Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Data Breach

Data Breach

Geng Ransomware Mengkloning Situs Web Korban Untuk Membocorkan Data Yang Dicuri

by

Operator ransomware ALPHV menjadi kreatif dengan taktik pemerasan mereka, setidaknya dalam satu kasus, membuat replika situs korban untuk mempublikasikan data yang dicuri di dalamnya.

ALPHV sebagai Ransomware BlackCat, dikenal karena menguji taktik pemerasan baru sebagai cara untuk menekan dan mempermalukan korbannya agar membayar.

Peretas Membuat Data Yang Dicuri Lebih Mudah Didapat
Pada 26 Desember, aktor ancaman menerbitkan di situs kebocoran data mereka yang disembunyikan di jaringan Tor bahwa mereka telah menyusupi sebuah perusahaan di bidang jasa keuangan.

BlackCat melakukan langkah standar untuk operator ransomware dengan menerbitkan semua file yang dicuri sebagai hukuman akibat korban tidak memenuhi tuntutan pelaku ancaman.

Para peretas juga memutuskan untuk membocorkan data di situs yang meniru korban dalam hal penampilan dan nama domain.

Situs yang dikloning ada di web yang jelas untuk memastikan ketersediaan file yang dicuri secara luas.

ALPHV ransomware menerbitkan data curian di situs yang menyamar sebagai korban (BleepingComputer)

Pembentukan Tren Baru
Menurut Brett Callow, analis ancaman di perusahaan cybersecurity Emsisoft, berbagi data pada domain yang salah ketik akan menjadi perhatian lebih besar bagi perusahaan korban daripada mendistribusikan data melalui situs web di jaringan Tor, yang diketahui oleh komunitas infosec.

Operasi ransomware selalu mencari opsi baru untuk memeras korbannya. Antara mempublikasikan nama perusahaan yang dilanggar, mencuri data dan mengancam untuk meminta tebusan, dan ancaman DDoS. Taktik ini bisa menjadi awal dari tren baru yang mungkin diadopsi oleh geng ransomware lain, karena biayanya jauh dari signifikan.

Meski tidak jelas seberapa suksesnya, strategi ini mengekspos pelanggaran ke audiens yang lebih besar, menempatkan korban pada posisi yang lebih rentan karena datanya tersedia tanpa batasan apa pun.

Selengkapnya: BleepingComputer

Akun Comcast Xfinity Diretas Dalam Serangan Bypass 2FA yang Meluas

by

Pelanggan Comcast Xfinity melaporkan akun mereka diretas dalam serangan luas yang melewati autentikasi dua faktor. Akun yang dikompromikan ini kemudian digunakan untuk mengatur ulang kata sandi untuk layanan lain, seperti pertukaran crypto Coinbase dan Gemini.

many Xfinity email users began receiving notifications that their account information had been changed. However, when attempting to access the accounts, they could not log in as the passwords had been changed.

Mirip dengan Gmail, Xfinity memungkinkan pelanggan untuk mengonfigurasi alamat email sekunder yang akan digunakan untuk pemberitahuan akun dan pengaturan ulang kata sandi jika mereka kehilangan akses ke akun Xfinity mereka.

Email verifikasi Xfinity di kotak masuk Yopmail sekali pakai
Sumber: BleepingComputer

BleepingComputer first learned of these account hacks after numerous Xfinity customers reached out to us to share their experiences. In addition, other customers shared similar reports on Reddit [1, 2], Twitter [1, 2, 3], and Xfinity’s own support forum.

Bypass 2FA diduga beredar secara pribadi
Seorang peneliti telah memberi tahu BleepingComputer bahwa serangan dilakukan melalui serangan isian kredensial untuk menentukan kredensial masuk untuk serangan Xfinity.

Begitu mereka mendapatkan akses ke akun dan diminta untuk memasukkan kode 2FA mereka, penyerang diduga menggunakan bypass OTP yang diedarkan secara pribadi untuk situs Xfinity yang memungkinkan mereka memalsukan permintaan verifikasi 2FA yang berhasil.

