Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Attack

Cyber Attack

MediaMarkt terkena ransomware Hive, tebusan awal $240 juta

by

Raksasa ritel elektronik MediaMarkt telah menderita ransomware Hive dengan permintaan tebusan awal sebesar $240 juta, menyebabkan sistem TI ditutup dan operasi toko terganggu di Belanda dan Jerman.

MediaMarkt adalah pengecer elektronik konsumen terbesar di Eropa, dengan lebih dari 1.000 toko di 13 negara. MediaMarkt mempekerjakan sekitar 53.000 karyawan dan memiliki total penjualan €20,8 miliar.

MediaMarkt mengalami serangan ransomware Minggu malam hingga Senin pagi yang mengenkripsi server dan workstation dan menyebabkan penutupan sistem TI untuk mencegah penyebaran serangan.

Sementara penjualan online terus berfungsi seperti yang diharapkan, mesin kasir tidak dapat menerima kartu kredit atau mencetak tanda terima di toko yang terkena dampak. Pemadaman sistem juga mencegah pengembalian barang karena ketidakmampuan untuk mencari pembelian sebelumnya.

Media lokal melaporkan bahwa komunikasi internal MediaMarkt memberi tahu karyawan untuk menghindari sistem terenkripsi dan memutuskan mesin kasir dari jaringan.

BleepingComputer telah mengkonfirmasi bahwa operasi Hive Ransomware berada di balik serangan itu dan awalnya menuntut jumlah uang tebusan yang sangat besar, tetapi tidak realistis, $ 240 juta untuk menerima decryptor untuk file terenkripsi.

Meskipun tidak jelas apakah data yang tidak terenkripsi telah dicuri sebagai bagian dari serangan, ransomware Hive diketahui mencuri file dan mempublikasikannya di situs kebocoran data ‘HiveLeaks’ jika uang tebusan tidak dibayarkan.

Selengkapnya: Bleeping Computer

Perusahaan perangkat lunak medis mendesak pengaturan ulang kata sandi setelah serangan ransomware

by

Medatixx, vendor perangkat lunak medis Jerman yang produknya digunakan di lebih dari 21.000 institusi kesehatan, mendesak pelanggan untuk mengubah kata sandi aplikasi mereka setelah serangan ransomware yang telah sangat mengganggu seluruh operasinya.

Perusahaan mengklarifikasi bahwa dampaknya belum mencapai klien dan terbatas pada sistem TI internal mereka dan tidak boleh memengaruhi PVS (sistem manajemen praktik) mereka.

Namun, karena tidak diketahui data apa yang dicuri selama serangan, pelaku ancaman mungkin telah memperoleh kata sandi pelanggan Medatixx.

Oleh karena itu, Medatixx merekomendasikan agar pelanggan melakukan langkah-langkah berikut untuk memastikan perangkat lunak manajemen praktik mereka tetap aman:

  • Ubah kata sandi pengguna pada perangkat lunak praktik (petunjuk).
  • Ubah kata sandi masuk Windows di semua workstation dan server (petunjuk).
  • Ubah kata sandi konektor TI (petunjuk).

Perusahaan menjelaskan bahwa langkah di atas adalah tindakan pencegahan, tetapi mereka harus diterapkan sesegera mungkin.

Serangan ransomware pada Mediatixx terjadi minggu lalu, dan perusahaan masih dalam pemulihan, sejauh ini hanya berhasil memulihkan sistem email dan telepon pusat.

Belum ada perkiraan kapan perusahaan akan kembali beroperasi normal.

Belum diketahui apakah pelaku berhasil melakukan eksfiltrasi data klien, dokter, atau pasien. Namun, perusahaan menyatakan bahwa mereka memberi tahu otoritas perlindungan data Jerman tentang insiden tersebut dan akan mengeluarkan pembaruan setelah penyelidikan selesai.

Selengkapnya: Bleeping Computer

Mekotio Versi Lebih Tersembunyi Terlihat di Alam Bebas

by Leave a Comment

Trojan perbankan versi baru Mekotio sedang digunakan di alam bebas. Analis malware melaporkan bahwa itu menggunakan aliran infeksi baru yang lebih tersembunyi.

