Cyber Attack

Toyota berakhir dengan serangan siber kembar yang meninggalkan penyok berbentuk ransomware

May 26, 2021 by Winnie the Pooh

Toyota telah mengakui sepasang serangan dunia maya.

Yang pertama menghantam operasi Eropa anak perusahaannya Daihatsu Diesel Company, entitas perusahaan milik Toyota yang merancang mesin. Dalam pernyataan tertanggal 16 Mei, Daihatsu mengatakan “mengalami masalah dalam mengakses server filenya di sistem internal pada 14 Mei 2021.”

“Setelah penyelidikan singkat, serangan dunia maya oleh akses tidak sah dari pihak ketiga dikonfirmasi sebagai penyebab masalah ini,” tambah pernyataan itu. Daihatsu menghentikan apa pun yang menyebar ke kantor lain, memulai penyelidikan dan menjanjikan pembaruan. Tidak ada yang keluar pada saat penulisan.

Toyota Jepang telah meminta maaf atas masalah produksi, tetapi juga menunjukkan bahwa mereka memiliki 29 lini produksi di 14 pabrik, jadi perlambatan ini bukanlah pengurangan besar dalam produksi.

Selengkapnya: The Register

Server LittleBigPlanet Ditutup Setelah Peretas Mengeposkan Pesan Kebencian

May 24, 2021 by Winnie the Pooh

Untuk sementara waktu sekarang, platformer PS3 LittleBigPlanet telah diserang, servernya berulang kali menjadi target orang-orang yang tidak memiliki kegiatan lain yang lebih baik selain mengganggu basis penggemar apa pun yang tersisa untuk game yang pertama kali dirilis pada tahun 2008.

Server game tersebut telah bermasalah sejak Maret, ketika diasumsikan bahwa serangan DDOS adalah penyebab penghentian dan penutupan berulang kali. Namun, sesi ditutup lagi pada akhir pekan, ketika peretas memperoleh akses ke fitur komunitas game untuk memposting pesan transphobic.

Sudah lebih dari dua bulan sejak pengguna pertama kali mulai melaporkan waktu henti dan masalah dengan server LittleBigPlanet, yang hanya dibahas sebentar oleh Sony dari perspektif teknis, tanpa memberikan penjelasan mengapa serangan itu terjadi atau apa yang dapat dilakukan untuk menyelamatkan komunitas. untuk game yang meskipun usianya masih memiliki banyak penggemar.

Namun, penggemar yang berbicara dengan Eurogamer, menyalahkan serangan DDOS awal setidaknya pada penggemar nakal, yang mereka curigai “tidak senang dengan perlakuan Sony terhadap waralaba”.

Sumber: Kotaku

Kisah Lengkap Peretasan RSA yang Menakjubkan Akhirnya Dapat Diceritakan

May 21, 2021 by Winnie the Pooh

RSA menyimpan benih tersebut di satu server yang terlindungi dengan baik, yang oleh perusahaan disebut sebagai “seed warehouse”. Mereka berfungsi sebagai unsur penting dalam salah satu produk inti RSA: Token SecurID — fob kecil yang Anda bawa di saku dan ditarik keluar untuk membuktikan identitas Anda dengan memasukkan kode enam digit yang terus diperbarui di layar fob. Jika seseorang dapat mencuri nilai seed yang disimpan di warehouse itu, mereka berpotensi mengkloning token SecurID tersebut dan secara diam-diam merusak otentikasi dua faktor yang mereka tawarkan, memungkinkan peretas untuk secara instan melewati sistem keamanan itu di mana pun di dunia, mengakses apa pun dari rekening bank hingga nasional. rahasia keamanan.

Token SecurID RSA dirancang sehingga institusi dari bank hingga Pentagon dapat meminta bentuk otentikasi kedua dari karyawan dan pelanggan mereka di luar nama pengguna dan kata sandi — sesuatu yang fisik di saku mereka yang dapat mereka buktikan kepemilikannya, sehingga membuktikan identitas mereka. Hanya setelah mengetikkan kode yang muncul di token SecurID mereka (kode yang biasanya berubah setiap 60 detik), mereka dapat memperoleh akses ke akun mereka.

