Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Ransomware Play Mengklaim Serangan Terhadap Jaringan Hotel Jerman H-Hotels

by

Geng Ransomware Play telah mengaku bertanggung jawab atas serangan dunia maya di H-Hotels (h-hotels.com)yang mengakibatkan gangguan komunikasi bagi perusahaan.

H-Hotels adalah bisnis perhotelan dengan 60 hotel di 50 lokasi di Jerman, Austria, dan Swiss, menawarkan total kapasitas 9.600 kamar, dan mempekerjakan 2.500 orang.

H-Hotels mengungkapkan serangan siber tersebut terjadi pada Minggu, 11 Desember 2022. Setelah penyerang berhasil menerobos sistem perlindungan teknis dan organisasi IT, tim IT segera mengambil tindakan dengan mematikan dan memutus Internet untuk menangkal penyebaran lebih lanjut.

Serangan hanya berdampak pada staf hotel yaitu tidak dapat menerima atau menjawab permintaan pelanggan yang dikirim melalui email, sehingga tamu disarankan untuk menghubungi H-Hotels melalui telepon jika diperlukan.

Data Diduga Dicuri Dalam Serangan
Geng ransomware mengklaim telah mencuri data pribadi dan personal, termasuk dokumen klien, paspor, ID, dan lainnya. Namun, pelaku ancaman belum merilis sampel apa pun untuk mendukung klaim tersebut.

Entri H-Hotels di situs Play ransomware Tor (BleepingComputer)

H-Hotel membantah melihat bukti eksfiltrasi data dalam pengumuman minggu lalu, dan tidak ada pembaruan tentang masalah tersebut sejak saat itu.

Kemungkinan tereksposnya detail dan data pemesanan tamu hotel dapat menjadi kasus pelanggaran privasi yang parah, memberikan informasi tentang lokasi mendatang, informasi keuangan, dan masih banyak lagi.

Selengkapnya: BLEEPINGCOMPUTER

Microsoft Menemukan Bug MacOS yang Memungkinkan Malware Melewati Pemeriksaan Keamanan

by

Apple telah memperbaiki kerentanan yang dapat dimanfaatkan penyerang untuk menyebarkan malware pada perangkat MacOS yang rentan melalui aplikasi tidak terpercaya yang mampu melewati batasan eksekusi aplikasi Gatekeeper.

Dilaporkan oleh Jonathan Bar Or, seorang peneliti keamanan utama Microsoft. Bahwa ditemukan kelemahan keamanan yang dijuluki sebagai Achilles, dilacak sebagai CVE-2022-42821.

Bypass Gatekeeper Melalui ACL yang Membatasi
Gatekeeper adalah fitur keamanan MacOS yang memeriksa semua aplikasi yang diunduh dari Internet secara otomatis. Gatekeeper meminta pengguna untuk mengonfirmasi aplikasi tersebut sebelum diluncurkan dan akan mengeluarkan peringatan jika aplikasi tidak dapat dipercaya.

Cacat Achilles memungkinkan muatan yang dibuat khusus menyalahgunakan masalah logika untuk mengkonfigurasi izin Access Control List (ACL) yang membatasi yang memblokir browser web dan pengunduh Internet dari setelan atribut com.apple.quarantine untuk mengunduh muatan yang diarsipkan sebagai file ZIP.

Aplikasi berbahaya yang terkandung dalam muatan berbahaya yang diarsipkan akan diluncurkan di sistem target, memungkinkan penyerang mengunduh dan menyebarkan malware, sehingga pengguna tetap disarankan untuk menerapkan perbaikan meski dalam mode Lockdown.


Lebih Banyak Bypass Keamanan MacOS dan Malware
Ini hanya salah satu dari beberapa bypass Gatekeeper yang ditemukan dalam beberapa tahun terakhir, dengan banyak di antaranya disalahgunakan oleh penyerang untuk menghindari mekanisme keamanan MacOS seperti Gatekeeper, Karantina File, dan Perlindungan Integritas Sistem (SIP) pada Mac yang telah ditambal sepenuhnya.