Aktivitas penting terakhir dari Mekotio dimulai pada musim panas 2020 ketika operator trojan menyebarkannya dalam kampanye yang menargetkan negara-negara Amerika Latin.

Aliran serangan baru

Infeksi dimulai dengan email phishing (berupa paket lampiran ZIP yang berisi skrip batch yang gak jelas) yang menjalankan skrip PowerShell.

Setelah skrip PowerShell masuk, skrip akan mengunduh arsip ZIP kedua setelah beberapa lokasi dasar dan pemeriksaan anti-analisis.

Jika pemeriksaan mengkonfirmasi korban berada di Amerika Latin dan malware tidak berjalan di mesin virtual, ZIP kedua yang berisi muatan Mekotio dalam bentuk DLL akan diekstraksi.

Sumber: CheckPoint

Alur serangan multi-langkah seperti di atas mungkin tampak tidak perlu rumit, tetapi mereka diperlukan untuk menghindari deteksi dan berhasil menyebarkan muatan akhir.

Salah satu keuntungan dari serangan modular adalah kemampuan tambahan untuk membuat perubahan halus yang membuat metode deteksi sebelumnya tidak berguna.

Inilah yang terjadi dalam pengembangan Mekotio, karena kode trojan sebagian besar tetap tidak berubah, dengan pembuatnya sebagian besar mengubah banyak hal daripada menambahkan kemampuan baru.

Sumber: CheckPoint

Kode lama dalam bungkus baru

Tiga elemen baru yang membuat versi Mekotio terbaru lebih sulit dideteksi adalah sebagai berikut:

  • File batch yang lebih tersembunyi dengan setidaknya dua lapisan kebingungan
  • Skrip PowerShell tanpa file baru yang berjalan langsung di memori
  • Penggunaan Themida v3 untuk mengemas muatan DLL akhir

Tujuan utama trojan tidak lain untuk mencuri kredensial e-banking dan kata sandi akun orang-orang.

Beberapa varian Mekotio sebelumnya juga dapat membajak pembayaran cryptocurrency dan mengarahkannya ke dompet yang dikendalikan aktor, tetapi versi terbaru telah menghapus fungsi ini.

Tahun lalu, ESET menandai trojan khusus ini “kacau” karena pengembangan bersamaan yang menghasilkan sirkulasi bersamaan untuk setiap variannya.

Aktivitas itu kini telah berkurang, dan aktivitas terbaru menggunakan varian yang dianalisis oleh CheckPoint.

Sumber: Bleepingcomputer

Cyberattack menutup bank terbesar di Ekuador, Banco Pichincha

by

Bank swasta terbesar di Ekuador Banco Pichincha telah mengalami serangan siber yang mengganggu operasi dan membuat ATM dan portal perbankan online offline.

Serangan siber terjadi selama akhir pekan, menyebabkan bank menutup sebagian jaringan mereka untuk mencegah penyebaran serangan ke sistem lain.

Penutupan sistem telah menyebabkan gangguan yang meluas bagi bank, dengan ATM tidak lagi berfungsi dan portal perbankan online menampilkan pesan pemeliharaan.

Dalam notifikasi internal yang dikirim ke instansi Bank dan dilihat oleh BleepingComputer, karyawan diberitahu bahwa aplikasi bank, email, saluran digital, dan layanan mandiri tidak akan beroperasi karena masalah teknologi.

Dokumen internal lebih lanjut mengatakan bahwa pelanggan swalayan harus diarahkan ke jendela teller bank untuk dilayani selama pemadaman.

Setelah dua hari diam mengenai kesulitan teknis bank, Banco Pichincha mengeluarkan pernyataan Selasa sore mengakui bahwa mereka mengalami serangan cyber yang menyebabkan gangguan sistem mereka.

Saat ini, Banco Pichincha belum mengungkapkan secara terbuka sifat serangan tersebut. Namun, sumber di industri keamanan siber mengatakan kepada BleepingComputer bahwa ini adalah serangan ransomware dengan pelaku ancaman memasang suar Cobalt Strike di jaringan.

