Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Attack

Cyber Attack

Microsoft memperingatkan bahwa peretas China menyerang infrastruktur AS

by

Microsoft memperingatkan pada hari Rabu bahwa peretas yang disponsori negara China telah mengkompromikan infrastruktur dunia maya AS yang “kritis” di berbagai industri dengan fokus pada pengumpulan intelijen.

Grup peretas China, dengan nama sandi “Volt Typhoon,” telah beroperasi sejak pertengahan 2021, kata Microsoft dalam sebuah penasehat. Organisasi tersebut tampaknya bekerja untuk mengganggu “infrastruktur komunikasi penting antara Amerika Serikat dan Asia,” kata Microsoft, untuk menghalangi upaya selama “krisis di masa depan”.

Serangan itu tampaknya sedang berlangsung. Dalam sebuah nasihat, Microsoft mendesak pelanggan yang terkena dampak untuk “menutup atau mengubah kredensial untuk semua akun yang disusupi.”

Badan-badan intelijen AS mengetahui serangan itu pada bulan Februari, sekitar waktu yang sama ketika balon mata-mata China jatuh, lapor New York Times.

Infiltrasi difokuskan pada infrastruktur komunikasi di Guam dan bagian lain AS, Times melaporkan, dan sangat mengkhawatirkan intelijen AS karena Guam berada di jantung respons militer Amerika jika terjadi invasi Taiwan.

kata Microsoft. Sebaliknya, “pelaku ancaman bermaksud untuk melakukan spionase dan mempertahankan akses tanpa terdeteksi selama mungkin.”

Infrastruktur di hampir setiap sektor penting telah terpengaruh, kata Microsoft, termasuk industri komunikasi, transportasi, dan maritim. Organisasi pemerintah juga menjadi sasaran.

Peretas yang didukung pemerintah China telah menargetkan informasi penting dan sensitif dari perusahaan AS sebelumnya. Covington and Burling, sebuah firma hukum terkemuka, diretas oleh tersangka peretas yang disponsori negara Tiongkok pada tahun 2020.

sumber : cnbc.com

Peretas menargetkan 1,5 juta situs WordPress dengan eksploitasi plugin izin cookie

by

Serangan yang sedang berlangsung menargetkan kerentanan Unauthenticated Stored Cross-Site Scripting (XSS) di plugin persetujuan cookie WordPress bernama Beautiful Cookie Consent Banner dengan lebih dari 40.000 pemasangan aktif.

Dalam serangan XSS, pelaku ancaman menyuntikkan skrip JavaScript berbahaya ke situs web yang rentan yang akan dijalankan di dalam browser web pengunjung.

Dampaknya dapat mencakup akses tidak sah ke informasi sensitif, pembajakan sesi, infeksi malware melalui pengalihan ke situs web berbahaya, atau penyusupan total sistem target.

Blocked attacks (Wordfence)

Versi plugin yang ditambal juga telah diperbarui untuk memperbaiki dirinya sendiri jika situs web menjadi sasaran serangan ini.

Meskipun gelombang serangan saat ini mungkin tidak dapat menyuntikkan situs web dengan muatan berbahaya, pelaku ancaman di balik kampanye ini dapat mengatasi masalah ini kapan saja dan berpotensi menginfeksi situs mana pun yang tetap terbuka.

Pekan lalu, pelaku ancaman juga mulai menyelidiki internet untuk situs web WordPress yang menjalankan versi rentan dari plugin Essential Addons for Elementor dan WordPress Advanced Custom Fields.

Kampanye dimulai setelah rilis eksploitasi proof-of-concept (PoC), memungkinkan penyerang yang tidak diautentikasi untuk membajak situs web setelah mengatur ulang kata sandi admin dan mendapatkan akses istimewa.

selengkapnya : bleepingcomputer.com

Grup Misterius Memiliki Hubungan dengan 15 Tahun Peretasan Ukraina-Rusia

by

PERUSAHAAN KEAMANAN RUSIA Kaspersky hari ini merilis penelitian baru yang menambah bagian lain dari teka-teki kelompok peretas yang operasinya tampak lebih jauh dari yang disadari para peneliti sebelumnya.

