Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Pembuat mainan Mattel mengungkapkan serangan ransomware

by

Pembuat mainan AS Mattel hari ini mengungkapkan bahwa mereka mengalami serangan ransomware yang melumpuhkan beberapa fungsi bisnis, tetapi perusahaan mengatakan pulih dari serangan itu tanpa kerugian finansial yang signifikan. Insiden itu terjadi pada 28 Juli, menurut formulir triwulanan 10-Q yang diajukan perusahaan ke Komisi Bursa Efek AS hari ini. Mattel mengatakan bahwa serangan ransomware awalnya berhasil dan menghasilkan enkripsi yang berhasil pada beberapa sistemnya.

Selama lebih dari setahun, geng ransomware telah mencuri data dan terlibat dalam skema pemerasan ganda, mengancam akan mengunggah data perusahaan yang diretas tersebut ke “situs kebocoran” publik kecuali korban membayar permintaan tebusan. Namun, pembuat mainan tersebut mengatakan bahwa penyelidikan forensik berikutnya menyimpulkan bahwa geng ransomware di balik intrusi Juli tidak mencuri “data bisnis sensitif atau data pelanggan ritel, pemasok, konsumen, atau karyawan.”

Secara keseluruhan, Mattel tampaknya telah lolos dari insiden tersebut hanya dengan waktu henti yang singkat dan tanpa kerusakan yang serius.
Sementara perusahaan seperti Cognizant mengatakan mereka memperkirakan akan kehilangan antara $ 50 juta dan $ 70 juta, dan Norsk Hydro melaporkan kerugian setidaknya $ 40 juta setelah insiden ransomware, Mattel mengatakan serangan ransomware yang dideritanya “tidak berdampak material pada operasi atau kondisi keuangannya.”

sumber : ZDNET

Garda Nasional untuk Membantu Jaringan Kesehatan Vermont Setelah Serangan Cyber

by

Gubernur Vermont telah memanggil Garda Nasional untuk membantu Jaringan Kesehatan Universitas Vermont menanggapi serangan dunia maya yang serius. Enam rumah sakit di Jaringan Kesehatan UVM mengalami masalah jaringan yang signifikan menyusul serangan yang melanda sepekan dari tanggal 25 Oktober.
Dampak serangan terhadap layanan bervariasi di berbagai organisasi afiliasi jaringan. Pemadaman listrik di sejumlah sistem sedang dialami di University of Vermont Medical Center di Burlington, di mana beberapa prosedur elektif yang tidak mendesak telah dijadwalkan ulang. Staf tidak dapat mengakses jadwal janji temu dan beberapa atau semua informasi pasien. Studi tidur telah dibatalkan dan pemindaian radiologi rawat jalan ditunda.

Di Vermont, pasien yang mengunjungi Medical Center Porter di Middlebury atau Medical Center Central Vermont di Berlin telah diperingatkan untuk mengharapkan waktu tunggu yang lebih lama. Selain itu, komunikasi elektronik antara Home Health & Hospice di Colchester dan Medical Center UVM telah terganggu oleh pemadaman listrik.
Di New York, portal pasien rumah sakit untuk Medical Center Alice Hyde di Malone saat ini terputus dan komunikasi elektronik antara Medical Center UVM dan Rumah Sakit Komunitas Elizabethtown terputus.

Kemarin, Gubernur Vermont Phil Scott mengerahkan Tim Respons Maya Gabungan Garda Nasional Vermont untuk membantu tim TI Jaringan Kesehatan UVM dalam meninjau ribuan komputer dan perangkat pengguna akhir. Sementara “kemajuan yang stabil” sedang dilakukan untuk pemulihan total, Jaringan Kesehatan UVM tidak dapat mengatakan dengan pasti kapan semua sistem akan dipulihkan. Data pasien tampaknya tidak terungkap oleh insiden keamanan.

