Threat

Pelanggaran data pesanan 180 juta Domino sekarang menjadi portal yang dapat ditelusuri

May 25, 2021 by Mally

Perusahaan Pizza Domino’s India mengalami pelanggaran data pada bulan April yang berisi 180 juta catatan pesanan pelanggan, dan data dump dengan total 13TB data dump. Sekarang data tersebut sudah dapat dicari secara online.

Anda dapat menelusuri nomor telepon atau alamat email Anda untuk memeriksa pesanan yang telah Anda lakukan. Bagian yang ditakuti adalah data tersebut berisi informasi tentang lokasi pemesanan Anda, selain nomor telepon dan ID email Anda. Ini memudahkan penipu atau pengirim spam untuk menemukan alamat rumah dan kantor Anda.

Portal ini pertama kali disebutkan di salah satu forum keamanan populer, dan pertama kali diketahui oleh peneliti Rajshekhar Rajaharia. Portal tersedia melalui tautan onion dan kami tidak menautkannya untuk menghindari penyalahgunaan.

Portal tersebut juga menyebutkan bahwa para peretas akan segera merilis data terkait pembayaran dan karyawan. Namun, menurut laporan The Economic Times, Jubilant Foods, perusahaan pemilik merek Domino, membantah bahwa informasi keuangan adalah bagian dari pelanggaran data yang terjadi pada bulan April.

Sebagai pelanggan, tidak ada yang dapat Anda lakukan untuk jenis pelanggaran data ini, selain menuntut keamanan yang lebih baik dari perusahaan yang melayani Anda.

Selengkapnya: The Next Web

Peretas ransomware Colonial pipeline memiliki senjata rahasia: perusahaan keamanan siber yang mempromosikan diri sendiri

May 25, 2021 by Mally

Pada 11 Januari, perusahaan antivirus Bitdefender mengatakan “dengan senang hati mengumumkan” terobosan yang mengejutkan. Mereka telah menemukan cacat pada ransomware yang digunakan oleh geng yang dikenal sebagai DarkSide untuk membekukan jaringan komputer dari lusinan bisnis di AS dan Eropa. Perusahaan yang menghadapi tuntutan dari DarkSide dapat mengunduh alat gratis dari Bitdefender dan menghindari membayar jutaan dolar sebagai tebusan kepada para peretas.

Tetapi Bitdefender bukanlah yang pertama mengidentifikasi kekurangan ini. Dua peneliti lain, Fabian Wosar dan Michael Gillespie, telah memperhatikannya sebulan sebelumnya dan diam-diam mulai mencari korban untuk ditolong.

Dengan mempublikasikan alatnya, Bitdefender memberi tahu DarkSide tentang kesalahan tersebut, yang melibatkan penggunaan kembali kunci digital yang sama untuk mengunci dan membuka banyak korban. Keesokan harinya, DarkSide menyatakan bahwa mereka telah memperbaiki masalah, dan bahwa “perusahaan baru tidak memiliki harapan apa pun”.

“Terima kasih kepada BitDefender untuk membantu memperbaiki masalah kami,” kata DarkSide. “Ini akan membuat kami lebih baik.”

DarkSide segera membuktikan bahwa itu bukanlanh gertakan, melepaskan serangkaian serangan. Bulan ini, hal itu melumpuhkan Colonial Pipeline Co., mendorong penutupan pipa sepanjang 5.500 mil yang membawa 45% bahan bakar yang digunakan di East Coast — dengan cepat diikuti oleh kenaikan harga bensin, panik membeli gas di seluruh Tenggara, dan penutupan ribuan pompa bensin.

Insiden tersebut juga menunjukkan bagaimana perusahaan antivirus yang ingin membuat nama untuk dirinya sendiri terkadang melanggar salah satu aturan utama dari permainan kucing-dan-tikus perang dunia maya: Jangan biarkan lawan Anda tahu apa yang Anda ketahui.

Wosar mengatakan bahwa merilis alat secara publik, seperti yang dilakukan Bitdefender, menjadi lebih berisiko karena uang tebusan telah melonjak dan geng-geng tersebut menjadi lebih kaya dan lebih mahir secara teknis.

