Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Attack

Cyber Attack

Ribuan perusahaan rentan dalam serangan supply chain cyberattack

by

Ribuan perusahaan yang menggunakan aplikasi panggilan suara dan video yang sama kini menghadapi risiko, karena peretas Korea Utara melakukan serangan rantai pasokan yang sedang berlangsung, beberapa perusahaan keamanan dunia maya memperingatkan awal pekan ini.

Mengapa penting: Malware mulai menginfeksi perangkat pengguna pada awal Februari, menurut SentinelOne, dan masih belum jelas berapa banyak pelanggan 3CX yang terpengaruh.

Serangan rantai pasokan adalah beberapa serangan dunia maya yang paling sulit untuk dicegah dengan visibilitas terbatas bisnis tertentu ke dalam praktik keamanan dunia maya vendor mereka.

Ini akan memakan waktu berminggu-minggu sampai publik memiliki pemahaman yang lebih baik tentang berapa lama serangan itu berlangsung, siapa yang terkena dampak dan akses apa yang bisa didapat Korea Utara.

selengkapnya : axios.com

Jutaan Nomor SIM, Catatan Pribadi Dicuri dalam Serangan Siber Latitude

by

Hacker telah mencuri informasi pribadi jutaan orang di Australia dan Selandia Baru, menurut Latitude Financial pada Senin, saat mengumumkan tingkat kerusakan yang disebabkan oleh serangan siber pertama yang terdeteksi awal bulan ini.

Latitude Financial menyediakan layanan untuk pengecer besar Australia. Pada 16 Maret pihaknya mengamati aktivitas yang tidak biasa pada sistemnya yang tampaknya merupakan serangan siber canggih dan berbahaya, melibatkan pencurian dokumen identifikasi.

Pencurian tersebut melibatkan nomor surat izin mengemudi dari sekitar 7,9 juta orang di Australia dan Selandia Baru, 53.000 nomor paspor, dan 6,1 juta catatan lainnya setidaknya sejak tahun 2005 yang mencakup informasi pribadi.

Dari nomor SIM yang dicuri, 40% telah diberikan kepada perusahaan dalam satu dekade terakhir, sementara 94% catatan pribadi yang dicuri berasal dari sebelum 2013.

Menurut Latitude, serangan siber diyakini berasal dari vendor besar dan melibatkan penggunaan kredensial masuk karyawan untuk mencuri informasi pribadi yang dipegang oleh dua penyedia layanan lainnya.

Tidak ada aktivitas mencurigakan yang diamati dalam sistem Latitude pasca pengumuman serangan awal bulan ini.

Serangan tersebut merupakan yang terbaru yang berhasil menargetkan entitas Australia setelah Optus dihantam dengan pelanggaran data pada September dan Medibank menjadi korban bulan lalu.

Ketika Perdana Menteri Anthony Albanese dan pemerintahannya terpilih untuk memimpin negara itu tahun lalu, menurutnya keamanan siber negara tertinggal lima tahun.

Kabar terakhir dari Latitude Financial sekitar 330.000 orang yang terkena dampak pelanggaran telah dihubungi.

Selengkapnya: UPI

Hacker Semakin Mengklaim Penargetan Sistem OT

by

Pada Januari 2023, grup hacktivist yang berafiliasi dengan Anonymous, GhostSec, mengklaim di media sosial telah menyebarkan ransomware untuk mengenkripsi unit terminal jarak jauh (RTU) Belarusia—sejenis perangkat teknologi operasional (OT) untuk pemantauan jarak jauh perangkat otomasi industri. Niat yang dinyatakan para aktor adalah untuk menunjukkan dukungan untuk Ukraina dalam invasi Rusia yang sedang berlangsung. Peneliti, profesional keamanan OT, dan media menganalisis klaim tersebut dan menyimpulkan bahwa aktor tersebut melebih-lebihkan implikasi dari dugaan serangan tersebut.

Meskipun tidak ada dampak yang signifikan dalam insiden khusus ini, acara tersebut menyoroti meningkatnya kebutuhan akan diskusi yang lebih luas mengenai sejauh mana risiko yang ditimbulkan para peretas terhadap lingkungan OT. Selama beberapa tahun terakhir, Mandiant telah melacak berbagai klaim peretas yang menargetkan sistem OT yang mengklaim kerusakan fisik sebagai akibatnya. Diperburuk oleh ketegangan geopolitik di berbagai kawasan—seperti invasi Rusia yang sedang berlangsung ke Ukraina—aktor-aktor ini baru-baru ini mengintensifkan aktivitas mereka, mengakibatkan klaim yang lebih sering dan jalan baru untuk memengaruhi target.

Dalam banyak kasus, klaim para peretas dibesar-besarkan atau tidak berdasar. Jumlah klaim palsu terkadang menantang untuk dibantah. Namun, terlepas dari ketidakakuratan sebagian besar klaim, ketika aktivitas peretas yang menargetkan OT menjadi hal yang biasa, kemungkinan insiden OT aktual dan bahkan substansial meningkat. Risikonya lebih tinggi untuk organisasi yang terkait dengan peristiwa politik atau perselisihan sosial berdasarkan lokasi geografis, kebangsaan, bahasa, atau industri yang relevan.

Mandiant menawarkan analisis komprehensif tentang aktivitas peretas baru-baru ini yang menargetkan sistem OT. Mandiant dapat memanfaatkan informasi dari insiden yang sebelumnya dirahasiakan dan diketahui untuk membahas implikasi potensial bagi pembela PL. Kesadaran tentang tren hacktivisme yang muncul membantu para pembela PL untuk memprioritaskan penanggulangan dan membedakan front yang disponsori negara yang memanfaatkan jubah hacktivism.

selengkapnya : mandiant.com

Linus Tech Tips Saluran YouTube diretas untuk mempromosikan video penipuan kripto Elon Musk

by

YouTube memiliki masalah berkelanjutan dengan pelanggaran akun, dan sekarang tampaknya salah satu saluran terbesar di platform tersebut telah diretas. LinusTechTips, yang dikenal dengan konten perangkat keras PC yang dapat diakses, telah menjadi korban terbaru dari serangan ini.

Saluran telah diganti namanya menjadi “LinusTechTipsTemp” di bawah pegangan “@temporaryhandle”. Saluran ini juga telah menghapus sebagian besar videonya, meskipun secara bertahap dipulihkan.

Saluran yang dilanggar mengalirkan dua video yang menampilkan Elon Musk berbicara tentang cryptocurrency dengan pendiri asli Twitter. Satu diberi nama “OpenAI ChatGPT-4: Teknologi AI yang Mengubah Game”, sementara yang lain disebut “LinusTechTips & Elon Musk Special Crypto Giveaway”. Aliran terakhir telah dihapus setelah sekitar 20 menit penyiaran. Aliran pertama turun setelah sekitar 35 menit siaran.

Namun, keduanya sekarang telah ditayangkan kembali dalam apa yang tampaknya merupakan pergulatan antara aktor jahat dan YouTube sendiri.

Namun, kedua streaming langsung tersebut tampak identik, menampilkan video yang sama persis. Padahal, dalam obrolan, ada tautan ke “Crypto Giveaway” yang mungkin berbahaya. Ini tampaknya merupakan upaya phishing untuk mendapatkan detail dompet mata uang kripto dari pemirsa yang tidak menaruh curiga.

Sementara aktor jahat mungkin telah menghapus sebagian besar video LinusTechTips, kasus pelanggaran akun sebelumnya dengan penghapusan video telah mengembalikan akunnya setelah pemulihan oleh pemilik akun. Tampaknya video yang sebelumnya dihapus kini sedang dalam proses pemulihan oleh YouTube sendiri.

Selengkapnya: Dexerto

Laporan Kematangan Cybersecurity 2023 Mengungkapkan Ketidaksiapan Organisasi untuk Serangan Cyber

by

Pada tahun 2022 saja, serangan siber global meningkat sebesar 38%, mengakibatkan kerugian bisnis yang besar, termasuk kerugian finansial dan reputasi. Sementara itu, anggaran keamanan perusahaan telah meningkat secara signifikan karena meningkatnya kecanggihan serangan dan banyaknya solusi keamanan siber yang diperkenalkan ke pasar. Dengan peningkatan ancaman, anggaran, dan solusi ini, seberapa siapkah industri dan negara untuk secara efektif mengatasi risiko dunia maya saat ini?

Laporan Kematangan Keamanan Siber 2023 CYE yang baru menjawab pertanyaan ini dengan menyoroti kekuatan keamanan siber di berbagai sektor, ukuran perusahaan, dan negara. Ini menyoroti industri dan negara mana yang memiliki postur dunia maya paling kuat dan tertinggal, serta kerentanan paling umum dalam lanskap ancaman dunia maya saat ini.

Analisis ini didasarkan pada data selama dua tahun, yang dikumpulkan dari lebih dari 500 organisasi di 15 negara, dan mencakup 11 industri serta berbagai ukuran perusahaan. Ini mengukur kematangan keamanan siber di tujuh domain keamanan yang berbeda, termasuk keamanan tingkat aplikasi, keamanan tingkat jaringan, manajemen identitas dan akses jarak jauh, dan banyak lagi.