Selain menemukan powerdir, bug yang memungkinkan penyerang melewati teknologi Transparency, Consent, and Control (TCC) untuk mengakses data pengguna yang dilindungi, peneliti juga merilis kode eksploit untuk kerentanan MacOS (CVE-2022-26706) yang dapat membantu penyerang melewati batasan kotak pasir untuk menjalankan kode pada sistem.

Apple telah memperbaiki kerentanan MacOS zero-day pada April 2021 yang memungkinkan aktor ancaman di balik malware Shlayer. Malware ini terkenal untuk menghindari pemeriksaan keamanan Karantina File, Gatekeeper, dan Notarisasi Apple dan mengunduh lebih banyak malware di Mac yang terinfeksi.

Selengkapnya: BLEEPINGCOMPUTER

Malware Glupteba Kembali Beraksi Setelah Gangguan Google

by

Botnet malware Glupteba telah beraksi kembali, menginfeksi perangkat di seluruh dunia setelah operasinya diganggu oleh Google hampir setahun yang lalu.

Pada Desember 2021, Google berhasil menyebabkan gangguan secara besar-besaran pada botnet yang mengaktifkan blockchain, mengamankan perintah pengadilan untuk mengambil kendali atas infrastruktur botnet dan mengajukan keluhan terhadap dua operator Rusia.

Nozomi melaporkan transaksi blockchain, pendaftaran sertifikat TLS, dan sampel rekayasa balik Glupteba menunjukkan kampanye Glupteba skala besar baru yang dimulai pada Juni 2022 dan masih berlangsung.

Menemukan fungsi yang digunakan untuk mengambil domain C2 (Nozomi)

Bersembunyi di Blockchain
Glupteba adalah malware modular berkemampuan blockchain yang menginfeksi perangkat Windows untuk menambang cryptocurrency, mencuri kredensial dan cookie pengguna, dan menyebarkan proxy pada sistem Windows dan perangkat IoT.

Malware ini sebagian besar didistribusikan melalui malvertising pada jaringan bayar-per-instal (PPI) dan sistem distribusi lalu lintas (TDS) yang mendorong penginstal yang menyamar sebagai perangkat lunak, video, dan film gratis.

Glupteba menggunakan blockchain Bitcoin untuk menghindari gangguan dengan menerima daftar terbaru dari server perintah dan kontrol yang harus dihubungi untuk menjalankan perintah.

Klien botnet mengambil alamat server C2 menggunakan fungsi temukan yang menyebutkan server dompet Bitcoin, mengambil transaksi mereka, dan mem-parsingnya untuk menemukan alamat terenkripsi AES.

Diagram transaksi blockchain. Dari kiri ke kanan, kampanye 2022 (paling kompleks), 2021, 2020, dan 2019 (Nozomi)

Kembalinya Glupteba
Menurut Nozomi, penggunaan blockchain dengan cara yang sama membuat analis Glupteba memindai seluruh blockchain untuk menemukan domain C2 yang tersembunyi.

Dalam investigasi oleh Nozomi, ditemukan sejumlah 15 alamat Bitcoin yang digunakan dalam empat kampanye Glupteba.

Berdasarkan hasil penuturan Nozomi diatas, mulai dari jumlah layanan tersembunyi TOR yang digunakan sebagai server C2 yang meningkat sepuluh kali lipat sejak kampanye 2021, banyak pendaftaran domain Glupteba melalui data DNS pasif dan lainnya, menandakan bahwa botnet Glupteba telah kembali, dan terdapat tanda-tanda yang menunjukkan botnet ini lebih masif dari sebelumnya, bahkan berpotensi lebih tangguh.

