Security Breach

Twilio mengungkapkan pelanggaran data yang berdampak pada pelanggan dan karyawan

August 10, 2022 by Eevee

Perusahaan komunikasi cloud Twilio mengatakan beberapa data pelanggannya diakses oleh penyerang yang melanggar sistem internal setelah mencuri kredensial karyawan dalam serangan SMS phishing.

“Pada 4 Agustus 2022, Twilio mengetahui akses tidak sah ke informasi terkait sejumlah akun pelanggan Twilio melalui serangan rekayasa sosial canggih yang dirancang untuk mencuri kredensial karyawan,” kata Twilio akhir pekan lalu.

“Para penyerang kemudian menggunakan kredensial yang dicuri untuk mendapatkan akses ke beberapa sistem internal kami, di mana mereka dapat mengakses data pelanggan tertentu.”

Perusahaan juga mengungkapkan penyerang memperoleh akses ke sistemnya setelah menipu dan mencuri kredensial dari beberapa karyawan yang ditargetkan dalam insiden phishing.

Untuk melakukan itu, mereka meniru departemen TI Twilio, meminta mereka untuk mengklik URL yang berisi kata kunci “Twilio,” “Okta,” dan “SSO” yang akan mengarahkan mereka ke klon halaman masuk Twilio.

Pesan SMS phishing memancing karyawan Twilio untuk mengklik tautan yang disematkan dengan memperingatkan mereka bahwa kata sandi mereka telah kedaluwarsa atau dijadwalkan untuk diubah.

Direktur Komunikasi EMEA Twilio Katherine James menolak untuk memberikan informasi lebih lanjut ketika ditanya berapa banyak karyawan yang akun mereka disusupi dalam serangan phishing dan berapa banyak pelanggan yang terpengaruh oleh pelanggaran tersebut, dengan mengatakan perusahaan “tidak memiliki komentar tambahan untuk diberikan saat ini di luar apa yang ada. diposting di blog.”

Perusahaan belum mengidentifikasi penyerang, tetapi bekerja dengan penegak hukum sebagai bagian dari penyelidikan yang sedang berlangsung.

Twilio mencabut akun karyawan yang dikompromikan selama serangan untuk memblokir akses penyerang ke sistemnya dan telah mulai memberi tahu pelanggan yang terpengaruh oleh insiden ini.

Perusahaan juga mengungkapkan pada Mei 2021 bahwa itu dipengaruhi oleh serangan rantai pasokan Codecov tahun lalu di mana pelaku ancaman memodifikasi alat Codecov Bash Uploader yang sah untuk mencuri kredensial, kunci rahasia, dan token pengguna dari pelanggan Codecov.

Dengan lebih dari 5.000 karyawan di 26 kantor di 17 negara, Twillio menyediakan API suara, teks, obrolan, video, dan email yang dapat diprogram yang digunakan oleh lebih dari 10 juta pengembang dan 150.000 bisnis untuk membangun platform keterlibatan pelanggan.

Twilio juga mengakuisisi Authy pada Februari 2015, penyedia otentikasi dua faktor (2FA) yang populer untuk pengguna akhir, pengembang, dan perusahaan dengan jutaan pengguna di seluruh dunia.

Sumber: Bleeping Computer

Bagaimana Conti Ransomware Meretas dan Mengenkripsi Pemerintah Kosta Rika

July 23, 2022 by Eevee

Rincian telah muncul tentang bagaimana geng ransomware Conti melanggar pemerintah Kosta Rika, menunjukkan ketepatan serangan dan kecepatan bergerak dari akses awal ke tahap akhir perangkat enkripsi.

Sebuah laporan dari perusahaan intelijen siber Advanced Intelligence (AdvIntel) merinci langkah-langkah peretas Rusia dari pijakan awal hingga mengekstraksi 672GB data pada 15 April dan mengeksekusi ransomware.

Titik masuk aktor ancaman adalah sistem milik Kementerian Keuangan Kosta Rika, di mana anggota grup yang disebut sebagai ‘MemberX’ memperoleh akses melalui koneksi VPN menggunakan kredensial yang disusupi.

CEO Advanced Intelligence Vitali Kremez mengatakan kepada BleepingComputer bahwa kredensial yang dikompromikan diperoleh dari malware yang diinstal pada perangkat awal yang dikompromikan di jaringan korban.