Pada masa-masa awal ransomware, ketika peretas membekukan komputer rumah untuk beberapa ratus dolar, mereka sering kali tidak dapat menentukan bagaimana kodenya rusak kecuali jika cacat tersebut secara khusus ditunjukkan kepada mereka.

Saat ini, pencipta ransomware “memiliki akses ke reverse engineers dan penetration testers yang sangat mampu,” katanya. “Begitulah cara mereka masuk ke jaringan yang seringkali sangat aman ini.

Mereka mengunduh decryptor, membongkarnya, melakukan reverse-engineer, dan mereka mengetahui dengan tepat mengapa kami dapat mendekripsi file mereka. Dan 24 jam kemudian, semuanya diperbaiki. Bitdefender seharusnya tahu lebih baik.”

Selengkapnya: Technology Review

Bagaimana Peretasan Menjadi Layanan Profesional di Rusia

May 24, 2021 by Mally

Operasi peretasan paling terkenal dari DarkSide mungkin terbukti menjadi yang terakhir: pada awal Mei, grup tersebut meluncurkan serangan ransomware terhadap Perusahaan Colonial Pipeline, yang menyediakan sebanyak setengah pasokan bahan bakar untuk Pantai Timur Amerika Serikat. DarkSide dilaporkan pergi dengan uang tebusan lima juta dolar, tetapi menerima pembayaran tampaknya harus dibayar mahal.

Pada tanggal 14 Mei, situs DarkSide ditutup, dan grup tersebut mengatakan bahwa mereka telah kehilangan akses ke banyak alat komunikasi dan pembayarannya — sebagai akibat dari pembalasan dari AS atau keputusan oleh anggota yang mendanai organisasi untuk berhenti.

Pada 10 Mei, Biden mengatakan intelijen AS percaya bahwa DarkSide berlokasi di Rusia, meskipun tidak ada “bukti” yang menghubungkannya dengan negara Rusia.

Seperti banyak aliran pendapatan di dunia kejahatan dunia maya, ransomware-as-a-service sebagian besar, meskipun tidak sepenuhnya, didominasi oleh peretas berbahasa Rusia yang berasal dari Rusia dan negara-negara bekas Soviet lainnya.

Alasan untuk situasi ini berasal dari runtuhnya Uni Soviet, pada tahun sembilan belas-sembilan puluhan, ketika engineer, programmer, dan teknisi yang sangat kompeten tiba-tiba terombang-ambing.

Puluhan tahun kemudian, ceritanya tidak banyak berubah: generasi muda Rusia memiliki akses ke pendidikan khusus di bidang fisika, ilmu komputer, dan matematika, tetapi hanya memiliki sedikit saluran untuk mewujudkan bakat tersebut, setidaknya tidak untuk jenis gaji yang tersedia bagi programmer di , katakanlah, Silicon Valley.

“Dan apa yang mereka lihat saat online? Bahwa dengan pengetahuan dan keterampilan mereka dapat menghasilkan jutaan dolar, begitu saja”, kata Sergey Golovanov, kepala pakar keamanan di Kaspersky Lab, sebuah perusahaan keamanan siber yang berbasis di Moskow. “Persentase tertentu dari orang-orang ini memutuskan bahwa ini layak untuk melanggar hukum”.

Karier seperti itu bisa terlihat lebih menarik mengingat risikonya tampak agak kecil, setidaknya jika Anda fokus pada target Barat. Meskipun badan penegak hukum Rusia secara berkala melakukan operasi yang ditujukan untuk penjahat dunia maya domestik, mereka umumnya menutup mata terhadap mereka yang menggunakan Rusia sebagai basis untuk menyusup ke jaringan asing.

Untuk memastikan bahwa mereka tidak mengalami masalah di wilayah asalnya, sebagian besar situs ransomware-as-a-service melarang penargetan perusahaan atau institusi di Rusia atau di dalam wilayah bekas Uni Soviet.

