Cyber Attack

Apa itu Serangan USB Killer? Semua yang Perlu Anda Ketahui

February 27, 2023 by Søren

Seperti istilahnya, USB Killer adalah drive USB yang dimodifikasi yang dapat merusak atau menghancurkan perangkat saat Anda memasukkannya ke port USB perangkat.

Untuk mencapai tujuannya, pembunuh USB berulang kali memasok lonjakan tegangan (210–220 volt) ke perangkat yang terhubung. Karena port USB dirancang untuk menangani hanya 5 volt, lonjakan daya tegangan tinggi yang berulang ini merusak sistem kelistrikan perangkat host yang tidak dapat diperbaiki.

USB Killer pertama dilaporkan dibuat oleh seorang peneliti komputer Rusia yang bekerja dengan nama samaran “Ungu Tua”. Dan ide di balik perancangannya adalah untuk menguji seberapa baik perangkat digital dapat menahan lonjakan daya.

Namun, manufaktur komputer dan penguji penetrasi tidak menggunakan pembunuh USB untuk tujuan ini.

Sebaliknya, penjahat dunia maya menggunakan pembunuh USB untuk merusak komputer korban. Mereka dapat dengan mudah membeli perangkat USB Kill hanya dengan $3.

Lebih buruk lagi, penjahat dunia maya dapat memodifikasi pemurni udara ionik USB sederhana dengan mudah untuk berfungsi sebagai pembunuh USB.

Perangkat pembunuh USB memiliki banyak kapasitor untuk menghemat energi listrik. Saat Anda menghubungkannya ke komputer, dibutuhkan daya dari port USB untuk mengisi kapasitornya.

Setelah USB kill dinyalakan sepenuhnya, ia mengosongkan dayanya (200 volt atau lebih) sekaligus kembali melalui jalur data dari port USB yang sama. Ini menghancurkan perangkat host karena pin data dirancang untuk menangani sejumlah kecil voltase, cukup untuk mengirim dan menerima sinyal.

Saat ini, pembunuh USB telah berevolusi dari perangkat plug-and-zap sederhana menjadi pembunuh yang kuat dengan fungsionalitas canggih,

Selengkapnya: Make Use Of

Ukraina Mengalami Lebih Banyak Malware Penghapus Data Tahun Lalu Daripada Di Mana Saja

February 25, 2023 by Søren

DI TENGAH korban TRAGIS dari invasi brutal dan dahsyat Rusia ke Ukraina, efek dari kampanye serangan siber destruktif Kremlin yang sudah berlangsung lama terhadap tetangganya sering—seharusnya—dianggap sebagai renungan.

Tetapi setelah satu tahun perang, menjadi jelas bahwa perang dunia maya yang dialami Ukraina selama setahun terakhir, dengan beberapa ukuran, merupakan konflik digital paling aktif dalam sejarah. Tidak ada tempat di planet ini yang pernah menjadi sasaran lebih banyak spesimen kode penghancur data dalam satu tahun.

Menjelang peringatan satu tahun invasi Rusia, peneliti keamanan siber di perusahaan keamanan siber Slovakia ESET, perusahaan keamanan jaringan Fortinet, dan perusahaan respons insiden milik Google, Mandiant, semuanya secara independen menemukan bahwa pada tahun 2022, Ukraina melihat jauh lebih banyak spesimen “wiper” malware dibandingkan tahun-tahun sebelumnya dalam perang dunia maya Rusia yang telah berlangsung lama yang menargetkan Ukraina—atau, dalam hal ini, tahun lainnya, di mana saja.

Itu tidak berarti Ukraina lebih terpukul oleh serangan siber Rusia daripada tahun-tahun sebelumnya; pada tahun 2017, peretas intelijen militer Rusia yang dikenal sebagai Sandworm merilis cacing NotPetya yang sangat merusak.

Tetapi meningkatnya volume kode destruktif mengisyaratkan jenis perang dunia maya baru yang menyertai invasi fisik Rusia ke Ukraina, dengan kecepatan dan keragaman serangan dunia maya yang belum pernah terjadi sebelumnya.

“Dalam hal banyaknya sampel malware penghapus yang berbeda,” kata peneliti malware senior ESET Anton Cherepanov, “ini adalah penggunaan penghapus paling intens dalam sejarah komputer.”

Selengkapnya: Wired

TELUS menyelidiki kebocoran kode sumber yang dicuri, data karyawan

February 25, 2023 by Søren

Telekomunikasi terbesar kedua di Kanada, TELUS sedang menyelidiki potensi pelanggaran data setelah aktor ancaman membagikan sampel online dari apa yang tampaknya merupakan data karyawan. Pelaku ancaman kemudian memposting tangkapan layar yang tampaknya menunjukkan repositori kode sumber pribadi dan catatan penggajian yang dipegang oleh perusahaan.