Selengkapnya: Bleeping Computer

Geng Ransomware Cring Mengeksploitasi Bug ColdFusion Berusia 11 Tahun

by

Pelaku ancaman tak dikenal melanggar server yang menjalankan perangkat lunak ColdFusion 9 versi 11 tahun yang belum ditambal dalam hitungan menit untuk mengambil alih kendali dari jarak jauh dan menyebarkan ransomware Cring di jaringan target 79 jam setelah peretasan.

Server, yang dimiliki oleh perusahaan layanan yang tidak disebutkan namanya, digunakan untuk mengumpulkan data absen dan akuntansi untuk penggajian serta untuk menampung sejumlah mesin virtual, menurut laporan yang diterbitkan oleh Sophos dan dibagikan dengan The Hacker News. Serangan tersebut berasal dari alamat internet yang ditetapkan untuk ISP Green Floid Ukraina.

Perusahaan perangkat lunak keamanan Inggris mengatakan “pembobolan cepat” dimungkinkan dengan mengeksploitasi instalasi Adobe ColdFusion 9 berusia 11 tahun yang berjalan pada Windows Server 2008, yang keduanya telah mencapai akhir masa pakainya (end-of-life).

Setelah mendapatkan pijakan awal, penyerang menggunakan berbagai metode canggih untuk menyembunyikan file mereka, menyuntikkan kode ke dalam memori, dan menutupi jejak mereka dengan menimpa file dengan data yang kacau, belum lagi melucuti produk keamanan dengan memanfaatkan fakta bahwa fungsi proteksi gangguan dimatikan.

Khususnya, musuh mengambil keuntungan dari CVE-2010-2861, satu set kerentanan traversal direktori di konsol administrator di Adobe ColdFusion 9.0.1 dan sebelumnya yang dapat disalahgunakan oleh penyerang jarak jauh untuk membaca file apapun, seperti yang berisi hash kata sandi administrator (“password.properties”).

Pada tahap berikutnya, aktor jahat diyakini telah mengeksploitasi kerentanan lain di ColdFusion, CVE-2009-3960, untuk mengunggah file Cascading Stylesheet (CSS) berbahaya ke server, akibatnya menggunakan itu untuk memuat Cobalt Strike Beacon yang dapat dieksekusi.

Selengkapnya: The Hacker News

Peretasan Microsoft China Mungkin Memiliki Tujuan Lebih Besar Dari Sekedar Memata-matai

by

Steven Adair berburu peretas untuk mencari nafkah. Kembali pada bulan Januari, di sudut matanya, cara periferal, dia pikir dia melihat satu di jaringan pelanggannya — kehadiran bayangan yang mengunduh email.

Adair adalah pendiri perusahaan keamanan siber bernama Volexity, dan dia selalu menjebak penyusup. Jadi, dia melihat sekilas server yang digunakan kliennya untuk menjalankan Microsoft Exchange dan terkejut “melihat permintaan yang tidak kami harapkan,” katanya. Ada permintaan untuk akses ke akun email tertentu, permintaan untuk file rahasia.

Apa yang ditemukan Adair adalah peretasan besar-besaran ke Microsoft Exchange — salah satu program perangkat lunak email paling populer di dunia.

Selama hampir tiga bulan, penyusup membantu diri mereka sendiri dalam segala hal mulai dari email, kalender, hingga kontak. Kemudian mereka menjadi liar dan meluncurkan serangan gelombang kedua untuk menyapu data Exchange dari puluhan ribu korban yang tidak menaruh curiga.

Baik Gedung Putih dan Microsoft telah mengatakan dengan tegas bahwa peretas yang didukung pemerintah China adalah dalang dibalik peretasan ini.

Pemeriksaan NPR selama berbulan-bulan atas serangan itu — berdasarkan wawancara dengan lusinan pemain dari pejabat perusahaan hingga pakar forensik dunia maya hingga pejabat intelijen AS — menemukan bahwa mencuri email dan kekayaan intelektual mungkin baru permulaan. Para pejabat percaya bahwa pelanggaran itu bertujuan untuk sesuatu yang lebih besar: Ambisi kecerdasan buatan China. Kepemimpinan Beijing bertujuan untuk memimpin dunia dalam teknologi yang memungkinkan komputer melakukan tugas-tugas yang secara tradisional membutuhkan kecerdasan manusia — seperti menemukan pola dan mengenali ucapan atau wajah.

