Cyber Attack

Olimpiade Tokyo 2020 Mengalami Setengah Miliar Percobaan Serangan Siber

October 24, 2021 by Søren

NTT Corporation, yang menyediakan layanannya untuk Olimpiade & Paralimpiade di Tokyo, mengungkapkan ada lebih dari 450 juta percobaan serangan siber selama acara tersebut.

Di antara 450 juta serangan, NTT mengatakan malware Emotet, email spoofing, phishing, serta situs web palsu, termasuk di antara metode yang paling populer. Perusahaan juga mengharapkan serangan Distributed Denial of Service (DDoS), ransomware, serta serangan terhadap infrastruktur penting.

Satu dari antara infrastruktur tersebut adalah 5G, karena semua tempat permainan dialihkan ke jaringan seluler 5G setelah layanan komersial dimulai di Jepang pada awal tahun 2021. Selama acara tersebut, telah terjadi komunikasi tidak sah yang menargetkan kerentanan di terminal. NTT berhasil meredam serangan dengan memblokir komunikasi.

NTT yakin berhasil mempertahankan perimeter berkat empat faktor utama: Intelijen ancaman dan pemantauan; solusi keamanan total (mengadopsi format daftar putih), pelatihan karyawan berkualitas dan program kesadaran; dan manajemen pemangku kepentingan (kolaborasi erat dengan penyedia TIK, infrastruktur penting, Komite Olimpiade Internasional, serta Komite Penyelenggara Tokyo 2020).

“Penjahat dunia maya tentu melihat Olimpiade — dan rantai pasokan terkaitnya — sebagai target bernilai tinggi dengan toleransi waktu henti yang rendah,” komentar Andrea MacLean dari NTT. “Bagaimanapun, kejahatan mengikuti peluang. Dan dengan stadion yang terhubung, platform keterlibatan penggemar, dan lengkap replika digital tempat olahraga dan acara itu sendiri menjadi norma, ada banyak infrastruktur TI dan data yang ditargetkan — dan melalui banyak komponen.”

Selengkapnya: Tech Radar

Deepfake Audio Mencetak $35 Juta dalam Perampokan Perusahaan

October 23, 2021 by Søren

Sekelompok penipu menghasilkan $35 juta setelah menggunakan pesan email palsu dan audio deepfake untuk meyakinkan seorang karyawan perusahaan Uni Emirat Arab bahwa seorang direktur meminta uang itu sebagai bagian dari akuisisi organisasi lain, menurut permintaan pengadilan federal AS yang diajukan minggu lalu.

Serangan itu menargetkan manajer cabang dengan email yang tampaknya berasal dari direktur dan pengacara yang berbasis di AS, yang email tersebut ditunjuk sebagai koordinator akuisisi. Serangan ini adalah yang terbaru menggunakan audio sintetis yang dibuat menggunakan algoritma pembelajaran mesin, yang dikenal sebagai jaringan saraf, untuk meniru suara seseorang yang dikenal oleh karyawan yang ditargetkan.

Oleh karena itu, audio deepfake dan suara yang disintesis kemungkinan akan menjadi bagian dari teknik penjahat dunia maya di masa depan. Berbagai alat sumber terbuka tersedia untuk memungkinkan siapa saja membuat deepfake, baik video maupun audio, kata Etay Maor, direktur senior strategi keamanan di perusahaan keamanan jaringan Cato Networks.

“Jika ada uang yang dihasilkan, Anda dapat yakin bahwa penyerang akan mengadopsi teknik baru,” kata Maor. “Tidak terlalu canggih untuk menggunakan alat seperti itu. Ketika berbicara tentang suara, itu bahkan lebih mudah.”

Selengkapnya: Dark Reading

Wanita Diduga Meretas Sekolah Penerbangan, Mengizinkan Pesawat Dengan Masalah Pemeliharaan untuk Terbang

October 17, 2021 by Søren

Seorang wanita diduga meretas sistem sekolah pelatihan penerbangan di Florida untuk menghapus dan merusak informasi yang terkait dengan pesawat sekolah. Dalam beberapa kasus, pesawat yang sebelumnya memiliki masalah perawatan telah “diizinkan” untuk terbang, menurut laporan polisi. Peretasan itu, menurut CEO sekolah, bisa membahayakan pilot.