Namun ada juga satu alasan lain yang sangat penting mengapa penjahat dunia maya mungkin merasa relatif bebas untuk beroperasi dari dalam Rusia. Layanan keamanan Rusia tergoda untuk melihat peretas yang menargetkan perusahaan, pemerintah, dan individu Barat bukan sebagai ancaman melainkan sebagai sumber daya.

Selengkapnya: New Yorker

Kerentanan Wormable Windows HTTP juga mempengaruhi server WinRM

May 24, 2021 by Mally

Kerentanan wormable dalam Protokol Stack HTTP dari server Windows IIS juga dapat digunakan untuk menyerang sistem Windows 10 dan Server yang belum ditambal yang secara publik mengekspos layanan WinRM (Windows Remote Management).

Microsoft telah menambal bug kritis yang dilacak sebagai CVE-2021-31166 selama May Patch Tuesday.

Untungnya, meskipun dapat disalahgunakan oleh ancaman dalam serangan eksekusi kode jarak jauh (RCE), kerentanan HANYA memengaruhi versi 2004 dan 20H2 dari Windows 10 dan Windows Server.

Microsoft merekomendasikan untuk memprioritaskan patch semua server yang terpengaruh karena kerentanan dapat memungkinkan penyerang yang tidak berkepentingan untuk mengeksekusi kode dari jarak jauh “dalam kebanyakan situasi” pada komputer yang rentan.

Selain itu, selama akhir pekan, peneliti keamanan Axel Souchet telah menerbitkan kode eksploitasi bukti konsep yang dapat digunakan untuk merusak sistem yang belum ditambal menggunakan paket jahat dengan memicu blue screens of death (BSOD).

Bug ditemukan di HTTP Protocol Stack (HTTP.sys) yang digunakan sebagai pendengar protokol oleh server web Windows IIS untuk memproses permintaan HTTP.

Namun, seperti yang ditemukan oleh peneliti keamanan Jim DeVries, ini juga memengaruhi perangkat Windows 10 dan Server yang menjalankan layanan WinRM (kependekan dari Windows Remote Management), komponen dari rangkaian fitur Manajemen Perangkat Keras Windows yang juga memanfaatkan HTTP.sys yang rentan.

Selengkapnya: Bleeping Computer

Kisah Lengkap Peretasan RSA yang Menakjubkan Akhirnya Dapat Diceritakan

May 21, 2021 by Mally

RSA menyimpan benih tersebut di satu server yang terlindungi dengan baik, yang oleh perusahaan disebut sebagai “seed warehouse”. Mereka berfungsi sebagai unsur penting dalam salah satu produk inti RSA: Token SecurID — fob kecil yang Anda bawa di saku dan ditarik keluar untuk membuktikan identitas Anda dengan memasukkan kode enam digit yang terus diperbarui di layar fob. Jika seseorang dapat mencuri nilai seed yang disimpan di warehouse itu, mereka berpotensi mengkloning token SecurID tersebut dan secara diam-diam merusak otentikasi dua faktor yang mereka tawarkan, memungkinkan peretas untuk secara instan melewati sistem keamanan itu di mana pun di dunia, mengakses apa pun dari rekening bank hingga nasional. rahasia keamanan.

Token SecurID RSA dirancang sehingga institusi dari bank hingga Pentagon dapat meminta bentuk otentikasi kedua dari karyawan dan pelanggan mereka di luar nama pengguna dan kata sandi — sesuatu yang fisik di saku mereka yang dapat mereka buktikan kepemilikannya, sehingga membuktikan identitas mereka. Hanya setelah mengetikkan kode yang muncul di token SecurID mereka (kode yang biasanya berubah setiap 60 detik), mereka dapat memperoleh akses ke akun mereka.

Leetham akhirnya melacak jejak penyusup ke target akhir mereka: kunci rahasia yang dikenal sebagai “seed”, kumpulan angka yang mewakili lapisan dasar dari janji keamanan yang dibuat RSA kepada pelanggannya, termasuk puluhan juta pengguna di pemerintahan dan badan militer, kontraktor pertahanan, bank, dan perusahaan yang tak terhitung jumlahnya di seluruh dunia.