Selengkapnya: BLEEPINGCOMPUTER

Tagged With: Blockchain, Botnet, Glupteba, Google, Malware

Peretas T-Mobile Terhukum 10 Tahun Atas Skema Buka Kunci Telepon $25 Juta

by

Argishti Khudaverdyan, mantan pemilik toko ritel T-Mobile, dijatuhi hukuman 10 tahun penjara atas skema $25 juta di mana dia membuka kunci dan membuka blokir ponsel dengan meretas sistem internal T-Mobile.

Antara Agustus 2014 dan Juni 2019, pria berusia 44 tahun dibalik skema tersebut, yang juga diperintahkan untuk membayar $28.473.535 sebagai ganti rugi, “membersihkan” ratusan ribu ponsel untuk “pelanggan” -nya.

Kontrak Khudaverdyan sebagai pemilik toko ritel T-Mobile Solusi Tingkat Atas di California diakhiri oleh operator nirkabel pada Juni 2017 karena perilaku komputernya yang mencurigakan dan hubungannya dengan pembukaan kunci ponsel yang tidak sah.

Khudaverdyan memperoleh akses ke sistem komputer internal T-Mobile menggunakan kredensial yang dicuri dalam serangan phishing dari lebih dari 50 karyawan T-Mobile yang berbeda dengan rekannya, Alen Gharehbagloo, mantan mitra bisnisnya dan salah satu pemilik toko seluler.

Gharehbagloo, juga mengaku bersalah pada 5 Juli atas persekongkolan untuk melakukan penipuan kawat, mengakses komputer yang dilindungi dengan maksud untuk menipu, dan persekongkolan untuk melakukan pencucian uang.

Terdakwa melancarkan aksinya dengan berkedok sebagai layanan membuka kunci premium langsung untuk semua operator telepon kepada pelanggan potensial melalui berbagai cara, termasuk email dan situs web khusus seperti unlocks247.com dan unlockedlocked.com.

Pada sebuah kesempatan, terdakwa menggunakan kredensial T-Mobile miliknya sendiri untuk masuk ke titik akses Wi-Fi T-Mobile dari Texas dan mengakses situs web unlockitall.com, langsung menghubungkan dirinya ke skema buka kunci ponsel ilegal.

Menggunakan kredensial yang dicuri dan nomor IMEI yang dikirim oleh pelanggan melalui situs web yang mereka kendalikan, kedua pria itu membuka kunci ratusan ribu perangkat Android dan iOS menggunakan alat Mobile Device Unlock (MDU) dan MCare Unlock (MCare) khusus T-Mobile.

Selengkapnya: BLEEPINGCOMPUTER

Platform CRM Restoran ‘SevenRooms’ Mengonfirmasi Pelanggaran Setelah Data Dijual

by

Platform manajemen pelanggan Restoran SevenRooms telah mengonfirmasi mengalami pelanggaran data setelah pelaku ancaman mulai menjual data curian di forum peretasan.

Platform Customer Relationship Management (CRM) restoran ini digunakan oleh rantai restoran internasional dan penyedia layanan perhotelan.

Pelanggaran berasal dari postingan seorang pelaku ancaman tentang sampel data di forum peretasan yang dilanggar, mengklaim telah mencuri basis data cadangan 427 GB dengan ribuan file berisi informasi pelanggan SevenRooms.

Sampel tersebut mencakup folder yang diberi nama sesuai jaringan restoran besar, klien SevenRooms, kunci API, kode promo, laporan pembayaran, daftar reservasi, dan banyak lagi.

Beruntungnya, informasi kartu kredit tamu, data rekening bank, nomor jaminan sosial, atau informasi sensitif serupa lainnya tidak disimpan di server yang disusupi, sehingga tidak terungkap dalam serangan itu.

Perusahaan mengonfirmasi bahwa pelanggaran ini disebabkan oleh akses tidak sah ke sistem salah satu vendornya. Meskipun pelanggaran yang terjadi tidak secara langsung menyerang sistem, perusahaan segera melakukan tindakan lanjutan terkait hal ini seperti meluncurkan penyelidikan internal dan menonaktifkan akses ke antarmuka.

