Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

AvosLocker Ransomware Group Memberikan Decryptor Setelah Melanggar Polisi AS

by

Grup Ransomware AvosLocker telah memberikan decryptor gratis setelah secara tidak sengaja mengenkripsi agen pemerintah AS. Kelompok ransomware AvosLocker menyerang departemen kepolisian AS dan perangkat terenkripsi.

Kelompok ini juga mencuri data dari perangkat terenkripsi tersebut.

AvosLocker Ransomware Group dan niatnya

Menurut seorang peneliti keamanan pancak3, kelompok ransomware AvosLocker menyerahkan decryptor setelah menyadari bahwa korban adalah lembaga pemerintah.

Perlu dicatat bahwa para aktor hanya menyediakan decryptor dan bukan daftar file yang dicuri dan proses di mana mereka melanggar jaringan agensi. Menurut aktor AvosLocker, mereka biasanya tidak menargetkan badan pemerintah dan lembaga kesehatan.

AvosLocker juga menyebutkan bahwa mereka sengaja menghindari badan pemerintah karena uang pembayar pajak umumnya sulit didapat. Namun, penegak hukum telah menangkap beberapa anggota ransomware dalam beberapa waktu terakhir, yang mencakup kelompok ransomware Netwalker, REvil, Egregor dan Clop.

Tindakan penegakan hukum terhadap aktor ransomware

Tindakan ini telah membuat kelompok ransomware tertentu untuk menutup operasi mereka termasuk avaddon, REvil, BlackMatter dan kelompok DarkSide. Sementara kita tahu bahwa sebagian besar kelompok-kelompok ini mengubah citra diri mereka untuk melompat lagi untuk operasi lain, tekanan dari penegakan hukum harus dihargai.

Sumber: The Cyber Security Times

PERINGATAN Apple Mempublikasi 1,65 JUTA Pengguna iPad dan iPhone Mengalami Masalah Privasi

by

Pengembang Apple, Kosta Eleftheriou, mengungkapkan bahwa App Store menyelenggarakan serangkaian layanan streaming film ilegal.

Eleftheriou memamerkan serangkaian aplikasi yang membahas diri mereka sebagai layanan yang sah — menggunakan trailer film dan filter foto untuk menipu pengguna.

Aplikasi ini mendorong pengguna untuk memasukkan kode atau berbagi aplikasi untuk membuka lebih banyak fitur.

Ada juga tingkatan langganan premium di aplikasi yang diproses melalui Apple Pay, yang apple menerima potongan 15-30 persen dari.

Eleftheriou menyatakan bahwa aplikasi telah tersedia di toko aplikasi selama berbulan-bulan meskipun ulasan negatif mengungkapkannya ilegal.

Iklan untuk aplikasi telah didorong, menggunakan influencer media sosial dengan “jutaan” pengikut untuk mempromosikannya, kata Eleftheriou.

“Sementara Apple gagal mengawasi App Store-nya, aplikasi ini telah mengumpulkan lebih dari 2 juta unduhan dan sekarang menghasilkan ~ 16.000 / hari atau sekitar $ 6 juta per tahun,” kata Eleftheriou.

Dokumen hukum dalam persidangan “Eric Vs Apple” yang sedang berlangsung, Eric Friedman, kepala unit Algoritma Teknik Penipuan dan Risiko [FEAR] perusahaan, yang disebut keamanan App Store, “membawa pisau plastik ke baku tembak,”

Friedman mengatakan proses peninjauan App Store “lebih seperti wanita cantik yang menyambut Anda … di bandara Hawaii daripada anjing pengendus obat.”

Eleftheriou juga membawa Apple ke pengadilan, mengklaim perusahaan menyalin aplikasi Apple Watch-nya, FlickType.

Namun, penemuannya di App Store telah membuat pengguna iPhone dan iPad lebih waspada tentang perangkat mereka.

The Sun telah menghubungi Apple untuk memberikan komentar.

Sumber: The Sun

Peretas mencuri lebih dari $4 miliar dalam cryptocurrency tahun ini, berikut daftar lengkap pencurian crypto terbesar pada tahun 2021

by

Decentralized finance (DeFi) mengalami lonjakan pencurian terbesar ​​sektor yang baru dan masih berkembang, menjadikannya target yang menarik bagi pencuri.
Eksploitasi Poly Network, yang menghasilkan lebih dari $610 juta dalam koin kripto yang tersedot, bukan hanya serangan DeFi terbesar tahun ini, tetapi yang terbesar dalam semua sejarah DeFi.