Leetham melihat dengan cemas bahwa para peretas telah menghabiskan sembilan jam secara metodis menyedot seed dari server warehouse dan mengirimkannya melalui protokol transfer file ke server yang diretas yang dihosting oleh Rackspace, penyedia cloud-hosting. Tapi kemudian dia melihat sesuatu yang memberinya secercah harapan: Log itu menyertakan nama pengguna dan kata sandi yang dicuri untuk server yang diretas itu. Para pencuri telah meninggalkan tempat persembunyian mereka terbuka lebar, di depan mata. Leetham terhubung ke mesin Rackspace yang jauh dan mengetik kredensial yang dicuri. Dan begitulah: Direktori server masih berisi seluruh koleksi benih yang dicuri sebagai file .rar terkompresi.

Menggunakan kredensial yang diretas untuk masuk ke server milik perusahaan lain dan mengacaukan data yang disimpan di sana, Leetham mengakui, langkah yang paling tidak ortodoks — dan paling buruk melanggar undang-undang peretasan AS. Tapi melihat RSA yang paling suci dari yang paling suci di server Rackspace, dia tidak ragu-ragu untuk menghapus file dan tekan enter.

Beberapa saat kemudian, baris perintah komputernya muncul kembali dengan tanggapan: “File tidak ditemukan”. Dia memeriksa konten server Rackspace lagi. Itu kosong. Hati Leetham jatuh ke lantai: Para peretas telah menarik database seed dari server beberapa detik sebelum dia dapat menghapusnya.

Dan meski Leetham belum mengetahuinya, rahasia itu kini ada di tangan militer China.

selengkapnya : www.wired.com

Inilah nilai data pribadi Anda yang dicuri di dark web

May 21, 2021 by Mally

Pelanggaran data telah menjadi hal biasa, dan miliaran catatan dicuri di seluruh dunia setiap tahun nya.

Tujuan data yang dicuri tergantung pada siapa yang berada di balik pelanggaran data dan mengapa mereka mencuri jenis data tertentu. Misalnya, ketika pencuri data termotivasi untuk mempermalukan seseorang atau organisasi, mengungkap tindakan yang dianggap salah, atau meningkatkan keamanan siber, mereka cenderung merilis data yang relevan ke domain publik.

Terkadang ketika data dicuri oleh pemerintah nasional, data tidak diungkapkan atau dijual. Sebaliknya, itu digunakan untuk spionase.

Meskipun pelanggaran data dapat menjadi ancaman keamanan nasional, 86% tentang uang, dan 55% dilakukan oleh kelompok kriminal terorganisir, menurut laporan pelanggaran data tahunan Verizon. Data yang dicuri sering kali akhirnya dijual secara online di dark web.

Harga tergantung pada jenis data, permintaan dan penawarannya. Misalnya, surplus besar informasi identitas pribadi yang dicuri menyebabkan harganya turun dari US $ 4 untuk informasi tentang seseorang pada tahun 2014 menjadi $ 1 pada tahun 2015. Sampah email yang berisi ratusan ribu hingga beberapa juta alamat email bernilai $ 10, dan basis data pemilihan umum dari berbagai negara bagian dijual seharga $ 100.

Apa yang dapat Anda lakukan untuk meminimalkan risiko Anda dari data yang dicuri? Langkah pertama adalah mencari tahu apakah informasi Anda dijual di dark web. Anda dapat menggunakan situs web seperti haveibeenpwned dan IntelligenceX untuk melihat apakah email Anda adalah bagian dari data yang dicuri. Anda juga berlangganan layanan perlindungan pencurian identitas.

Jika Anda telah menjadi korban pelanggaran data, Anda dapat mengambil langkah-langkah berikut untuk meminimalkan dampaknya: Memberi tahu agen pelaporan kredit dan organisasi lain yang mengumpulkan data tentang Anda, seperti penyedia layanan kesehatan, perusahaan asuransi, bank, dan perusahaan kartu kredit, dan ubah kata sandi untuk akun Anda. Anda juga dapat melaporkan insiden tersebut ke Komisi Perdagangan Federal untuk mendapatkan rencana yang disesuaikan untuk pulih dari insiden tersebut.

