Region

Peretas Iran Meretas 80 Perusahaan Israel Saat Serangan Siber Besar-besaran Berlanjut

December 17, 2020 by Mally

Pay2Key, sebuah geng ransomware Iran, hanya aktif sejak November tetapi telah berhasil mendatangkan malapetaka pada perusahaan Israel. Kelompok itu berfokus pada serangan uang tebusan dan telah menyerang setidaknya 80 perusahaan Israel. Beberapa hari terakhir telah terlihat laporan setidaknya dua serangan dunia maya yang serius terhadap perusahaan Israel.

Kedua serangan tersebut dikaitkan dengan peretas Iran Pay2Key, yang menargetkan perusahaan Israel dengan kecepatan yang cepat dan mengkhawatirkan. Rincian baru serangan itu, yang diungkapkan oleh OP Innovate, menunjukkan cakupannya jauh lebih luas daripada yang diketahui sebelumnya.

Riset intelijen dunia maya yang dilakukan oleh OP Innovate dan dipublikasikan Rabu ini mengungkapkan bahwa para peretas Iran berhasil membobol lebih dari 80 target di pasar Israel.

sumber : IranBriefing

Raksasa Pemrosesan Pembayaran TSYS: Insiden Ransomware “Tidak Penting” bagi Perusahaan

December 15, 2020 by Mally

Raksasa pemrosesan kartu pembayaran TSYS mengalami serangan ransomware awal bulan ini. Sejak itu, banyak data yang dicuri dari perusahaan telah diposting secara online, dengan para penyerang berjanji untuk mempublikasikan lebih banyak lagi dalam beberapa hari mendatang.

Tetapi perusahaan mengatakan malware itu tidak membahayakan data kartu, dan insiden itu terbatas pada area administratif bisnisnya.

TSYS menyediakan layanan pemrosesan pembayaran, layanan pedagang, dan solusi pembayaran lainnya, termasuk kartu debit prabayar dan kartu penggajian. Pada 2019, TSYS diakuisisi oleh perusahaan jasa keuangan Global Payments Inc.

Pada tanggal 8 Desember, geng penjahat siber yang bertanggung jawab menyebarkan jenis ransomware Conti (juga dikenal sebagai “Ryuk”) menerbitkan lebih dari 10 gigabyte data yang diklaim telah dihapus dari jaringan TSYS.

Geng tersebut mengklaim data yang dipublikasikan sejauh ini hanya mewakili 15 persen dari informasi yang diambil dari TSYS sebelum meledakkan ransomware di dalam perusahaan. Dalam tanggapan tertulis, TSYS mengatakan serangan itu tidak memengaruhi sistem yang menangani pemrosesan kartu pembayaran.

TSYS menolak untuk mengatakan apakah mereka membayar uang tebusan atau tidak. Namun menurut Fabian Wosar, chief technology officer di perusahaan keamanan komputer Emsisoft, Conti biasanya hanya menerbitkan data dari para korban yang menolak untuk menegosiasikan pembayaran uang tebusan.

Sumber: Krebs On Security

Raksasa elektronik Foxconn terkena ransomware, tebusan $34 juta

December 15, 2020 by Mally

Raksasa elektronik Foxconn mengalami serangan ransomware di fasilitas Meksiko selama akhir pekan Thanksgiving, di mana penyerang mencuri file yang tidak dienkripsi sebelum mengenkripsi perangkat.

Foxconn adalah perusahaan manufaktur elektronik terbesar di dunia, dengan pendapatan tercatat $172 miliar pada 2019 dan lebih dari 800.000 karyawan di seluruh dunia. Anak perusahaan Foxconn termasuk Sharp Corporation, Innolux, FIH Mobile, dan Belkin.

Operator ransomware DoppelPaymer menerbitkan file milik Foxconn NA di situs kebocoran data ransomware mereka. Data yang bocor termasuk dokumen dan laporan bisnis umum tetapi tidak berisi informasi keuangan atau detail pribadi karyawan.

Sejak serangan itu, situs web fasilitas tersebut tidak dapat diakses dan saat ini menunjukkan kesalahan kepada pengunjung.

Beberapa sumber juga telah membagikan catatan tebusan yang dibuat di server Foxconn selama serangan ransomware, seperti yang dapat dilihat di bawah.

Dalam sebuah wawancara dengan DoppelPaymer, geng ransomware mengkonfirmasi bahwa mereka menyerang fasilitas Foxconn di Amerika Utara pada tanggal 29 November tetapi tidak menyerang seluruh perusahaan.

Sebagai bagian dari serangan ini, pelaku ancaman mengklaim telah mengenkripsi sekitar 1.200 server, mencuri 100 GB file tidak terenkripsi, dan menghapus cadangan 20-30 TB.

Dalam sebuah pernyataan kepada BleepingComputer, Foxconn mengkonfirmasi serangan itu dan mengatakan mereka perlahan-lahan mengembalikan sistem mereka.

Sumber: Bleeping Computer

Badan Uni Eropa yang bertanggung jawab atas persetujuan vaksin COVID-19 mengatakan telah diretas

December 15, 2020 by Mally

European Medicines Agency (EMA), badan pengatur UE yang bertanggung jawab untuk menyetujui vaksin COVID-19, mengatakan bahwa mereka menjadi korban serangan siber.

Dalam pernyataan singkat dua paragraf yang diposting di situsnya, agensi tersebut mengungkapkan pelanggaran keamanan tetapi mengatakan tidak dapat mengungkapkan detail apa pun tentang gangguan tersebut karena penyelidikan yang sedang berlangsung.

EMA saat ini sedang dalam proses meninjau aplikasi untuk dua vaksin COVID-19, satu dari raksasa farmasi AS Moderna, dan yang kedua dikembangkan dalam kolaborasi antara BioNTech dan Pfizer.

Seorang juru bicara EMA tidak membalas permintaan komentar untuk mencari informasi jika serangan itu menargetkan proses persetujuan vaksinnya atau jika itu adalah serangan yang bermotif finansial seperti ransomware.

Meskipun demikian, dalam pernyataan selanjutnya yang dirilis di situsnya sendiri, BioNTech mengatakan bahwa “beberapa dokumen yang berkaitan dengan pengajuan peraturan untuk calon vaksin COVID-19 Pfizer dan BioNTech, BNT162b2, yang telah disimpan di server EMA, telah diakses secara tidak sah. “selama serangan, mengkonfirmasikan bahwa penelitian COVID-19 kemungkinan besar menjadi target serangan.

EMA mengatakan akan memberikan informasi lebih lanjut tentang peretasan tersebut setelah mereka mempelajari lebih lanjut.

Sumber: ZDNet

Pemerintah Inggris, NATO Bergabung dengan AS dalam Memantau Risiko Dari Peretasan

December 15, 2020 by Mally

Instansi pemerintah dan perusahaan besar di luar AS sedang meninjau sistem komputer mereka untuk mencari tanda-tanda pelanggaran keamanan, setelah kampanye peretasan yang memasukkan malware ke dalam pembaruan perangkat lunak dari perusahaan AS SolarWinds Corp.

Pemerintah AS pada hari Minggu mengatakan telah dilanda serangan siber, dan semua badan sipil federal diperintahkan oleh Badan Keamanan Siber dan Infrastruktur AS untuk meninjau jaringan mereka dan memutuskan atau mematikan produk SolarWinds Orion segera.

NATO mengatakan dalam sebuah pernyataan bahwa pihaknya “saat ini sedang menilai situasi, dengan tujuan untuk mengidentifikasi dan mengurangi potensi risiko apa pun pada jaringan kami”.

Seorang pejabat pemerintah Inggris, yang berbicara tanpa menyebut nama, mengatakan bahwa pemerintah sedang menilai tingkat infiltrasi di jaringan Inggris, dan menambahkan bahwa kelompok APT29 – kelompok peretas terkenal yang terkait dengan pemerintah Rusia – adalah tersangka potensial.

SolarWinds yang berbasis di Austin, Texas, menjual produk teknologi ke banyak target sensitif, termasuk kelima cabang militer AS. Di luar AS, SolarWinds telah mengambil kontrak untuk Layanan Kesehatan Nasional Inggris Raya, Parlemen Eropa, dan NATO, menurut perincian di situs webnya. Perusahaan tersebut mengatakan memiliki lebih dari 300.000 pelanggan di seluruh dunia, termasuk sejumlah besar anggota Fortune 500 AS.

SolarWinds menyatakan di situs webnya bahwa mereka membantu pelanggannya mengelola jaringan komputer mereka dan memantau mereka untuk potensi pelanggaran data.

Sumber: Bloomberg

Microsoft, FireEye mengkonfirmasi serangan rantai pasokan SolarWinds

December 15, 2020 by Mally

Peretas yang diyakini beroperasi atas nama pemerintah asing telah melanggar penyedia perangkat lunak SolarWinds dan kemudian menyebarkan pembaruan yang mengandung malware untuk perangkat lunak Orionnya untuk menginfeksi jaringan beberapa di perusahaan AS dan jaringan pemerintahan, kata firma keamanan AS FireEye.

Serangan rantai pasokan SolarWinds juga merupakan cara peretas memperoleh akses ke jaringan FireEye sendiri, yang diungkapkan perusahaan awal pekan ini.

The Washington Post mengutip sumber yang mengklaim bahwa beberapa lembaga pemerintah lainnya juga terkena dampak.

Reuters melaporkan bahwa insiden itu dianggap sangat serius sehingga menyebabkan pertemuan langka Dewan Keamanan Nasional AS di Gedung Putih, sehari sebelumnya, pada hari Sabtu.

Sumber yang berbicara dengan Washington Post mengaitkan gangguan tersebut dengan APT29, codename yang digunakan oleh industri keamanan siber untuk menggambarkan peretas yang terkait dengan Badan Intelijen Luar Negeri Rusia (SVR).