Leetham akhirnya melacak jejak penyusup ke target akhir mereka: kunci rahasia yang dikenal sebagai “seed”, kumpulan angka yang mewakili lapisan dasar dari janji keamanan yang dibuat RSA kepada pelanggannya, termasuk puluhan juta pengguna di pemerintahan dan badan militer, kontraktor pertahanan, bank, dan perusahaan yang tak terhitung jumlahnya di seluruh dunia.

Leetham melihat dengan cemas bahwa para peretas telah menghabiskan sembilan jam secara metodis menyedot seed dari server warehouse dan mengirimkannya melalui protokol transfer file ke server yang diretas yang dihosting oleh Rackspace, penyedia cloud-hosting. Tapi kemudian dia melihat sesuatu yang memberinya secercah harapan: Log itu menyertakan nama pengguna dan kata sandi yang dicuri untuk server yang diretas itu. Para pencuri telah meninggalkan tempat persembunyian mereka terbuka lebar, di depan mata. Leetham terhubung ke mesin Rackspace yang jauh dan mengetik kredensial yang dicuri. Dan begitulah: Direktori server masih berisi seluruh koleksi benih yang dicuri sebagai file .rar terkompresi.

Menggunakan kredensial yang diretas untuk masuk ke server milik perusahaan lain dan mengacaukan data yang disimpan di sana, Leetham mengakui, langkah yang paling tidak ortodoks — dan paling buruk melanggar undang-undang peretasan AS. Tapi melihat RSA yang paling suci dari yang paling suci di server Rackspace, dia tidak ragu-ragu untuk menghapus file dan tekan enter.

Beberapa saat kemudian, baris perintah komputernya muncul kembali dengan tanggapan: “File tidak ditemukan”. Dia memeriksa konten server Rackspace lagi. Itu kosong. Hati Leetham jatuh ke lantai: Para peretas telah menarik database seed dari server beberapa detik sebelum dia dapat menghapusnya.

Dan meski Leetham belum mengetahuinya, rahasia itu kini ada di tangan militer China.

selengkapnya : www.wired.com

Trik Baru Berbahaya Ransomware Mengenkripsi Ganda Data Anda

May 18, 2021 by Winnie the Pooh

KELOMPOK RANSOMWARE selalu mengambil pendekatan lebih. Jika korban membayar tebusan dan kemudian kembali ke bisnis seperti biasa — serang mereka lagi. Eskalasi terbaru? Peretas ransomware yang mengenkripsi data korban dua kali pada waktu yang bersamaan.

Serangan enkripsi ganda pernah terjadi sebelumnya, biasanya berasal dari dua geng ransomware terpisah yang membahayakan korban yang sama pada waktu yang sama. Tetapi perusahaan antivirus Emsisoft mengatakan mereka mengetahui lusinan insiden di mana aktor atau grup yang sama secara sengaja melapisi dua jenis ransomware di atas satu sama lain.

“Kelompok-kelompok itu terus-menerus mencoba mencari strategi mana yang terbaik, yang memberi mereka uang paling banyak untuk usaha yang paling sedikit,” kata analis ancaman Emsisoft, Brett Callow.

Beberapa korban mendapatkan dua catatan tebusan sekaligus, kata Callow, yang berarti bahwa peretas ingin korbannya mengetahui tentang serangan enkripsi ganda. Namun, dalam kasus lain, korban hanya melihat satu catatan tebusan dan hanya mengetahui tentang enkripsi lapis kedua setelah mereka membayar untuk menghilangkan yang pertama.

Emsisoft telah mengidentifikasi dua taktik berbeda. Yang pertama, peretas mengenkripsi data dengan ransomware A dan kemudian mengenkripsi ulang data tersebut dengan ransomware B. Jalur lain melibatkan apa yang disebut Emsisoft sebagai serangan “side-by-side encryption”, di mana serangan mengenkripsi beberapa sistem organisasi dengan ransomware A dan lainnya dengan ransomware B.