Selengkapnya: The Next Web

Trik Baru Berbahaya Ransomware Mengenkripsi Ganda Data Anda

May 18, 2021 by Mally

KELOMPOK RANSOMWARE selalu mengambil pendekatan lebih. Jika korban membayar tebusan dan kemudian kembali ke bisnis seperti biasa — serang mereka lagi. Eskalasi terbaru? Peretas ransomware yang mengenkripsi data korban dua kali pada waktu yang bersamaan.

Serangan enkripsi ganda pernah terjadi sebelumnya, biasanya berasal dari dua geng ransomware terpisah yang membahayakan korban yang sama pada waktu yang sama. Tetapi perusahaan antivirus Emsisoft mengatakan mereka mengetahui lusinan insiden di mana aktor atau grup yang sama secara sengaja melapisi dua jenis ransomware di atas satu sama lain.

“Kelompok-kelompok itu terus-menerus mencoba mencari strategi mana yang terbaik, yang memberi mereka uang paling banyak untuk usaha yang paling sedikit,” kata analis ancaman Emsisoft, Brett Callow.

Beberapa korban mendapatkan dua catatan tebusan sekaligus, kata Callow, yang berarti bahwa peretas ingin korbannya mengetahui tentang serangan enkripsi ganda. Namun, dalam kasus lain, korban hanya melihat satu catatan tebusan dan hanya mengetahui tentang enkripsi lapis kedua setelah mereka membayar untuk menghilangkan yang pertama.

Emsisoft telah mengidentifikasi dua taktik berbeda. Yang pertama, peretas mengenkripsi data dengan ransomware A dan kemudian mengenkripsi ulang data tersebut dengan ransomware B. Jalur lain melibatkan apa yang disebut Emsisoft sebagai serangan “side-by-side encryption”, di mana serangan mengenkripsi beberapa sistem organisasi dengan ransomware A dan lainnya dengan ransomware B.

Para peneliti juga mencatat bahwa dalam skenario side-by-side ini, penyerang mengambil langkah untuk membuat dua jenis ransomware yang berbeda terlihat semirip mungkin, jadi lebih sulit bagi incident responders untuk memilah apa yang terjadi.

Selengkapnya: Wired

Kode Sumber Rapid7 Bocor dalam Serangan Rantai Pasokan Codecov

May 17, 2021 by Mally

Perusahaan cybersecurity Rapid7 pada hari Kamis mengungkapkan bahwa aktor tak dikenal secara tidak benar berhasil mendapatkan sebagian kecil dari repositori kode sumbernya setelah kompromi rantai pasokan perangkat lunak yang menargetkan Codecov awal tahun ini.

“Sebagian kecil dari repositori kode sumber kami untuk perkakas internal untuk layanan [Deteksi dan Respons yang Dikelola] kami diakses oleh pihak yang tidak berwenang di luar Rapid7,” kata perusahaan yang berbasis di Boston dalam sebuah pengungkapan. “Repositori ini berisi beberapa kredensial internal, yang semuanya telah dirotasi, dan data terkait peringatan untuk sebagian pelanggan MDR kami.”

Pada 15 April, startup audit perangkat lunak Codecov memberi tahu pelanggan bahwa utilitas Bash Uploader-nya telah terinfeksi dengan pintu belakang pada 31 Januari oleh pihak yang tidak dikenal untuk mendapatkan akses ke token otentikasi untuk berbagai akun perangkat lunak internal yang digunakan oleh pengembang. Insiden itu tidak terungkap sampai 1 April.

Rapid7 menegaskan bahwa tidak ada bukti bahwa sistem perusahaan atau lingkungan produksi lain diakses, atau bahwa ada perubahan berbahaya yang dilakukan pada repositori tersebut.

Perusahaan juga menambahkan penggunaan skrip Pengunggah terbatas pada satu server CI yang digunakan untuk menguji dan membangun beberapa alat internal untuk layanan MDR-nya.

Sebagai bagian dari penyelidikan tanggapan insidennya, perusahaan keamanan mengatakan telah memberi tahu sejumlah pelanggan tertentu yang mungkin terkena dampak pelanggaran tersebut.

Selengkapnya: The Hacker News

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings