Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Ukraina menghapus 1.000.000 bot yang digunakan untuk disinformasi

by

Polisi siber Ukraina (SSU) telah menutup sebuah peternakan bot besar-besaran dari 1.000.000 bot yang digunakan untuk menyebarkan disinformasi di jejaring sosial.

Tujuan dari bot farm adalah untuk mendiskreditkan informasi yang berasal dari sumber resmi negara Ukraina, mengacaukan situasi sosial dan politik di negara itu, dan menciptakan perselisihan internal.

Pesan yang disebarkan oleh bot sejalan dengan propaganda Rusia, sehingga operator mesin disinformasi diyakini sebagai anggota layanan khusus Rusia.

Bahkan, penyelidikan SSU mengarah pada pemimpin kelompok kriminal, seorang “pakar politik” Rusia yang pada masa lalu tinggal di Kyiv.

Investigasi polisi Ukraina masih berlangsung untuk mengungkap peserta lain dalam operasi yang akan didakwa atas pelanggaran Pasal 361.2 KUHP negara itu.

Kebun bot yang dibongkar oleh SSU terletak di Kyiv, Kharkiv, dan Vinnytsia dan mengandalkan 1.000.000 bot untuk menyebarkan disinformasi. Untuk membuat tentara online ini, para pelaku ancaman menggunakan 5.000 kartu SIM untuk mendaftarkan akun media sosial baru.

Selain itu, operator menggunakan 200 server proxy yang memalsukan alamat IP sebenarnya dan menghindari deteksi aktivitas penipuan dan pemblokiran oleh platform media sosial.

Menurut SSU, operator bot farm mengembangkan dan menyebarkan perangkat lunak khusus untuk mengelola akun media sosial pseudonim dari jarak jauh, mengoordinasikannya untuk mendorong pesan propaganda yang diperlukan.

Gambar peralatan bot farm (SSU) yang disita

Kekuatan berita palsu tidak dapat diremehkan, terutama selama masa-masa sulit, akses internet terbatas, dan pergolakan umum.

Rusia telah lama terlibat dalam kampanye disinformasi dan telah berinvestasi di peternakan bot yang berbasis di Ukraina yang menargetkan populasi lokal.

Pada Februari 2022, Meta menurunkan beberapa kelompok akun Facebook palsu yang mempromosikan informasi palsu di platform media sosial.

Pada Maret 2022, SSU mengumumkan penemuan dan penutupan lima peternakan bot semacam ini, yang mengoperasikan 100.000 akun media sosial palsu yang menyebarkan berita palsu.

Presiden Ukraina Volodymyr Zelenskyy juga berada di pusat kampanye misinformasi, salah satunya menggunakan deepfake di Facebook dan meretas stasiun radio Ukraina untuk menyebarkan berita palsu bahwa Presiden dalam kondisi kritis. Keduanya diyakini sebagai karya aktor Rusia.

Sejak awal perang, SSU telah mengidentifikasi dan menetralisir lebih dari 1.200 serangan siber terhadap negara dan entitas penting lainnya serta telah melaporkan dan menghapus 500 saluran YouTube yang secara kolektif memiliki 15 juta pelanggan.

Selain itu, agensi telah melaporkan 1.500 saluran dan bot Telegram dan 1.500 akun Facebook, Instagram, dan TikTok lainnya karena menyebarkan propaganda Rusia.

Sumber: Bleeping Computer

VMware Merilis Patch untuk Beberapa Cacat Baru yang Mempengaruhi Banyak Produk

by

VMware telah merilis pembaruan untuk mengatasi 10 kelemahan keamanan yang memengaruhi beberapa produk yang dapat disalahgunakan oleh penyerang yang tidak diautentikasi untuk melakukan tindakan jahat.

Masalah, dilacak dari CVE-2022-31656 hingga CVE-2022-31665 (skor CVSS: 4,7 – 9,8), memengaruhi VMware Workspace ONE Access, Workspace ONE Access Connector, Identity Manager, Identity Manager Connector, vRealize Automation, Cloud Foundation, dan vRealize Suite Lifecycle Manager.