Lauren Lide, 26 tahun yang pernah bekerja di sekolah Pelatihan Penerbangan Melbourne, mengundurkan diri dari posisinya sebagai Manajer Operasi Penerbangan pada akhir November 2019, setelah perusahaan memecat ayahnya. Berbulan-bulan kemudian, dia diduga meretas ke dalam sistem bekas perusahaannya, menghapus dan mengubah catatan, dalam upaya nyata untuk membalas mantan majikannya, menurut catatan pengadilan yang diperoleh dari Motherboard pelaku.

Derek Fallon, CEO Melbourne Flight Training menelepon polisi pada 17 Januari 2020, dan melaporkan bahwa lima hari sebelumnya, dia masuk ke akunnya untuk Flight Circle, aplikasi yang digunakan perusahaannya untuk mengelola dan melacak pesawatnya, dan menemukan bahwa ada informasi yang hilang.

Fallon menemukan bahwa seseorang telah menghapus catatan terkait pesawat dengan masalah perawatan dan pengingat inspeksi semuanya telah dihapus, “artinya pesawat yang mungkin tidak aman untuk terbang sengaja dibuat ‘layak terbang,'” menurut dokumen yang ditulis oleh Polisi Bandara Melbourne petugas.

“Antara waktu data diubah dan diperbaiki, itu adalah situasi yang bisa membahayakan kehidupan manusia,” kata Fallon dalam pernyataan tertulis. Fallon kemudian menghentikan semua penerbangan.

Selengkapnya: Vice

Kampanye MirrorBlast Baru yang Eksplosif Menargetkan Perusahaan Keuangan

October 16, 2021 by Søren

Tim Morphisec Labs telah melacak versi baru kampanye yang menargetkan organisasi keuangan. Dijuluki “MirrorBlast” oleh ET Labs, kampanye serangan saat ini yang dilacak tim Labs dimulai pada awal September. Ada kegiatan serupa pada April 2021 juga, tetapi kampanye saat ini dimulai baru-baru ini.

Rantai serangan infeksi memiliki kesamaan dengan taktik, teknik, dan prosedur yang biasa digunakan oleh kelompok ancaman TA505 yang diduga berbasis di Rusia. Kesamaan meluas ke rantai serangan, fungsionalitas GetandGo, muatan akhir, dan kesamaan dalam pola nama domain.

Pada bulan September peneliti mengamati kampanye malspam yang mengirimkan dokumen Excel sebagai lampiran. Kampanye ini menargetkan beberapa sektor dari Kanada, Amerika Serikat, Hong Kong, Eropa, dan banyak lagi.

Rantai serangan dimulai dengan dokumen lampiran email, tetapi pada tahap selanjutnya, itu berubah untuk menggunakan URL proksi umpan Google dengan SharePoint dan umpan OneDrive, yang bertindak sebagai permintaan berbagi file. URL ini mengarah ke SharePoint yang disusupi atau situs OneDrive palsu yang digunakan penyerang untuk menghindari deteksi, selain persyaratan masuk (SharePoint) yang membantu menghindari sandboxing.

MirrorBlast memiliki deteksi yang rendah pada VirusTotal karena makro yang sangat ringan yang tertanam dalam file Excel-nya, membuatnya sangat berbahaya bagi organisasi yang bergantung pada keamanan berbasis deteksi dan sandboxing

Selengkapnya: Security Boulevard

Cyberattack menutup bank terbesar di Ekuador, Banco Pichincha

October 13, 2021 by Winnie the Pooh

Bank swasta terbesar di Ekuador Banco Pichincha telah mengalami serangan siber yang mengganggu operasi dan membuat ATM dan portal perbankan online offline.