Belum diketahui secara jelas restoran dan pelanggaran mana yang terdampak oleh pelanggaran ini, perusahaan akan melihat pemberitahuan pelanggaran data lebih lanjut yang dirilis oleh restoran yang data pelanggannya terungkap.

Selengkapnya: BLEEPINGCOMPUTER

NIST Menghentikan Algoritma Kriptografi SHA-1

by

Fungsi hash kriptografi yang terhormat memiliki kerentanan yang membuat penggunaannya lebih lanjut tidak disarankan.
Algoritma Hash Aman telah digunakan sejak 1995 sebagai bagian dari Standar Pemrosesan Informasi Federal (FIPS) 180-1. Pakar keamanan di National Institute of Standards and Technology (NIST) mengumumkan bahwa SHA-1 harus dihapus pada 31 Desember 2030, mendukung grup algoritma SHA-2 dan SHA-3 yang lebih aman.
Didukung dengan pernyataan oleh Chris Celi, ilmuwan komputer NIST, disarankan agar segera mungkin bermigrasi ke SHA-2 atau SHA-3. Salah satu penyebabnya adalah keparahan serangan collision untuk merusak SHA-1 di aplikasi lain.
SHA-1 berfungsi sebagai blok penyusun untuk banyak aplikasi keamanan, seperti memvalidasi situs web dengan tujuan mengamankan informasi dengan melakukan operasi matematika yang kompleks pada karakter pesan, menghasilkan string karakter pendek yang disebut hash.
Rencana NISAT pada tanggal 31 Desember 2030 antara lain mempublikasikan FIPS 180-5 (revisi FIPS 180) untuk menghapus spesifikasi SHA-1, merevisi SP 800-131A dan publikasi NIST lain yang terpengaruh untuk mencerminkan penarikan SHA-1 yang direncanakan, dan membuat & menerbitkan strategi transisi untuk memvalidasi modul dan algoritma kriptografi.

Selengkapnya: NIST

Kecacatan Parah AMI MegaRAC Memengaruhi Server dari AMD, ARM, HPE, Dell, dan lainnya

by

Tiga kerentanan dalam perangkat lunak American Megatrends MegaRAC Baseboard Management Controller (BMC) berdampak pada peralatan server yang digunakan di banyak penyedia layanan cloud dan pusat data.

Kecacatan yang ditemukan oleh Eclypsium pada Agustus 2022 ini memungkinkan penyerang, dalam kondisi tertentu untuk mengeksekusi kode, melewati autentikasi, dan melakukan pencacahan pengguna.

Peneliti menemukan kekurangan tersebut setelah memeriksa kode hak milik American Megatrends yang bocor, khususnya firmware MegaRAC BMC. Firmware tersebut digunakan oleh setidaknya 15 produsen server, termasuk AMD, Ampere Computing, ASRock, Asus, ARM, Dell EMC, Gigabyte, Hewlett-Packard Enterprise, Huawei, Inspur, Lenovo, Nvidia, Qualcomm, Quanta, dan Tyan.

MegaRAC BMC adalah solusi untuk manajemen sistem jarak jauh “out-of-band” dan “lights-out”, yang memungkinkan admin memecahkan masalah server dari jarak jauh.

Detail Kerentanan
Tiga kerentanan yang ditemukan oleh Eclypsium dan dilaporkan ke American Megatrends dan vendor yang terpengaruh yaitu CVE-2022-40259, CVE-2022-40242, dan CVE-2022-2827.

Satu diantaranya memiliki skor dengan tingkat kritis, dan dua lainnya memiliki skor dengan tingkat tinggi. Tingkat kritis adalah kerentanan yang terparah yang mana memerlukan akses sebelumnya ke setidaknya akun dengan hak istimewa rendah untuk melakukan callback API.

Dampak
Kerentanan yang parah memberikan penyerang akses ke shell administratif tanpa memerlukan eskalasi lebih lanjut.