Lebih dari 10 sesi malware Cobalt Strike disiapkan pada tahap awal serangan, kata peneliti AdvIntel dalam laporan tersebut.

Rincian AdvIntel tentang aktivitas aktor ancaman di jaringan pemerintah Kosta Rika mencakup perintah khusus yang digunakan pada setiap langkah.

Menurut para peneliti, MemberX kemudian menggunakan saluran backdoor Cobalt Strike untuk mengunduh output fileshare ke mesin lokal.

Penyerang dapat mengakses pembagian administratif tempat mereka mengunggah suar Cobalt Strike DLL dan kemudian menjalankannya menggunakan alat PsExec untuk eksekusi file jarak jauh.

Menggunakan alat pasca-eksploitasi Mimikatz untuk mengekstrak kredensial, musuh mengumpulkan kata sandi masuk dan hash NTDS untuk pengguna lokal, sehingga mendapatkan “hash administrator lokal, domain, dan administrator perusahaan yang biasa dan bruteable.”

Para peneliti mengatakan bahwa operator Conti memanfaatkan Mimikatz untuk menjalankan serangan DCSync dan Zerologon yang memberi mereka akses ke setiap host di jaringan interkoneksi Kosta Rika.

Untuk memastikan bahwa mereka tidak kehilangan akses jika defender mendeteksi malware Cobalt Strike, Conti menanam alat akses jarak jauh Atera pada host dengan aktivitas pengguna yang lebih sedikit di mana mereka memiliki hak administratif.

Pencurian data dimungkinkan menggunakan program baris perintah Rclone yang dapat mengelola file di beberapa layanan penyimpanan cloud. Conti menggunakan ini untuk mengunggah data ke layanan hosting file MEGA.

Diagram aliran serangan:

Sumber: BleepingComputer

Anonim meretas Bank Komersial PSCB Rusia dan perusahaan di sektor energi

May 1, 2022 by Søren

Dilansir dari unggahan akun twitter @YourAnonTV pada 26 April 2022, Grup tertaut Anonymous ‘NB 65’ (@xxNB65) meretas 229.000 email dan 630.000 file dari Petersburg Social Commercial Bank (JSC Bank “PSCB”), salah satu dari 100 bank Rusia teratas dalam hal aset bersih. Dokumen hasil peretasan terebut kemudian diunggah dan tersedia di situs DDoSecrets.

“JSC Bank PSCB, Anda sekarang dikendalikan oleh Network Battalion 65. Kami sangat bersyukur bahwa Anda menyimpan begitu banyak kredensial di Chrome. Sudah selesai dilakukan dengan baik. Jelas bahwa respon insiden telah dimulai. Semoga berhasil mendapatkan data Anda kembali tanpa kami. Beritahu pemerintah Anda untuk meninggalkan Ukraina” tulis kelompok Network Battalion 65 atau NB 65. dalam unggahan asli di halaman twitter mereka pada 18 April 2022.

Kemudian, kelompok NB 65 membuat utas terkait aktivitas mereka di dalam jaringan bank yang terkompromi dengan nada seolah-olah mempermainkan.

Selain peretasan pada bank PSCB, pada 27 April 2022, kelompok Anonymous mengklaim bahwa mereka telah meretas 1,23 juta email (1.7TB data) dari Elektrocentromontazh (ECM), organisasi kekuatan utama Rusia. ECM merancang, membangun, memasang, dan memelihara peralatan listrik di fasilitas pembangkit listrik dan transmisi.

Mereka juga memberikan informasi klien domestik ECM terdiri dari pembangkit listrik tenaga nuklir Novovoronezh, Kursk dan Smolensk, Russian Railways JSC, perusahaan negara Direktorat Tenaga Moskow, departemen Energi Pemerintah Moskow, cabang JSC jaringan listrik Moskow bersatu, dan Baltic Oil Pipelines LLC.

Selengkapnya: Security Affairs

Geng KelvinSecurity telah mengumumkan “PT Pertamina Gas” dalam daftar korban.

