Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

TikTok Dilarang di Pemerintah. Perangkat; Akankah Sektor Swasta Mengikutinya?

by

Texas dan Maryland minggu ini bergabung dengan tiga negara bagian lain dalam melarang akses aplikasi media sosial populer dari perangkat milik negara.

Akankah perusahaan swasta akan menerapkan pembatasan serupa pada penggunaan aplikasi media sosial populer di perangkat yang digunakan karyawan untuk mengakses data dan aplikasi perusahaan?

Risiko yang Tidak Dapat Diterima
Gubernur Texas, Greg Abbott, mengatakan dia telah memerintahkan semua lembaga negara untuk melarang TikTok pada perangkat apa pun yang dikeluarkan negara segera berlaku. Dia juga telah memberikan waktu kepada setiap lembaga negara bagian hingga 15 Februari 2023 untuk menerapkan kebijakan mereka sendiri terkait penggunaan TikTok pada perangkat pribadi milik karyawan. Tiga negara bagian lain yang telah mengeluarkan arahan serupa atas masalah serupa adalah South Dakota, South Carolina, dan Nebraska.

Abbott merujuk pada Undang-Undang Intelijen Nasional China 2017, yang mewajibkan perusahaan dan individu China untuk membantu kegiatan pengumpulan intelijen negara, dan peringatan baru-baru ini dari Direktur FBI Christopher Wray tentang penggunaan TikTok dalam operasi pengaruh, sebagai alasan keputusannya.

Kekhawatiran Meningkat Terlepas dari Jaminan TikTok
Meskipun TikTok memiliki karyawan yang berbasis di China, perusahaan memiliki kontrol akses yang ketat atas data apa yang dapat diakses oleh karyawan tersebut dan di mana TikTok menyimpan data tersebut, Pappas bersaksi. Perusahaan juga mengumumkan telah meluncurkan inisiatif yaitu Project Texas yang dirancang untuk meningkatkan kepercayaan pada perlindungan yang telah dan akan dilakukan perusahaan untuk melindungi data pengguna AS dan kepentingan keamanan nasional.

Terlepas dari jaminan tersebut, fakta bahwa entitas yang berbasis di China bernama ByteDance Ltd memiliki TikTok dan bahwa pemerintah China memiliki setidaknya sebagian saham di salah satu anak perusahaannya terus menjadi sumber perhatian utama banyak orang.
Menurut Parkin, sangat masuk akal bahwa organisasi akan membatasi aplikasi apa yang diinstal pada perangkat yang disediakan organisasi mereka dan merekomendasikan karyawan mereka untuk tidak menginstalnya pada sistem pribadi apa pun yang mereka gunakan untuk mengakses sistem perusahaan.

Patrick Tiquet, wakil presiden keamanan dan arsitektur di Keeper Security, mengatakan perkembangan pesat kebijakan BYOD dan lingkungan kerja jarak jauh terdistribusi telah berkontribusi pada peningkatan eksponensial risiko titik akhir dan aplikasi untuk entitas sektor publik dan swasta. Menurutnya, melarang aplikasi tertentu mungkin tampak seperti pendekatan sederhana dan langsung untuk memastikan keamanan, namun dengan kebijakan BYOD akan sulit untuk ditegakkan.

Selengkapnya: DARKReading

Drokbk Malware Menggunakan GitHub sebagai Dead Drop Resolver

by

Sebuah sub kelompok dari kelompok ancaman COBALT MIRAGE Iran memanfaatkan Drokbk untuk kegigihan.

Peneliti Secureworks® Counter Threat Unit™ (CTU) sedang menyelidiki malware Drokbk, yang dioperasikan oleh subgrup Cluster B dari grup ancaman COBALT MIRAGE yang disponsori pemerintah Iran. Drokbk ditulis dalam .NET dan terdiri dari dropper dan payload. Malware memiliki fungsi bawaan yang terbatas dan terutama mengeksekusi perintah atau kode tambahan dari server perintah dan kontrol (C2). Tanda awal kemunculannya yaitu dalam intrusi Februari 2022 di jaringan pemerintah lokal AS. Sampel malware Drokbk tidak tersedia dari insiden tersebut untuk dianalisis, tetapi peneliti CTU™ menemukan sampel yang diunggah ke layanan analisis VirusTotal.