Para peneliti juga mencatat bahwa dalam skenario side-by-side ini, penyerang mengambil langkah untuk membuat dua jenis ransomware yang berbeda terlihat semirip mungkin, jadi lebih sulit bagi incident responders untuk memilah apa yang terjadi.

Selengkapnya: Wired

Colonial Pipeline Menghabiskan $ 5 Juta dalam Pembayaran Pemerasan, Laporan

May 15, 2021 by Winnie the Pooh

Colonial Pipeline Co., operator pipa bahan bakar AS terbesar, dilaporkan membayar $ 5 juta kepada penjahat di balik serangan ransomware yang telah membuat harga bahan bakar melonjak naik turun di Pantai Timur.

Sumber yang mengetahui pembayaran tersebut mengatakan kepada Bloomberg bahwa perwakilan dari Colonial Pipeline membayar cybergang yang dikenal sebagai DarkSide tebusan yang diminta sebagai imbalan alat dekripsi yang memungkinkan perusahaan untuk memulihkan jaringan komputernya yang dinonaktifkan dalam serangan minggu lalu.

Pada hari Rabu, perusahaan energi memulai kembali operasi pipanya setelah lima hari ditutup: penutupan dilakukan secara proaktif setelah serangan ransomware.

Berita tentang pembayaran itu bertolak belakang: menurut laporan pada hari Rabu, perusahaan itu tidak berniat membayar tebusan.

“Perusahaan membayar uang tebusan yang lumayan besar dalam cryptocurrency yang sulit dilacak dalam beberapa jam setelah serangan, menggarisbawahi tekanan besar yang dihadapi oleh operator yang berbasis di Georgia untuk mendapatkan bensin dan bahan bakar jet mengalir lagi ke kota-kota besar di sepanjang Pesisir Timur,” wartawan Bloomberg William Turton, Michael Riley dan Jennifer Jacobs menulis.

Colonial Pipeline tidak menjawab pertanyaan Threatpost yang meminta konfirmasi dari laporan Bloomberg.

selengkapnya : threatpost.com

Serangan Colonial Pipeline meningkatkan permainan ransomware

May 11, 2021 by Winnie the Pooh

Pada hari Jumat, Perusahaan Colonial Pipeline menemukan bahwa mereka telah terkena serangan ransomware.

Bertanggung jawab untuk mengirimkan gas, minyak pemanas, dan bentuk minyak bumi lainnya ke rumah dan organisasi, perusahaan tersebut menyumbang 45% dari bahan bakar Pantai Timur. Serangan tersebut memaksa Colonial Pipeline untuk mematikan sistem tertentu, menghentikan sementara semua operasi pipeline.

Dalam sebuah pernyataan yang dirilis pada hari Minggu, perusahaan mengatakan bahwa mereka menyewa perusahaan keamanan siber pihak ketiga untuk menyelidiki serangan itu dan menghubungi penegak hukum serta lembaga federal, termasuk Departemen Energi. Selain menangani insiden itu sendiri, Colonial Pipeline juga siap untuk menjalankan operasinya kembali online dengan aman dan terjamin.

James Shank, ketua komite Ransomware Task Force (RTF) untuk skenario terburuk, mengatakan bahwa jenis serangan terhadap infrastruktur atau layanan kritis ini menunjukkan munculnya ransomware sebagai ancaman terhadap keamanan nasional, terutama saat kita terus bergulat dengan COVID-19.

Colonial Pipeline telah mengontrak firma keamanan FireEye Mandiant untuk menyelidiki serangan itu. Seorang juru bicara FireEye mengatakan kepada TechRepublic bahwa perusahaan tidak mengomentari insiden tersebut pada saat ini. Sementara itu, FBI telah menunjuk geng ransomware DarkSide sebagai penyebab di balik serangan ini.

Selengkapnya: Tech Republic

12 Cacat Keamanan Teratas Peretas Mata-mata Rusia Memanfaatkan di Alam Liar

May 9, 2021 by Winnie the Pooh

Operator dunia maya yang berafiliasi dengan Badan Intelijen Luar Negeri Rusia (SVR) telah mengubah taktik mereka sebagai tanggapan atas pengungkapan publik sebelumnya tentang metode serangan mereka, menurut sebuah nasihat baru yang diterbitkan bersama oleh badan-badan intelijen dari Inggris dan AS Jumat.