TELUS sejauh ini belum menemukan bukti pencurian data pelanggan korporat atau retail dan terus memantau potensi kejadian tersebut.

“Karyawan TELUS [sic] dari pelanggaran yang sangat baru. Kami memiliki lebih dari 76 ribu email unik dan selain itu, kami memiliki informasi internal yang terkait dengan setiap karyawan yang diambil dari API Telus,” tulis postingan forum tersebut.

Sementara BleepingComputer belum dapat mengonfirmasi kebenaran klaim pelaku ancaman, set sampel kecil yang diposting oleh penjual memang memiliki nama dan alamat email yang valid sesuai dengan karyawan TELUS saat ini, terutama pengembang perangkat lunak dan staf teknis.

Pada hari Selasa, 21 Februari, pelaku ancaman yang sama telah membuat postingan forum lainnya—kali ini menawarkan untuk menjual repositori GitHub pribadi TELUS, kode sumber, serta catatan penggajian perusahaan.

“Dalam repositori terdapat backend, frontend, [informasi middleware,] kunci AWS, kunci autentikasi Google, Kode Sumber, Aplikasi Pengujian, Staging/Prod/testing, dan banyak lagi!” menyatakan posting terbaru penjual.

Penjual selanjutnya membanggakan bahwa kode sumber yang dicuri berisi “sim-swap-api” perusahaan yang konon akan memungkinkan musuh untuk melakukan serangan pertukaran SIM.

Meskipun pelaku ancaman telah menyebut ini sebagai “pelanggaran PENUH” dan berjanji untuk menjual “segala sesuatu yang terkait dengan Telus”, masih terlalu dini untuk menyimpulkan bahwa insiden memang terjadi di TELUS atau mengesampingkan pelanggaran vendor pihak ketiga.

“Kami sedang menyelidiki klaim bahwa sejumlah kecil data yang terkait dengan kode sumber internal TELUS dan informasi anggota tim TELUS terpilih telah muncul di web gelap,” kata juru bicara TELUS kepada BleepingComputer.

“Kami dapat mengonfirmasi bahwa hingga saat ini penyelidikan kami, yang kami luncurkan segera setelah kami mengetahui insiden tersebut, belum mengidentifikasi data pelanggan korporat atau ritel apa pun.

Selengkapnya: Bleeping Computer

Geng Ransomware menggunakan Zero-Day Baru Untuk Mencuri Data 1 Juta Pasien

February 20, 2023 by Coffee Bean

CHS belum mengatakan jenis data apa yang terungkap dan juru bicara belum menjawab pertanyaan TechCrunch. Ini adalah pelanggaran data pasien kedua yang diketahui CHS dalam beberapa tahun terakhir.

Geng ransomware yang terkait dengan Rusia, Clop dilaporkan telah mengambil tanggung jawab untuk mengeksploitasi zero-day baru dalam kampanye peretasan baru dan mengklaim telah melanggar lebih dari seratus organisasi yang menggunakan teknologi transfer file Fortra — termasuk CHS.

Meskipun CHS dengan cepat tampil sebagai korban, klaim Clop menunjukkan bahwa mungkin ada lebih banyak organisasi yang terpengaruh di luar sana — dan jika Anda adalah salah satu dari ribuan pengguna GoAnywhere, perusahaan Anda mungkin termasuk di antara mereka. Untungnya, pakar keamanan telah membagikan banyak informasi tentang zero-day dan apa yang dapat Anda lakukan untuk melindunginya.

Sekarang geng ransomware Clop — yang baru-baru ini menjadi berita utama dengan varian Linux barunya — memberi tahu Bleeping Computer bahwa mereka telah mengeksploitasi kerentanan GoAnywhere untuk mencuri data dari lebih dari 130 organisasi. Clop tidak memberikan bukti untuk klaimnya, dan pada saat penulisan, situs kebocoran web gelap Clop tidak menyebutkan Fortra atau GoAnywhere.

Perusahaan cybersecurity Huntress melaporkan minggu lalu bahwa mereka menyelidiki intrusi ke dalam jaringan pelanggan yang melibatkan eksploitasi GoAnywhere zero-day. Huntress mengaitkan intrusi tersebut dengan aktor ancaman berbahasa Rusia yang disebutnya “Silence”, yang memiliki tautan ke grup lain yang disebut TA505, kru peretasan kriminal yang telah aktif setidaknya sejak 2016 dan dikenal dengan kampanye bertarget yang melibatkan penyebaran dari Clop ransomware.

selengkapnya : techcrunch

Malware WhiskerSpy Baru Dikirimkan Melalui Penginstal Codec Trojanized

February 20, 2023 by Coffee Bean

Peneliti keamanan telah menemukan pintu belakang baru yang disebut WhiskerSpy yang digunakan dalam kampanye dari aktor ancaman tingkat lanjut yang relatif baru dilacak sebagai Earth Kitsune, yang dikenal menargetkan individu yang menunjukkan minat di Korea Utara.