Kelemahan paling parah adalah CVE-2022-31656 (skor CVSS: 9,8), kerentanan bypass otentikasi yang memengaruhi pengguna domain lokal yang dapat dimanfaatkan oleh aktor jahat dengan akses jaringan untuk mendapatkan hak administratif.

Juga diselesaikan oleh VMware adalah tiga kerentanan eksekusi kode jarak jauh (CVE-2022-31658, CVE-2022-31659, dan CVE-2022-31665) terkait dengan JDBC dan injeksi SQL yang dapat dipersenjatai oleh musuh dengan administrator dan akses jaringan.

Di tempat lain, ia juga telah memperbaiki kerentanan skrip lintas situs (XSS) yang direfleksikan (CVE-2022-31663) yang dikatakan sebagai akibat dari sanitasi pengguna yang tidak tepat, yang dapat menyebabkan aktivasi kode JavaScript berbahaya.

Mengakhiri tambalan adalah tiga bug eskalasi hak istimewa lokal (CVE-2022-31660, CVE-2022-31661, dan CVE-2022-31664) yang mengizinkan aktor dengan akses lokal untuk meningkatkan hak istimewa ke “root”, kerentanan injeksi URL ( CVE-2022-31657), dan bug traversal jalur (CVE-2022-31662).

Sementara keberhasilan eksploitasi CVE-2022-31657 memungkinkan untuk mengarahkan ulang pengguna yang diautentikasi ke domain arbitrer, CVE-2022-31662 dapat melengkapi penyerang untuk membaca file dengan cara yang tidak sah.

VMware mengatakan tidak mengetahui eksploitasi kerentanan ini di alam liar, tetapi mendesak pelanggan yang menggunakan produk rentan untuk segera menerapkan tambalan untuk mengurangi potensi ancaman.

Sumber: The Hacker News

Peretas Tiongkok menggunakan kerangka kerja serangan mirip Cobalt Strike

by

Para peneliti telah mengamati kerangka serangan pasca-eksploitasi baru yang digunakan di alam liar, bernama Manjusaka, yang dapat digunakan sebagai alternatif dari perangkat Cobalt Strike yang banyak disalahgunakan atau paralel dengannya untuk redundansi.

Manjusaka menggunakan implan yang ditulis dalam bahasa pemrograman Rust lintas platform, sedangkan binernya ditulis dalam GoLang yang sama serbagunanya.

Implan RAT (trojan akses jarak jauh) mendukung eksekusi perintah, akses file, pengintaian jaringan, dan banyak lagi, sehingga peretas dapat menggunakannya untuk tujuan operasional yang sama seperti Cobalt Strike.

Manjusaka ditemukan oleh para peneliti di Cisco Talos, yang dipanggil untuk menyelidiki infeksi Cobalt Strike pada pelanggan, sehingga pelaku ancaman menggunakan kedua kerangka kerja dalam kasus itu.

Infeksi datang melalui dokumen jahat yang menyamar sebagai laporan tentang kasus COVID-19 di Kota Golmud di Tibet untuk pelacakan kontak.

Dokumen tersebut menampilkan makro VBA yang dijalankan melalui rundll32.exe untuk mengambil payload tahap kedua, Cobalt Strike, dan memuatnya ke dalam memori.

Namun, alih-alih hanya menggunakan Cobalt Strike sebagai perangkat serangan utama mereka, mereka menggunakannya untuk mengunduh implan Manjusaka, yang bergantung pada arsitektur host, dapat berupa file EXE (Windows) atau ELF (Linux).

Baik versi Windows dan Linux dari fitur implan memiliki kemampuan yang hampir sama dan menerapkan mekanisme komunikasi yang serupa.

Implan terdiri dari RAT dan modul manajemen file, masing-masing menampilkan kemampuan yang berbeda.

RAT mendukung eksekusi perintah sewenang-wenang melalui “cmd.exe”, mengumpulkan kredensial yang disimpan di browser web, SSID WiFi dan kata sandi, dan menemukan koneksi jaringan (TCP dan UDP), nama akun, grup lokal, dll.

Sistem eksekusi perintah Manjusaka (Cisco)

Selain itu, ia dapat mencuri kredensial Premiumsoft Navicat, menangkap tangkapan layar desktop saat ini, membuat daftar proses yang berjalan, dan bahkan memeriksa spesifikasi perangkat keras dan termal.