Tahun ini peretas berhasil lolos dengan $4,25 miliar. Itu hampir tiga kali lipat dari tahun 2020, ketika sekitar $ 1,49 miliar aset crypto dicuri. Comparitech mengumpulkan data untuk menunjukkan bahwa pada tahun 2021 terjadi enam dari sepuluh peretasan crypto paling mahal sepanjang masa. cara mereka mencuri crypto tahun ini adalah melalui peretasan protokol keuangan terdesentralisasi (DeFi) dengan itu saja terhitung $ 1,4 miliar dari total dana crypto yang dicuri tahun ini.

Pertumbuhan popularitas token non-fungible (NFT) juga telah mendorong aktivitas baru di mana aktor jahat menemukan cara baru dan inovatif untuk mengelabui orang agar membeli aset digital palsu atau berinvestasi dalam penipuan.

Poly Network $610 juta dicuri pada Agustus 2021
Seorang peretas ‘topi putih’ melakukan peretasan cryptocurrency tunggal terbesar tahun ini, mengklaim telah melakukannya untuk mengekspos lubang keamanan dalam kontrak pintar ‘rantai silang’ yang digunakan oleh perusahaan.

Perusahaan kemudian menangguhkan transaksi dan memperbaiki bug, bahkan ketika bernegosiasi dengan peretas dan pertukaran untuk membekukan cryptocurrency yang dicuri untuk sementara. Seluruh jumlah yang dicuri diambil kembali selama seminggu. Mereka menawarkan pekerjaan dan hadiah $500.000, yang ditolak oleh peretas tetapi kemudian mengeluh karena tidak mendapatkan hadiah.

Poly Network adalah platform keuangan terdesentralisasi (DeFi) yang memungkinkan pengguna untuk meminjamkan, meminjam, dan memperdagangkan mata uang kripto dengan keuntungan. Kontrak pintar dibangun ke dalam token kripto, dengan persyaratan yang dijalankan sendiri yang menentukan apa yang harus dilakukan token dalam keadaan yang berbeda, misalnya, menjual ke entitas X seharga $17,99 jika harga turun di bawah $18.

Platform lintas rantai memungkinkan pengguna untuk bertransaksi di blockchain yang sama sekali berbeda, tetapi teknologinya masih berkembang, menjadikannya target yang menarik untuk diretas. Sejumlah peretasan kripto baru-baru ini menargetkan platform kripto DeFi yang menggunakan teknologi lintas rantai.

BitMart – $196 juta dicuri pada Desember 2021

Perusahaan mengatakan $ 100 juta dari kerugian itu ada di blockchain Ethereum, yang paling sering menjadi sasaran peretasan terbesar tahun ini.

CEO BitMart Sheldon Xia mengumumkan bahwa mereka akan berbicara dengan tim proyek crypto untuk mengidentifikasi solusi, dan menggunakan dana perusahaan sendiri untuk memberi kompensasi kepada pengguna yang terpengaruh.

Dompet panas digunakan oleh pertukaran crypto seperti BitMart, untuk menyimpan bagian paling likuid dari aset digital mereka, untuk transaksi yang lebih cepat atas nama pengguna. Dompet dingin, di sisi lain, menyimpan aset digital secara offline tanpa paparan internet, sehingga kurang rentan terhadap peretas.

Boy X Highspeed (BXH) – $139 juta dicuri pada November 2021

Kunci administrator yang bocor kehilangan BXH sebagian besar kepemilikan mereka di Binance Smart Chain (BSC). Penarikan pada blockchain BSC mereka ditangguhkan pada hari yang sama, dilanjutkan hanya empat minggu kemudian. Penyisiran keamanan mereka memakan waktu seminggu, dengan semua celah keamanan diklaim dapat dihilangkan dalam waktu dua minggu setelah serangan.

CEO mereka dan PeckShield, seorang peneliti keamanan blockchain independen, berspekulasi bahwa eksploitasi ini bisa menjadi ‘pekerjaan orang dalam’. Perusahaan menawarkan hadiah hingga $ 10 juta untuk mengidentifikasi para peretas, meskipun tidak ada pengumuman lebih lanjut mengenai identifikasi.