April 30, 2022 by Søren

Dilansir dari akun twitter Dark Tracer (@darktracer_int) pada Sabtu 22 April 2022, PT Pertamina Gas telah dimasukkan geng KelvinSecurity ke dalam daftar korban.

Namun, pada unggahan tersebut tidak ada penjelasan lebih lanjut seperti kronologi, waktu dan tempat, ataupun sampel data terkait insiden tersebut.

Demikian pula dari pihak PT Pertamina Gas juga belum memberikan tanggapan sama sekali terkait insiden ini.

Menurut peneliti dari InfoArmor, KelvinSecTeam adalah kemungkinan organisasi peretasan Rusia dengan kehadiran kuat di forum Deep dan Dark Web yang populer di kalangan peretas dan penjahat dunia maya, dengan kemungkinan anggota tim di Amerika Tengah dan Selatan — dan mereka terus berkembang.

Saat ini peneliti dari InfoArmor menilai bahwa tujuan KelvinSecTeam adalah untuk menunjukkan kredibilitas peretasan mereka dan mengganggu demi gangguan, dengan sebagian besar pos berfokus pada informasi yang memalukan tentang atau tentang urusan pemerintah, militer, politik, dan bisnis AS—meningkatkan upayanya terhadap negara-negara Amerika tengah dan selatan .

Beberapa pengungkapan publik mereka berpotensi membahayakan warga AS. Atau paling tidak, informasi yang mereka paparkan berisiko memperburuk ketegangan politik dan sosial hanya untuk duduk diam dan menyaksikan kekacauan yang terjadi.

Selengkapnya: Dark Tracer InfoArmor

AS Menghubungkan Pencurian Cryptocurrency Terbesar ke Peretas Korea Utara

April 15, 2022 by Winnie the Pooh

AS mencurigai peretas Korea Utara terlibat dalam pencurian cryptocurrency senilai $622 juta bulan lalu di Ronin Network.

Pada hari Kamis, Departemen Keuangan AS menjatuhkan sanksi pada dompet digital yang digunakan peretas untuk menjarah dana dari Ronin Network.

Dengan melakukan itu, agen federal juga mengaitkan dompet digital ke kelompok peretasan terkenal bernama Lazarus, yang menurut AS bekerja untuk pemerintah Korea Utara. FBI tidak segera menanggapi permintaan komentar, tetapi Ronin Network mengatakan telah bekerja dengan lembaga penegak hukum untuk mengambil kembali dana yang dicuri.

Ronin Network adalah penyedia blockchain untuk game Axie Infinity, yang populer di Asia. Akhir bulan lalu, mereka kehilangan 173.600 token di Ethereum setelah peretas membajak akses ke lima komputer “validator node”, yang digunakan untuk mengotorisasi transaksi.

Sebagian besar token Ethereum yang dicuri tetap berada di dalam dompet digital yang disetujui. Namun, para peretas tampaknya mencuci beberapa cryptocurrency yang dicuri melalui layanan yang disebut Tornado Cash.

Selengkapnya: PCmag

Pembobolan data dan pemadaman jaringan: Biaya yang nyata dan terus meningkat untuk industri perawatan kesehatan

March 25, 2021 by Winnie the Pooh

Satu tahun setelah pandemi COVID-19, laporan Infoblox mengungkapkan tantangan utama yang dihadapi industri perawatan kesehatan saat pekerja TI bergegas untuk mengamankan informasi kesehatan yang dilindungi (PHI) dan infrastruktur melawan keamanan siber kompleks dan tantangan jaringan pandemi.

Berdasarkan tanggapan dari hampir 800 pembuat keputusan TI perawatan kesehatan di Amerika Utara, Amerika Latin, Eropa dan kawasan Asia-Pasifik, temuan survei utama meliputi:

Pembobolan data dan pemadaman jaringan adalah biaya yang nyata dan terus meningkat untuk industri: 43% responden memperkirakan biaya pelanggaran data akan melebihi $ 2 juta dan 34% mengatakan hal yang sama untuk pemadaman jaringan.
Industri perawatan kesehatan adalah targetnya: 52% responden mengalami pelanggaran data dalam setahun terakhir.
Penyerang berfokus pada cloud: Kerentanan dan kesalahan konfigurasi cloud, serangan IoT, dan manipulasi data adalah ancaman dunia maya yang paling diharapkan yang dihadapi industri dalam 12 bulan ke depan, masing-masing dikutip oleh hampir 20% responden.
Jaringan cloud tetap rentan: 53% responden mengalami pelanggaran data di jaringan cloud, vektor serangan terbesar dari tahun lalu.
Pengetahuan adalah setengah dari pertempuran: Responden mengutip pemantauan jaringan (71% responden) dan intelijen ancaman (61%) sebagai taktik mitigasi paling efektif terhadap ancaman yang mereka hadapi pada tahun 2020.