Modul manajemen file dapat melakukan enumerasi file, membuat direktori, mendapatkan path file lengkap, membaca atau menulis konten file, menghapus file atau direktori, dan memindahkan file antar lokasi.

Kemampuan manajemen file, EXE kiri, ELF kanan (Cisco)

Saat ini, sepertinya Manjusaka sementara dikerahkan di alam liar untuk pengujian, jadi pengembangannya kemungkinan tidak dalam fase akhir. Namun, kerangka kerja baru ini sudah cukup kuat untuk digunakan di dunia nyata.

Cisco mencatat bahwa para penelitinya menemukan diagram desain pada posting promosi oleh pembuat malware, yang menggambarkan komponen yang tidak diimplementasikan dalam versi sampel.

Ini berarti bahwa mereka tidak tersedia dalam versi “gratis” yang digunakan dalam serangan yang dianalisis atau belum diselesaikan oleh penulis.

Pengembang kerangka kerja dapat dengan mudah mengintegrasikan platform target baru seperti MacOSX atau Linux yang lebih eksotis seperti yang berjalan pada perangkat yang disematkan.

Fakta bahwa pengembang menyediakan versi C2 yang berfungsi penuh meningkatkan kemungkinan adopsi yang lebih luas dari kerangka kerja ini oleh aktor jahat.” – Cisco Talos

Dokumen iming-iming ditulis dalam bahasa Cina, dan hal yang sama berlaku untuk menu C2 dan opsi konfigurasi malware, sehingga aman untuk mengasumsikan bahwa pengembangnya berbasis di Cina. OSINT Talos mempersempit lokasi mereka ke wilayah Guangdong.

Jika memang demikian, kita mungkin akan melihat Manjusaka segera dikerahkan dalam kampanye beberapa APT China, karena kelompok ancaman dari negara tersebut dikenal karena berbagi perangkat yang sama.

Baru-baru ini, kami melaporkan tentang munculnya toolkit pasca-eksploitasi bernama ‘Brute Ratel’, yang juga dimaksudkan untuk menggantikan versi Cobalt Strike yang sekarang sudah tua dan lebih mudah dideteksi.

Sumber:

Bagaimana malware menipu pengguna dan antivirus

by

Salah satu metode utama yang digunakan oleh distributor malware untuk menginfeksi perangkat adalah dengan menipu orang agar mengunduh dan menjalankan file berbahaya, dan untuk mencapai penipuan ini, pembuat malware menggunakan berbagai trik.

Beberapa trik ini termasuk menyamarkan malware yang dapat dieksekusi sebagai aplikasi yang sah, menandatanganinya dengan sertifikat yang valid, atau mengorbankan situs tepercaya untuk menggunakannya sebagai titik distribusi.

Menurut VirusTotal, platform keamanan untuk memindai file yang diunggah untuk malware, beberapa trik ini terjadi dalam skala yang jauh lebih besar daripada yang diperkirakan sebelumnya.

Platform ini telah menyusun laporan yang menyajikan statistik dari Januari 2021 hingga Juli 2022, berdasarkan pengiriman dua juta file setiap hari, yang menggambarkan tren bagaimana malware didistribusikan.

Mendistribusikan malware melalui situs web yang sah, populer, dan berperingkat tinggi memungkinkan pelaku ancaman untuk menghindari daftar blokir berbasis IP, menikmati ketersediaan tinggi, dan memberikan tingkat kepercayaan yang lebih besar.

VirusTotal mendeteksi 2,5 juta file mencurigakan yang diunduh dari 101 domain milik 1.000 situs web teratas Alexa.

Kasus penyalahgunaan yang paling menonjol adalah Discord, yang telah menjadi sarang distribusi malware, dengan layanan hosting dan penyedia layanan cloud Squarespace dan Amazon juga mencatat jumlah besar.

Domain yang paling banyak disalahgunakan untuk distribusi malware (VirusTotal)
Otoritas penandatanganan yang digunakan oleh pembuat malware (VirusTotal)

Menandatangani sampel malware dengan sertifikat valid yang dicuri dari perusahaan adalah cara yang andal untuk menghindari deteksi AV dan peringatan keamanan pada host.