Vulcan Forged – $135 juta dicuri pada Desember 2021

Peretas membantu diri mereka sendiri ke kunci pribadi dompet crypto dari 96 pengguna, dari total 6501 pada saat itu. Mereka kemudian mencuri 9% dari semua token PYR yang tersedia (4,5 juta PYR), meninggalkan kerugian $135 juta. Pengguna yang terkena dampak telah dijanjikan penggantian dari cadangan perusahaan sendiri.

CEO Jamie Thomson mengatakan mereka akan menggunakan dompet terdesentralisasi, untuk mencegah masalah seperti itu di masa depan. Perusahaan telah memberikan hadiah sebesar $500.000 untuk mengidentifikasi peretas, dan juga berkoordinasi dengan bursa besar untuk mencoba dan mencegah peretas menjual token yang dicuri.

Vulcan Forged menyebut dirinya sebagai studio game GameFi yang membuat game play-to-earn (P2E) seperti Vulcan Verse dan Vulcan Chess, yang beroperasi menggunakan token PYR dan NFT mereka sendiri. Ini menjalankan pasar NFT untuk memungkinkan pemain menguangkan, dan pertukaran terdesentralisasi (DEX) untuk memperdagangkan cryptocurrency. Studio merencanakan peningkatan untuk mata uang PYR, tetapi peretasan menurunkan harganya sebesar 26% menurunkan kapitalisasi pasarnya sebesar 35%.

Cream Finance – $130 juta dicuri pada Oktober 2021

Dalam serangan yang mengeksploitasi fasilitas pinjaman kilatnya, peretas berhasil mencuri semua aset likuid yang dimiliki platform di blockchain Ethereum.

Perusahaan mengeluarkan pernyataan bahwa kerentanan telah ditambal dengan bantuan komunitas, dan bahwa aset blockchain mereka yang lain tidak terpengaruh. Dalam waktu kurang dari sebulan, perusahaan mengumumkan kompensasi untuk pengguna yang terkena dampak dari kantong mereka sendiri, yang didanai oleh alokasi token tim mereka.

KRIM. Finance, yang merupakan platform pinjaman DeFi, melaporkan tiga serangan lain tahun ini – pada bulan September ($18,8 juta), Agustus ($29 juta), dan Februari ($37 juta) – menambah kerugian sebesar $215 juta.

Badger DAO – $120 juta dicuri pada Desember 2021

Peretas mencuri aset berbasis Bitcoin dan Ethereum dari lusinan dompet pengguna, dalam serangan yang direncanakan secara strategis kode berbahaya disuntikkan ke front-end situs web platform hampir sebulan sebelumnya.

PeckShield mengidentifikasi kerugian terbesar 896 Bitcoin dari satu dompet yang bernilai $44 juta dengan harga saat ini. DAO telah menangguhkan aktivitas setelah mengetahui serangan itu, tetapi menyelesaikan penyelidikannya dalam seminggu dan kembali ke operasi normal. Komunitas Badger sedang mempertimbangkan rencana untuk memulihkan dana yang hilang, dan solusi untuk mengganti kerugian.

Liquid Global – $97 juta dicuri pada Agustus 2021

Peretas memperoleh akses ke dompet panas Liquid, menjarah Ether, Bitcoin, XRP, dan 66 mata uang lainnya. Aset berbasis Ethereum menyumbang lebih dari 78% dari kerugian.

Peretas mengalihkan sebagian dari jarahan mereka melalui platform terdesentralisasi seperti UniSwap, sementara aset yang ditransfer ke bursa kripto besar lainnya dibekukan atas permintaan Liquid. Bursa Jepang melanjutkan perdagangan setelah mentransfer dana yang tidak terpengaruh ke dompet dingin, dan meningkatkan keamanan untuk menerapkan brankas yang aman.

Pada akhir Agustus, Liquid mengatakan tidak akan ada dampak pada saldo pengguna. Untuk mengkompensasi pengguna dan menutupi kerugian mereka sendiri, perusahaan mengumpulkan $ 120 juta sebagai pinjaman dari pertukaran crypto FTX.

EasyFi – $80 juta dicuri pada April 2021

Seorang peretas menargetkan perangkat komputasi pendiri untuk mendapatkan kunci adminnya dan mentransfer mata uang ke dirinya sendiri. Kerugian awal adalah $6 juta stablecoin dan EASY senilai $120 juta, token asli dari proyek EasyFi.