Intrusi Februari yang diselidiki oleh responden insiden Secureworks dimulai dengan kompromi server VMware Horizon menggunakan dua kerentanan Log4j (CVE-2021-44228 dan CVE-2021-45046). Artefak forensik menunjukkan Drokbk.exe diekstraksi dari arsip terkompresi (Drokbk.zip) yang dihosting di file transfer yang sah. sh layanan online. Aktor ancaman mengekstrak file ke C:\Users\DomainAdmin\Desktop\ dan kemudian menjalankannya.

Gambar 1 mengilustrasikan proses instalasi. Peneliti CTU telah mengamati bahwa operator Cluster B menyukai c:\users\public\ sebagai direktori yang digunakan di beberapa alat malware.

Gambar 1. Pohon proses untuk instalasi Drokbk

SessionService.exe adalah muatan malware utama, dan dimulai dengan menemukan domain C2-nya. Domain C2 sering kali dikonfigurasikan sebelumnya di malware. Namun, Drokbk menggunakan teknik dead drop resolver untuk menentukan server C2-nya dengan menghubungkan ke layanan resmi di internet (mis., GitHub). Informasi server C2 disimpan di layanan cloud di akun yang telah dikonfigurasi sebelumnya di malware atau yang dapat ditentukan lokasinya oleh malware.

Gambar 2. Kode yang digunakan untuk menemukan server C2 di dalam akun GitHub

Menggunakan informasi dari README.md, SessionService.exe mengirimkan permintaan awal ke server C2. Permintaan berisi nama host dan waktu saat ini (lihat Gambar 6).Selama eksekusi, peneliti CTU mengamati Drokbk membuat beberapa file. Tidak ada muatan atau perintah yang diterima dari C2 selama analisis.

Selengkapnya: Secureworks

Pengguna Microsoft Teams menggunakannya untuk alasan yang sangat buruk, jadi hentikan sekarang

by

Perusahaan keamanan siber Hornetsecurity mendesak perusahaan untuk mengambil tindakan pencegahan yang lebih terhadap potensi ancaman menggunakan platform konferensi video Microsoft Teams.

Menurut penelitiannya, hampir setengah (45%) pengguna mengaku sering mengirim informasi “rahasia dan sensitif” melalui Microsoft Teams.

Lebih buruk lagi, angka yang lebih tinggi (51%) ditemukan di berbagi informasi “penting bisnis”, sementara jumlah yang sama (48%) dari responden secara tidak sengaja mengirim pesan Microsoft Teams yang seharusnya tidak dikirim, seperti kepada orang yang salah.

Ketika berbicara mengenai perangkat, pelanggar lebih cenderung berbagi informasi rahasia menggunakan perangkat pribadi (51%), dibandingkan dengan peralatan kerja (29%). Jelas, pentingnya menggunakan perangkat yang diamankan secara profesional perlu ditekankan dalam pelatihan staf.

Hornetsecurity mengusulkan ini sebagai salah satu solusi untuk mengurangi tekanan pada keamanan siber perusahaan, mengutip 56% dari peserta survei yang percaya bahwa pelatihan dan kesadaran karyawan adalah aspek terpenting untuk mengurangi risiko.

CEO perusahaan, Daniel Hofmann, menjelaskan bahwa “perusahaan harus memiliki perlindungan yang memadai untuk melindungi dan mengamankan data bisnis” karena lebih banyak pekerja beralih ke chat-like messaging services.

Jika pengguna ingin terus berbagi konten melalui obrolan, Hofmann mengatakan bahwa perusahaan harus “memastikan informasi dan file yang dibagikan di seluruh platform dicadangkan dengan cara yang aman dan bertanggung jawab.”

Selengkapnya: MSN

Dugaan Peretasan Rusia dari Penyedia Layanan Microsoft Menyoroti Cacat Keamanan Siber

by

Pakar keamanan siber mengatakan pengungkapan Microsoft baru-baru ini bahwa peretas Rusia yang diduga berhasil menyerang beberapa penyedia layanan TI tahun ini adalah tanda bahwa banyak perusahaan TI A.S. kurang berinvestasi dalam langkah-langkah keamanan yang diperlukan untuk melindungi diri dan pelanggan mereka dari gangguan.