sumber : Infosecurity Magazine

Kampanye Malspam Memanfaatkan Ketidakpastian Pemilihan

by

Penjahat siber telah memanfaatkan ketidakpastian yang sedang berlangsung di sekitar pemilihan AS 2020 untuk meluncurkan kampanye malspam baru yang bertujuan menyebarkan trojan Qbot.
Penjahat di belakang Qbot muncul kembali sehari setelah pemilu dengan email spam yang berusaha memikat korban dengan pesan yang mengklaim memiliki informasi tentang campur tangan pemilu,

Menurut peneliti. “Pemilu AS 2020 telah menjadi subjek pengawasan dan emosi yang intens, sementara terjadi di tengah pandemi global,” para peneliti di Malwarebytes Labs melaporkan dalam posting Rabu. “Dalam kasus ini, kami mulai mengamati kampanye spam baru yang mengirimkan lampiran berbahaya yang mengeksploitasi keraguan tentang proses pemilihan.”

Email terbaru yang diamati oleh tim Lab MalwareBytes menyertakan lampiran ZIP bernama “ElectionInterference_ [8 hingga 9 digit] .zip” dan meminta penerima untuk “Baca dokumen dan beri tahu saya pendapat Anda”.
Jika mengklik pada spreadsheet Excel yang dibuat seolah-olah itu adalah file DocuSign yang aman. “Pengguna tertipu untuk mengizinkan makro untuk ‘mendekripsi’ dokumen,” kata peneliti.

Setelah makro diaktifkan, ia mengunduh muatan berbahaya yang berisi trojan Qbot dengan URL yang dikodekan dalam sel sheet bernama Sirilik “Лист3”. Setelah eksekusi, trojan menghubungi server perintah dan kontrolnya untuk meminta instruksi untuk aktivitas jahatnya. Dalam kasus ini, Qbot mencuri dan mengeksfiltrasi data korban serta mengumpulkan email yang dapat digunakan dalam kampanye malspam di masa mendatang, kata peneliti.

Para pelaku ancaman mengambil keuntungan dari ketidakpastian pemilu 2020 – hasil resmi yang masih belum diketahui – tidak mengejutkan. Peneliti keamanan sejak lama berharap hari pemilihan dan akibatnya akan diganggu oleh para pelaku ancaman siber.

Memang, skenario pemilu 2020 saat ini adalah umpan yang sempurna untuk skema rekayasa sosial yang sering digunakan oleh pelaku ancaman untuk mendistribusikan malware secara massal melalui email berbahaya.

Source : Threatpost

Capcom terkena ransomware Ragnar Locker, 1TB diduga dicuri

by

Dilaporkan oleh Bleeping Computer, pengembang game Jepang Capcom telah mengalami serangan ransomware di mana pelaku ancaman mengklaim telah mencuri 1TB data sensitif dari jaringan perusahaan mereka di AS, Jepang, dan Kanada.

Capcom terkenal dengan franchise game ikoniknya, termasuk Street Fighter, Resident Evil, Devil May Cry, Monster Hunter, dan Mega Man.

Kemarin, Capcom mengumumkan bahwa mereka telah terkena serangan siber pada tanggal 2 November 2020, yang menyebabkan penghentian sebagian jaringan perusahaan mereka untuk mencegah penyebaran serangan tersebut.

Sejak serangan itu, Capcom telah menampilkan pemberitahuan di situsnya yang memperingatkan pengunjung bahwa email dan permintaan dokumen tidak akan dijawab karena serangan tersebut memengaruhi sistem email.

Saat itu, Capcom tidak mengungkapkan detail serangan siber tersebut, tetapi dalam sampel ransomware yang ditemukan oleh peneliti keamanan Pancak3, Bleeping Computer melihat bahwa geng ransomware Ragnar Locker yang berada dibalik serangan itu.

Terlampir dalam catatan tebusan adalah tujuh print.sc URL yang menampilkan tangkapan layar dari file yang dicuri, termasuk perjanjian penghentian karyawan, paspor Jepang, laporan penjualan Steam dari Agustus, pernyataan Bank, perjanjian kontraktor, dan tangkapan layar Pengguna Active Directory dan MMC Komputer untuk Capcom Windows domain.