Kesimpulan keseluruhan dari laporan ini adalah bahwa sebagian besar organisasi tidak cukup siap menghadapi ancaman serangan siber. Namun, organisasi masih dapat mencapai postur kematangan keamanan siber yang tinggi tanpa anggaran yang besar, jika mereka merencanakan dan membelanjakannya dengan benar.

Untuk melindungi diri mereka sendiri, organisasi harus berinvestasi dalam kapabilitas, bukan alat; melakukan penilaian komprehensif untuk mencegah peretas mengeksploitasi kerentanan; dan mengembangkan pendekatan terintegrasi untuk keamanan siber dengan akuntabilitas tingkat dewan. Solusi pengoptimalan keamanan siber seperti CYE dapat membantu dengan menggabungkan teknologi, orang, dan proses untuk mengelola risiko siber organisasi dan melakukan kuantifikasi risiko siber untuk memahami ancaman dan memprioritaskan mitigasi.

Selengkapnya: The Hacker News

Ferrari Menolak Permintaan Tebusan setelah Serangan Siber

by

Pembuat mobil Italia Ferrari menolak membayar uang tebusan setelah pelaku ancaman yang tidak ditentukan masuk ke sistem TI dan mencuri data pelanggan.

Produsen supercar Ferrari telah memperingatkan pelanggan bahwa data pribadi mereka mungkin berisiko setelah sejumlah sistem TI mereka disusupi dan informasi diekstraksi oleh aktor ancaman yang belum ditentukan.

Perusahaan yang berbasis di Maranello, Italia menghubungi mereka yang terlibat pada Senin 20 Maret. Dalam sebuah surat kepada pelanggan, kepala eksekutif Benedetto Vigna mengatakan data yang terungkap termasuk nama, alamat, alamat email, dan nomor telepon.

Vigna meyakinkan pelanggan bahwa berdasarkan keadaan penyelidikan saat ini, organisasi meyakini tidak ada data keuangan pelanggan, atau data kendaraan merek yang telah disusupi.

Dalam pernyataan publik, juru bicara Ferrari mengatakan organisasi tersebut telah dihubungi oleh aktor ancaman dengan permintaan uang tebusan terkait dengan rincian kontak klien tertentu. Organisasi tidak mengidentifikasi aktor ancaman yang terlibat.

Juru bicara Ferrari percaya bahwa tindakan terbaik adalah memberitahu kliennya tentang potensi paparan data dan sifat insiden tersebut.

Organisasi itu mengatakan menjaga kerahasiaan kliennya dengan sangat serius dan akan bekerja sama dengan pakar keamanan untuk memperkuat sistemnya.

Insiden itu tidak berdampak pada operasi sehari-hari dan tampaknya juga tidak mempengaruhi jalannya tim juara Formula Satu, yang memiliki awal buruk di musim 2023, saat ini mendekam di klasemen konstruktor.

Selengkapnya: ComputerWeekly.com

Setelah diretas, data dari raksasa teknologi Australia Atlassian dibuang secara online

by

Kru peretasan yang kurang dikenal bernama SiegedSec memposting data tentang ribuan karyawan Atlassian dan denah lantai untuk dua kantor vendor perangkat lunak Australia.

File karyawan yang diposting online Rabu berisi lebih dari 13.200 entri dan tinjauan sepintas terhadap file tersebut tampaknya menunjukkan beberapa data karyawan saat ini, termasuk nama, alamat email, departemen kerja, dan informasi lainnya. Denah lantai adalah untuk satu lantai kantor perusahaan di San Francisco dan satu lagi untuk kantornya di Sydney, Australia.

“BENAR SEKALI, SiegedSec di sini untuk mengumumkan bahwa kami telah meretas perusahaan perangkat lunak Atlassian,” kata sebuah pesan yang diposting dengan file tersebut. “Perusahaan senilai $44 miliar ini telah dimiliki oleh para peretas berbulu uwu.”

Perwakilan Atlassian awalnya memberi tahu CyberScoop melalui email pada hari Kamis bahwa pada 15 Februari perusahaan mengetahui bahwa data dari Utusan, aplikasi pihak ketiga yang digunakan Atlassian untuk mengoordinasikan sumber daya di kantor, diterbitkan secara online, tetapi bahwa “produk Atlassian dan data pelanggan ” adalah “tidak berisiko”. Perusahaan tersebut kemudian memberi tahu TechCrunch bahwa tinjauan internalnya mengungkapkan bahwa data tersebut diakses dari aplikasi Utusan “menggunakan kredensial karyawan Atlassian yang secara keliru diposting di repositori publik oleh karyawan tersebut.”