selengkapnya : www.helpnetsecurity.com

Peringatan pada Dunia tentang Bom Waktu yang Berdetak

March 11, 2021 by Winnie the Pooh

Secara global, ratusan ribu organisasi yang menjalankan server email Exchange dari Microsoft baru saja diretas secara massal, termasuk setidaknya 30.000 korban di Amerika Serikat. Setiap server yang diretas telah dipasang kembali dengan pintu belakang “web shell” yang memberi orang jahat itu kendali jarak jauh, kemampuan untuk membaca semua email, dan akses mudah ke komputer korban lainnya. Para peneliti sekarang berlomba untuk mengidentifikasi, menyiagakan dan membantu para korban, dan semoga mencegah kekacauan lebih lanjut.

Pakar keamanan sekarang mencoba untuk memperingatkan dan membantu para korban ini sebelum peretas jahat meluncurkan apa yang disebut oleh banyak orang dengan campuran rasa takut dan antisipasi sebagai “Tahap 2,” ketika orang jahat mengunjungi kembali semua server yang diretas ini dan menyemai mereka dengan ransomware atau peretasan tambahan alat untuk merayapi lebih dalam ke jaringan korban.

Pakar keamanan sekarang berusaha mati-matian untuk menjangkau puluhan ribu organisasi korban dengan satu pesan: Apakah Anda telah menambal atau telah diretas, segera buat cadangan semua data yang disimpan di server tersebut.

Setiap sumber yang saya bicarakan tentang insiden ini mengatakan bahwa mereka sepenuhnya mengharapkan penjahat dunia maya yang bermotivasi keuntungan untuk menerkam korban dengan menyebarkan ransomware secara massal. Mengingat bahwa begitu banyak grup yang sekarang memiliki web shell pintu belakang terpasang, akan mudah untuk melepaskan ransomware pada banyak dari mereka sekaligus. Selain itu, server Exchange yang disusupi dapat menjadi pintu virtual ke seluruh jaringan korban.

selengkapnya : KrebsOnSecurity

Penyedia TI maskapai diretas, data frequent flyer Star Alliance dan OneWorld dibobol

March 7, 2021 by Winnie the Pooh

Peretasan perusahaan yang mengelola pemrosesan tiket dan data frequent-flyer untuk maskapai besar global – termasuk Star Alliance dan anggota OneWorld – telah membahayakan data pribadi sejumlah pelancong yang tidak ditentukan.

Para peretas dapat mengakses beberapa sistem komputer di Sistem Layanan Penumpang SITA yang berbasis di Atlanta hingga sebulan sebelum keseriusan insiden itu dikonfirmasi pada 24 Februari, kata juru bicara perusahaan induk perusahaan yang berbasis di Jenewa.

Juru bicara, Sandro Hofer, tidak mengatakan berapa banyak maskapai penerbangan yang terpengaruh – SITA mengatakan melayani lebih dari 400 maskapai penerbangan dan dimiliki oleh industri.

Perusahaan tersebut mengatakan bahwa Singapore Airlines, New Zealand Air dan Lufthansa termasuk di antara mereka yang terkena dampak.

Dikatakan Malaysia Airlines, Finnair, Japan Airlines, Cathay Pacific telah mengeluarkan pernyataan atau menghubungi anggota frequent-flyer tentang peretasan tersebut.

United Airlines mengatakan secara terpisah bahwa satu-satunya data pelanggan yang berpotensi diakses adalah nama, nomor penumpang setia, dan status program.

Ia merekomendasikan dalam email bahwa pelanggan frequent-flyer harus mengubah kata sandi akun mereka “karena sangat berhati-hati”.

selengkapnya : ABC

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Security Breach

Cookies Settings