Sumber: BleepingComputer

Pancak3 mengatakan kepada BleepingComputer bahwa Ragnar Locker mengklaim telah mengenkripsi 2.000 perangkat di jaringan Capcom dan menuntut $11.000.000 dalam bentuk bitcoin untuk sebuah decryptor. Tebusan ini juga termasuk janji untuk menghapus data yang dicuri dan laporan keamanan penetrasi jaringan.

Perlu dicatat bahwa layanan negosiasi ransomware Coveware telah melihat operasi ransomware semakin tidak menepati janji mereka untuk menghapus data yang dicuri setelah uang tebusan dibayarkan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Vendor minuman Italia Campari offline setelah serangan ransomware

by

Seperti yang pertama kali dilaporkan oleh ZDNet, Campari merilis pernyataan pers pada hari Senin di mana mereka menyatakan bahwa mereka mengalami serangan siber selama akhir pekan, yang menyebabkan mereka menutup layanan dan jaringan TI mereka.

Serangan itu telah dikaitkan dengan geng ransomware RagnarLocker, menurut salinan catatan tebusan yang dibagikan dengan ZDNet oleh seorang peneliti malware bernama Pancak3.

sumber: ZDNet

Geng RagnarLocker sekarang mencoba memeras perusahaan agar membayar permintaan tebusan untuk mendekripsi file-nya.

Grup ransomware tersebut juga mengancam akan merilis file yang dicurinya dari jaringan Campari jika perusahaan tidak membayar permintaan tebusan dalam seminggu setelah gangguan awal.

Namun, perusahaan Italia tersebut tampaknya telah memilih untuk memulihkan sistem mereka daripada membayar permintaan tebusan, menurut siaran pers singkat yang diterbitkan pada hari Selasa.

Dalam siaran pers yang sama, Campari juga mengatakan pihaknya mendeteksi intrusi segera setelah terjadi dan segera pindah untuk mengisolasi sistem yang terkena dampak, dan bahwa insiden tersebut diperkirakan tidak akan berdampak signifikan pada hasil keuangannya.

Berita selengkapnya:
Source: ZDNet

Apple memperbaiki tiga zero-day iOS yang sedang aktif dieksploitasi

by

Apple telah merilis pembaruan keamanan hari ini untuk iOS untuk menambal tiga kerentanan zero-day yang ditemukan sedang disalahgunakan dalam serangan terhadap penggunanya.

Menurut Shane Huntley, Direktur Grup Analisis Ancaman Google, tiga zero-day iOS memiliki kaitan dengan tiga zero-day Chrome [1, 2, 3] dan hari nol Windows yang sebelumnya telah diungkapkan Google selama dua minggu terakhir.

Meskipun tidak diketahui apakah zero-days telah digunakan terhadap target yang dipilih atau secara massal, pengguna iOS disarankan untuk memperbarui ke iOS 14.2, hanya untuk berjaga-jaga.

Bug keamanan yang sama juga telah diperbaiki di iPadOS 14.2 dan watchOS 5.3.8, 6.2.9, dan 7.1, dan juga untuk iPhone generasi lama melalui iOS 12.4.9, juga dirilis hari ini.

Menurut ketua tim Google Project Zero Ben Hawkes, yang timnya telah menemukan dan melaporkan serangan tersebut ke Apple, tiga zero-day iOS tersebut adalah:

  1. CVE-2020-27930 – masalah eksekusi kode jarak jauh di komponen iOS FontParser yang memungkinkan penyerang menjalankan kode dari jarak jauh pada perangkat iOS.
  2. CVE-2020-27932 – kerentanan eskalasi hak istimewa di kernel iOS yang memungkinkan penyerang menjalankan kode berbahaya dengan hak istimewa tingkat kernel.
  3. CVE-2020-27950 – kebocoran memori di kernel iOS yang memungkinkan penyerang untuk mengambil konten dari memori kernel perangkat iOS.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Cisco mengungkapkan zero-day VPN AnyConnect

by

Cisco telah mengungkapkan kerentanan zero-day dalam perangkat lunak Cisco AnyConnect Secure Mobility Client dengan kode eksploitasi proof-of-concept yang tersedia untuk umum.

