Region

Raksasa elektronik Foxconn terkena ransomware, tebusan $34 juta

December 15, 2020 by Winnie the Pooh

Raksasa elektronik Foxconn mengalami serangan ransomware di fasilitas Meksiko selama akhir pekan Thanksgiving, di mana penyerang mencuri file yang tidak dienkripsi sebelum mengenkripsi perangkat.

Foxconn adalah perusahaan manufaktur elektronik terbesar di dunia, dengan pendapatan tercatat $172 miliar pada 2019 dan lebih dari 800.000 karyawan di seluruh dunia. Anak perusahaan Foxconn termasuk Sharp Corporation, Innolux, FIH Mobile, dan Belkin.

Operator ransomware DoppelPaymer menerbitkan file milik Foxconn NA di situs kebocoran data ransomware mereka. Data yang bocor termasuk dokumen dan laporan bisnis umum tetapi tidak berisi informasi keuangan atau detail pribadi karyawan.

Sejak serangan itu, situs web fasilitas tersebut tidak dapat diakses dan saat ini menunjukkan kesalahan kepada pengunjung.

Beberapa sumber juga telah membagikan catatan tebusan yang dibuat di server Foxconn selama serangan ransomware, seperti yang dapat dilihat di bawah.

Dalam sebuah wawancara dengan DoppelPaymer, geng ransomware mengkonfirmasi bahwa mereka menyerang fasilitas Foxconn di Amerika Utara pada tanggal 29 November tetapi tidak menyerang seluruh perusahaan.

Sebagai bagian dari serangan ini, pelaku ancaman mengklaim telah mengenkripsi sekitar 1.200 server, mencuri 100 GB file tidak terenkripsi, dan menghapus cadangan 20-30 TB.

Dalam sebuah pernyataan kepada BleepingComputer, Foxconn mengkonfirmasi serangan itu dan mengatakan mereka perlahan-lahan mengembalikan sistem mereka.

Sumber: Bleeping Computer

Badan Uni Eropa yang bertanggung jawab atas persetujuan vaksin COVID-19 mengatakan telah diretas

December 15, 2020 by Winnie the Pooh

European Medicines Agency (EMA), badan pengatur UE yang bertanggung jawab untuk menyetujui vaksin COVID-19, mengatakan bahwa mereka menjadi korban serangan siber.

Dalam pernyataan singkat dua paragraf yang diposting di situsnya, agensi tersebut mengungkapkan pelanggaran keamanan tetapi mengatakan tidak dapat mengungkapkan detail apa pun tentang gangguan tersebut karena penyelidikan yang sedang berlangsung.

EMA saat ini sedang dalam proses meninjau aplikasi untuk dua vaksin COVID-19, satu dari raksasa farmasi AS Moderna, dan yang kedua dikembangkan dalam kolaborasi antara BioNTech dan Pfizer.

Seorang juru bicara EMA tidak membalas permintaan komentar untuk mencari informasi jika serangan itu menargetkan proses persetujuan vaksinnya atau jika itu adalah serangan yang bermotif finansial seperti ransomware.

Meskipun demikian, dalam pernyataan selanjutnya yang dirilis di situsnya sendiri, BioNTech mengatakan bahwa “beberapa dokumen yang berkaitan dengan pengajuan peraturan untuk calon vaksin COVID-19 Pfizer dan BioNTech, BNT162b2, yang telah disimpan di server EMA, telah diakses secara tidak sah. “selama serangan, mengkonfirmasikan bahwa penelitian COVID-19 kemungkinan besar menjadi target serangan.

EMA mengatakan akan memberikan informasi lebih lanjut tentang peretasan tersebut setelah mereka mempelajari lebih lanjut.

Sumber: ZDNet

Pemerintah Inggris, NATO Bergabung dengan AS dalam Memantau Risiko Dari Peretasan

December 15, 2020 by Winnie the Pooh

Instansi pemerintah dan perusahaan besar di luar AS sedang meninjau sistem komputer mereka untuk mencari tanda-tanda pelanggaran keamanan, setelah kampanye peretasan yang memasukkan malware ke dalam pembaruan perangkat lunak dari perusahaan AS SolarWinds Corp.