Dari semua sampel berbahaya yang diunggah ke VirusTotal antara Januari 2021 dan April 2022, lebih dari satu juta ditandatangani, dan 87% menggunakan sertifikat yang valid.

Otoritas sertifikasi paling umum yang digunakan untuk menandatangani sampel berbahaya yang dikirimkan ke VirusTotal termasuk Sectigo, DigiCert, USERTrust, dan Sage South Africa.

Menyamarkan malware yang dapat dieksekusi sebagai aplikasi populer yang sah telah mengalami tren peningkatan pada tahun 2022.

Korban mengunduh file-file ini dengan mengira mereka mendapatkan aplikasi yang mereka butuhkan, tetapi setelah menjalankan penginstal, mereka menginfeksi sistem mereka dengan malware.

Aplikasi yang paling banyak ditiru (berdasarkan ikon) adalah Skype, Adobe Acrobat, VLC, dan 7zip.

Program pengoptimalan Windows populer CCleaner yang kami lihat dalam kampanye peracunan SEO baru-baru ini adalah salah satu pilihan utama peretas dan menampilkan rasio infeksi yang sangat tinggi untuk volume distribusinya.

Rasio infeksi malware oleh aplikasi yang ditiru (VirusTotal)

Terakhir, ada trik menyembunyikan malware di dalam penginstal aplikasi yang sah dan menjalankan proses infeksi di latar belakang sementara aplikasi sebenarnya dijalankan di latar depan.

Proses ini membantu dalam mengelabui para korban dan juga menghindari beberapa mesin antivirus yang tidak meneliti struktur sumber daya PR dan konten dalam executable.

Berdasarkan statistik VirusTotal, praktik ini juga tampaknya meningkat tahun ini, menggunakan Google Chrome, Malwarebytes, Pembaruan Windows, Zoom, Brave, Firefox, ProtonVPN, dan Telegram sebagai umpan.

Saat ingin mengunduh perangkat lunak, gunakan toko aplikasi bawaan OS Anda atau kunjungi halaman unduhan resmi aplikasi. Juga, waspadalah terhadap iklan yang dipromosikan pada hasil pencarian yang mungkin berperingkat lebih tinggi karena dapat dengan mudah dipalsukan agar terlihat seperti situs yang sah.

Setelah mengunduh penginstal, selalu lakukan pemindaian AV pada file sebelum menjalankannya untuk memastikan mereka bukan malware yang menyamar.

Terakhir, hindari menggunakan situs torrent untuk crack atau keygens untuk perangkat lunak berhak cipta, karena biasanya menyebabkan infeksi malware.

Sumber: Bleeping Computer

VMware mendesak admin untuk segera menambal bug bypass auth kritis

by

VMware telah memperingatkan admin hari ini untuk menambal kelemahan keamanan bypass otentikasi kritis yang memengaruhi pengguna domain lokal di beberapa produk dan memungkinkan penyerang yang tidak diautentikasi untuk mendapatkan hak istimewa admin.

Cacat (CVE-2022-31656) dilaporkan oleh Petrus Viet dari VNG Security, yang menemukan bahwa itu berdampak pada VMware Workspace ONE Access, Identity Manager, dan vRealize Automation.

VMware menilai tingkat keparahan kerentanan keamanan ini sebagai hal yang kritis, dengan skor dasar CVSSv3 9,8/10.

Perusahaan juga menambal beberapa bug keamanan lain yang memungkinkan penyerang mendapatkan eksekusi kode jarak jauh (CVE-2022-31658, CVE-2022-31659, CVE-2022-31665) dan meningkatkan hak istimewa ke ‘root’ (CVE-2022-31660, CVE- 2022-31661, CVE-2022-31664) pada server yang belum ditambal.

Daftar lengkap produk VMware yang terpengaruh oleh kerentanan ini meliputi:

  • VMware Workspace ONE Akses (Akses)
  • VMware Workspace ONE Access Connector (Konektor Akses)
  • Manajer Identitas VMware (vIDM)
  • Konektor Manajer Identitas VMware (Konektor vIDM)
  • VMware vRealize Automation (vRA)
  • VMware Cloud Foundation
  • vRealize Suite Lifecycle Manager

Menurut VMware, tidak ada bukti bahwa kerentanan bypass otentikasi CVE-2022-31656 kritis dieksploitasi dalam serangan.