Serangan siber terjadi selama akhir pekan, menyebabkan bank menutup sebagian jaringan mereka untuk mencegah penyebaran serangan ke sistem lain.

Penutupan sistem telah menyebabkan gangguan yang meluas bagi bank, dengan ATM tidak lagi berfungsi dan portal perbankan online menampilkan pesan pemeliharaan.

Dalam notifikasi internal yang dikirim ke instansi Bank dan dilihat oleh BleepingComputer, karyawan diberitahu bahwa aplikasi bank, email, saluran digital, dan layanan mandiri tidak akan beroperasi karena masalah teknologi.

Dokumen internal lebih lanjut mengatakan bahwa pelanggan swalayan harus diarahkan ke jendela teller bank untuk dilayani selama pemadaman.

Setelah dua hari diam mengenai kesulitan teknis bank, Banco Pichincha mengeluarkan pernyataan Selasa sore mengakui bahwa mereka mengalami serangan cyber yang menyebabkan gangguan sistem mereka.

Saat ini, Banco Pichincha belum mengungkapkan secara terbuka sifat serangan tersebut. Namun, sumber di industri keamanan siber mengatakan kepada BleepingComputer bahwa ini adalah serangan ransomware dengan pelaku ancaman memasang suar Cobalt Strike di jaringan.

Selengkapnya: Bleeping Computer

Geng Ransomware Cring Mengeksploitasi Bug ColdFusion Berusia 11 Tahun

September 23, 2021 by Winnie the Pooh

Pelaku ancaman tak dikenal melanggar server yang menjalankan perangkat lunak ColdFusion 9 versi 11 tahun yang belum ditambal dalam hitungan menit untuk mengambil alih kendali dari jarak jauh dan menyebarkan ransomware Cring di jaringan target 79 jam setelah peretasan.

Server, yang dimiliki oleh perusahaan layanan yang tidak disebutkan namanya, digunakan untuk mengumpulkan data absen dan akuntansi untuk penggajian serta untuk menampung sejumlah mesin virtual, menurut laporan yang diterbitkan oleh Sophos dan dibagikan dengan The Hacker News. Serangan tersebut berasal dari alamat internet yang ditetapkan untuk ISP Green Floid Ukraina.

Perusahaan perangkat lunak keamanan Inggris mengatakan “pembobolan cepat” dimungkinkan dengan mengeksploitasi instalasi Adobe ColdFusion 9 berusia 11 tahun yang berjalan pada Windows Server 2008, yang keduanya telah mencapai akhir masa pakainya (end-of-life).

Setelah mendapatkan pijakan awal, penyerang menggunakan berbagai metode canggih untuk menyembunyikan file mereka, menyuntikkan kode ke dalam memori, dan menutupi jejak mereka dengan menimpa file dengan data yang kacau, belum lagi melucuti produk keamanan dengan memanfaatkan fakta bahwa fungsi proteksi gangguan dimatikan.

Khususnya, musuh mengambil keuntungan dari CVE-2010-2861, satu set kerentanan traversal direktori di konsol administrator di Adobe ColdFusion 9.0.1 dan sebelumnya yang dapat disalahgunakan oleh penyerang jarak jauh untuk membaca file apapun, seperti yang berisi hash kata sandi administrator (“password.properties”).

Pada tahap berikutnya, aktor jahat diyakini telah mengeksploitasi kerentanan lain di ColdFusion, CVE-2009-3960, untuk mengunggah file Cascading Stylesheet (CSS) berbahaya ke server, akibatnya menggunakan itu untuk memuat Cobalt Strike Beacon yang dapat dieksekusi.

Selengkapnya: The Hacker News

Peretasan Microsoft China Mungkin Memiliki Tujuan Lebih Besar Dari Sekedar Memata-matai

August 27, 2021 by Winnie the Pooh

Steven Adair berburu peretas untuk mencari nafkah. Kembali pada bulan Januari, di sudut matanya, cara periferal, dia pikir dia melihat satu di jaringan pelanggannya — kehadiran bayangan yang mengunduh email.