Hal ini dapat menyebabkan manipulasi data, pelanggaran data, pemadaman layanan, gangguan bisnis, dan lainnya.

Sementara kerentanan dengan skor tingkat tinggi awal tidak memiliki dampak keamanan langsung yang signifikan, namun dapat membuka jalan untuk memeriksa kata sandi baru karena mengetahui akun apa yang ada di target.

Tindakan antisipasi yang dapat dilakukan adalah admin sistem disarankan untuk menonaktifkan opsi administrasi jarak jauh, menambahkan langkah autentikasi jarak jauh jika memungkinkan, meminimalkan paparan eksternal antarmuka manajemen server, dan memastikan pembaruan firmware terbaru yang tersedia diinstal di semua sistem.

Selengkapnya: BLEEPINGCOMPUTER

‘Vulnerabilities’ Ditemukan di Sebagian Besar Pengontrol Industri

by

Tiga perempat perangkat yang menjaga fasilitas seperti instalasi pengelolahan air dan listrik tetap aman dan beroperasi memiliki kerentanan keamanan siber yang parah dan belum diperbaiki.

Ini adalah poin data terbaru tentang ancaman yang, ketika memanfaatkannya, dapat menyebabkan banyak malapetaka:

  • The Student worm memusnahkan sekitar seperlima sentrifugal nuklir Iran lebih dari satu dekade lalu dengan menargetkan pengontrol industri.
  • Industroyer malware menyerang sistem kontrol industri pada tahun 2016 untuk mematikan listrik ke beberapa bagian Kyiv, Ukraina, selama satu jam
  • Seorang peretas secara singkat mampu meningkatkan tingkat alkali di pabrik pengelolahan air di Oldsmar, Florida, tahun lalu ke tingkat yang berbahaya bagi manusia. Untungnya, seorang operator pabrik memperhatikan peretas tersebut dan dapat dengan cepat menggagalkannya.

Mengapa begitu rentan?
Usia sistem ini berarti mereka kadang-kadang berjalan pada perangkat lunak yang tidak lagi diperbarui dan didukung oleh produsen, Bort, pendiri perusahaan keamanan siber SCYTHE, memberi tahu saya. Perangkat dirancang dengan mempertimbangkan ketersediaan dan keamanan, bukan keamanan.

Namun, tidak semua angka microsodt begitu suram.

  • Perusahaan menemukan bahwa pengungkapan kerentanan paling parah pada peralatan kontrol industri yang diproduksi oleh vendor populer melonjak 78 persen dari tahun 2020 ke 2022.
  • Itu tidak berarti ada lebih banyak kerentanan — hanya saja lebih banyak yang ditemukan dan diungkapkan.
  • “Itu sangat positif,” kata Vasu Jakkal, wakil presiden korporat untuk keamanan, kepatuhan, identitas, manajemen, dan privasi di Microsoft kepada saya.

Apa yang orang lain lakukan tentang hal itu
Banyak upaya pemerintah untuk mengamankan perangkat dan sistem ini digabungkan ke dalam inisiatif lain.

Misalnya, Badan keamanan siber dan infrastruktur telah mengundang pakar industri sistem kontrol industri untuk bergabung dalam program untuk berkolaborasi guna mengurangi ancaman siber.

Satu program khusus sistem kontrol industri yang mendapatkan hasil yang baik dari Energy Department’s Office of Cybersecurity, Energy Security and Emergency Response adalah inisiatif yang secara sukarela menghubungkan vendor dengan Laboratorium Nasional unutk mengirimkan peralatan untuk pengujian keamanan, kata Bort

Sementara itu, di Eropa, peraturan keamanan siber yang diusulkan yang dikenal sebagai Undang-Undang Ketahanan Siber akan mewajibkan produk perangkat lunak dan perangkat keras untuk memenuhi tolok ukur keamanan tertentu berdasarkan seberapa “kritis” mereka dianggao.

sumber : The Washington Post