VMware menyediakan tautan unduhan tambalan dan instruksi instalasi terperinci di situs web basis pengetahuannya.

Perusahaan juga membagikan solusi sementara untuk pelanggan yang tidak dapat segera menambal peralatan mereka terhadap CVE-2022-31656.

Langkah-langkah yang dirinci oleh VMware mengharuskan admin untuk menonaktifkan semua pengguna kecuali satu administrator yang disediakan dan masuk melalui SSH untuk memulai kembali layanan cakrawala-ruang kerja.

Namun, VMware tidak merekomendasikan penggunaan solusi ini dan mengatakan satu-satunya cara untuk mengatasi kelemahan bypass auth CVE-2022-31656 sepenuhnya adalah dengan menambal produk yang rentan.

Perusahaan juga menyediakan dokumen dukungan dengan daftar pertanyaan dan jawaban mengenai bug kritis yang ditambal hari ini.

Pada bulan Mei, VMware menambal kerentanan kritis yang hampir identik, bug bypass otentikasi lain (CVE-2022-22972) yang ditemukan oleh Bruno López dari Innotec Security di Workspace ONE Access, VMware Identity Manager (vIDM), dan vRealize Automation.

Sumber: Arstechnica

Lebih dari 3.200 aplikasi membocorkan kunci API Twitter, beberapa memungkinkan pembajakan akun

by

Peneliti keamanan siber telah menemukan 3.207 aplikasi seluler yang mengekspos kunci API Twitter ke publik, yang berpotensi memungkinkan aktor ancaman untuk mengambil alih akun Twitter pengguna yang terkait dengan aplikasi tersebut.

Penemuan itu milik perusahaan keamanan siber CloudSEK, yang meneliti kumpulan aplikasi besar untuk kemungkinan kebocoran data dan menemukan 3.207 aplikasi membocorkan Kunci Konsumen dan Rahasia Konsumen yang valid untuk API Twitter.

Saat mengintegrasikan aplikasi seluler dengan Twitter, pengembang akan diberikan kunci autentikasi khusus, atau token, yang memungkinkan aplikasi seluler mereka berinteraksi dengan API Twitter. Saat pengguna mengaitkan akun Twitter mereka dengan aplikasi seluler ini, tombol juga akan memungkinkan aplikasi untuk bertindak atas nama pengguna, seperti masuk melalui Twitter, membuat tweet, mengirim DM, dll.

Karena memiliki akses ke kunci autentikasi ini dapat memungkinkan siapa saja untuk melakukan tindakan sebagai pengguna Twitter terkait, tidak pernah disarankan untuk menyimpan kunci secara langsung di aplikasi seluler tempat pelaku ancaman dapat menemukannya.

Salah satu skenario penyalahgunaan akses yang paling menonjol, menurut CloudSEK, adalah pelaku ancaman menggunakan token terbuka ini untuk membuat pasukan Twitter dengan akun terverifikasi (dapat dipercaya) dengan banyak pengikut untuk mempromosikan berita palsu, kampanye malware , penipuan cryptocurrency, dll.

Perincian aplikasi yang rentan (CloudSEK)

CloudSEK menjelaskan bahwa kebocoran kunci API biasanya disebabkan oleh kesalahan pengembang aplikasi yang menyematkan kunci autentikasi mereka di API Twitter, tetapi lupa menghapusnya saat ponsel dirilis.

Dalam kasus ini, kredensial disimpan dalam aplikasi seluler di lokasi berikut:

  • resources/res/values/strings.xml
  • source/resources/res/values-es-rAR/strings.xml
  • source/resources/res/values-es-rCO/strings.xml
  • source/sources/com/app-name/BuildConfig.java

CloudSEK merekomendasikan pengembang menggunakan rotasi kunci API untuk melindungi kunci autentikasi, yang akan membatalkan kunci yang terbuka setelah beberapa bulan.