Dampaknya pada pengguna terbatas ketika harga token EASY turun 50% dalam skenario likuiditas rendah, sehingga menyulitkan peretas untuk menjual tokennya. Selain itu, token ditingkatkan menjadi ‘EZ 2.0’ empat hari kemudian, membuat kepemilikan peretas tidak berguna. Dalam blognya, pendiri Ankitt Gaur menulis bahwa pengguna yang terkena dampak akan diberi kompensasi, 25% dalam bentuk stablecoin dan 75% sebagai token IOU.

AscendEX – $77,7 juta dicuri pada Desember 2021

Peretas membobol dompet panas AscendEX, pertukaran cryptocurrency yang berbasis di Singapura. Menurut perusahaan keamanan blockchain PeckShield, hampir 77% dari total kerugian terdiri dari aset berdasarkan blockchain Ethereum.

Pertukaran mengkonfirmasi bahwa dompet dingin mereka tidak terpengaruh, dan bahwa setiap pengguna yang terpengaruh akan “dilindungi sepenuhnya.” Layanan penyetoran dan penarikan ditangguhkan untuk peninjauan keamanan, tetapi layanan perdagangan telah dilanjutkan dalam seminggu. Perusahaan mengumumkan pada 23 Desember bahwa penyetoran dan penarikan telah dilanjutkan untuk sebagian besar mata uang utama.

bZx – $55 million stolen in November 2021
Dimulai sebagai serangan phishing sederhana dalam dokumen Word, peretas berhasil mengakses kunci pribadi platform dan ‘meningkatkan’ kontrak pintar untuk mentransfer dana. Sebagian besar kerugian berada di jaringan Polygon dan Binance Smart Chain (BSC), sementara infrastruktur terdesentralisasi mereka mengalami kerugian yang relatif lebih rendah dalam mata uang Ethereum.

platform bZx memberi tahu proyek dan pertukaran crypto lainnya untuk membekukan cryptocurrency yang dicuri. Perusahaan meminta perusahaan keamanan Kaspersky untuk menyelidiki, yang percaya para peretas adalah Grup Lazarus yang memiliki hubungan dengan Korea Utara.

Bahkan saat mereka terus melacak dana dan bekerja dengan lembaga penegak hukum, komunitas telah menyetujui rencana kompensasi untuk membantu mereka yang menderita kerugian akibat peretasan. bZx DAO (organisasi otonom terdesentralisasi) menyebut dirinya sebagai platform DeFi untuk perdagangan margin dan pinjaman.

Selengkapnya : Bussines Insider

T-Mobile Mengatakan Pelanggaran Data Baru yang Disebabkan oleh Serangan Swap SIM

by Leave a Comment

T-Mobile mengkonfirmasi bahwa laporan terbaru tentang pelanggaran data baru terkait dengan pemberitahuan yang dikirim ke “sejumlah kecil pelanggan” yang menjadi korban serangan pertukaran SIM.

“Kami memberi tahu sejumlah kecil pelanggan bahwa kartu SIM yang ditugaskan ke nomor ponsel di akun mereka mungkin telah dipindahkan secara ilegal atau informasi akun terbatas dilihat,” kata juru bicara T-Mobile kepada BleepingComputer.

“Pertukaran SIM yang tidak sah sayangnya merupakan kejadian umum di seluruh industri, namun masalah ini dengan cepat diperbaiki oleh tim kami, menggunakan perlindungan di tempat kami, dan kami secara proaktif mengambil langkah-langkah perlindungan tambahan atas nama mereka.”

T-Mobile menolak untuk memberikan rincian tambahan ketika diminta untuk info lebih lanjut tentang jumlah total pelanggan yang terkena dampak dan metode yang digunakan oleh penyerang untuk melakukan serangan swap SIM berhasil.

“Kami tidak memberikan informasi tambahan saat ini. Terima kasih!,” kata seorang juru bicara perusahaan kepada BleepingComputer.

Pertukaran SIM (juga dikenal sebagai pembajakan SIM) memungkinkan penyerang untuk mengendalikan nomor ponsel target dengan menipu atau menyuap karyawan operator untuk menetapkan kembali nomor tersebut ke kartu SIM yang dikendalikan penyerang.

Hal ini memungkinkan aktor ancaman untuk mengendalikan nomor telepon korban mereka dan menggunakannya untuk memotong otentikasi multi-faktor berbasis SMS (MFA), mencuri kredensial mereka, masuk ke rekening bank korban untuk mencuri uang, atau membajak akun online mereka dengan mengubah kata sandi.

