windows RDP sedang disalahgunakan untuk memperkuat serangan DDoS

by

Geng kejahatan siber menyalahgunakan sistem Windows Remote Desktop Protocol (RDP) untuk memantul dan memperkuat junk traffic sebagai bagian dari serangan DDoS, kata perusahaan keamanan Netscout dalam sebuah peringatan pada hari Selasa.

Tidak semua server RDP dapat disalahgunakan, tetapi hanya sistem di mana autentikasi RDP juga diaktifkan pada port UDP 3389 di atas port standar TCP 3389.

Netscout mengatakan bahwa penyerang dapat mengirim paket UDP yang cacat ke port UDP dari server RDP yang akan direfleksikan ke target serangan DDoS, yang diperbesar ukurannya, mengakibatkan lalu lintas junk traffic mengenai sistem target.

Inilah yang oleh peneliti keamanan disebut sebagai faktor amplifikasi DDoS, dan ini memungkinkan penyerang dengan akses ke sumber daya terbatas untuk meluncurkan serangan DDoS skala besar dengan memperkuat junk traffic dengan bantuan sistem yang terpapar internet.

Netscout mengatakan bahwa pelaku ancaman juga telah mempelajari vektor baru ini, yang sekarang banyak disalahgunakan.

Netscout sekarang meminta administrator sistem yang menjalankan server RDP yang terpapar di internet untuk menjadikannya offline, mengalihkannya ke port TCP yang setara, atau meletakkan server RDP di belakang VPN untuk membatasi siapa yang dapat berinteraksi dengan sistem yang rentan.

Sumber: ZDNet

Intel mengatakan peretas memperoleh informasi finansial yang sensitif

by

Intel mengatakan mereka adalah korban peretas yang mencuri informasi finansial yang sensitif dari situs web perusahaannya pada hari Kamis, mendorong perusahaan untuk merilis laporan pendapatannya lebih cepat dari jadwal.

Pembuat chip komputer AS yakin penyerang telah memperoleh rincian lanjutan tentang laporan pendapatan yang kuat yang akan dipublikasikan setelah pasar saham ditutup, kata George Davis, kepala keuangan intel.

Dia tidak memberikan rincian lebih lanjut, tetapi mengatakan bahwa kebocoran tersebut adalah hasil dari tindakan terlarang yang tidak melibatkan pengungkapan yang tidak disengaja oleh perusahaan itu sendiri.

Seorang juru bicara Intel menambahkan: “Kami diberitahu bahwa infografik kami beredar di luar perusahaan. Saya tidak percaya itu diterbitkan. Kami terus menyelidiki masalah ini.”

Selengkapnya: Financial Times

sLoad geng malware kembali: Microsoft mendeteksi dengan cepat versi 2.0 yang dirubah

by

Raksasa teknologi Microsoft telah mendeteksi aktivitas berbahaya pada bulan Desember oleh geng malware, yang dikenal sebagai sLoad.

Namun pada awal bulan ini perusahaan mengungkapkan bahwa sLoad malware telah kembali dengan versi 2.0, yang disebut Starslord. Meskipun versi baru tidak menunjukkan perubahan besar-besaran, kecepatan peluncuran versi malware baru menunjukkan seberapa cepat geng tersebut beroperasi.

Malware sLoad ini telah ada selama bertahun-tahun. Ini adalah apa yang seseorang sebut sebagai “malware downloader” atau “malware dropper” yang memiliki empat tujuan utama untuk dipenuhi yaitu:

  • Menginfeksi sistem Windows,
  • Mengumpulkan informasi tentang sistem yang terinfeksi
  • Mengirim semua informasi ke server perintah dan kontrol (C&C)
  • Menunggu instruksi untuk mengunduh dan memasang muatan malware kedua

Microsoft mengatakan bahwa sLoad adalah salah satu dari sedikit malware downloader yang ada karena tingkat kecanggihan yang tidak diperlukan dan penggunaan teknik yang tidak standar.

Setelah sebelumnya tertangkap oleh Microsoft, geng sLoad mengubah kode mereka dan mengubah beberapa hal, mengeluarkan versi baru 2.0 tahun ini.

SLoad v2.0 masih berfungsi sebagai malware downloader untuk kelompok kriminal lainnya, kata Microsoft. Tapi ada satu hal yang telah diubah oleh aktor ancaman. Sekarang alih-alih menggunakan skrip VB selama proses infeksi, versi baru menggunakan skrip WSF.

Sumber: IBTimes

Singapura memperketat pedoman pertahanan siber untuk sektor jasa keuangan

by

Singapura telah merevisi pedoman saat ini tentang manajemen risiko teknologi untuk lembaga keuangan untuk memasukkan, antara lain, “pengawasan yang kuat” atas kemitraan mereka dengan penyedia layanan pihak ketiga untuk memastikan kerahasiaan data.

Dirinci di bawah Pedoman Manajemen Risiko Teknologi, revisi dilakukan untuk mengimbangi teknologi yang muncul dan pergeseran dalam lanskap ancaman saat ini, kata Otoritas Moneter Singapura (MAS) dalam sebuah pernyataan.