Email utama Xfinity juga akan menerima pemberitahuan bahwa informasi mereka telah diubah, tetapi karena kata sandi juga telah diubah, tidak akan dapat mengaksesnya.

Email ke akun utama memperingatkan bahwa informasi telah diubah
Sumber: BleepingComputer

Begitu mereka mendapatkan akses penuh ke akun email Xfinity, pelaku ancaman mencoba untuk melanggar layanan online lebih lanjut yang digunakan oleh pelanggan, memverifikasi permintaan pengaturan ulang kata sandi ke akun email yang sekarang disusupi.

Sementara BleepingComputer tidak dapat memverifikasi keabsahan bypass OTP ini secara independen dan apakah itu telah digunakan dalam peretasan yang dilaporkan, ini akan menjelaskan bagaimana pelaku ancaman dapat memperoleh akses ke akun dengan 2FA diaktifkan.

sumber : bleeping computer

Platform CRM Restoran ‘SevenRooms’ Mengonfirmasi Pelanggaran Setelah Data Dijual

by

Platform manajemen pelanggan Restoran SevenRooms telah mengonfirmasi mengalami pelanggaran data setelah pelaku ancaman mulai menjual data curian di forum peretasan.

Platform Customer Relationship Management (CRM) restoran ini digunakan oleh rantai restoran internasional dan penyedia layanan perhotelan.

Pelanggaran berasal dari postingan seorang pelaku ancaman tentang sampel data di forum peretasan yang dilanggar, mengklaim telah mencuri basis data cadangan 427 GB dengan ribuan file berisi informasi pelanggan SevenRooms.

Sampel tersebut mencakup folder yang diberi nama sesuai jaringan restoran besar, klien SevenRooms, kunci API, kode promo, laporan pembayaran, daftar reservasi, dan banyak lagi.

Beruntungnya, informasi kartu kredit tamu, data rekening bank, nomor jaminan sosial, atau informasi sensitif serupa lainnya tidak disimpan di server yang disusupi, sehingga tidak terungkap dalam serangan itu.

Perusahaan mengonfirmasi bahwa pelanggaran ini disebabkan oleh akses tidak sah ke sistem salah satu vendornya. Meskipun pelanggaran yang terjadi tidak secara langsung menyerang sistem, perusahaan segera melakukan tindakan lanjutan terkait hal ini seperti meluncurkan penyelidikan internal dan menonaktifkan akses ke antarmuka.

Belum diketahui secara jelas restoran dan pelanggaran mana yang terdampak oleh pelanggaran ini, perusahaan akan melihat pemberitahuan pelanggaran data lebih lanjut yang dirilis oleh restoran yang data pelanggannya terungkap.

Selengkapnya: BLEEPINGCOMPUTER

Jaringan Berbagi Info Terverifikasi FBI ‘InfraGard’ Diretas

by

InfraGard, sebuah program yang dijalankan oleh Biro Investigasi Federal AS (FBI) untuk membangun kemitraan berbagi informasi ancaman dunia maya dan fisik dengan sektor swasta, minggu ini melihat basis data informasi kontaknya di lebih dari 80.000 anggota dijual di Inggris- forum kejahatan dunia maya bahasa. Sementara itu, para peretas yang bertanggung jawab berkomunikasi langsung dengan anggota melalui portal InfraGard online — menggunakan akun baru dengan identitas samaran CEO industri keuangan yang diperiksa oleh FBI sendiri.

Program InfraGard FBI seharusnya memeriksa Siapa Siapa dari orang-orang kunci dalam peran sektor swasta yang melibatkan keamanan dunia maya dan fisik di perusahaan yang mengelola sebagian besar infrastruktur penting negara

FBI mengatakan mengetahui potensi akun palsu yang terkait dengan Portal InfraGard dan secara aktif menyelidiki masalah ini.

Anggota forum Pelanggaran yang menggunakan pegangan “USDoD” dan yang avatarnya adalah stempel Departemen Pertahanan AS.

Utas penjualan InfraGard USDoD di Pelanggaran.

USDoD mengatakan mereka memperoleh akses ke sistem InfraGard FBI dengan mengajukan akun baru menggunakan nama, Nomor Jaminan Sosial, tanggal lahir, dan detail pribadi lainnya dari seorang CEO di sebuah perusahaan yang kemungkinan besar akan diberikan keanggotaan InfraGard.

Saat ini kepala perusahaan keuangan besar AS yang memiliki dampak langsung pada kelayakan kredit sebagian besar orang Amerika.

USDoD mengatakan alamat email mereka atas nama CEO menerima balasan yang mengatakan bahwa aplikasi telah disetujui.

USDoD mengatakan data pengguna InfraGard tersedia dengan mudah melalui Application Programming Interface (API)

USDoD mengakui bahwa harga yang mereka minta sebesar $50.000 untuk database InfraGard mungkin sedikit tinggi, mengingat ini adalah daftar orang yang cukup mendasar yang sudah sangat sadar akan keamanan. Selain itu, hanya sekitar setengah dari akun pengguna yang berisi alamat email, dan sebagian besar bidang basis data lainnya

USDoD mengatakan mereka berharap akun palsu itu akan bertahan cukup lama bagi mereka untuk menyelesaikan pengiriman pesan langsung sebagai CEO ke eksekutif lain menggunakan portal perpesanan InfraGuard.

Pada November 2021, KrebsOnSecurity merinci bagaimana Pompompurin menyalahgunakan kerentanan di portal online FBI yang dirancang untuk berbagi informasi dengan otoritas penegak hukum negara bagian dan lokal.

Update, 11:15 malam. ET: FBI baru saja mengonfirmasi bahwa mereka mengetahui potensi akun palsu yang terkait dengan portal InfraGard. Ceritanya sekarang termasuk pernyataan lengkap mereka.

sumber : KERBSonSECURITY

TPG Telecom mengungkapkan Pelanggaran Exchange yang dihosting di iiNet, Westnet

by

TPG Telecom telah mengungkapkan pelanggaran layanan Exchange yang dihosting yang menjalankan akun email hingga 15.000 pelanggan bisnis iiNet dan Westnet.

Telco mengatakan bahwa mandiant telah “menemukan bukti akses tidak sah” pada 13 Desember.

Insiden tersebut diidentifikasi sebagai bagian dari pemindaian rutin pada aset jaringan.

“Sebagai bagian dari keterlibatan Mandiant yang berkelanjutan untuk membantu perlindungan dunia maya, mereka melakukan tinjauan sejarah forensik dan menemukan akses tidak sah ke layanan hosted exchange service” TPG Telecom said.

“Sebagai bagian ari keterlubatan Mandiant yang berkelajutan untuk membantu perlindungan dunia maya, mereka melakukan tinjauan sejarah forensik dan menemukan akases tidak sah ke layanan hosted exchange service,” kata TGP Telecom.

“Kami telah menerapkan langkah-langkah untuk menghentikan akses tidak sah, langkah-langkah keamanan lebih lanjut telah dilakukan, dan kami sedang dalam proses menghubungi semua pelanggan yang terpengaruh pada layanan Exchange yang dihosting.

TPG Telecom mengatakan telah memberi tahu “otoritas pemerintah terkait”.

Itu meminta maaf kepada pelanggan bisnis atas insiden tersebut. Disebutkan pula bahwa pelanggan residensial kedua merek tersebut tidak terpengaruh.

sumber : itnews

WAF Populer Ditumbangkan oleh JSON Bypass

by

Firewall aplikasi web (WAF) dari lima vendor utama rentan terhadap permintaan berbahaya yang menggunakan Notasi Objek JavaScript (JSON) populer untuk mengaburkan perintah basis data dan lolos dari deteksi.

Penelitinya menemukan bahwa WAF yang diproduksi oleh Amazon Web Services, Cloudflare, F5, Imperva, dan Palo Alto gagal mengidentifikasi perintah SQL berbahaya yang dikodekan dalam format JSON, memungkinkan penerusan permintaan berbahaya ke database back-end.

Teknik ini memungkinkan penyerang untuk mengakses dan, dalam beberapa kasus, mengubah data serta mengkompromikan aplikasi, kata Noam Moshe, peneliti keamanan di tim riset Team82 Claroty.

WAF Jangan “Dapatkan” JSON
Firasat pertama para peneliti tentang potensi serangan datang dari eksperimen yang tidak terkait yang menyelidiki platform manajemen perangkat nirkabel Cambium Networks. Pengembang platform tersebut menambahkan data yang disediakan pengguna langsung ke akhir kueri, sebuah teknik yang meyakinkan Claroty untuk menyelidiki aplikasi yang lebih umum.

Teknik ini bekerja terhadap sebagian besar database relasional, termasuk PostgreSQL, Microsoft MSSQL, MySQL, dan SQLite. Sementara perusahaan harus mengatasi tiga batasan teknis — seperti awalnya hanya dapat mengambil angka dan bukan rangkaian karakter — para peneliti akhirnya membuat pintasan tujuan umum untuk firewall aplikasi Web utama.

Mengaburkan untuk Melarikan Diri

Mengaburkan kode berbahaya untuk mem-bypass langkah-langkah keamanan anti-injeksi memiliki sejarah yang panjang. Pada 2013, misalnya, penyerang mulai mengeksploitasi kerentanan dalam kerangka kerja Ruby on Rails yang memungkinkan kode JSON digunakan untuk melewati autentikasi dan menyuntikkan perintah SQL ke dalam aplikasi web.

Para peneliti memberi tahu kelima vendor tentang WAF yang rentan, yang masing-masing mengonfirmasi masalah tersebut dan sejak itu menambahkan dukungan sintaks JSON ke produk mereka, kata Claroty dalam penasehatnya.

sumber : dark reading

PC dengan Celah Udara Rentan Terhadap Pencurian Data Melalui Radiasi

by

Metode serangan baru bernama COVID-bit menggunakan gelombang elektromagnetik untuk mengirimkan data dari sistem celah udara, yang diisolasi dari internet, pada jarak minimal dua meter (6,5 kaki), yang ditangkap oleh penerima.

Informasi yang berasal dari perangkat yang diisolasi dapat diambil oleh smartphone atau laptop terdekat, bahkan jika keduanya dipisahkan oleh dinding.

kompromi awal
Sistem celah udara fisik adalah komputer yang biasanya ditemukan di lingkungan berisiko tinggi seperti infrastruktur energi, pemerintah, dan unit kontrol senjata, sehingga diisolasi dari internet publik dan jaringan lain untuk alasan keamanan.

Meskipun kedengarannya tidak praktis atau bahkan tidak masuk akal, serangan semacam itu telah terjadi, beberapa contohnya adalah worm Stuxnet di fasilitas pengayaan uranium Iran di Natanz, Agen.BTZ yang menginfeksi pangkalan militer AS, dan pintu belakang modular Remsec yang mengumpulkan informasi dari jaringan pemerintah yang tertutup udara selama lebih dari lima tahun.

Gelombang elektromagnetik dapat membawa muatan data mentah, mengikuti rangkaian delapan bit yang menandakan awal transmisi.

Perubahan frekuensi CPU dan spektogram muatan (arxiv.org)

Penerima dapat berupa laptop atau smartphone menggunakan antena loop kecil yang dihubungkan ke jack audio 3,5 mm, yang dapat dengan mudah dipalsukan dalam bentuk headphone/earphone.

Smartphone dapat menangkap transmisi, menerapkan filter pengurangan kebisingan, mendemodulasi data mentah, dan akhirnya memecahkan kode rahasianya.

Penyerang di area yang kurang aman menerima data rahasia (arxiv.org)

Melindungi dari COVID-bit
Pertahanan paling efektif terhadap serangan COVID-bit adalah dengan membatasi secara ketat akses ke perangkat dengan celah udara untuk mencegah pemasangan malware yang diperlukan. Namun, ini tidak melindungi Anda dari ancaman orang dalam.

Untuk serangan ini, para peneliti merekomendasikan untuk memantau penggunaan inti CPU dan mendeteksi pola pemuatan mencurigakan yang tidak sesuai dengan perilaku yang diharapkan komputer.

Namun, penanggulangan ini datang dengan peringatan memiliki banyak false positive dan menambahkan overhead pemrosesan data yang mengurangi kinerja dan meningkatkan konsumsi energi.

Penanggulangan lain adalah mengunci frekuensi inti CPU pada angka tertentu, membuat pembangkitan sinyal pembawa data menjadi lebih sulit, bahkan jika tidak menghentikannya sepenuhnya.

sumber : bleeping computer

Pasar web gelap otomatis menjual akun email perusahaan seharga $2

by

Pasar web gelap menjual alamat email korporat yang dicuri dengan harga serendah $2 untuk memenuhi permintaan yang meningkat dari peretas yang menggunakannya untuk business email compromise dan serangan phishing atau akses awal ke jaringan.

Analis di perusahaan intelijen siber Israel KELA telah mengikuti tren ini dengan cermat, melaporkan setidaknya 225.000 akun email dijual di pasar bawah tanah.

Toko email web terbesar adalah Xleet dan Lufix, mengklaim menawarkan akses ke lebih dari 100 ribu akun email perusahaan yang dilanggar, dengan harga berkisar antara $2 dan $30.

Biasanya, akun ini dicuri melalui peretasan kata sandi (brute-forcing) atau isian kredensial, kredensialnya dicuri melalui phishing, atau dibeli dari penjahat dunia maya lainnya.

Peretas menggunakan akses mereka ke akun email perusahaan dalam serangan yang ditargetkan seperti business email compromise (BEC), rekayasa sosial, spear-phishing, dan infiltrasi jaringan yang lebih dalam.

Penjualan akses email perusahaan tetap stabil di ruang kejahatan dunia maya selama beberapa tahun terakhir, dengan pelaku ancaman di semua forum peretasan utama menjual “daftar kombo” email untuk mengakses berbagai perusahaan.

Daftar kombo dijual di forum ‘Breached’ (KELA)

Dalam kasus profil tinggi baru-baru ini, aktor ransomware ‘Everest’ diduga menawarkan akses ke akun email perusahaan manufaktur kedirgantaraan seharga $15.000.

Baik penawaran massal maupun penawaran yang dikuratori melibatkan proses negosiasi yang membosankan dengan penjual dan mengambil risiko atas validitas klaim. Pada saat yang sama, permintaan email korporat terus meningkat.

Hal tersebut menciptakan kebutuhan akan toko email web otomatis seperti Xleet, Odin, Xmina, dan Lufix, yang memungkinkan penjahat dunia maya dengan mudah membeli akses ke akun email pilihan mereka.

Sistem checker yang tergabung pada keempat toko (KELA)

Penawaran paling menarik adalah akun Office 365, yang merupakan hampir setengah dari semua webmail yang terdaftar, diikuti oleh penyedia hosting seperti cPanel, GoDaddy, dan Ionos.

Penjual di toko-toko ini tidak menggunakan nama samaran tetapi bersembunyi di balik sistem penyamaran dengan memberi mereka nomor. Odin menawarkan detail lebih lanjut tentang penjual, seperti jumlah barang yang terjual, angka penjualan total, dan peringkat pengguna.

Odin dan Xleet juga mengklarifikasi bagaimana webmail itu bersumber, dengan kategori termasuk “diretas”, “diretas”, “log”, atau “dibuat”. Namun, mayoritas (98%) di Xleet “diretas” atau “diretas”.

“Log” adalah kredensial email yang dicuri oleh malware pencuri info, sementara “dibuat” adalah akun email baru yang dibuat oleh penyusup jaringan di perusahaan yang dilanggar menggunakan akun administrator yang disusupi.

Karena sebagian besar email web yang ditawarkan telah diretas atau diretas, menggunakan kata sandi yang kuat (lebih panjang), pengaturan ulang kata sandi secara berkala dan melatih personel untuk mengidentifikasi email phishing akan membantu mengurangi ancaman ini secara signifikan.

Sumber: Bleeping Computer