Pemerintah AS pada hari Minggu mengatakan telah dilanda serangan siber, dan semua badan sipil federal diperintahkan oleh Badan Keamanan Siber dan Infrastruktur AS untuk meninjau jaringan mereka dan memutuskan atau mematikan produk SolarWinds Orion segera.

NATO mengatakan dalam sebuah pernyataan bahwa pihaknya “saat ini sedang menilai situasi, dengan tujuan untuk mengidentifikasi dan mengurangi potensi risiko apa pun pada jaringan kami”.

Seorang pejabat pemerintah Inggris, yang berbicara tanpa menyebut nama, mengatakan bahwa pemerintah sedang menilai tingkat infiltrasi di jaringan Inggris, dan menambahkan bahwa kelompok APT29 – kelompok peretas terkenal yang terkait dengan pemerintah Rusia – adalah tersangka potensial.

SolarWinds yang berbasis di Austin, Texas, menjual produk teknologi ke banyak target sensitif, termasuk kelima cabang militer AS. Di luar AS, SolarWinds telah mengambil kontrak untuk Layanan Kesehatan Nasional Inggris Raya, Parlemen Eropa, dan NATO, menurut perincian di situs webnya. Perusahaan tersebut mengatakan memiliki lebih dari 300.000 pelanggan di seluruh dunia, termasuk sejumlah besar anggota Fortune 500 AS.

SolarWinds menyatakan di situs webnya bahwa mereka membantu pelanggannya mengelola jaringan komputer mereka dan memantau mereka untuk potensi pelanggaran data.

Sumber: Bloomberg

Microsoft, FireEye mengkonfirmasi serangan rantai pasokan SolarWinds

December 15, 2020 by Winnie the Pooh

Peretas yang diyakini beroperasi atas nama pemerintah asing telah melanggar penyedia perangkat lunak SolarWinds dan kemudian menyebarkan pembaruan yang mengandung malware untuk perangkat lunak Orionnya untuk menginfeksi jaringan beberapa di perusahaan AS dan jaringan pemerintahan, kata firma keamanan AS FireEye.

Serangan rantai pasokan SolarWinds juga merupakan cara peretas memperoleh akses ke jaringan FireEye sendiri, yang diungkapkan perusahaan awal pekan ini.

The Washington Post mengutip sumber yang mengklaim bahwa beberapa lembaga pemerintah lainnya juga terkena dampak.

Reuters melaporkan bahwa insiden itu dianggap sangat serius sehingga menyebabkan pertemuan langka Dewan Keamanan Nasional AS di Gedung Putih, sehari sebelumnya, pada hari Sabtu.

Sumber yang berbicara dengan Washington Post mengaitkan gangguan tersebut dengan APT29, codename yang digunakan oleh industri keamanan siber untuk menggambarkan peretas yang terkait dengan Badan Intelijen Luar Negeri Rusia (SVR).

Dalam peringatan keamanan yang dikirim ke pelanggannya secara pribadi pada hari Minggu, Microsoft juga mengkonfirmasi kompromi SolarWinds dan memberikan tindakan pencegahan kepada pelanggan yang mungkin terpengaruh.

SolarWinds mengatakan bahwa pembaruan Orion versi 2019.4 hingga 2020.2.1, yang dirilis antara Maret 2020 dan Juni 2020, telah tercemar malware. FireEye menamai malware ini SUNBURST dan telah menerbitkan laporan teknis, bersama dengan aturan deteksi di GitHub. Microsoft menamai malware ini Solorigate dan menambahkan aturan deteksi ke antivirus Defender-nya.

“Korban termasuk pemerintah, konsultan, teknologi, telekomunikasi dan entitas ekstraktif di Amerika Utara, Eropa, Asia dan Timur Tengah. Kami mengantisipasi ada korban tambahan di negara dan vertikal lain,” tambah FireEye.