Seorang juru bicara Utusan memberi tahu CyberScoop bahwa sistem perusahaan tidak terganggu atau dilanggar. Orang tersebut mengatakan bahwa kedua perusahaan telah berkolaborasi untuk mengidentifikasi sumber kompromi data. “Kami menemukan bukti di log permintaan yang mengonfirmasi bahwa peretas memperoleh kredensial pengguna yang valid dari akun karyawan Atlassian dan menggunakan akses tersebut untuk mengunduh data yang terpengaruh dari aplikasi Envoy. Kami dapat mengonfirmasi bahwa sistem Utusan tidak disusupi atau dilanggar dan tidak ada data pelanggan lain yang diakses.”

Selengkapnya: Cyberscoop

Peretas Mengeksploitasi Cacat Eskalasi Hak Istimewa Microsoft Outlook di Alam Liar

by

Menanggapi penemuan kerentanan kritis di Microsoft Outlook, CVE-2023-23397, yang secara aktif dieksploitasi oleh pelaku ancaman, Cisco Talos mendesak semua pengguna Outlook untuk memperbarui klien email mereka sesegera mungkin setelah kerentanan ditemukan .

Sementara Microsoft kemudian menentukan bahwa aktivitas tersebut dihasilkan dari aktor yang berbasis di Rusia, dan mereka digunakan dalam serangan yang ditargetkan terhadap sejumlah organisasi.

Sebagai akibat dari eksploitasi kerentanan keamanan ini, serangan dilakukan antara pertengahan April dan Desember 2022. Selama ini, pelaku ancaman menargetkan dan menerobos jaringan sekitar 15 organisasi penting terkait dengan:-

  • Pemerintah
  • Militer
  • Energi
  • Transportasi

Detail Cacat
Kerentanan CVE-2023-23397 memengaruhi semua produk Microsoft Outlook yang berjalan di sistem operasi Windows. Ini adalah kerentanan di NTLM dan dapat dieksploitasi untuk pencurian kredensial untuk mendapatkan akses kaya ke organisasi melalui eskalasi kerentanan hak istimewa.

  • CVE ID: CVE-2023-23397
  • Dirilis: 14 Mar 2023, Terakhir diperbarui: 15 Mar 2023
  • Dampak: Peningkatan Hak Istimewa
  • Rangkuman: Peningkatan Kerentanan Privilege Microsoft Outlook
  • Keparahan: Kritis
  • Skor CVSS: 9.8

Pelaku ancaman dapat membuat email, undangan kalender, atau tugas yang berisi properti MAPI yang diperluas “PidLidReminderFileParameter.”

“PidLidReminderFileParameter” memungkinkan klien untuk menentukan nama file suara yang akan diputar saat pengingat untuk suatu objek terlambat.

Properti PidLidReminderFileParameter ini digunakan oleh penyerang untuk menentukan jalur ke share SMB yang dikendalikan oleh penyerang melalui Konvensi Penamaan Universal (UNC).

Penyerang mungkin dapat menggunakan hash Net-NTLMv2 yang dikirim oleh sistem yang rentan untuk melakukan serangan Relay NTLM terhadap sistem lain.

Mitigasi
Akibatnya, peneliti Microsoft telah menegaskan beberapa mitigasi utama yang harus diikuti organisasi sebagai tindakan pencegahan untuk menjaga diri mereka aman dari serangan cyber semacam ini:-

  • Menginstal tambalan, Microsoft menyediakan sesegera mungkin akan ideal untuk mengatasi kerentanan ini.
  • Untuk mencegah penggunaan NTLM sebagai metode otentikasi, pengguna harus menggunakan Grup Keamanan Pengguna yang Dilindungi.
  • Sangat penting bahwa Anda memblokir port keluar TCP/445 dari jaringan Anda untuk mencegah pesan NTLM meninggalkan jaringan.
  • Skrip yang dirilis oleh Microsoft memberi administrator kemampuan untuk mengaudit server Exchange mereka untuk item pesan yang memiliki PidLidReminderFileParameters yang disetel ke jalur Konvensi Penamaan Universal (UNC).
  • Admin harus membersihkan properti dan menghapus item berbahaya atau bahkan menghapus item secara permanen jika diperlukan dengan bantuan skrip ini.

Microsoft Outlook di Windows dipengaruhi oleh kerentanan eskalasi hak istimewa ini dengan tingkat keparahan 9,8, yang memengaruhi semua versi aplikasi.

Dengan mengirimkan email jahat ke target, penyerang dapat menggunakan kerentanan ini untuk mencuri kredensial NTLM mereka dalam hitungan detik.

Setiap kali Outlook terbuka, pengingat akan ditampilkan di sistem, dan tidak diperlukan interaksi dengan pengguna karena eksploitasi terjadi secara otomatis.

Singkatnya, sangat disarankan oleh analis keamanan bahwa admin harus segera menerapkan dan memeriksa semua mitigasi yang disarankan untuk mencegah serangan apa pun secara efektif.

selengkapnya : cybersecuritynews.com