CloudSEK membagikan daftar aplikasi yang terpengaruh dengan BleepingComputer, dengan aplikasi antara 50.000 dan 5.000.000 unduhan, termasuk pendamping transportasi kota, penyetel radio, pembaca buku, pencatat acara, surat kabar, aplikasi e-banking, aplikasi GPS bersepeda, dan banyak lagi.

Sebagian besar aplikasi yang mengekspos kunci API mereka secara publik bahkan belum mengakui menerima pemberitahuan CloudSEK setelah sebulan sejak perusahaan keamanan siber memperingatkan mereka, dan sebagian besar belum mengatasi masalah tersebut.

Satu pengecualian penting adalah Ford Motors, yang merespons dan menerapkan perbaikan pada aplikasi ‘Ford Events’ yang juga membocorkan kunci API Twitter.

Sumber: Bleeping Computer

Steam, PayPal diblokir karena Indonesia memberlakukan peraturan Internet baru

by

Kementerian Komunikasi dan Informatika Indonesia, Kominfo, sekarang memblokir akses ke layanan internet dan penyedia konten yang belum terdaftar di platform lisensi baru negara itu pada 27 Juli 2022, karena negara tersebut mulai membatasi akses ke penyedia dan layanan konten online. .

Blok pertama dimulai Jumat, sehari sebelum batas waktu 26 Juni, dan menurut NetBlocks, beberapa penyedia layanan termasuk Yahoo, Steam, dan PayPal.

Sumber Indonesia lainnya juga melaporkan tidak dapat mengakses Battlenet, Epic Games, dan portal game lainnya yang digunakan oleh jutaan pemain di tanah air.

Pemblokiran tersebut tampaknya merupakan hasil dari tindakan terkoordinasi antara Kominfo dan semua ISP (penyedia layanan internet) utama di negara ini. Namun, beberapa yang lebih kecil masih menyimpang dari peraturan baru.

Menurut beberapa laporan pengguna, VPN dapat melewati pemblokiran yang diberlakukan untuk saat ini, tetapi saat menggunakannya dengan layanan pembayaran elektronik atau portal game, mungkin ada masalah dengan kecepatan jaringan dan ketidakcocokan sidik jari akun.

Karena pemblokiran tersebut, banyak pengguna PayPal di Indonesia yang terkunci dari akun dan dana mereka. Namun, seorang juru bicara menyatakan bahwa pemerintah mungkin sementara membuka blokir platform pembayaran minggu ini untuk memungkinkan penarikan.

Kerangka peraturan baru yang diperkenalkan oleh kementerian TI Indonesia tahun lalu disajikan sebagai sistem kontrol konten yang dikatakan diperkenalkan untuk melindungi keamanan nasional dan mencegah penyebaran berita palsu.

Peraturan tersebut memerintahkan pendaftaran wajib semua penyedia layanan internet ke dalam platform lisensi baru yang memungkinkan mereka untuk beroperasi secara legal di negara tersebut. Mereka yang gagal mendaftar dianggap sebagai entitas ilegal dan akan diblokir dari internet Indonesia.

Undang-undang mengharuskan semua entitas terdaftar untuk menugaskan perwakilan dan kantor lokal yang menanggapi permintaan sensor dan tuntutan pengungkapan informasi tak terbatas dari negara bagian.

Setiap informasi yang dipublikasikan pada platform penyedia layanan terdaftar tunduk pada pengawasan negara, seperti halnya informasi tentang akun pengguna, komunikasi di situs ini, dan semua bentuk pertukaran data lainnya.

Jika pemerintah meminta penghapusan segera materi yang dianggap berbahaya bagi keamanan nasional dan publik, penyedia layanan harus menanggapi permintaan tersebut dalam waktu empat jam. Untuk permintaan sensor yang tidak mendesak, penyedia diberikan waktu hingga 24 jam untuk memenuhinya.

Hingga batas waktu yang ditentukan, sekitar 200 penyedia layanan online asing dan 8.000 domestik telah mendaftarkan diri, termasuk Google, Meta, TikTok, Instagram, dan Spotify, yang tidak ingin tersingkir dari populasi sebesar 270 juta orang.