Adair adalah pendiri perusahaan keamanan siber bernama Volexity, dan dia selalu menjebak penyusup. Jadi, dia melihat sekilas server yang digunakan kliennya untuk menjalankan Microsoft Exchange dan terkejut “melihat permintaan yang tidak kami harapkan,” katanya. Ada permintaan untuk akses ke akun email tertentu, permintaan untuk file rahasia.

Apa yang ditemukan Adair adalah peretasan besar-besaran ke Microsoft Exchange — salah satu program perangkat lunak email paling populer di dunia.

Selama hampir tiga bulan, penyusup membantu diri mereka sendiri dalam segala hal mulai dari email, kalender, hingga kontak. Kemudian mereka menjadi liar dan meluncurkan serangan gelombang kedua untuk menyapu data Exchange dari puluhan ribu korban yang tidak menaruh curiga.

Baik Gedung Putih dan Microsoft telah mengatakan dengan tegas bahwa peretas yang didukung pemerintah China adalah dalang dibalik peretasan ini.

Pemeriksaan NPR selama berbulan-bulan atas serangan itu — berdasarkan wawancara dengan lusinan pemain dari pejabat perusahaan hingga pakar forensik dunia maya hingga pejabat intelijen AS — menemukan bahwa mencuri email dan kekayaan intelektual mungkin baru permulaan. Para pejabat percaya bahwa pelanggaran itu bertujuan untuk sesuatu yang lebih besar: Ambisi kecerdasan buatan China. Kepemimpinan Beijing bertujuan untuk memimpin dunia dalam teknologi yang memungkinkan komputer melakukan tugas-tugas yang secara tradisional membutuhkan kecerdasan manusia — seperti menemukan pola dan mengenali ucapan atau wajah.

Selengkapnya dapat dibaca di: NPR

Peretas Di Balik Pencurian Crypto Bersejarah Dilaporkan Mengembalikan $256 Juta Dana yang Dicuri

August 12, 2021 by Winnie the Pooh

Setelah peretas menyerang Poly Network dengan salah satu perampokan crypto terbesar dalam ingatan baru-baru ini, perusahaan itu menerbitkan surat terbuka pada hari Selasa yang memohon kepada para pelaku untuk mendapatkan kembali aset mereka. Rupanya, surat itu berhasil, dan para peretas dilaporkan sudah mulai mengembalikan sebagian besar hasil tangkapan mereka.

The Block pertama kali melaporkan bahwa siapa pun yang berada di balik peretasan telah mengembalikan sekitar $256 juta aset crypto kembali ke perusahaan pada Rabu pagi. Itu masih jauh di bawah $611 juta yang dilaporkan dicuri oleh peretas, yang dilaporkan menjadikannya peretasan terbesar dalam sejarah keuangan terdesentralisasi, yang sering dikenal sebagai DeFi.

Kurang dari 24 jam setelah Poly memposting suratnya — mengingatkan penyerang bahwa penegak hukum “di negara mana pun” kemungkinan akan membuntuti mereka karena kejahatan mereka — para peretas mulai mentransfer jutaan aset berbeda kembali ke dompet crypto Poly Network.

Di antara aset lainnya, para peretas mengembalikan $ 2 juta dalam ShibaCoin, $ 1,1 juta dalam Token Binance BTCB, dan sekitar $ 1 juta dalam token khusus yang dibuat oleh penyerang sendiri, secara harfiah disebut “Peretas siap untuk menyerah,” menurut The Block.

Poly Network telah memulihkan lebih dari sepertiga dari peretasannya sejauh ini, tetapi ada banyak perusahaan lain di dunia crypto yang tidak. Sebuah laporan riset pasar pada industri DeFi yang turun awal pekan ini menemukan bahwa aktor jahat telah menipu $474 juta dari platform seperti Poly antara Januari dan Juli tahun ini.

Selengkapnya: Gizmodo

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attack

Cookies Settings