Ini termasuk penyebaran alat sumber terbuka yang disebut Sliver untuk mempertahankan akses mereka ke korban yang disusupi serta memanfaatkan kelemahan ProxyLogon di server Microsoft Exchange untuk melakukan aktivitas pasca-eksploitasi.

Perkembangan tersebut mengikuti atribusi publik dari aktor terkait SVR ke serangan rantai pasokan SolarWinds bulan lalu. Musuh juga dilacak di bawah moniker yang berbeda, seperti Advanced Persistent Threat 29 (APT29), the Dukes, CozyBear, dan Yttrium.

Atribusi tersebut juga disertai dengan laporan teknis yang merinci lima kerentanan yang digunakan oleh kelompok APT29 SVR sebagai titik akses awal untuk menyusup ke AS dan entitas asing.

CVE-2018-13379 – Fortinet FortiGate VPN
CVE-2019-9670 – Synacor Zimbra Collaboration Suite
CVE-2019-11510 – Pulse Secure Pulse Connect Secure VPN
CVE-2019-19781 – Citrix Application Delivery Controller and Gateway
CVE-2020-4006 – VMware Workspace ONE Access

Menurut NCSC, tujuh kerentanan lagi telah ditambahkan ke dalam campuran, sambil mencatat bahwa APT29 kemungkinan besar “dengan cepat” mempersenjatai kerentanan publik yang baru-baru ini dirilis yang dapat memungkinkan akses awal ke target mereka.

CVE-2019-1653 – Cisco Small Business RV320 and RV325 Routers
CVE-2019-2725 – Oracle WebLogic Server
CVE-2019-7609 – Kibana
CVE-2020-5902 – F5 Big-IP
CVE-2020-14882 – Oracle WebLogic Server
CVE-2021-21972 – VMware vSphere
CVE-2021-26855 – Microsoft Exchange Server

selengkapnya : thehackernews.com

Biden Order Akan Membutuhkan Standar Keamanan Siber Baru Sebagai Tanggapan Terhadap Serangan SolarWinds

April 30, 2021 by Winnie the Pooh

Pemerintahan Biden sedang memberikan sentuhan akhir pada perintah eksekutif yang bertujuan membantu AS mempertahankan diri dari serangan siber canggih seperti yang baru-baru ini dilontarkan peretas Rusia terhadap pembuat perangkat lunak Texas, SolarWinds.

Perintah tersebut, yang masih dalam proses penyusunan, menjabarkan serangkaian persyaratan baru bagi perusahaan yang berbisnis dengan pemerintah. Inisiatif ini mencakup rencana penyelidikan yang lebih sistematis atas peristiwa dunia maya dan standar untuk pengembangan perangkat lunak. Idenya adalah menggunakan proses kontrak federal untuk memaksa perubahan yang pada akhirnya akan mengalir ke sektor swasta lainnya.

Peretasan itu sendiri canggih dan tersembunyi. Para penyusup menggunakan teknik baru dan mengeksploitasi celah dalam sistem keamanan siber negara saat ini.

Antara lain, serangan itu diluncurkan dari dalam AS ke server yang disewa Rusia dari tempat-tempat seperti Amazon dan GoDaddy. Dengan melakukan itu, para peretas dapat lolos dari sistem peringatan dini Badan Keamanan Nasional karena NSA tidak diizinkan untuk melakukan pengawasan di dalam Amerika Serikat.

“Kami melakukan studi rinci tentang SolarWinds dan itu menunjukkan bahwa kami memiliki pekerjaan besar yang harus dilakukan untuk memodernisasi keamanan siber kami … untuk mengurangi risiko ini terjadi lagi,” kata Neuberger. “Dan perintah eksekutif yang akan datang adalah bagian besar dari itu.”

“Bukan tugas siapa-siapa … untuk memberi tahu kami apa yang terjadi”

selengkapnya : www.npr.org

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attack

Cookies Settings