Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Crime

Cyber Crime

Penyerang Siber Melayani Backdoor Khusus untuk Perangkat Lunak Restoran Oracle

by

Malware modular sangat canggih tetapi mungkin tidak dapat menangkap info kartu kredit. ModPipe, backdoor yang sebelumnya tidak dikenal, telah dibuat khusus untuk menyerang solusi point-of-sale (PoS) restoran dari Oracle. Terkenal karena kecanggihannya yang tidak biasa, menurut peneliti, dibuktikan dengan berbagai modulnya.

Kode tersebut secara khusus membidik Oracle MICROS Restaurant Enterprise Series (RES) 3700 POS – rangkaian perangkat lunak manajemen yang digunakan oleh ratusan ribu bar, restoran, hotel, dan perusahaan perhotelan lainnya di seluruh dunia, menurut ESET. Serangan tersebut terutama terjadi di AS, kata para peneliti – meskipun vektor infeksi awal tidak diketahui.

Salah satu modul perangkat lunak perusak yang dapat diunduh, yang disebut GetMicInfo, sangat unik, kata perusahaan itu. Ini mengendus dan mengeksfiltrasi kredensial yang memungkinkan operator ModPipe mengakses konten basis data, termasuk berbagai definisi dan data konfigurasi, tabel status, dan informasi tentang transaksi PoS.

sumber : ThreatPost

‘Pay2Key’ Bisa Menjadi Ancaman Ransomware Besar Berikutnya

by

Peneliti dari Check Point mengatakan aktor ancaman yang berbasis di Iran telah berhasil menyerang beberapa perusahaan Israel yang dapat segera go global. Jenis ransomware baru yang berkembang pesat selama dua minggu terakhir telah memengaruhi banyak perusahaan besar di Israel dan beberapa di Eropa dalam waktu dekat dapat menjadi ancaman besar bagi organisasi di seluruh dunia.

Check Point Software Technologies, yang menerbitkan laporan hari ini tentang apa yang disebut Pay2Key ransomware strain, mengatakan itu hampir pasti berasal dari Iran dan mampu mengenkripsi seluruh jaringan dalam satu jam atau kurang.

Para peneliti fokus pada dompet bitcoin dalam uang tebusan yang dikirim ke perusahaan yang benar-benar membayar pelaku ancaman: mereka kemudian dapat melacak transaksi ke pertukaran mata uang kripto Iran yang disebut Excoino yang tampaknya terbuka hanya untuk warga Iran, berdasarkan fakta bahwa pendaftaran memerlukan kartu identitas nasional.

sumber : DarkReading

Peringatan keamanan Facebook: Ribuan kata sandi dicuri

by

Akun media sosial yang dicuri adalah komoditas panas di pasar Dark Web. Rata-rata akun Facebook dijual dengan harga sekitar $ 74,50, menjadikan jaringan sosial sebagai target prioritas untuk penipuan phishing dan penjahat dunia maya. Kampanye phishing memudahkan untuk mencuri kredensial login dalam jumlah besar sekaligus. Semua scammer perlu membuat halaman login palsu dan mengelabui korban untuk masuk. Ketuk atau klik di sini untuk melihat pemberitahuan hak cipta penipuan phishing menargetkan pengguna Facebook.

Peneliti keamanan dengan VPNmentor menemukan database tidak aman yang berisi ratusan ribu login Facebook yang dicuri. Kredensial dicuri sebagai bagian dari operasi phishing yang menargetkan pengguna Facebook dengan halaman arahan palsu. Para peneliti, yang membagikan temuan mereka dengan CNET, percaya para penipu menggunakan situs web yang menawarkan layanan penipuan kepada pengguna Facebook, seperti laporan tentang siapa yang baru-baru ini mengunjungi halaman pengguna.

Jumlah pengguna yang sangat besar dalam database cukup mengejutkan, tetapi para scammer membuat kesalahan fatal selama pencurian data: Mereka lupa menambahkan kata sandi ke harta karun berupa data yang dicuri. Siapa pun yang memiliki browser web dapat dengan mudah mengakses database yang dicuri, yang berisi jutaan catatan pengguna. Peneliti VPNMentor percaya bahwa akun tersebut digunakan untuk menipu lebih banyak korban agar bergabung dengan penipuan cryptocurrency.

sumber : Komando

Manufaktur menjadi target utama serangan ransomware

by

Ransomware telah menjadi ancaman utama bagi industri manufaktur karena kelompok penjahat dunia maya semakin tertarik untuk menargetkan sistem kontrol industri (ICS) yang mengelola operasi. Menurut analisis para peneliti keamanan siber di perusahaan keamanan Dragos, jumlah serangan ransomware yang tercatat secara publik terhadap manufaktur telah meningkat tiga kali lipat pada tahun lalu saja.

