Region

Mempersiapkan serangan dunia maya Rusia terhadap Ukraina musim dingin ini

December 4, 2022 by Søren

Dalam beberapa bulan terakhir, aktor ancaman dunia maya yang berafiliasi dengan intelijen militer Rusia telah meluncurkan serangan wiper yang merusak terhadap jaringan organisasi energi, air, dan infrastruktur penting lainnya di Ukraina saat serangan rudal melumpuhkan listrik dan pasokan air ke warga sipil di seluruh negeri.

Operator militer Rusia juga memperluas aktivitas dunia maya yang merusak di luar Ukraina ke Polandia, pusat logistik penting, dalam upaya yang mungkin mengganggu pergerakan senjata dan pasokan ke garis depan.

Peneliti yakin tren baru-baru ini menunjukkan bahwa dunia harus bersiap untuk beberapa lini serangan potensial Rusia di domain digital selama musim dingin ini.

Pertama, kita dapat mengharapkan kelanjutan dari serangan dunia maya Rusia terhadap infrastruktur penting Ukraina. Kita juga harus bersiap untuk kemungkinan bahwa eksekusi serangan gaya ransomware baru-baru ini oleh aktor intelijen militer Rusia—dikenal sebagai Prestige—di Polandia mungkin menjadi pertanda Rusia semakin memperluas serangan siber di luar perbatasan Ukraina. Operasi dunia maya semacam itu dapat menargetkan negara dan perusahaan yang menyediakan rantai pasokan bantuan dan persenjataan penting bagi Ukraina musim dingin ini.

Kedua, kita juga harus bersiap untuk operasi pengaruh yang dimungkinkan oleh dunia maya yang menargetkan Eropa untuk dilakukan secara paralel dengan aktivitas ancaman dunia maya. Rusia akan berusaha mengeksploitasi celah dalam dukungan populer untuk Ukraina untuk merusak koalisi yang penting bagi ketahanan Ukraina, dengan harapan dapat merusak bantuan kemanusiaan dan militer yang mengalir ke wilayah tersebut. Kabar baiknya adalah, ketika diperlengkapi dengan lebih banyak informasi, publik yang paham media dapat bertindak dengan kesadaran dan penilaian untuk melawan ancaman ini.

Selengkapnya: Microsoft

Malware yang belum pernah terlihat sebelumnya membobol data di pengadilan dan kantor walikota Rusia

December 4, 2022 by Søren

Kantor walikota dan pengadilan di Rusia diserang oleh malware yang belum pernah terlihat sebelumnya yang berperan sebagai ransomware tetapi sebenarnya adalah penghapus yang secara permanen menghancurkan data pada sistem yang terinfeksi, menurut perusahaan keamanan Kaspersky dan layanan berita Izvestia.

Peneliti Kaspersky telah menamai wiper CryWiper, mengacu pada ekstensi .cry yang ditambahkan ke file yang dihancurkan. Kaspersky mengatakan timnya telah melihat peluncuran malware “serangan tepat” pada target di Rusia.

Izvestia, sementara itu, melaporkan bahwa targetnya adalah kantor walikota dan pengadilan Rusia. Detail tambahan, termasuk berapa banyak organisasi yang terkena dan apakah malware berhasil menghapus data, tidak segera diketahui.

Malware penghapus telah berkembang semakin umum selama dekade terakhir. Pada tahun 2012, wiper yang dikenal sebagai Shamoon mendatangkan malapetaka pada Saudi Aramco Arab Saudi dan RasGas Qatar.

Empat tahun kemudian, varian baru Shamoon kembali dan menyerang banyak organisasi di Arab Saudi. Pada tahun 2017, malware penggandaan diri yang disebut NotPetya menyebar ke seluruh dunia dalam hitungan jam dan menyebabkan kerugian sekitar $10 miliar.

Pada tahun lalu, banyak wiper baru bermunculan. Mereka termasuk DoubleZero, IsaacWiper, HermeticWiper, CaddyWiper, WhisperGate, AcidRain, Industroyer2, dan RuRansom.

Kaspersky mengatakan menemukan upaya serangan oleh CryWiper dalam beberapa bulan terakhir. Setelah menginfeksi target, malware tersebut meninggalkan catatan yang menuntut, menurut Izvestia, 0,5 bitcoin dan termasuk alamat dompet tempat pembayaran dapat dilakukan.