Penelitian yang diterbitkan minggu lalu dari firma keamanan Malwarebytes memberi petunjuk baru tentang kelompok peretas, Red Stinger, yang telah melakukan operasi spionase terhadap korban pro-Ukraina di Ukraina tengah dan korban pro-Rusia di Ukraina timur.

Temuan itu menarik karena campuran ideologis dari target dan kurangnya koneksi ke kelompok peretas lain yang diketahui. Beberapa minggu sebelum Malwarebytes merilis laporannya, Kaspersky juga telah menerbitkan penelitian tentang grup tersebut, yang disebutnya Bad Magic, dan juga menyimpulkan bahwa malware yang digunakan dalam serangan tersebut tidak memiliki koneksi ke alat peretasan lain yang dikenal.

Riset yang dirilis Kaspersky hari ini akhirnya mengaitkan grup tersebut dengan aktivitas sebelumnya dan memberikan beberapa konteks awal untuk memahami kemungkinan motivasi penyerang.

Menambahkan penelitian Malwarebytes ke apa yang mereka temukan secara independen, peneliti Kaspersky meninjau data telemetri bersejarah untuk mencari koneksi. Akhirnya, mereka menemukan bahwa beberapa infrastruktur cloud dan malware yang digunakan grup tersebut memiliki kemiripan dengan kampanye spionase di Ukraina yang diidentifikasi oleh perusahaan keamanan ESET pada tahun 2016, serta kampanye yang ditemukan oleh perusahaan CyberX pada tahun 2017.

“Malwarebytes menemukan lebih banyak tentang tahap infeksi awal, dan kemudian mereka menemukan lebih banyak tentang penginstal” yang digunakan dalam beberapa serangan grup sejak 2020, kata Georgy Kucherin, peneliti malware Kaspersky.

Selengkapnya: WIRED

Ransomware MalasLocker menargetkan server Zimbra, menuntut sumbangan amal

by

Catatan tebusan berisi alamat email untuk menghubungi pelaku ancaman atau URL TOR yang menyertakan alamat email terbaru untuk grup tersebut. Catatan itu juga memiliki bagian teks yang disandikan Base64 di bagian bawah yang diperlukan untuk menerima dekripsi, yang akan kita bahas lebih detail nanti di artikel.

Meskipun catatan tebusan tidak berisi tautan ke situs kebocoran data geng ransomware, analis ancaman Emsisoft Brett Callow menemukan tautan ke situs kebocoran data mereka, dengan judul, “Somos malas… podemos ser peores,” diterjemahkan menjadi, ” Kami buruk… kami bisa lebih buruk.”

Situs kebocoran data MalasLocker saat ini mendistribusikan data yang dicuri untuk tiga perusahaan dan konfigurasi Zimbra untuk 169 korban lainnya.

Halaman utama situs kebocoran data itu juga berisi pesan panjang berisi emoji yang menjelaskan apa yang mereka perjuangkan dan uang tebusan yang mereka butuhkan.

“Kami adalah grup ransomware baru yang telah mengenkripsi komputer perusahaan untuk meminta mereka menyumbangkan uang kepada siapa pun yang mereka inginkan,” demikian bunyi situs kebocoran data MalasLocker.

“Kami meminta mereka memberikan donasi ke organisasi nirlaba pilihan mereka, lalu menyimpan email yang mereka terima untuk mengonfirmasi donasi dan mengirimkannya kepada kami sehingga kami dapat memeriksa tanda tangan DKIM untuk memastikan email tersebut asli.”

Tuntutan tebusan ini sangat tidak biasa dan, jika jujur, menempatkan operasi lebih ke ranah hacktivisme.

Namun, BleepingComputer belum menentukan apakah pelaku ancaman menepati janjinya ketika korban menyumbangkan uang untuk amal bagi dekripsi.

selengkapnya : bleepingcomputer.com

Perselisihan mengungkapkan pelanggaran data setelah agen pendukung diretas

by

Perselisihan memberi tahu pengguna tentang pelanggaran data yang terjadi setelah akun agen dukungan pihak ketiga disusupi.