Tetapi asosiasi profesional TI yang berbasis di AS mengatakan upaya industri untuk memerangi serangan peretasan asing terhambat oleh pelanggan mereka yang tidak mempraktikkan kebiasaan dunia maya yang baik dan oleh pemerintah federal yang tidak cukup bertindak untuk menghukum dan menghalangi para peretas.

Dalam posting blog 24 Oktober, Microsoft mengatakan kelompok peretas negara-bangsa Rusia yang disebut Nobelium menghabiskan tiga bulan menyerang perusahaan yang menjual kembali, menyesuaikan dan mengelola layanan cloud Microsoft dan teknologi digital lainnya untuk pelanggan publik dan pribadi.

Microsoft mengatakan telah memberi tahu 609 perusahaan tersebut, yang dikenal sebagai penyedia layanan terkelola, atau MSP, bahwa mereka telah diserang 22.868 kali oleh Nobelium dari 1 Juli hingga 19 Oktober tahun ini.

Nobelium adalah kelompok yang sama yang dikatakan Microsoft bertanggung jawab atas serangan siber tahun lalu terhadap perusahaan perangkat lunak AS, SolarWinds. Serangan itu melibatkan penyisipan kode berbahaya ke dalam sistem pemantauan kinerja TI SolarWinds, Orion, dan memberi para peretas akses ke jaringan ribuan organisasi publik dan swasta AS yang menggunakan Orion untuk mengelola sumber daya TI mereka.

Salah satu praktik keamanan siber yang harus diadopsi lebih banyak oleh MSP adalah berbagi informasi dengan pihak berwenang AS tentang insiden peretasan, kata James Curtis, direktur program keamanan siber di Webster University di Missouri, dalam percakapan dengan Layanan Rusia VOA.

Curtis, pensiunan perwira cyber Angkatan Udara AS dan mantan eksekutif industri TI, mengatakan MSP tidak suka mengakui bahwa mereka telah diretas.

Namun Charles Weaver, kepala eksekutif Asosiasi Penyedia Layanan Cloud dan Terkelola Internasional yang berbasis di AS, juga dikenal sebagai MSPAlliance, mengatakan bahwa kritik terhadap MSP karena tidak memberikan perhatian yang cukup pada keamanan siber adalah salah tempat.

“MSP telah mendesak pelanggan mereka untuk melakukan perbaikan yang mudah dan murah seperti mengadopsi otentikasi multifaktor untuk mencadangkan data mereka ke cloud,” kata Weaver. “Tapi saya pribadi telah menyaksikan banyak ketidaksesuaian di antara pelanggan. Merekalah yang pada akhirnya harus membayar dan mengizinkan MSP untuk menerapkan perbaikan tersebut.”

Selengkapnya: VOA

Geng TA505 Kembali Dengan FlawedGrace RAT yang Baru

by

Kelompok kejahatan dunia maya TA505 menghidupkan kembali mesin pembobol keuangannya, melemparkan malware ke berbagai industri dalam gelombang volume rendah yang awalnya dilihat oleh para peneliti meningkat akhir bulan lalu.

Mereka melakukan hal-hal buruk, tetapi mereka sangat rumit sehingga melacaknya sangat menyenangkan, kata Sherrod DeGrippo, wakil presiden, Riset dan Deteksi Ancaman di Proofpoint.

TA505, alias Hive0065, adalah sekelompok penjahat dunia maya yang terlibat dalam penipuan keuangan dan tindakan yang disponsori negara. Peneliti proofpoint menggambarkan grup tersebut sebagai “salah satu aktor yang lebih produktif” yang mereka lacak.

Yang ada di balik kampanye spam terbesar yang pernah dilihat perusahaan: yaitu, distribusi trojan perbankan Dridex. Proofpoint juga telah melacak geng yang mendistribusikan ransomware Locky dan Jaff, trojan perbankan Trick, dan lainnya “dalam volume yang sangat tinggi,” kata Proofpoint.