Sementara banyak manufaktur bergantung pada TI tradisional, beberapa elemen manufaktur bergantung pada ICS saat memproduksi produk secara massal – dan itu adalah area yang secara aktif ingin ditargetkan oleh beberapa grup peretasan.

Untuk penjahat dunia maya, manufaktur membuat target yang sangat strategis karena dalam banyak kasus ini adalah operasi yang tidak dapat dihentikan untuk jangka waktu yang lama, sehingga mereka lebih cenderung untuk menyerah pada tuntutan penyerang dan membayar ratusan ribu dolar dalam bitcoin sebagai imbalan untuk mendapatkan jaringan kembali.

sumber : ZDNET

Malware baru ini ingin server Linux dan perangkat IoT Anda ke botnetnya

by

Malware baru menargetkan server Linux dan perangkat Internet of Things (IoT) untuk menambahkannya sebagai pasukan botnet dalam kampanye peretasan yang menargetkan infrastruktur cloud computing.

Ditemukan oleh peneliti keamanan siber di Juniper Threat Labs, worm berbahaya ini telah dijuluki Gitpaste-12, mencerminkan bagaimana ia menggunakan GitHub dan Pastebin untuk kode komponen perumahan dan memiliki 12 cara berbeda untuk mengkompromikan server x86 berbasis Linux, serta Linux ARM dan MIPS perangkat Io.

Ini termasuk 11 kerentanan yang diketahui dalam teknologi termasuk router Asus, Huawei dan Netlink serta orang-orang seperti MongoDB dan Apache Struts serta kemampuan untuk menyusupi sistem dengan menggunakan serangan brute force untuk mencari tau nama pengguna dan kata sandi default.

Setelah menggunakan salah satu kerentanan ini untuk menyusupi sistem, Gitpaste-12 mengunduh skrip dari Pastebin untuk memberikan perintah sebelum juga mengunduh instruksi dari penyimpanan GitHub.

Malware ini memiliki kemampuan untuk menjalankan cryptomining, menjadi worm yang dapat menyebar ke seluruh jaringan, dan melewati mekanisme pertahanan seperti firewall.

URL Pastebin dan penyimpanan GitHub yang digunakan untuk memberikan instruksi kepada malware telah ditutup setelah dilaporkan oleh para peneliti, sesuatu yang seharusnya menghentikan penyebaran botnet untuk saat ini. Namun, para peneliti juga mencatat bahwa Gitpaste-12 sedang dalam pengembangan, yang berarti ada risiko Gitpaste-12 bisa kembali.

Namun, mungkin untuk membantu melindungi terhadap Gitpaste-12 dengan memotong cara utama penyebarannya dengan menerapkan patch keamanan yang menutup kerentanan yang diketahui dieksploitasi.

Pengguna juga harus menghindari penggunaan kata sandi default untuk perangkat IoT, karena ini membantu melindungi dari serangan brute force yang mengandalkan eksploitasi kredensial default dan kata sandi umum lainnya.

Source : ZDnet

Pembuat mainan Mattel mengungkapkan serangan ransomware

by

Pembuat mainan AS Mattel hari ini mengungkapkan bahwa mereka mengalami serangan ransomware yang melumpuhkan beberapa fungsi bisnis, tetapi perusahaan mengatakan pulih dari serangan itu tanpa kerugian finansial yang signifikan. Insiden itu terjadi pada 28 Juli, menurut formulir triwulanan 10-Q yang diajukan perusahaan ke Komisi Bursa Efek AS hari ini. Mattel mengatakan bahwa serangan ransomware awalnya berhasil dan menghasilkan enkripsi yang berhasil pada beberapa sistemnya.

Selama lebih dari setahun, geng ransomware telah mencuri data dan terlibat dalam skema pemerasan ganda, mengancam akan mengunggah data perusahaan yang diretas tersebut ke “situs kebocoran” publik kecuali korban membayar permintaan tebusan. Namun, pembuat mainan tersebut mengatakan bahwa penyelidikan forensik berikutnya menyimpulkan bahwa geng ransomware di balik intrusi Juli tidak mencuri “data bisnis sensitif atau data pelanggan ritel, pemasok, konsumen, atau karyawan.”

Secara keseluruhan, Mattel tampaknya telah lolos dari insiden tersebut hanya dengan waktu henti yang singkat dan tanpa kerusakan yang serius.
Sementara perusahaan seperti Cognizant mengatakan mereka memperkirakan akan kehilangan antara $ 50 juta dan $ 70 juta, dan Norsk Hydro melaporkan kerugian setidaknya $ 40 juta setelah insiden ransomware, Mattel mengatakan serangan ransomware yang dideritanya “tidak berdampak material pada operasi atau kondisi keuangannya.”

sumber : ZDNET

Garda Nasional untuk Membantu Jaringan Kesehatan Vermont Setelah Serangan Cyber

by

Gubernur Vermont telah memanggil Garda Nasional untuk membantu Jaringan Kesehatan Universitas Vermont menanggapi serangan dunia maya yang serius. Enam rumah sakit di Jaringan Kesehatan UVM mengalami masalah jaringan yang signifikan menyusul serangan yang melanda sepekan dari tanggal 25 Oktober.
Dampak serangan terhadap layanan bervariasi di berbagai organisasi afiliasi jaringan. Pemadaman listrik di sejumlah sistem sedang dialami di University of Vermont Medical Center di Burlington, di mana beberapa prosedur elektif yang tidak mendesak telah dijadwalkan ulang. Staf tidak dapat mengakses jadwal janji temu dan beberapa atau semua informasi pasien. Studi tidur telah dibatalkan dan pemindaian radiologi rawat jalan ditunda.