Pelanggaran keamanan mengungkap antrean tiket dukungan agen, yang berisi alamat email pengguna, pesan yang dipertukarkan dengan dukungan Discord, dan lampiran apa pun yang dikirim sebagai bagian dari tiket.

Discord mengatakan segera menangani akun dukungan yang dilanggar dengan menonaktifkannya setelah insiden itu ditemukan.

“Karena sifat insiden tersebut, alamat email Anda, konten pesan layanan pelanggan, dan lampiran apa pun yang dikirim antara Anda dan Discord mungkin telah diekspos ke pihak ketiga,” kata Discord dalam surat yang dikirim ke pengguna yang terpengaruh.

“Segera setelah Discord mengetahui masalah ini, kami menonaktifkan akun yang disusupi dan menyelesaikan pemeriksaan malware pada mesin yang terpengaruh.”

Mereka juga bekerja dengan mitra layanan pelanggan untuk menerapkan langkah-langkah efektif guna mencegah insiden serupa di masa mendatang.

Jika Anda terpengaruh oleh pelanggaran data di Discord, awasi aktivitas yang mencurigakan, seperti upaya penipuan atau serangan phishing. Meskipun Discord menganggap risikonya minimal, lebih baik tetap berhati-hati.

“Meskipun kami yakin risikonya terbatas, Anda disarankan untuk waspada terhadap pesan atau aktivitas yang mencurigakan, seperti upaya penipuan atau phishing,” kata perusahaan itu.

Juru bicara Discord tidak membalas permintaan komentar saat BleepingComputer menghubungi hari ini.

Discord adalah pesan instan dan platform media sosial yang banyak digunakan dengan 150 juta pengguna aktif bulanan.

Selain itu, perusahaan mengklaim di situs webnya bahwa platform tersebut memiliki 19 juta server aktif setiap minggu.

Selengkapnya: Bleeping Computer

ABB mengonfirmasi insiden keamanan TI yang berdampak pada operasi

by

ABB, perusahaan teknologi industri multinasional yang berspesialisasi dalam elektrifikasi dan otomasi, telah mengonfirmasi bahwa lokasi dan layanan tertentu terkena dampak “insiden keamanan TI”.

Raksasa teknologi industri, dengan pendapatan yang dilaporkan sebesar $29,4 miliar pada tahun 2022, mengatakan tim keamanan siber perusahaan sedang bekerja untuk menyelesaikan masalah tersebut.

“ABB baru-baru ini mendeteksi insiden keamanan TI yang secara langsung memengaruhi lokasi dan sistem tertentu. Untuk mengatasi situasi ini, ABB telah mengambil, dan terus mengambil, langkah-langkah untuk mengatasi insiden tersebut,” kata seorang perwakilan ABB kepada Cybernews.

Perusahaan mengklaim bahwa langkah-langkah penahanan yang diberlakukan mengganggu beberapa operasinya, dan ABB menangani masalah tersebut. Namun, ditekankan bahwa sebagian besar “sistem dan pabriknya sekarang aktif dan berjalan, dan ABB terus melayani pelanggannya dengan cara yang aman.”

ABB menikmati kehadiran global, dengan operasi di setiap benua, kecuali Antartika. Satu lengan kerajaan bisnis perusahaan yang luas mengembangkan sistem kontrol industri (ICS). ICS adalah bagian penting dari sistem manufaktur modern dan target menarik bagi pelaku ancaman yang disponsori negara dan bermotivasi finansial.

“ABB terus bekerja dengan rajin dengan pelanggan dan mitranya untuk menyelesaikan situasi ini dan meminimalkan dampaknya,” kata perusahaan dengan staf lebih dari 100.000 karyawan.

Daftar pelanggan perusahaan mencakup beberapa nama terkemuka seperti Volvo, Hitachi, kota Zaragoza dan Nashville, PKN Orlen, Roboship, dan banyak lainnya.

Perusahaan tersebut diduga menjadi korban serangan ransomware oleh kelompok penjahat dunia maya yang terkait dengan Rusia, Black Basta, seperti yang pertama kali dilaporkan oleh Bleeping Computer. Namun, ABB tidak mengonfirmasi hal itu kepada Cybernews, dan nama perusahaan tidak ada dalam situs bocoran Black Basta, blog web gelap tempat penjahat dunia maya memposting korban terbaru mereka.

Selengkapnya: Cybernews

Perusahaan teknologi multinasional ABB terkena serangan ransomware Black Basta

by

Perusahaan multinasional Swiss ABB, penyedia teknologi elektrifikasi dan otomasi terkemuka, telah mengalami serangan ransomware Black Basta, yang dilaporkan berdampak pada operasi bisnis.

Berkantor pusat di Zurich, Swiss, ABB mempekerjakan sekitar 105.000 karyawan dan memiliki pendapatan $29,4 miliar untuk tahun 2022. Sebagai bagian dari layanannya, perusahaan mengembangkan sistem kontrol industri (ICS) dan sistem SCADA untuk manufaktur dan pemasok energi.

Perusahaan bekerja dengan berbagai pelanggan dan pemerintah daerah, termasuk Volvo, Hitachi, DS Smith, Kota Nashville, dan Kota Zaragoza.

“ABB mengoperasikan lebih dari 40 fasilitas teknik, manufaktur, penelitian, dan layanan yang berbasis di A.S. dengan rekam jejak yang terbukti melayani berbagai lembaga federal termasuk Departemen Pertahanan, seperti Korps Insinyur Angkatan Darat A.S., dan lembaga Sipil Federal seperti Departemen Interior, Transportasi, Energi, Penjaga Pantai Amerika Serikat, serta Layanan Pos AS,” bunyi situs web ABB.

Pada 7 Mei, perusahaan tersebut menjadi korban serangan ransomware yang dilakukan oleh Black Basta, sebuah grup kejahatan dunia maya yang muncul pada April 2022.

BleepingComputer telah belajar dari banyak karyawan bahwa serangan ransomware telah memengaruhi Direktori Aktif Windows perusahaan, memengaruhi ratusan perangkat.

Menanggapi serangan itu, ABB menghentikan koneksi VPN dengan pelanggannya untuk mencegah penyebaran ransomware ke jaringan lain.

BleepingComputer secara independen mengkonfirmasi serangan tersebut dari sumber yang mengetahui situasi tersebut dan meminta untuk tetap anonim.

Serangan itu dilaporkan mengganggu operasi perusahaan, menunda proyek dan berdampak pada pabrik.

BleepingComputer menghubungi ABB tentang serangan itu, tetapi mereka menolak berkomentar.

Selengkapnya: Bleeping Computer

Pembaruan sistem palsu menjatuhkan pencuri Aurora melalui pemuat Printer Tidak Valid

by

Malvertising tampaknya menikmati kebangkitan akhir-akhir ini, apakah itu dari iklan di halaman hasil mesin pencari atau melalui situs web populer. Karena browser saat ini lebih aman daripada 5 atau 10 tahun yang lalu, serangan yang kita lihat semuanya melibatkan beberapa bentuk rekayasa sosial.

Pelaku ancaman menggunakan iklan berbahaya untuk mengalihkan pengguna ke sesuatu yang tampak seperti pembaruan keamanan Windows. Skema ini dirancang dengan sangat baik karena mengandalkan browser web untuk menampilkan animasi layar penuh yang sangat mirip dengan apa yang Anda harapkan dari Microsoft.

Pembaruan keamanan palsu menggunakan loader yang baru diidentifikasi yang pada saat kampanye tidak menyadari kotak pasir malware dan melewati hampir semua mesin antivirus. Kami menulis alat untuk ‘menambal’ loader ini dan mengidentifikasi muatan sebenarnya sebagai pencuri Aurora. Dalam postingan blog ini, kami merinci temuan kami dan bagaimana kampanye ini terhubung dengan serangan lain.

Dalam kampanye malvertising khusus ini, muatan yang digunakan adalah Aurora Stealer, malware populer yang dirancang untuk mengambil kredensial dari sistem.

Malwarebytes menghapus semua sisa ransomware dan mencegah Anda terinfeksi ulang. Ingin mempelajari lebih lanjut tentang bagaimana kami dapat membantu melindungi bisnis Anda? Dapatkan uji coba gratis di bawah ini.

selengkapnya : malwarebytes.com