Sumber: ZDNet

Gedung Putih merancang perintah eksekutif yang dapat membatasi perusahaan komputasi Cloud global

December 11, 2020 by Winnie the Pooh

Pemerintahan Trump sedang mempertimbangkan perintah eksekutif yang akan membiarkan pemerintah membatasi operasi internasional perusahaan komputasi cloud AS seperti Amazon dan Microsoft dalam upaya melindungi dari serangan siber asing, kata orang-orang yang mengetahui masalah tersebut kepada POLITICO. Perintah eksekutif akan memungkinkan Departemen Perdagangan untuk melarang penyedia cloud AS bermitra dengan perusahaan cloud asing yang menawarkan tempat berlindung yang aman bagi peretas dan memberi Menteri Perdagangan kemampuan untuk melarang penyedia asing tersebut beroperasi di AS, empat orang mengatakan kepada POLITICO.

Draf perintah tersebut dirancang untuk mencegah aktor asing yang berniat jahat menggunakan penyedia layanan cloud untuk melakukan serangan dunia maya dengan cepat dan tanpa nama, menurut tiga orang yang mengetahui perintah tersebut. Hal ini juga akan memberi AS mekanisme lain untuk menjaga China, yang telah berulang kali dianggap oleh pejabat AS sebagai ancaman ekonomi dan keamanan, dan yang telah dijadikan prioritas utama oleh Presiden Donald Trump dalam pemerintahannya.

Seorang pejabat AS mengatakan kepada POLITICO bahwa pemerintah tidak akan secara teratur membatasi operasi perusahaan komputasi cloud Amerika di luar negeri, melainkan menggunakan perintah eksekutif sebagai alat lain untuk mengatasi potensi ancaman keamanan siber. Perusahaan teknologi AS khawatir perintah eksekutif yang diusulkan, jika diterapkan secara luas, dapat memberi pemerintah kekuatan baru untuk ikut campur dalam transaksi bisnisnya di luar negeri dan memperumit hubungannya dengan banyak pemerintah asing. Perintah eksekutif, jika itu terjadi, dapat menimbulkan masalah bagi perusahaan dengan bisnis yang ada di China atau mereka yang ingin memasuki pasar yang sangat menguntungkan. Pejabat AS tersebut mengatakan bahwa perintah eksekutif tidak diminta oleh China saja, tetapi bahwa pemerintah memiliki kekhawatiran khusus tentang peretas dan perusahaan cloud China. Nahal Toosi berkontribusi untuk laporan ini.

sumber : Politico

Malware Gootkit hidup kembali bersama REvil ransomware

December 1, 2020 by Winnie the Pooh

Setelah tidak muncul selama 1 tahun, Trojan pencuri informasi Gootkit telah hidup kembali bersama REvil Ransomware dalam kampanye baru yang menargetkan Jerman.

Trojan Gootkit adalah malware berbasis Javascript yang melakukan berbagai aktivitas berbahaya, termasuk akses jarak jauh, pengambilan keystroke, perekaman video, pencurian email, pencurian kata sandi, dan kemampuan untuk menyuntikkan skrip berbahaya untuk mencuri kredensial perbankan online.

Tahun lalu, pelaku ancaman Gootkit mengalami kebocoran data setelah membiarkan database MongoDB terbuka di Internet. Setelah pelanggaran ini, diyakini bahwa para aktor Gootkit telah menghentikan operasinya sampai mereka tiba-tiba hidup kembali awal bulan ini.

Minggu lalu, seorang peneliti keamanan yang dikenal sebagai The Analyst mengatakan kepada BleepingComputer bahwa malware Gootkit telah muncul lagi dalam serangan yang menargetkan Jerman.

Dalam kampanye baru ini, pelaku ancaman meretas situs WordPress dan memanfaatkan SEO poisoning untuk menampilkan posting forum palsu kepada pengunjung. Posting ini berpura-pura menjadi pertanyaan dan jawaban dengan tautan ke formulir atau unduhan palsu.