Dalam peringatan keamanan yang dikirim ke pelanggannya secara pribadi pada hari Minggu, Microsoft juga mengkonfirmasi kompromi SolarWinds dan memberikan tindakan pencegahan kepada pelanggan yang mungkin terpengaruh.

SolarWinds mengatakan bahwa pembaruan Orion versi 2019.4 hingga 2020.2.1, yang dirilis antara Maret 2020 dan Juni 2020, telah tercemar malware. FireEye menamai malware ini SUNBURST dan telah menerbitkan laporan teknis, bersama dengan aturan deteksi di GitHub. Microsoft menamai malware ini Solorigate dan menambahkan aturan deteksi ke antivirus Defender-nya.

“Korban termasuk pemerintah, konsultan, teknologi, telekomunikasi dan entitas ekstraktif di Amerika Utara, Eropa, Asia dan Timur Tengah. Kami mengantisipasi ada korban tambahan di negara dan vertikal lain,” tambah FireEye.

Sumber: ZDNet

Gedung Putih merancang perintah eksekutif yang dapat membatasi perusahaan komputasi Cloud global

December 11, 2020 by Mally

Pemerintahan Trump sedang mempertimbangkan perintah eksekutif yang akan membiarkan pemerintah membatasi operasi internasional perusahaan komputasi cloud AS seperti Amazon dan Microsoft dalam upaya melindungi dari serangan siber asing, kata orang-orang yang mengetahui masalah tersebut kepada POLITICO. Perintah eksekutif akan memungkinkan Departemen Perdagangan untuk melarang penyedia cloud AS bermitra dengan perusahaan cloud asing yang menawarkan tempat berlindung yang aman bagi peretas dan memberi Menteri Perdagangan kemampuan untuk melarang penyedia asing tersebut beroperasi di AS, empat orang mengatakan kepada POLITICO.

Draf perintah tersebut dirancang untuk mencegah aktor asing yang berniat jahat menggunakan penyedia layanan cloud untuk melakukan serangan dunia maya dengan cepat dan tanpa nama, menurut tiga orang yang mengetahui perintah tersebut. Hal ini juga akan memberi AS mekanisme lain untuk menjaga China, yang telah berulang kali dianggap oleh pejabat AS sebagai ancaman ekonomi dan keamanan, dan yang telah dijadikan prioritas utama oleh Presiden Donald Trump dalam pemerintahannya.

Seorang pejabat AS mengatakan kepada POLITICO bahwa pemerintah tidak akan secara teratur membatasi operasi perusahaan komputasi cloud Amerika di luar negeri, melainkan menggunakan perintah eksekutif sebagai alat lain untuk mengatasi potensi ancaman keamanan siber. Perusahaan teknologi AS khawatir perintah eksekutif yang diusulkan, jika diterapkan secara luas, dapat memberi pemerintah kekuatan baru untuk ikut campur dalam transaksi bisnisnya di luar negeri dan memperumit hubungannya dengan banyak pemerintah asing. Perintah eksekutif, jika itu terjadi, dapat menimbulkan masalah bagi perusahaan dengan bisnis yang ada di China atau mereka yang ingin memasuki pasar yang sangat menguntungkan. Pejabat AS tersebut mengatakan bahwa perintah eksekutif tidak diminta oleh China saja, tetapi bahwa pemerintah memiliki kekhawatiran khusus tentang peretas dan perusahaan cloud China. Nahal Toosi berkontribusi untuk laporan ini.

sumber : Politico

Malware Gootkit hidup kembali bersama REvil ransomware

December 1, 2020 by Mally

Setelah tidak muncul selama 1 tahun, Trojan pencuri informasi Gootkit telah hidup kembali bersama REvil Ransomware dalam kampanye baru yang menargetkan Jerman.

Trojan Gootkit adalah malware berbasis Javascript yang melakukan berbagai aktivitas berbahaya, termasuk akses jarak jauh, pengambilan keystroke, perekaman video, pencurian email, pencurian kata sandi, dan kemampuan untuk menyuntikkan skrip berbahaya untuk mencuri kredensial perbankan online.

Tahun lalu, pelaku ancaman Gootkit mengalami kebocoran data setelah membiarkan database MongoDB terbuka di Internet. Setelah pelanggaran ini, diyakini bahwa para aktor Gootkit telah menghentikan operasinya sampai mereka tiba-tiba hidup kembali awal bulan ini.

Minggu lalu, seorang peneliti keamanan yang dikenal sebagai The Analyst mengatakan kepada BleepingComputer bahwa malware Gootkit telah muncul lagi dalam serangan yang menargetkan Jerman.

Dalam kampanye baru ini, pelaku ancaman meretas situs WordPress dan memanfaatkan SEO poisoning untuk menampilkan posting forum palsu kepada pengunjung. Posting ini berpura-pura menjadi pertanyaan dan jawaban dengan tautan ke formulir atau unduhan palsu.

Saat pengguna mengklik link tersebut, mereka akan mendownload file ZIP yang berisi file JS yang dikaburkan yang akan menginstal malware Gootkit atau REvil ransomware.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Region

Cookies Settings