Semua pelanggan T-Mobile mencari pesan teks atau email yang mencurigakan yang berpura-pura berasal dari T-Mobile. Jangan mengklik tautan apa pun jika Anda menerimanya, karena penyerang dapat menggunakannya untuk memanen kredensial Anda.

Sumber: Bleepingcomputer

Bahaya dalam Diam: Satu dari Lima Domain Lama Berbahaya, Berisiko, atau Tidak Aman

by

Jumlah domain yang tidak aktif berbahaya terus meningkat, dan seperti yang diperingatkan oleh para peneliti, sekitar 22,3% domain yang berusia strategis menimbulkan beberapa bentuk bahaya.

Ini adalah realisasi yang mengejutkan analis ketika terungkap bahwa aktor ancaman SolarWinds mengandalkan domain yang terdaftar bertahun-tahun sebelum kegiatan jahat mereka dimulai.

Berdasarkan itu, upaya dalam mendeteksi domain berbahaya telah meningkat.

Sebuah laporan dari Unit42 Palo Alto Networks mengungkapkan temuan para peneliti mereka setelah melihat puluhan ribu domain setiap hari sepanjang September 2021.

Mereka menyimpulkan bahwa sekitar 3,8% langsung berbahaya, 19% mencurigakan, dan 2% tidak aman untuk lingkungan kerja.

Mengapa membiarkan domain menua

Tujuan di balik mendaftarkan domain jauh sebelum aktor ancaman akan menggunakannya adalah untuk membuat “catatan bersih” yang akan mencegah sistem deteksi keamanan merusak keberhasilan kampanye jahat.

Biasanya, domain yang baru terdaftar (NRD) lebih cenderung berbahaya, sehingga solusi keamanan memperlakukan mereka sebagai mencurigakan dan memiliki lebih banyak kesempatan untuk menandainya.

Namun, Unit42 menjelaskan dalam laporannya bahwa domain yang berusia strategis tiga kali lebih mungkin berbahaya daripada NRD.

Dalam beberapa kasus, domain ini tetap tidak aktif selama dua tahun sebelum lalu lintas DNS mereka tiba-tiba meningkat 165 kali, menunjukkan peluncuran serangan.

Tanda-tanda “telur ular”

Tanda yang jelas dari domain berbahaya adalah lonjakan mendadak dalam lalu lintasnya. Layanan yang sah yang mendaftarkan domain mereka dan meluncurkan layanan berbulan-bulan atau bertahun-tahun kemudian menunjukkan pertumbuhan lalu lintas secara bertahap.

Domain yang tidak ditakdirkan untuk penggunaan yang sah umumnya memiliki konten yang tidak lengkap, dikloning, atau umumnya dipertanyakan. Seperti yang diharapkan, rincian pendaftar WHOIS juga hilang.

DGA menelurkan situs web hosting konten yang mencurigakan

Tanda lain yang jelas dari domain yang sengaja sudah tua yang dimaksudkan untuk digunakan dalam kampanye berbahaya adalah generasi subdomain DGA.

DGA (algoritma generasi domain) adalah metode yang mapan untuk menghasilkan nama domain dan alamat IP yang unik untuk berfungsi sebagai titik komunikasi C2 baru. Tujuannya adalah untuk menghindari deteksi dan blocklists.

Dengan melihat elemen DGA saja, detektor Palo Alto mengidentifikasi dua domain yang mencurigakan setiap hari, menelurkan ratusan ribu subdomain pada hari aktivasinya.

Selengkapnya: Bleepingcomputer

Pemindai Microsoft Defender Log4j memicu peringatan positif palsu

by

Microsoft Defender for Endpoint saat ini menampilkan peringatan “sensor tampering” yang ditautkan ke pemindai Microsoft 365 Defender yang baru digunakan perusahaan untuk proses Log4j.

Peringatan ditampilkan pada sistem Windows Server 2016 dan memperingatkan “kemungkinan gangguan sensor dalam memori terdeteksi oleh Microsoft Defender for Endpoint” yang dibuat oleh proses OpenHandleCollector.exe.

Sementara perilaku proses Pembela ini ditandai sebagai berbahaya, tidak ada yang perlu dikhawatirkan karena ini adalah positif palsu, seperti yang diungkapkan oleh Tomer Teller, Manajer PM Grup Utama di Microsoft, Enterprise Security Posture.