Di Vermont, pasien yang mengunjungi Medical Center Porter di Middlebury atau Medical Center Central Vermont di Berlin telah diperingatkan untuk mengharapkan waktu tunggu yang lebih lama. Selain itu, komunikasi elektronik antara Home Health & Hospice di Colchester dan Medical Center UVM telah terganggu oleh pemadaman listrik.
Di New York, portal pasien rumah sakit untuk Medical Center Alice Hyde di Malone saat ini terputus dan komunikasi elektronik antara Medical Center UVM dan Rumah Sakit Komunitas Elizabethtown terputus.

Kemarin, Gubernur Vermont Phil Scott mengerahkan Tim Respons Maya Gabungan Garda Nasional Vermont untuk membantu tim TI Jaringan Kesehatan UVM dalam meninjau ribuan komputer dan perangkat pengguna akhir. Sementara “kemajuan yang stabil” sedang dilakukan untuk pemulihan total, Jaringan Kesehatan UVM tidak dapat mengatakan dengan pasti kapan semua sistem akan dipulihkan. Data pasien tampaknya tidak terungkap oleh insiden keamanan.

sumber : Infosecurity Magazine

National Guard dipanggil untuk menggagalkan serangan dunia maya di Louisiana beberapa minggu sebelum eleksi.

by

Pejabat senior keamanan AS telah memperingatkan di sini setidaknya sejak 2019 bahwa ransomware berisiko bagi pemilu AS, yaitu serangan terhadap kantor pemerintah negara bagian tertentu di sekitar pemilu dapat mengganggu sistem yang diperlukan untuk mengelola aspek pemungutan suara.

Para ahli yang menyelidiki insiden Louisiana menemukan alat yang digunakan oleh peretas yang sebelumnya terkait dengan kelompok yang terkait dengan pemerintah Korea Utara, menurut seseorang yang mengetahui penyelidikan tersebut.

Alat itu digambarkan kepada Reuters sebagai Remote Access Trojan, atau RAT, yang digunakan untuk menyusup ke jaringan komputer. Tetapi analis keamanan siber yang telah memeriksa RAT ini – yang dikenal sebagai “KimJongRat” – mengatakan beberapa kodenya telah dipublikasikan di gudang virus komputer, di mana peretas dapat menyalinnya; membuat atribusi ke Korea Utara kurang pasti.

Satu orang yang mengetahui peristiwa tersebut mengatakan bahwa mereka menilai tujuan peretas adalah menginfeksi komputer dengan ransomware, tetapi menambahkan bahwa sulit untuk menentukannya karena serangan telah dihentikan pada fase awal.

Jika demikian, Louisiana bukan yang pertama. Selama setahun terakhir, beberapa kota AS telah menjadi korban ransomware, termasuk: insiden di Baltimore, Maryland, dan Durham, North Carolina.

Pertanyaan Besar

Jen Miller Osborn, wakil direktur intelijen ancaman untuk perusahaan keamanan siber AS Palo Alto Networks, melacak kelompok peretas tahun lalu yang menggunakan KimJongRat. Dia mengatakan akan menjadi “tidak biasa” bagi grup yang dia pelajari untuk melakukan operasi dunia maya demi keuntungan finansial

Pada 6 Oktober, divisi keamanan siber Departemen Keamanan Dalam Negeri, yang dikenal sebagai CISA, menerbitkan peringatan yang mengatakan bahwa Emotet digunakan untuk menargetkan banyak kantor pemerintah lokal di seluruh negeri.

Dalam kasus baru-baru ini di mana penjahat dunia maya mengejar kantor pemerintah lokal saat pemilihan mendekat, seperti di Washington, pejabat AS bersama dengan perusahaan teknologi seperti Microsoft Corp berlomba untuk lebih memahami jika peretas berbagi koneksi dengan badan intelijen asing dari Rusia, Iran, Cina dan Korea Utara.

“Ini adalah pertanyaan yang sangat menarik dan sesuatu yang kami gali dan coba temukan data, informasi, dan kecerdasan yang akan membantu kami memahami itu dengan lebih baik,” kata Wakil Presiden Microsoft Tom Burt dalam wawancara baru-baru ini.

Source : Reuters