Aktor tersebut menggunakan metode yang telah dicoba dan diuji dan mengambil korban dari pengunjung situs web pro Korea Utara, sebuah taktik yang dikenal sebagai serangan lubang berair.

Menurut Trend Micro, WhiskerSpy disampaikan saat pengunjung mencoba menonton video di website. Penyerang mengkompromikan situs web dan menyuntikkan skrip jahat yang meminta korban untuk memasang codec video agar media dapat dijalankan.

Untuk menghindari kecurigaan, aktor ancaman memodifikasi penginstal codec yang sah sehingga pada akhirnya memuat “pintu belakang yang sebelumnya tidak terlihat” pada sistem korban.

WhiskerSpy backdoor infection chain
source: Trrend Micro

Para peneliti mengatakan bahwa pelaku ancaman hanya menargetkan pengunjung situs web dengan alamat IP dari Shenyang, China; Nagoya, Jepang; dan Brasil.

Kemungkinan Brasil hanya digunakan untuk menguji serangan lubang air menggunakan koneksi VPN dan target sebenarnya adalah pengunjung dari dua kota di China dan Jepang. Korban yang relevan akan disajikan pesan kesalahan palsu di bawah ini yang meminta mereka memasang codec untuk menonton video.

Trend Micro telah menemukan versi sebelumnya dari WhiskerSpy yang menggunakan protokol FTP alih-alih HTTP untuk komunikasi C2. Varian yang lebih lama ini juga memeriksa keberadaan debugger pada saat eksekusi dan menginformasikan C2 dengan kode status yang sesuai.

Untuk dicatat, kepercayaan para peneliti dalam mengaitkan serangan lubang air ini dengan Earth Kitsune adalah sedang tetapi modus operandi dan targetnya mirip dengan aktivitas yang sebelumnya terkait dengan grup.

selengkapnya : bleepingcomputer

Twitter Menghilangkan SMS 2FA untuk Anggota Non-Biru — Apa yang Perlu Anda Lakukan

February 20, 2023 by Coffee Bean

Twitter telah mengumumkan bahwa itu tidak akan lagi mendukung otentikasi dua faktor SMS kecuali anda membayar langganan Twitter Blue. Namun, ada opsi yang lebih aman untuk autenthikasi multi-faktor, yang kamu jelaskan di bawah.

Dalam posting blog yang dirilis minggu ini, Twitter mengatakan bahwa pengguna non-Twitter blue yang menggunakan otentikasi SMS 2FA memiliki waktu hingga 20 maret 2023 untuk beralih ke metode

Berdasarkan laporan keamanan akun Twitter, yang mencakup data antara Juli 2021 hingga Desember 2021, hanya 2,6% pengguna yang menggunakan autentikasi dua faktor. Dari pengguna tersebut, 74,4% menggunakan SMS 2FA, 28,9% menggunakan aplikasi autentikator, dan 0,5% menggunakan kunci keamanan perangkat keras.

Elon Musk mengatakan mereka membuat perubahan ini karena mereka kehilangan $60 juta per tahun karena pesan SMS palsu 2FA.

Meskipun banyak yang tidak setuju dengan bagaimana kebijakan baru ini ditangani dan diluncurkan, hal ini pada akhirnya dapat menghasilkan keamanan yang lebih baik bagi pengguna yang memilih untuk tidak berlangganan Twitter Blue.

Ini karena Anda akan dipaksa untuk menggunakan opsi yang lebih aman untuk mengamankan akun Anda.

Opsi paling aman adalah menggunakan kunci keamanan perangkat keras, seperti Google Titan atau Yubikey, yang merupakan perangkat kecil dengan konektivitas USB atau NFC untuk merespons permintaan 2FA secara otomatis dan membuat Anda masuk ke akun.

Mereka dianggap paling aman karena merupakan perangkat fisik yang harus dicolokkan ke komputer dan menjadi milik Anda untuk memasukkan Anda ke akun Anda.

Oleh karena itu, jika ada yang mendapatkan akses ke kredensial Anda, mereka tidak dapat melewati 2FA bahkan jika mereka mencuri token 2FA Anda entah bagaimana, baik melalui serangan phishing lanjutan musuh atau serangan pertukaran SIM.

Pilihan lainnya adalah menggunakan aplikasi autentikasi dua faktor, seperti Google Authenticator, Microsoft Authenticator, dan Authy.