Saat pengguna mengklik link tersebut, mereka akan mendownload file ZIP yang berisi file JS yang dikaburkan yang akan menginstal malware Gootkit atau REvil ransomware.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: Bleeping Computer

Trojan berusia 13 tahun digunakan dalam kampanye yang menargetkan beberapa negara, termasuk Indonesia.

November 27, 2020 by Winnie the Pooh

Check Point Research baru-baru ini mengamati kampanye baru yang menggunakan jenis Trojan backdoor berusia 13 tahun bernama Bandook dan menargetkan beberapa sektor di seluruh dunia.

Bandook, yang hampir menghilang dari lanskap ancaman, muncul dalam kampanye 2015 dan 2017, masing-masing diberi nama “Operation Manul” dan “Dark Caracal”.

Dalam gelombang serangan terbaru, peneliti sekali lagi mengidentifikasi berbagai macam sektor dan lokasi yang menjadi target.

Hal ini semakin memperkuat hipotesis sebelumnya bahwa malware tidak dikembangkan sendiri dan digunakan oleh satu entitas, tetapi merupakan bagian dari infrastruktur ofensif yang dijual oleh pihak ketiga kepada pemerintah dan pelaku ancaman di seluruh dunia, untuk memfasilitasi operasi cyber ofensif.

Infection chain lengkap serangan dapat dipecah menjadi tiga tahap utama. Tahap pertama dimulai, seperti di banyak rantai infeksi lainnya, dengan dokumen Microsoft Word yang berbahaya dikirim di dalam file ZIP.

Setelah dokumen dibuka, makro berbahaya diunduh menggunakan fitur external template. Kode makro lalu menjatuhkan dan menjalankan serangan tahap kedua, skrip PowerShell yang dienkripsi di dalam dokumen Word asli. Terakhir, skrip PowerShell mengunduh dan menjalankan tahap terakhir infeksi: backdoor Bandook.

Berbagai sektor yang ditargetkan adalah Pemerintahan, keuangan, energi, industri makanan, perawatan kesehatan, pendidikan, TI, dan lembaga hukum di Singapura, Siprus, Chili, Italia, AS, Turki, Swiss, Indonesia, dan Jerman.

Laporan selengkapnya dapat dibaca pada tautan berikut;
Sumber: Check Point Research

Sophos memberi tahu pelanggan tentang eksposur data setelah database salah konfigurasi

November 27, 2020 by Winnie the Pooh

Vendor keamanan dunia maya yang berbasis di Inggris, Sophos, saat ini memberi tahu pelanggan melalui email tentang pelanggaran keamanan yang diderita perusahaan awal pekan ini. Informasi yang terpapar termasuk detail seperti nama depan dan belakang pelanggan, alamat email, dan nomor telepon (jika tersedia). Seorang juru bicara Sophos mengkonfirmasi email sebelumnya hari ini dan mengatakan kepada ZDNet bahwa hanya “sebagian kecil” dari pelanggan perusahaan yang terpengaruh tetapi tidak memberikan perkiraan jumlah.

Sophos mengatakan telah mengetahui kesalahan konfigurasi dari peneliti keamanan dan segera memperbaiki masalah yang dilaporkan. “Di Sophos, privasi dan keamanan pelanggan selalu menjadi prioritas utama kami. Kami menghubungi semua pelanggan yang terpengaruh,” kata perusahaan itu. “Selain itu, kami menerapkan langkah-langkah tambahan untuk memastikan pengaturan izin akses selalu aman.”

Ini adalah insiden keamanan besar kedua yang ditangani Sophos tahun ini. Pada bulan April, grup kejahatan dunia maya menemukan dan menyalahgunakan zero-day di firewall Sophos XG untuk membobol perusahaan di seluruh dunia. Para penyerang menyebarkan trojan Asnarok, dan setelah zero-day diumumkan ke publik, mereka mencoba menyebarkan ransomware – tetapi akhirnya gagal.

sumber : ZDNET

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Region

Cookies Settings