Undang-undang baru disahkan meskipun banyak suara keprihatinan yang diungkapkan oleh koalisi jurnalistik dan pendukung kebebasan berbicara di Indonesia, yang khawatir akan digunakan sebagai alat sensor pemerintah dan untuk membatasi kebebasan pers di negara ini.

Sumber: Bleeping Computer

Ransomware BlackCat mengklaim serangan terhadap Creos Luxembourg S.A.

by

Geng ransomware ALPHV, alias BlackCat, mengaku bertanggung jawab atas serangan siber terhadap Creos Luxembourg S.A. pekan lalu, operator jaringan pipa gas alam dan listrik di negara Eropa tengah itu.

Pemilik Creos, Encevo, yang beroperasi sebagai pemasok energi di lima negara Uni Eropa, mengumumkan pada 25 Juli bahwa mereka telah mengalami serangan siber pada akhir pekan sebelumnya, antara 22 dan 23 Juli.

Sementara serangan siber telah mengakibatkan portal pelanggan Encevo dan Creos menjadi tidak tersedia, tidak ada gangguan dalam layanan yang disediakan.

Pada tanggal 28 Juli, perusahaan memposting pembaruan tentang serangan siber, dengan hasil awal penyelidikan mereka menunjukkan bahwa penyusup jaringan telah mengekstrak “sejumlah data” dari sistem yang diakses.

Pada saat itu, Encevo tidak dalam posisi untuk memperkirakan cakupan dampak dan dengan ramah meminta pelanggan untuk bersabar sampai penyelidikan selesai, di mana setiap orang akan menerima pemberitahuan yang dipersonalisasi.

Karena tidak ada pembaruan lebih lanjut yang diposting di portal media Encevo, prosedur ini kemungkinan masih berlangsung. Encevo mengatakan bahwa ketika lebih banyak informasi tersedia, itu akan diposting di halaman web khusus untuk serangan siber.

Untuk saat ini, semua pelanggan disarankan untuk mengatur ulang kredensial akun online mereka, yang mereka gunakan untuk berinteraksi dengan layanan Encevo dan Creos. Selanjutnya, jika kata sandi tersebut sama di situs lain, pelanggan juga harus mengubah kata sandi mereka di situs tersebut.

Grup ransomware ALPHV/BlackCat menambahkan Creos ke situs pemerasannya pada hari Sabtu, mengancam akan menerbitkan 180.000 file curian dengan ukuran total 150 GB, termasuk kontrak, perjanjian, paspor, tagihan, dan email.

Meskipun tidak ada waktu pasti yang diumumkan untuk pemenuhan ancaman ini, para peretas berjanji pengungkapan akan terjadi hari ini (Senin).

ALPHV ransomware adding Creos on extortion site

ALPHV/BlackCat baru-baru ini meluncurkan platform pemerasan baru di mana mereka membuat data yang dicuri dapat dicari oleh pengunjung, dengan tujuan untuk meningkatkan tekanan pada korban mereka agar mereka membayar uang tebusan.

Sementara BlackCat terus berinovasi pemerasan data, mereka tampaknya tidak pernah belajar dari kesalahan mereka dan terus menargetkan perusahaan-perusahaan terkenal yang kemungkinan akan menempatkan mereka di persimpangan lembaga penegak hukum internasional.

BlackCat diyakini sebagai operasi rebranding DarkSide, yang ditutup di bawah tekanan dari penegak hukum setelah serangan ransomware yang dipublikasikan di Colonial Pipeline.

Setelah menutup DarkSide, mereka berganti nama menjadi BlackMatter untuk menghindari penegakan hukum, tetapi tekanan berlanjut dengan geng ditutup lagi.

Sejak November 2021, ketika pelaku ancaman diluncurkan kembali sebagai BlackCat/ALPHV, pelaku ancaman cenderung menghindari target besar Amerika dan malah menargetkan entitas Eropa, seperti negara bagian Austria, rantai mode Italia, dan penyedia layanan bandara Swiss.

Namun, tampaknya mereka belum belajar dari kesalahan mereka dan terus menyerang infrastruktur penting, seperti perusahaan pemasok bensin Jerman Oiltanking pada Februari dan sekarang Creos Luxembourg.

Sumber: Bleeping Computer