TA505, yang secara aktif menargetkan banyak industri – termasuk keuangan, ritel, dan restoran – telah aktif setidaknya sejak 2014. Mereka dikenal karena seringnya mengganti malware dan untuk mendorong tren global dalam distribusi malware kriminal.

Sesuai dengan bentuknya, kampanye terbaru geng didistribusikan di berbagai industri. Mereka juga muncul dengan perlengkapan baru, termasuk loader KiXtart yang telah ditingkatkan, loader MirrorBlast yang mengunduh pemecah skrip Rebol, RAT FlawedGrace yang diperbarui, dan lampiran Excel berbahaya yang diperbarui.

Para peneliti mencatat bahwa TA505 sekarang menggunakan beberapa pemuat perantara sebelum pengiriman RAT FlawedGrace, dan mereka dikodekan dalam bahasa skrip yang tidak umum – Rebol dan KiXtart.

Mengingat bahwa TA505 mengubah TTP dan bahwa mereka “dianggap sebagai trendsetter di dunia kejahatan dunia maya,” Proofpoint mengatakan TA505 tidak akan pergi dalam waktu dekat.

Selengkapnya: Threat Post

Mengapa ancaman keamanan siber saat ini lebih berbahaya

by

Selama dua tahun terakhir, munculnya serangan ransomware besar-besaran dan pengungkapan infeksi rantai pasokan perangkat lunak berbahaya telah meningkatkan keamanan siber menjadi agenda utama pemerintah.

Pada saat yang sama, perusahaan Amerika dan bahkan masyarakat umum telah sadar akan bahaya digital baru yang ditimbulkan oleh aktor negara-bangsa dan organisasi kriminal.

Maka tidak mengherankan bahwa dua utas yang berjalan melalui Aspen Cyber Summit tahun ini adalah sifat rumit dari ancaman keamanan siber yang sekarang kita hadapi dan bagaimana mereka mungkin berbeda dari tantangan yang kita hadapi di masa lalu.

Tidak seperti 20 tahun yang lalu, bahkan ketika sistem TI yang ekstensif secara komparatif berdiri sendiri dan langsung, sistem yang saling ketergantungan sekarang membuat penanganan dan pertahanan terhadap ancaman menjadi proposisi yang jauh lebih sulit.

Salah satu variabel baru yang dilemparkan ke dalam campuran digital adalah pertumbuhan meteroik ransomware, yang membuatnya tampak bahwa serangan siber semakin buruk.

Terlebih lagi, permukaan serangan saat ini tidak hanya jauh lebih luas daripada sebelumnya, tetapi juga mencakup perangkat internet-of-things (IoT), yang, tidak seperti komputer mainframe dan laptop dan bahkan perangkat seluler, sulit diperbarui dari perspektif keamanan.

Jay Healey, peneliti senior di Universitas Columbia, mengatakan bahwa interkoneksi sektor infrastruktur kritis yang hampir ada di mana-mana saat ini dengan jaringan digital memang menimbulkan ancaman yang lebih gelap daripada Trojan dan virus.

Perubahan signifikan lainnya dari 20 tahun lalu adalah pergeseran sifat kejahatan dunia maya, kata Kevin Mandia, CEO FireEye. “Ketika Anda melihat para penjahat, saya pikir mungkin 20 tahun yang lalu mereka harus sangat teknis.” Sekarang hambatan masuk kejahatan dunia maya rendah dan kejahatan dunia maya menjadi layanan.

Selengkapnya: CSO Online

Penyerang menggunakan ‘AI ofensif’ untuk membuat deepfake untuk kampanye phishing

by

AI memungkinkan organisasi untuk mengotomatisasi tugas, mengekstrak informasi, dan membuat media yang hampir tidak dapat dibedakan dari yang asli. Tetapi seperti teknologi apa pun, AI tidak selalu dimanfaatkan untuk kebaikan. Secara khusus, penyerang siber dapat menggunakan AI untuk meningkatkan serangan mereka dan memperluas kampanye mereka.

Sebuah survei baru-baru ini yang diterbitkan oleh para peneliti di Microsoft, Purdue, dan Universitas Ben-Gurion, antara lain, mengeksplorasi ancaman “AI ofensif” ini pada organisasi. Ini mengidentifikasi kemampuan berbeda yang dapat digunakan musuh untuk meningkatkan serangan mereka dan memberi peringkat masing-masing berdasarkan tingkat keparahan, memberikan wawasan tentang musuh.

Survei, yang melihat penelitian yang ada tentang AI ofensif dan tanggapan dari organisasi termasuk IBM, Airbus, Airbus, IBM, dan Huawei, mengidentifikasi tiga motivasi utama musuh untuk menggunakan AI: cakupan, kecepatan, dan kesuksesan. AI memungkinkan penyerang untuk “meracuni” model pembelajaran mesin dengan merusak data pelatihan mereka, serta mencuri kredensial melalui analisis saluran samping. Dan itu dapat digunakan untuk mempersenjatai metode AI untuk deteksi kerentanan, pengujian penetrasi, dan deteksi kebocoran kredensial.

Organisasi memberi tahu para peneliti bahwa mereka menganggap pengembangan eksploitasi, rekayasa sosial, dan pengumpulan informasi sebagai teknologi AI ofensif yang paling mengancam. Mereka sangat khawatir tentang AI yang digunakan untuk peniruan identitas, seperti deepfake untuk melakukan serangan phishing dan rekayasa balik yang memungkinkan penyerang untuk “mencuri” algoritme kepemilikan. Selain itu, mereka khawatir bahwa, karena kemampuan AI untuk mengotomatisasi proses, musuh dapat beralih dari memiliki beberapa kampanye rahasia yang lambat menjadi memiliki banyak kampanye yang bergerak cepat untuk membanjiri pembela dan meningkatkan peluang keberhasilan mereka.

Tetapi ketakutan tidak memacu investasi dalam pertahanan. Menurut survei perusahaan yang dilakukan oleh startup otentikasi data Attestiv, kurang dari 30% mengatakan mereka telah mengambil langkah-langkah untuk mengurangi dampak dari serangan deepfake. Pertarungan melawan deepfake kemungkinan akan tetap menantang karena teknik pembuatan terus meningkat, terlepas dari inovasi seperti Tantangan Deteksi Deepfake dan Video Authenticator Microsoft.

selengkapnya : venturebeat.com

Ransomware adalah ancaman keamanan siber teratas yang kita hadapi, kepala siber memperingatkan

by

Ransomware adalah salah satu ancaman keamanan siber utama yang dihadapi Inggris dan kelompok kriminal siber di belakang mereka menjadi lebih berbahaya, kepala siber Inggris memperingatkan.

Lindy Cameron, kepala Pusat Keamanan Siber Nasional (NCSC) akan mengatakan bahwa organisasi – lengan keamanan dunia maya dari agen mata-mata GCHQ – berkomitmen untuk mengatasi ancaman ransomware dan “mendukung korban ransomware setiap hari” tetapi respon yang terkoordinasi diperlukan untuk memerangi ancaman yang berkembang.

Sementara kampanye peretasan yang disponsori negara menimbulkan “ancaman strategis yang berbahaya bagi kepentingan nasional Inggris”, itu adalah kejahatan dunia maya – dan khususnya ransomware – yang telah menjadi ancaman terbesar.

Insiden baru-baru ini seperti serangan ransomware terhadap Colonial Pipeline dan pengolah daging JBS, serta serangan ransomware terhadap layanan kesehatan Irlandia, telah menunjukkan betapa mengganggu nya kampanye kriminal dunia maya ini terhadap layanan penting.

Tidak hanya kelompok ransomware kriminal dunia maya yang mengenkripsi jaringan dan menuntut pembayaran yang signifikan sebagai ganti kunci dekripsi, sekarang juga umum bagi mereka untuk juga mencuri informasi sensitif dan mengancam untuk melepaskannya kecuali uang tebusan dibayarkan – seringkali membuat korban merasa seolah-olah mereka tidak punya pilihan selain menyerah pada tuntutan pemerasan.

Namun, ransomware bukan hanya masalah bagi Inggris saja dan Cameron mendesak pentingnya bekerja sama dengan negara lain untuk mengatasi apa yang benar-benar menjadi masalah internasional ini.

Selengkapnya: ZDNet