Terlepas dari metode autentikasi yang Anda gunakan, laporan keamanan Twitter menunjukkan bahwa terlalu banyak orang yang tidak mengamankan akun mereka dengan 2FA, meskipun ini meningkatkan keamanan akun Anda.

Sangat disarankan untuk mengaktifkan 2FA di semua akun online yang Anda gunakan, termasuk Twitter, dan menggunakan autentikator atau kunci keamanan perangkat keras, karena pada akhirnya akan lebih aman.

selengkapnya : bleepingcomputer

Peringatan: Pelaku ancaman menggunakan sertifikat penandatanganan kode Emsisoft palsu untuk menyamarkan serangan mereka

February 18, 2023 by Søren

Kami baru-baru ini mengamati insiden di mana sertifikat penandatanganan kode palsu yang diduga milik Emsisoft digunakan dalam upaya untuk menyamarkan serangan yang ditargetkan terhadap salah satu pelanggan kami. Organisasi yang dimaksud menggunakan produk kami dan tujuan penyerang adalah membuat organisasi tersebut mengizinkan aplikasi yang dipasang dan ingin digunakan oleh pelaku ancaman dengan membuat pendeteksiannya tampak positif palsu.

Serangan gagal – produk kami mendeteksi dan memblokirnya – tetapi kami mengeluarkan peringatan ini agar pelanggan dan pengguna produk perusahaan lain mengetahui taktik yang digunakan dalam kasus ini.

Sementara metode akses awal diperoleh tidak jelas, kemungkinan besar melalui serangan brute-force pada RDP atau penggunaan kredensial yang disusupi (login yang dicuri).

Setelah penyerang mengamankan akses ke titik akhir, mereka memasang aplikasi akses jarak jauh sumber terbuka yang disebut MeshCentral. Ini adalah aplikasi tujuan ganda, artinya ini adalah alat yang sah yang dapat digunakan untuk tujuan jahat. Karena dapat digunakan untuk tujuan yang sah dan tidak berbahaya, keberadaannya di titik akhir tidak serta merta memicu alarm apa pun, baik dari solusi keamanan atau dari manusia.

Penyerang menandatangani eksekusi MeshCentral dengan sertifikat yang disebut “Emsisoft Server Trusted Network CA”. Kami yakin ini dilakukan untuk membuat pendeteksian aplikasi apa pun tampak positif palsu. Bagaimanapun, salah satu produk kami diinstal dan dijalankan pada titik akhir yang disusupi, sehingga aplikasi yang diduga telah ditandatangani oleh sertifikat Emsisoft dapat dianggap aman dan diizinkan.

Selengkapnya: Emisoft

Para ahli sedang menyelidiki kegagalan beberapa bandara Jerman setelah beberapa media mengaitkannya dengan kemungkinan kampanye peretasan.

February 18, 2023 by Søren

Dugaan serangan siber terjadi sehari setelah kegagalan TI menyebabkan pembatalan dan penundaan ribuan penumpang maskapai nasional Jerman Lufthansa di bandara Frankfurt.

Serangan itu memblokir situs web bandara berikut:

Bandara Hannover
Bandara Dortmund
Bandara Nürnberg
Bandara Karlsruhe/Baden-Baden
Düsseldorf
Erfurt-Weimar

Administrator di bandara mengonfirmasi bahwa masalah tersebut kemungkinan besar disebabkan oleh lalu lintas berbahaya.
“Kami masih memecahkan masalah,” kata juru bicara Bandara Dortmund, menambahkan tidak mungkin kegagalan itu disebabkan oleh kelebihan beban biasa. lapor situs web DW. “Ada alasan untuk menduga itu bisa menjadi serangan peretas,” tambahnya.

Pada awal Januari, kelompok Pro-Rusia Killnet meluncurkan serangan DDoS terhadap situs web bandara, badan administrasi, dan bank Jerman.

Serangan tersebut merupakan respon para hacktivist terhadap keputusan pemerintah Jerman untuk mengirim tank Leopard 2 ke Ukraina.

Kanselir Olaf Scholz mengumumkan keputusan untuk mengirim 14 tank – dan mengizinkan negara lain untuk mengirimnya juga (yang dibatasi sampai sekarang di bawah peraturan ekspor) – pada rapat kabinet pada hari Rabu.

Pada 16 Februari, grup tersebut menyerukan tindakan di saluran Telegramnya terhadap bandara Jerman.

Pada bulan Oktober, kelompok peretas pro-Rusia ‘KillNet’ mengaku bertanggung jawab atas serangan denial-of-service (DDoS) terdistribusi besar-besaran terhadap situs web beberapa bandara utama di AS.

Selengkapnya: Security Affairs

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attack

Cookies Settings