Microsoft saat ini sedang menyelidiki masalah Microsoft 365 Defender ini dan sedang mengerjakan perbaikan yang harus segera diberikan perusahaan ke sistem yang terpengaruh.

Pembela untuk peringatan positif palsu Titik akhir (Arjen Furster)

“Ini adalah bagian dari pekerjaan yang kami lakukan untuk mendeteksi instance Log4J pada disk. Tim sedang menganalisis mengapa hal itu memicu peringatan (tentu saja tidak),” Teller menjelaskan.

Seperti yang dibagikan Microsoft pada hari Selasa, pemindai Log4j yang baru digunakan ini diluncurkan dengan dasbor portal Log4j Microsoft 365 Defender terkonsolidasi baru untuk manajemen ancaman dan kerentanan.

Dasbor baru dirancang untuk membantu pelanggan mengidentifikasi dan memulihkan file, perangkat lunak, dan perangkat yang terkena serangan yang mengeksploitasi kerentanan Log4j.

Sejak Oktober 2020, admin Windows harus berurusan dengan Defender untuk Endpoint lainnya, termasuk yang menandai dokumen Office sebagai muatan malware Emotet, yang menunjukkan perangkat jaringan terinfeksi Cobalt Strike, dan yang lain menandai pembaruan Chrome sebagai backdoor PHP.

Sumber : Bleeping Computer

Perusahaan Fintech yang terkena peretasan Log4j menolak untuk membayar uang tebusan $ 5 juta

by

Salah satu platform perdagangan crypto Vietnam terbesar, ONUS, baru-baru ini mengalami serangan cyber pada sistem pembayarannya yang menjalankan versi Log4j yang rentan.

Pelaku ancaman mendekati ONUS untuk memeras sejumlah $5 juta dan mengancam akan mempublikasikan data pelanggan jika ONUS menolak untuk mematuhinya. Setelah penolakan tersebut, pelaku memasang data hampir 2 juta pelanggan ONUS untuk dijual di forum.

Pada tanggal 9 Desember, eksploitasi PoC untuk kerentanan Log4Shell yang terkenal (CVE-2021-44228) bocor di GitHub. Dan, itu mendapat perhatian penyerang oportunistik yang mulai memindai internet secara massal untuk server yang rentan.

Antara 11 dan 13 Desember, pelaku ancaman berhasil mengeksploitasi kerentanan Log4Shell pada server Cyclos dari ONUS dan menanam pintu belakang untuk akses berkelanjutan.

Meskipun ONUS telah menambal instance Cyclos mereka, jendela eksposur memberikan waktu yang cukup bagi pelaku ancaman untuk mengekstrak database sensitif. Basis data ini berisi hampir 2 juta catatan pelanggan termasuk data E-KYC (Know Your Customer), informasi pribadi, dan kata sandi hash.

Alur kerja E-KYC yang digunakan oleh bank dan perusahaan FinTech biasanya melibatkan pengadaan beberapa bentuk dokumen identifikasi dan bukti dari pelanggan, bersama dengan ‘video selfie’ untuk verifikasi otomatis.

Menariknya, kerentanan Log4Shell ada di server kotak pasir yang digunakan “hanya untuk tujuan pemrograman” tetapi memungkinkan penyerang mengakses lebih lanjut ke lokasi penyimpanan data sensitif (ember Amazon S3) dengan data produksi, karena kesalahan konfigurasi sistem.

ONUS kemudian dilaporkan ditampar dengan permintaan pemerasan senilai $ 5 juta yang mereka tolak. Sebagai gantinya, perusahaan memilih untuk mengungkapkan serangan itu kepada pelanggan mereka melalui grup Facebook pribadi.

“Sebagai perusahaan yang mengutamakan keselamatan, kami berkomitmen untuk memberikan transparansi dan integritas kepada pelanggan kami dalam operasi bisnis,” kata CEO ONUS Chien Tran.

“Itulah sebabnya, setelah mempertimbangkan dengan cermat, hal yang benar yang perlu kita lakukan sekarang adalah memberi tahu seluruh komunitas ONUS tentang kejadian ini.”

Peretasan itu sendiri sedikit lebih dari sekadar masalah Log4j saja. Eksploitasi Log4j mungkin merupakan titik masuk bagi penyerang, tetapi kontrol akses yang tidak tepat pada bucket Amazon S3 ONUS memungkinkan penyerang mengakses secara tidak semestinya.

Pada 25 Desember, setelah gagal mengamankan jumlah pemerasan dari ONUS, pelaku ancaman memasang data pelanggan untuk dijual di pasar pelanggaran data,pelaku mengklaim memiliki salinan 395 tabel database ONUS dengan informasi pribadi pelanggan dan kata sandi hash yang mereka miliki.

Hampir 2 juta data pelanggan ONUS disiapkan untuk dijual di forum

Sampel juga termasuk gambar yang tidak diedit dari kartu ID pelanggan, paspor, dan klip video selfie yang dikirimkan pelanggan yang diperoleh selama proses KYC.

Rekomendasi CyStack untuk ONUS termasuk menambal kerentanan Log4Shell di Cyclos–seperti yang diinstruksikan oleh vendor, menonaktifkan kredensial AWS yang bocor, mengonfigurasi izin akses AWS dengan benar, memblokir akses publik ke semua bucket S3 yang sensitif, dan memberlakukan batasan tambahan.

Sekarang kerentanan log4j telah dieksploitasi oleh semua jenis pelaku ancaman dari peretas yang didukung negara hingga geng ransomware dan beberapa lainnya untuk menyuntikkan penambang kripto pada sistem yang rentan.

Geng ransomware Conti juga terlihat mengincar server VMWare vCenter yang rentan untuk dieksploitasi.

Pengguna Log4j harus segera meningkatkan ke versi terbaru 2.17.1 (untuk Java 8) yang dirilis kemarin. Versi yang di-backport 2.12.4 (Java 7) dan 2.3.2 (Java 6) yang berisi perbaikan diharapkan akan segera dirilis.

Selengkapnya : Bleeping Computer

Detektor Logam Garrett Walk-Through Dapat Diretas dari Jarak Jauh

by

Sejumlah kelemahan keamanan telah ditemukan dalam komponen jaringan di Detektor Logam Garrett yang memungkinkan penyerang jarak jauh untuk melewati persyaratan otentikasi, merusak konfigurasi detektor logam, dan bahkan mengeksekusi kode arbitrer pada perangkat.

“Seorang penyerang dapat memanipulasi modul ini untuk memantau statistik dari detektor logam dari jarak jauh, seperti apakah alarm telah dipicu atau berapa banyak pengunjung yang telah melewatinya,” kata Cisco Talos “Mereka juga dapat membuat perubahan konfigurasi, seperti mengubah tingkat sensitivitas perangkat, yang berpotensi menimbulkan risiko keamanan bagi pengguna yang mengandalkan detektor logam ini.”

Peneliti keamanan Talos Matt Wiseman telah dikreditkan dengan menemukan dan melaporkan kerentanan ini pada 17 Agustus 2021. Patch telah dirilis oleh vendor pada 13 Desember 2021.

Kekurangannya terletak pada Garrett iC Module, yang memungkinkan pengguna untuk berkomunikasi dengan detektor logam seperti Garrett PD 6500i atau Garrett MZ 6100 menggunakan komputer melalui jaringan, baik kabel maupun nirkabel. Hal ini memungkinkan pelanggan untuk mengontrol dan memantau perangkat dari lokasi yang jauh secara real-time.

Daftar kerentanan keamanan di bawah ini :

  • CVE-2021-21901 (skor CVSS: 9,8), CVE-2021-21903 (skor CVSS: 9,8), CVE-2021-21905, dan CVE-2021-21906 (skor CVSS: 8,2) – Kerentanan buffer overflow berbasis stack yang dapat dipicu dengan mengirimkan paket berbahaya ke perangkat
  • CVE-2021-21902 (skor CVSS: 7.5) – Kerentanan bypass otentikasi yang berasal dari kondisi balapan yang dapat dipicu dengan mengirimkan urutan permintaan
  • CVE-2021-21904 (skor CVSS: 9.1), CVE-2021-21907 (skor CVSS: 4.9), CVE-2021-21908, dan CVE-2021-21909 (skor CVSS: 6.5) – Kerentanan traversal direktori yang dapat dieksploitasi dengan mengirimkan perintah yang dibuat khusus.

Eksploitasi yang berhasil dari kelemahan yang disebutkan di atas dalam iC Module CMA versi 5.0 memungkinkan penyerang untuk membajak sesi pengguna yang diautentikasi, membaca, menulis, atau menghapus file arbitrer pada perangkat, dan lebih buruk lagi, menyebabkan eksekusi kode jarak jauh.

Sumber : The Hacker News