Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Attack

Cyber Attack

Peretas merancang taktik baru untuk memastikan pembayaran ransomware

by

Ransomware tetap menjadi salah satu ancaman keamanan dunia maya terbesar yang terus dihadapi organisasi dan pemerintah. Namun, para peretas sedang merekayasa cara-cara baru untuk mengekstraksi uang tebusan dari korban mereka karena organisasi mengambil keputusan untuk menolak permintaan pembayaran uang tebusan.

Dengan jatuhnya geng ransomware paling terkenal, Conti, pada Mei 2022, diasumsikan bahwa serangan ransomware akan mengalami penurunan besar. Namun, Tenable menemukan bahwa 35,5% pelanggaran pada tahun 2022 adalah hasil dari serangan ransomware, penurunan kecil sebesar 2,5% dari tahun 2021.

Pembayaran dari korban ransomware, sementara itu, menurun sebesar 38% pada tahun 2022 — dan ini telah mendorong peretas untuk mengadopsi taktik yang lebih profesional dan korporat untuk memastikan pengembalian yang lebih tinggi, menurut Laporan Keamanan Cyber Tahunan Trend Micro.

“Penjahat dunia maya semakin memiliki KPI dan target yang ingin dicapai. Ada target khusus yang perlu mereka tembus dalam jangka waktu tertentu. Ini telah menjadi kejahatan yang sangat terorganisir karena model bisnis yang diikuti oleh kelompok ransomware yang menyebabkan mereka mulai meningkatkan tekanan,” kata Maheswaran S, manajer negara di Varonis Systems.

Salah satu taktik yang semakin banyak digunakan oleh kelompok ransomware adalah pemerasan ganda. Dalam metode pemerasan ganda, grup ransomware, selain mengenkripsi file di sistem korban, juga mengunduh informasi sensitif dari mesin korban.

“Ini memberi mereka lebih banyak pengaruh, karena sekarang pertanyaannya bukan hanya tentang mendekripsi data yang dikunci tetapi juga tentang membocorkannya,” kata Mehardeep Singh Sawhney, peneliti ancaman di CloudSEK.

Contohnya adalah geng ransomware BlackCat. Geng ransomware ini dapat mengenkripsi dan mencuri data dari mesin korban dan aset lain yang berjalan di dalamnya, misalnya server ESXi, kata CloudSEK.

selengkapnya : csoonline.com

San Bernardino County Membayar Tebusan $1,1 juta Kepada Hacker setelah Serangan Siber

by

Pada April, seorang hacker menyebabkan gangguan jaringan pada pada sistem komputer Departemen Sheriff San Bernardino County dibayar uang tebusan $1,1 juta untuk membiarkan pejabat daerah kembali ke jaringan.

Hacker mengunggah ransomware untuk menyusup ke sistem teknologi informasi departemen sheriff. Pejabat sheriff juga tidak dapat mengakses sistem yang memberikan informasi tentang apakah seseorang dicari karena kejahatan di tempat lain di wilayah itu.

Mengetahui hal tersebut, pejabat daerah segera mengamankan jaringan dan bekerja dengan staf teknologi informasi dan spesialis forensik pihak ketiga untuk menyelidiki.

Namun belum ada konfirmasi lebih lanjut mengenai pembayaran $ 1,1 juta kepada para hacker, berapa lama sistem tidak dapat diakses oleh departemen, atau mengapa pejabat menunggu sampai sekarang untuk memberitahu publik tentang pembayaran uang tebusan.

Pembayaran uang tebusan tersebut bertujuan untuk memulihkan fungsionalitas penuh sistem dan mengamankan data apa pun yang terlibat dalam pelanggaran. Polis asuransi memastikan pembayaran sebesar $511.852, kata pejabat daerah.

Departemen sheriff sedang melakukan pemeriksaan forensik untuk memahami sepenuhnya sejauh mana insiden tersebut, dengan temuan penting bagi badan publik yang berusaha menghindari serangan serupa, kata pejabat daerah.

Selengkapnya: Daily Press

Peneliti membajak paket PHP Packagist populer untuk mendapatkan pekerjaan

by

Seorang peneliti membajak lebih dari selusin paket Packagist — dengan beberapa telah diinstal ratusan juta kali selama masa pakainya.

Peneliti menjangkau BleepingComputer yang menyatakan bahwa dengan membajak paket-paket ini dia berharap mendapatkan pekerjaan. Dan, dia tampaknya cukup yakin bahwa ini akan berhasil.

seorang peneliti dengan nama samaran ‘neskafe3v1’ menghubungi BleepingComputer menyatakan bahwa dia telah mengambil lebih dari empat belas paket Packagist, dengan salah satunya memiliki lebih dari 500 juta pemasangan.

Packagist adalah registry utama paket PHP yang dapat diinstal melalui Composer, alat manajemen ketergantungan. Daripada menghosting paket-paket ini, Packagist lebih berfungsi sebagai direktori metadata yang mengumpulkan paket-paket open source yang dipublikasikan ke GitHub. Paket-paket ini kemudian dapat diinstal oleh pengembang di mesin mereka dengan menjalankan perintah instal komposer.

Proses penerbitan di Packagist sedikit berbeda dengan yang ada di repo open source seperti npm atau PyPI. Seorang pengembang, sebagai lawan mengunggah binari atau rilis perangkat lunak langsung ke Packagist.org, cukup membuat akun Packagist.org, dan “mengirimkan” tautan ke repo GitHub mereka untuk paket tertentu. Perayap Packagist kemudian mengunjungi repo yang disediakan dan mengumpulkan semua data untuk ditampilkan di halaman Packagist untuk paket itu.

Ketika pengembang menjalankan Komposer dengan perintah ‘instal’ atau ‘perbarui’, instance Komposer mereka mungkin pertama-tama mencari keberadaan paket secara lokal, jika gagal, secara default akan mencari di Packagist untuk paket ini dan mengambil URL GitHub yang terdaftar untuk paket itu . Isi paket kemudian diunduh dari repo GitHub ini yang terdaftar di halaman Paket Paket.

Ini sangat kontras dengan cara kerja npm atau PyPI—yaitu, pendaftar ini menghosting dan mendistribusikan rilis perangkat lunak langsung dari server mereka.

selengkapnya : bleepingcomputer.com

Botnet Mirai suka mengeksploitasi router TP-Link Anda yang belum ditambal, CISA memperingatkan

by

Cybersecurity and Infrastructure Security Agency (CISA) pemerintah AS menambahkan tiga kelemahan lagi ke dalam daftar kerentanan yang diketahui dieksploitasi, termasuk satu yang melibatkan router TP-Link yang menjadi sasaran operator botnet Mirai yang terkenal kejam.

Dua lainnya ditempatkan pada daftar minggu ini melibatkan versi perangkat lunak Server WebLogic Oracle dan perpustakaan log4j Java Log4j dari Apache Foundation.

Cacat injeksi perintah di router Wi-Fi 6 Archer AX21 TP-Link – dilacak sebagai CVE-2023-1389 – bersembunyi di firmware perangkat sebelum versi 1.1.4 Build 20230219, yang mengatasi masalah tersebut. Penyerang yang tidak sah dapat mengeksploitasi lubang ini untuk menyuntikkan perintah yang dapat menyebabkan eksekusi kode jarak jauh (RCE), yang memungkinkan penyusup mengambil kendali perangkat dari seluruh jaringan atau internet.

Malware Mirai menggulung perangkat Internet of Things (IoT) berbasis Linux yang terinfeksi ke dalam botnet yang kemudian dapat dikendalikan dari jarak jauh untuk melakukan serangan jaringan berskala besar, termasuk serangan denial-of-services (DDoS) terdistribusi.

Kerentanan command-injection ditemukan oleh beberapa tim yang berpartisipasi dalam kontes Pwn2Own Toronto ZDI tahun lalu dan seperti yang kami katakan, TP-Link telah mengeluarkan firmware untuk memperbaiki masalah tersebut. Setelah mendengar dari ZDI bahwa operator botnet Mirai mencoba mengeksploitasinya, TP-Link mengeluarkan pernyataan yang mendesak pengguna untuk menginstal firmware yang diperbarui.

Untuk perangkat yang ditautkan ke akun TP-Link Cloud, firmware diperbarui secara otomatis. Pengguna lain perlu memperbarui router sendiri.

Para peneliti ZDI menulis bahwa melihat kelemahan yang dieksploitasi begitu cepat setelah tambalan dirilis adalah contoh lain dari berkurangnya waktu antara kerentanan ditemukan dan upaya eksploitasi dimulai.

selengkapnya : theregister.com

Aspen Dental, Korban Terbaru Dalam Rangkaian Serangan Siber Terhadap Penyedia Layanan Kesehatan

by

Aspen Dental mengkonfirmasi sebagai korban serangan siber pada hari Rabu.

Juru bicara Aspen Dental mengatakan bahwa Grup Aspen sementara mengalami dampak buruk yang mempengaruhi kemampuan untuk mengakses sistem penjadwalan dan aplikasi bisnis lainnya untuk Aspen Dental.

Beruntungnya, tim TI mereka dapat menemukan masalah ini lebih awal dan telah bekerja dengan rajin untuk membuat sistem kembali online secepat dan seaman mungkin.

Ron Sanders, mantan direktur Florida Center for Cybersecurity, mengatakan bahwa bagi peretas, perusahaan di industri medis adalah sasaran empuk bagi penjahat dunia maya karna industri tersebut seringkali memiliki nama pasien, alamat, nomor telepon, nomor jaminan sosial, dan informasi kartu kredit.

Hal ini tampaknya dibuktikan dengan adanya data pelanggaran perawatan kesehatan yang telah mengungkap 385 juta catatan pasien dari tahun 2010 hingga 2022 berdasarkan laporan bulan lalu dari healthcaredive.com.

Juru bicara Aspen Dental mengatakan bahwa perusahaan tidak memiliki alasan untuk percaya bahwa data pasien telah dikompromikan, tetapi penyelidikan masih dalam tahap awal, dan beberapa kantor di seluruh negeri telah melihat pasien sementara pihaknya menangani masalah ini.

Selengkapnya: FOX13

Penipu Facebook Berpose Sebagai Staf Pendukung Pada 3.200 Profil Palsu

by

Antara Februari dan Maret 2023, peneliti Grup-IB yang berbasis di Dubai mengidentifikasi lebih dari 3.200 profil Facebook yang diklaim ditulis oleh staf pendukung Meta dalam lebih dari 20 bahasa. Setelah menemukan akun scammers, Tim Tanggap Darurat Komputer Grup-IB berbagi informasi dengan Facebook, yang harus dicatat telah menghapus beberapa profil yang melanggar.

Tujuan penjahat dunia maya adalah meretas akun Facebook tokoh masyarakat dan selebritas, bisnis, tim olahraga, dan akun individu. Sebagai bagian dari penipuan yang rumit, data cookie, dan pembajakan sesi digunakan, meskipun sebagian besar penjahat menggunakan teknik phishing tradisional untuk mengelabui orang agar secara sukarela memasukkan informasi email dan kata sandi.

Peneliti Grup-IB mulai melacak penipuan yang meluas ini pada Februari 2023. Selain 3.200 profil Facebook palsu yang berisi postingan penipuan, pakar keamanan siber juga menemukan 220 situs web yang dimaksudkan untuk mengelabui pengguna agar berpisah dengan data mereka.

Detail Penipuan
Penipu Facebook ini menggunakan teknik rekayasa sosial untuk mengelabui pengguna agar mengira akun mereka ditandai untuk ditangguhkan karena pelanggaran hak cipta. Jika korban berusaha memverifikasi profil mereka untuk mencegahnya diblokir, mereka akan dibawa ke situs web phishing, di mana mereka disajikan dengan halaman yang berisi merek Meta atau Facebook yang tampak resmi.

selengkapnya : techmgzn.com

URL Berbahaya Terkait ChatGPT Meningkat

by

Jumlah domain baru terdaftar dan squat yang terkait dengan ChatGPT tumbuh sebesar 910% setiap bulan antara November 2022 dan awal April 2023.

Temuan yang dibagikan oleh Unit 42 Palo Alto Networks hari ini juga menyebutkan pertumbuhan 17.818% domain squatting terkait dari log Keamanan DNS dalam jangka waktu yang sama.

Di antara tren yang diamati oleh para peneliti, beberapa URL phishing mencoba berpura-pura sebagai situs resmi OpenAI.

Palo Alto Networks juga mengamati beberapa scammer yang mengeksploitasi meningkatnya popularitas OpenAI untuk penipuan crypto, misalnya, mencoba menarik korban ke dalam acara giveaway crypto yang curang.

Tetapi beberapa situs penipuan sebenarnya memanfaatkan API ChatGPT resmi, yang disediakan oleh OpenAI pada bulan Maret.

Menurut tim, alat-alat ini, serta peningkatan umum dalam domain terdaftar dan domain jongkok yang terkait dengan ChatGPT, merupakan tren yang berkembang.

“Agar tetap aman, pengguna ChatGPT harus berhati-hati dengan email atau tautan mencurigakan yang terkait dengan ChatGPT,” bunyi peringatan tersebut. “Selain itu, penggunaan chatbot peniru akan membawa risiko keamanan ekstra. Pengguna harus selalu mengakses ChatGPT melalui situs resmi OpenAI.”

selengkapnya : infosecurity-magazine.com

Serangan Ransomware 2023: Sorotan Kuartal Pertama

by

Pada Q1 2023, kami mengamati hampir 850 organisasi diberi nama di situs ransomware dan pemerasan data di web gelap. Ini adalah lompatan 22,4% dari kuartal sebelumnya, yang memiliki jumlah total mendekati 700. Tidak mengherankan, “LockBit” tetap menjadi grup yang paling aktif, dengan selisih yang lebar. Tapi tempat nomor dua datang dari pesaing di menit-menit terakhir: Clop, dengan eksploitasi GoAnywhere.

Jumlah korban disebutkan di 20 situs kebocoran data ransomware teratas, Q1 2023

Maret 2023 mencatat rekor bulan paling aktif yang pernah kami catat dalam sejarah ransomware pemerasan ganda. Lebih dari 400 organisasi disebutkan di situs kebocoran data ransomware; itu 35% lebih banyak dari rekor bulanan sebelumnya.

Aktivitas ransomware menurut bulan sejak Maret 2022

serangan hanya pemerasan berkurang secara substansial: sebesar 90%. Kita berbicara tentang kelompok ancaman yang mencuri data, mengancam untuk membocorkannya di situs kebocoran data, dan kemudian tidak mengenkripsi file. Terobosan dalam aktivitas hanya pemerasan mungkin dapat dijelaskan oleh kelompok pemerasan terkemuka, “Tim Peretasan Karakurt”, sebagian besar tidak aktif.

Aktivitas pemerasan berdasarkan bulan sejak Maret 2022

Ini tidak berarti bahwa serangan pemerasan saja sudah ketinggalan zaman. Jumlah yang dianalisis terbatas pada kelompok pemerasan yang dikonfirmasi yang menyebutkan nama korban di situs kebocoran data, dan ada ratusan pelaku ancaman yang mencuri data dan malah mengekspos organisasi di forum penjahat dunia maya bawah tanah, seperti XSS atau Exploit. Plus, kampanye terbaru Clop, yang menargetkan kelemahan GoAnywhere, dapat dianggap sebagai kampanye pemerasan saja.

Sebaran korban per sektor lebih merata, meski sektor industri barang dan jasa tetap menjadi target paling banyak dengan 21,1% dari seluruh korban. Peningkatan serangan industri perawatan kesehatan merupakan temuan penting; lebih dari 30 organisasi layanan kesehatan disebutkan di situs kebocoran data pada Maret 2023. Itu lebih dari yang kami amati selama empat kuartal terakhir.

selengkapnya : reliaquest.com