Meskipun pembaruan keamanan belum tersedia untuk kerentanan eksekusi kode arbitrary ini, Cisco sedang berupaya mengatasi zero-day, dengan perbaikan yang akan datang di rilis klien AnyConnect mendatang.

Namun, kelemahan keamanan Cisco AnyConnect Secure Mobility Client belum dieksploitasi di dunia nyata menurut Cisco Product Security Incident Response Team (PSIRT).

Kerentanan dengan tingkat keparahan tinggi yang dilacak sebagai CVE-2020-3556 ada di saluran komunikasi antarproses (IPC) dari Cisco AnyConnect Client dan dapat memungkinkan penyerang lokal dan terotentikasi untuk mengeksekusi skrip berbahaya melalui pengguna yang ditargetkan.

Ini memengaruhi semua versi klien AnyConnect untuk Windows, Linux, dan macOS dengan konfigurasi yang rentan – klien iOS dan Android seluler tidak terpengaruh oleh kerentanan ini.

Meskipun tidak ada solusi yang tersedia untuk mengatasi CVE-2020-3556, ini dapat dikurangi dengan menonaktifkan fitur Pembaruan Otomatis.

Permukaan serangan juga dapat dikurangi secara drastis dengan mematikan pengaturan konfigurasi Enable Scripting pada perangkat yang mengaktifkannya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Maze, sebuah grup ransomware terkenal, mengatakan mengakhiri bisnis mereka

by

Salah satu grup ransomware pencuri data yang paling aktif dan terkenal jahat, Maze, mengatakan “secara resmi ditutup”.

Pengumuman itu datang sebagai pernyataan yang membingungkan, penuh dengan kesalahan ejaan dan diterbitkan di situs webnya di dark web, yang selama setahun terakhir telah menerbitkan banyak dokumen dan file internal curian dari perusahaan yang ditargetkan, termasuk Cognizant, firma asuransi keamanan siber Chubb, raksasa farmasi ExecuPharm, pemasok suku cadang Tesla dan SpaceX Visser dan kontraktor pertahanan Kimchuk.

Maze awalnya menggunakan alat eksploitasi dan spam untuk menginfeksi korbannya, tetapi kemudian mulai menggunakan kerentanan keamanan yang diketahui untuk secara khusus menargetkan perusahaan besar. Maze dikenal menggunakan server jaringan pribadi virtual (VPN) dan desktop jarak jauh (RDP) yang rentan untuk meluncurkan serangan bertarget terhadap jaringan korbannya.

“Mungkin saja kelompok itu merasa telah menghasilkan cukup uang untuk menutup layanan dan berlayar menuju matahari terbenam. Namun, mungkin juga – dan juga lebih mungkin – bahwa mereka telah memutuskan untuk mengubah brand”, kata Brett Callow, pakar ransomware dan analis ancaman di perusahaan keamanan Emsisoft.

Callow mengatakan pembubaran kelompok tersebut menyisakan pertanyaan terbuka tentang hubungan dan keterlibatan kelompok Maze dengan kelompok lain. “Karena Maze adalah operasi afiliasi, mitra mereka dalam kejahatan kemungkinan tidak akan pensiun dan sebaliknya hanya akan menyesuaikan diri dengan grup lain,” katanya.

Maze menyangkal bahwa mereka adalah “kartel” kelompok ransomware dalam pernyataannya, tetapi para ahli tidak setuju. Steve Ragan, seorang peneliti keamanan di Akamai, mengatakan Maze diketahui memposting di situs webnya data dari ransomware lain, seperti Ragnar Locker dan ransomware-for-rent LockBit.

Sumber: TechCrunch

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Tech Crunch