Selengkapnya: ars TECHNICA

TSA Merencanakan Regulasi Risiko Siber untuk Sektor Pipa dan Kereta Api

December 3, 2022 by Søren

Administrasi Keamanan Transportasi memanggil otoritas yang ada sejak pembentukannya pasca 9/11 dalam pemberitahuan sebelumnya tentang usulan pembuatan aturan yang menyerukan program manajemen risiko dunia maya untuk perusahaan pipa dan kereta api.

Pemberitahuan awal – biasanya langkah pertama dari prosedur pembuatan aturan pemberitahuan dan komentar federal – adalah bagian dari upaya administrasi Biden yang lebih luas untuk menekan operator infrastruktur kritis ke dalam keamanan dunia maya yang lebih baik, upaya yang dilakukan setelah gangguan pasokan bensin pada Mei 2021 di selatan Amerika dan Pantai Timur setelah peretas yang berbasis di Rusia melakukan serangan ransomware pada pemasok pipa utama.

Industri jalur pipa dan kereta api telah berada di bawah regulasi keamanan siber yang ditingkatkan melalui arahan TSA yang mengamanatkan langkah-langkah seperti rencana tanggap insiden, kebijakan segmentasi jaringan, dan pemantauan berkelanjutan (lihat: TSA Menerbitkan Arahan Keamanan Siber Baru untuk Jalur Pipa Minyak).

Badan tersebut mengatakan program manajemen risiko dunia maya federal akan melampaui arahan tersebut untuk meningkatkan fokus industri pada ketahanan operasional. “Pencegahan saja tidak cukup,” kata pemberitahuan itu. Industri harus berasumsi bahwa penyerang akan mengganggu sistem, yang berarti bahwa “kapasitas dan kemampuan untuk merespons dan pulih dengan cepat saat insiden keamanan siber terjadi adalah kunci untuk mengurangi gangguan dan memastikan operasi yang tangguh.”

TSA mengatakan tidak tertarik untuk memaksakan “persyaratan statis”, yang menyatakan bahwa program manajemen risiko harus mendorong penilaian berkelanjutan terhadap lingkungan ancaman dan penerapan kontrol keamanan yang dinamis.

Selengkapnya: Gov Info Security

Pejabat Vanuatu beralih ke buku telepon dan mesin tik, satu bulan setelah serangan dunia maya

December 3, 2022 by Søren

Satu bulan setelah serangan dunia maya meruntuhkan server dan situs web pemerintah di Vanuatu, para pejabat yang frustrasi masih menggunakan akun Gmail pribadi, laptop pribadi, pulpen dan kertas, dan mesin tik untuk menjalankan pemerintahan perdana menteri, Ismael Kalsakau, yang mulai menjabat. hanya beberapa hari setelah kecelakaan itu.

Serangan malware pada jaringan negara telah menyebabkan keterlambatan komunikasi dan koordinasi di negara kepulauan Pasifik berpenduduk 314.000 orang dan 80 pulau itu.

Orang-orang menggunakan Yellow Pages online atau direktori hard copy telepon untuk menemukan nomor telepon pemerintah. Beberapa kantor beroperasi dari halaman Facebook dan Twitter mereka.

Masalahnya dimulai sekitar sebulan yang lalu, ketika aktivitas phishing yang mencurigakan pertama kali diketahui melalui email ke Kementerian Keuangan, menurut seorang analis keuangan yang bekerja sama dengan tim keamanan siber kementerian.

Malware tersebut merusak hampir semua email pemerintah dan arsip situs web. Banyak departemen masih menggunakan drive komputer lokal untuk menyimpan data, berbeda dengan server web atau cloud. Tidak ada informasi resmi yang dirilis tentang apakah permintaan tebusan dibuat oleh para peretas.

“Butuh waktu lebih lama untuk pembayaran [dari Kementerian Keuangan] untuk keluar, tapi … toh kami selalu dalam waktu Vanuatu,” kata analis keuangan itu.

Departemen pemerintah telah berjuang untuk tetap terhubung, membuat frustrasi pejabat, dengan solusi dadakan yang diterapkan untuk komunikasi antara lembaga dan departemen. Banyak kantor pemerintah pulau terluar mengalami keterlambatan tajam dalam pelayanan.

Selengkapnya: The Guardian

Pelaku Ancaman Licik Menggunakan Domain ‘Tua’ untuk Menghindari Platform Keamanan

December 1, 2022 by Coffee Bean

Pelaku ancaman canggih bernama ‘CashRewindo’ telah menggunakan domain ‘tua’ dalam kampanye maliklan global yang mengarah ke situs penipuan investasi.

Malvertising melibatkan injeksi kode JavaScript berbahaya di iklan digital dipromosikan oleh jaringan periklanan yang sah, mengarahkan pengunjung situs web ke laman yang menghosting formulir phishing, menjatuhkan malware, atau menjalankan penipuan.

Analis di Confiant telah melacak ‘CashRewindo’ sejak 2018, dan dapat ditemukan di Eropa, Amerika utara dan selatan, Asia, dan Afrika.

Global tetapi sangat ditargetkan
Setiap kampanye CashRewindo menargetkan audiens tertentu, sehingga halaman arahan dikonfigurasi untuk menampilkan penipuan atau halaman kosong atau tidak berbahaya untuk target yang tidak valid.

Laman landas dengan tombol ‘klik di sini’ (Confiant)

This is done by checking the timezone, device platform, and language used on the visitor’s system.

Users and devices outside the target audience clicking the embedded “Click Here” button will be redirected to an innocuous site.

Pengguna tersebut dibawa ke halaman scam dan akhirnya dialihkan ke platform investasi cryptocurrency palsu yang menjanjikan pengembalian investasi yang tidak realistis.

Confiant melaporkan bahwa selama 12 bulan, telah mencatat lebih dari 1,5 juta tayangan CashRewindo, terutama menargetkan perangkat Windows.

20 lokasi paling bertarget teratas ditampilkan dalam tabel di bawah ini.

Penipuan investasi tersebar luas, tetapi biasanya, pelaku ancaman lebih memilih kuantitas daripada kualitas, mendorong situs palsu mereka yang dibuat dengan tergesa-gesa ke kumpulan besar pengguna dan menghosting platform penipuan di domain yang baru terdaftar yang akan segera offline.

CashRewindo mengikuti pendekatan berbeda yang membutuhkan lebih banyak pekerjaan tetapi secara signifikan meningkatkan peluang keberhasilan bagi pelaku ancaman.

sumber : bleeping computer

AS melarang perangkat telekomunikasi China, dengan alasan ‘keamanan nasional’

November 26, 2022 by Søren

Komisi Komunikasi Federal Amerika Serikat (FCC) telah mengumumkan larangan telekomunikasi dan peralatan pengawasan video dari merek-merek terkemuka China, termasuk Huawei dan ZTE, dengan alasan “risiko yang tidak dapat diterima terhadap keamanan nasional”.

Lima anggota FCC mengatakan pada hari Jumat bahwa mereka telah memilih dengan suara bulat untuk mengadopsi aturan baru yang akan memblokir impor atau penjualan produk yang ditargetkan.

“Keputusan bulat kami merupakan pertama kalinya dalam sejarah FCC bahwa kami telah memilih untuk melarang otorisasi komunikasi dan peralatan elektronik berdasarkan pertimbangan keamanan nasional,” kata Komisaris FCC Brendan Carr dalam sebuah pernyataan pada hari Jumat.

Dia menambahkan bahwa langkah itu memiliki “dukungan bipartisan yang luas” di antara kepemimpinan kongres AS.

Pejabat keamanan AS telah memperingatkan bahwa peralatan dari merek China seperti Huawei dapat digunakan untuk mengganggu jaringan nirkabel generasi kelima (5G) dan mengumpulkan informasi sensitif.

Larangan itu adalah langkah terbaru dalam dorongan selama bertahun-tahun “untuk menjaga keamanan jaringan AS” dengan mengidentifikasi dan melarang perangkat yang dianggap sebagai ancaman keamanan, kata FCC.

Inisiatif hari Jumat juga mencakup larangan Hytera Communications, Perusahaan Teknologi Digital Hikvision Hangzhou, dan Perusahaan Teknologi Dahua.

Huawei menolak memberikan komentar kepada kantor berita Reuters. ZTE, Dahua, Hikvision dan Hytera tidak segera menanggapi permintaan komentar.

Selengkapnya: Al Jazeera

34 Grup Cybercrime Rusia Mencuri Lebih dari 50 Juta Kata Sandi dengan Malware Stealer

November 25, 2022 by Coffee Bean

Sebanyak 34 geng berbahasa Rusia mendistribusikan malware pencuri informasi di bawah model pencuri sebagai layanan mencuri tidak kurang dari 50 juta kata sandi dalam tujuh bulan pertama tahun 2022.

Mayoritas korban berada di AS, diikuti oleh Brasil, India, Jerman, Indonesia, Filipina, Prancis, Turki, Vietnam, dan Italia. Secara total, lebih dari 890.000 perangkat di 111 negara terinfeksi selama jangka waktu tersebut.

Group-IB mengatakan anggota dari beberapa grup scam yang menyebarkan pencuri informasi sebelumnya berpartisipasi dalam operasi Classiscam.

Setelah kompromi yang berhasil, para penjahat dunia maya menjajakan informasi yang dicuri di web gelap untuk mendapatkan uang.

Perkembangan tersebut menyoroti peran penting yang dimainkan oleh Telegram dalam memfasilitasi berbagai kegiatan kriminal, termasuk berfungsi sebagai pusat untuk mengumumkan pembaruan produk, menawarkan dukungan pelanggan, dan mengekstraksi data dari perangkat yang disusupi.

Temuan ini juga mengikuti laporan baru dari SEKOIA, yang mengungkapkan bahwa tujuh tim traffer yang berbeda telah menambahkan pencuri informasi yang sedang naik daun yang dikenal sebagai Aurora ke perangkat mereka.

“Popularitas skema yang melibatkan pencuri dapat dijelaskan dengan hambatan masuk yang rendah,” jelas Group-IB. “Pemula tidak perlu memiliki pengetahuan teknis lanjutan karena prosesnya sepenuhnya otomatis dan satu-satunya tugas pekerja adalah membuat file dengan pencuri di bot Telegram dan mengarahkan lalu lintas ke sana.”

sumber : the hacker news

Peretas ‘Mustang Panda’ Cina Secara Aktif Menargetkan Pemerintah di Seluruh Dunia

November 21, 2022 by Coffee Bean

Seorang aktor ancaman gigih terkenal yang dikenal sebagai Mustang Panda telah dikaitkan dengan serentetan serangan spear-phishing yang menargetkan sektor pemerintah, pendidikan, dan penelitian di seluruh dunia.

Sasaran utama intrusi dari Mei hingga Oktober 2022 termasuk negara-negara di kawasan Asia Pasifik seperti Myanmar, Australia, Filipina, Jepang, dan Taiwan, kata perusahaan keamanan siber Trend Micro dalam laporan Jumat.

Dalam beberapa kasus, pesan phishing dikirim dari akun email yang sebelumnya disusupi milik entitas tertentu, menunjukkan upaya yang dilakukan oleh aktor Mustang Panda untuk meningkatkan kemungkinan keberhasilan kampanyenya.

File arsip, ketika dibuka, dirancang untuk menampilkan dokumen iming-iming kepada korban, sambil secara diam-diam memuat malware di latar belakang melalui metode yang disebut sebagai pemuatan samping DLL.

Rantai serangan pada akhirnya mengarah pada pengiriman tiga keluarga malware – PUBLOAD, TONEINS, dan TONESHELL – yang mampu mengunduh muatan tahap berikutnya dan terbang di bawah radar.

TONESHELL, pintu belakang utama yang digunakan dalam serangan, diinstal melalui TONEINS dan merupakan pemuat kode shell, dengan versi awal implan terdeteksi pada September 2021, menunjukkan upaya berkelanjutan dari pihak pelaku ancaman untuk memperbarui persenjataannya.

“Begitu kelompok tersebut menyusup ke sistem korban yang ditargetkan, dokumen sensitif yang dicuri dapat disalahgunakan sebagai vektor masuk untuk gelombang penyusupan berikutnya. Strategi ini sebagian besar memperluas cakupan yang terpengaruh di wilayah yang terlibat.”

sumber : the hacker news

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Region

Cookies Settings