Selengkapnya dapat dibaca di: NPR

Peretas Di Balik Pencurian Crypto Bersejarah Dilaporkan Mengembalikan $256 Juta Dana yang Dicuri

by

Setelah peretas menyerang Poly Network dengan salah satu perampokan crypto terbesar dalam ingatan baru-baru ini, perusahaan itu menerbitkan surat terbuka pada hari Selasa yang memohon kepada para pelaku untuk mendapatkan kembali aset mereka. Rupanya, surat itu berhasil, dan para peretas dilaporkan sudah mulai mengembalikan sebagian besar hasil tangkapan mereka.

The Block pertama kali melaporkan bahwa siapa pun yang berada di balik peretasan telah mengembalikan sekitar $256 juta aset crypto kembali ke perusahaan pada Rabu pagi. Itu masih jauh di bawah $611 juta yang dilaporkan dicuri oleh peretas, yang dilaporkan menjadikannya peretasan terbesar dalam sejarah keuangan terdesentralisasi, yang sering dikenal sebagai DeFi.

Kurang dari 24 jam setelah Poly memposting suratnya — mengingatkan penyerang bahwa penegak hukum “di negara mana pun” kemungkinan akan membuntuti mereka karena kejahatan mereka — para peretas mulai mentransfer jutaan aset berbeda kembali ke dompet crypto Poly Network.

Di antara aset lainnya, para peretas mengembalikan $ 2 juta dalam ShibaCoin, $ 1,1 juta dalam Token Binance BTCB, dan sekitar $ 1 juta dalam token khusus yang dibuat oleh penyerang sendiri, secara harfiah disebut “Peretas siap untuk menyerah,” menurut The Block.

Poly Network telah memulihkan lebih dari sepertiga dari peretasannya sejauh ini, tetapi ada banyak perusahaan lain di dunia crypto yang tidak. Sebuah laporan riset pasar pada industri DeFi yang turun awal pekan ini menemukan bahwa aktor jahat telah menipu $474 juta dari platform seperti Poly antara Januari dan Juli tahun ini.

Selengkapnya: Gizmodo

Perusahaan besar lain terkena serangan ransomware

by

(CNN Business) – Accenture, perusahaan konsultan global, telah dihantam oleh geng ransomware LockBit, menurut situs web kelompok penjahat siber.

File terenkripsi Accenture (ACN) akan dirilis oleh grup di dark web pada hari Rabu kecuali perusahaan membayar uang tebusan, klaim LockBit, menurut tangkapan layar situs web yang ditinjau oleh CNN Business dan Emsisoft, sebuah perusahaan keamanan siber.

Stacey Jones, juru bicara Accenture, mengkonfirmasi insiden keamanan siber kepada CNN Business pada hari Rabu, tetapi tidak secara eksplisit mengakui serangan ransomware.

Geng ransomware LockBit pertama kali muncul pada September 2019, menurut profil grup Emsisoft. LockBit, seperti banyak geng ransomware lainnya, menyewakan perangkat lunak berbahayanya kepada afiliasi kriminal pihak ketiga yang kemudian menerima potongan tebusan sebagai imbalan untuk menanamkan kode ke jaringan korban.

Tahun berikutnya, Interpol memperingatkan lonjakan serangan menggunakan perangkat lunak berbahaya LockBit. Korban utama kelompok itu termasuk Merseyrail, jaringan kereta api Inggris, dan Press Trust of India, sebuah organisasi berita India, menurut Emsisoft.

Ransomware telah menjadi ancaman kritis bagi keamanan nasional dan ekonomi, kata pemerintah AS, di tengah serangkaian serangan terhadap target perusahaan dan infrastruktur. Awal tahun ini, serangan oleh kelompok DarkSide memaksa Colonial Pipeline untuk menutup operasi distribusi bahan bakarnya, menyebabkan kekurangan bensin secara nasional.

Selengkapnya: CNN