Penggunaan penyedia layanan pihak ketiga, misalnya, kemungkinan besar akan disediakan menggunakan TI dan mungkin melibatkan data rahasia pelanggan yang disimpan oleh penyedia layanan. Kegagalan sistem apa pun pada pelanggaran keamanan dari pihak penyedia ini dapat berdampak buruk bagi pelanggan dan operasi lembaga keuangan.

Pedoman tersebut menyoroti kebutuhan untuk menilai dan mengelola eksposur perusahaan terhadap risiko teknologi yang mungkin memengaruhi kerahasiaan dan ketersediaan sistem dan data TI di penyedia layanan pihak ketiga, sebelum perjanjian kontrak atau kemitraan dibuat.

Selain itu, lembaga keuangan harus menetapkan proses untuk memungkinkan “analisis dan pembagian tepat waktu” intelijen ancaman siber di dalam sektor tersebut dan melakukan latihan untuk menguji pertahanan siber mereka, melalui simulasi taktik dan prosedur serangan dunia nyata.

Sumber: ZDNet

Penipuan phishing memiliki semua lonceng dan peluit — kecuali satu

by

Penjahat di balik penipuan phishing baru-baru ini telah mengumpulkan semua bagian penting. Malware yang melewati antivirus — check. Template email yang memanfaatkan Microsoft Office 365 Advanced Threat Protection — periksa. Pasokan akun email dengan reputasi kuat untuk mengirim email scam — check.

Hanya ada satu masalah: para penipu menyembunyikan sandi yang diperoleh dengan susah payah di server publik tempat siapa pun — termasuk mesin pencarian — dapat (dan memang) mengindeksnya.

Peneliti Check Point menemukan hasil tangkapan tersebut saat mereka menyelidiki kampanye phishing yang dimulai pada bulan Agustus. Penipuan tiba di email yang konon berasal dari Xerox atau Xeros. Email tersebut dikirim melalui alamat yang, sebelum dibajak, memiliki skor reputasi tinggi yang melewati banyak pertahanan antispam dan antiphishing. Di dalam pesan tersebut terlampir file HTML berbahaya yang tidak memicu salah satu dari 60 mesin antimalware yang paling sering digunakan.

Setelah diklik, file HTML tersebut menampilkan dokumen yang terlihat seperti ini:

Sumber: Check Point

Ketika penerima dibodohi dan masuk ke akun palsu, para penipu menyimpan kredensial di lusinan situs WordPress yang telah disusupi dan diubah menjadi apa yang disebut drop-zones.

Namun, para penyerang gagal menetapkan situs tersebut sebagai terlarang untuk Google dan mesin telusur lainnya. Hasilnya, pencarian Web dapat menemukan data dan mengarahkan peneliti keamanan ke cache kredensial yang disusupi.

Berdasarkan analisis terhadap sekitar 500 kredensial yang dikompromikan, Check Point dapat mengumpulkan rincian industri yang ditargetkan berikut ini.

Sumber: Check Point

Sumber: Ars Technica

Microsoft: Bagaimana ‘zero trust’ dapat melindungi dari serangan peretasan yang canggih

by

Berbagai teknik yang digunakan oleh peretas SolarWinds sangat canggih namun dalam banyak hal juga biasa dan dapat dicegah, menurut Microsoft.

Untuk mencegah serangan di masa mendatang dengan tingkat kecanggihan yang serupa, Microsoft merekomendasikan organisasi untuk mengadopsi “mentalitas zero trust”, yang menyangkal asumsi bahwa segala sesuatu di dalam jaringan TI aman. Artinya, organisasi harus menganggap pelanggaran dan secara eksplisit memverifikasi keamanan akun pengguna, perangkat endpoint, jaringan, dan sumber daya lainnya.

Seperti yang dicatat oleh direktur keamanan identitas Microsoft, Alex Weinert dalam sebuah posting blog, tiga vektor serangan utama adalah akun pengguna yang disusupi, akun vendor yang disusupi, dan perangkat lunak vendor yang disusupi.

Ribuan perusahaan terkena dampak pelanggaran SolarWinds yang diungkapkan pada pertengahan Desember. Vendor keamanan AS Malwarebytes kemarin mengatakan bahwa mereka juga dilanggar oleh peretas yang sama tetapi tidak melalui pembaruan Orion yang tercemar.

Menurut Weinert, para penyerang mengeksploitasi celah dalam “verifikasi eksplisit” di setiap vektor serangan utama.

“Saat akun pengguna disusupi, teknik yang dikenal seperti password spray, phishing, atau malware digunakan untuk membobol kredensial pengguna dan memberi penyerang akses kritis ke jaringan pelanggan,” tulis Weinert.

Dalam kasus di mana aktor berhasil, Weinert mencatat bahwa akun vendor dengan hak istimewa tidak memiliki perlindungan tambahan seperti otentikasi multi-faktor (MFA), pembatasan rentang IP, kepatuhan perangkat, atau tinjauan akses.

MFA adalah kontrol penting, karena akun dengan hak istimewa tinggi yang disusupi dapat digunakan untuk memalsukan token SAML guna mengakses sumber daya cloud.

“Prinsip pertama Zero Trust adalah memverifikasi secara eksplisit – pastikan Anda memperluas verifikasi ini ke semua permintaan akses, bahkan dari vendor dan terutama yang berasal dari lingkungan lokal.”

Sumber: ZDNet