Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Pasangan Peretas Menghapus Data Jaringan Hotel untuk Bersenang-senang

by

Peretas mengatakan kepada BBC bahwa mereka melakukan serangan siber yang merusak terhadap pemilik Holiday Inn, Intercontinental Hotels Group (IHG) “untuk bersenang-senang”.

Menggambarkan diri mereka sebagai pasangan dari Vietnam, mereka mengatakan bahwa mereka pertama kali mencoba serangan ransomware, kemudian menghapus sejumlah besar data ketika mereka digagalkan.

Mereka mengakses database perusahaan FTSE 100 berkat kata sandi yang mudah ditemukan dan lemah, Qwerty1234.

Seorang ahli mengatakan kasus ini menyoroti sisi balas dendam dari peretas kriminal.

IHG yang berbasis di Inggris mengoperasikan 6.000 hotel di seluruh dunia, termasuk merek Holiday Inn, Crowne Plaza, dan Regent.

Pada hari Senin minggu lalu, pelanggan melaporkan masalah yang meluas dengan pemesanan dan check-in.

Selama 24 jam IHG menanggapi keluhan di media sosial dengan mengatakan bahwa perusahaan “sedang menjalani pemeliharaan sistem”.

Kemudian pada Selasa sore ia memberi tahu investor bahwa itu telah diretas.

“Saluran pemesanan dan aplikasi lain telah terganggu secara signifikan sejak kemarin,” katanya dalam pemberitahuan resmi yang diajukan ke London Stock Exchange.

Gambar, yang telah dikonfirmasi oleh IHG adalah asli, menunjukkan bahwa mereka memperoleh akses ke email Outlook internal perusahaan, obrolan Tim Microsoft, dan direktori server.

“Serangan kami awalnya direncanakan untuk menjadi ransomware tetapi tim TI perusahaan terus mengisolasi server sebelum kami memiliki kesempatan untuk menyebarkannya, jadi kami pikir ada beberapa [sic] yang lucu. Kami melakukan serangan wiper sebagai gantinya,” salah satu peretas dikatakan.

Serangan wiper adalah bentuk serangan cyber yang menghancurkan data, dokumen, dan file secara permanen.

Spesialis keamanan siber Rik Ferguson, wakil presiden keamanan di Forescout, mengatakan insiden itu adalah kisah peringatan karena, meskipun tim TI perusahaan awalnya menemukan cara untuk menangkis mereka, para peretas masih dapat menemukan cara untuk menyerang mereka. kerusakan.

“Perubahan taktik para peretas tampaknya lahir dari frustrasi dendam,” katanya. “Mereka tidak bisa menghasilkan uang sehingga mereka menyerang, dan itu benar-benar mengkhianati fakta bahwa kita tidak berbicara tentang penjahat dunia maya ‘profesional’ di sini.”

IHG mengatakan sistem yang dihadapi pelanggan kembali normal tetapi layanan itu mungkin tetap terputus-putus.

Para peretas tidak menunjukkan penyesalan tentang gangguan yang mereka timbulkan terhadap perusahaan dan pelanggannya.

“Kami tidak merasa bersalah, sungguh. Kami lebih suka memiliki pekerjaan legal di Vietnam tetapi upahnya rata-rata $300 per bulan. Saya yakin peretasan kami tidak akan banyak merugikan perusahaan.”

Peretas mengatakan tidak ada data pelanggan yang dicuri tetapi mereka memiliki beberapa data perusahaan, termasuk catatan email.

TeaPea mengatakan mereka memperoleh akses ke jaringan TI internal IHG dengan menipu seorang karyawan agar mengunduh perangkat lunak berbahaya melalui lampiran email yang dijebak.

Mereka juga harus melewati pesan prompt keamanan tambahan yang dikirim ke perangkat pekerja sebagai bagian dari sistem otentikasi dua faktor.

Para penjahat kemudian mengatakan bahwa mereka mengakses bagian paling sensitif dari sistem komputer IHG setelah menemukan detail login untuk brankas kata sandi internal perusahaan.

“Nama pengguna dan kata sandi untuk lemari besi tersedia untuk semua karyawan, sehingga 200.000 staf dapat melihat. Dan kata sandinya sangat lemah,” kata mereka kepada BBC.

Anehnya, kata sandinya adalah Qwerty1234, yang secara teratur muncul di daftar kata sandi yang paling umum digunakan di seluruh dunia.

“Data sensitif seharusnya hanya tersedia untuk karyawan yang membutuhkan akses ke data itu untuk melakukan pekerjaan mereka, dan mereka harus memiliki tingkat akses minimum [yang diperlukan] untuk menggunakan data itu,” kata Ferguson, setelah melihat tangkapan layar.

“Bahkan kata sandi yang sangat rumit sama tidak amannya dengan kata sandi sederhana jika dibiarkan terbuka.”

Seorang juru bicara IHG membantah bahwa rincian brankas kata sandi tidak aman, mengatakan bahwa penyerang harus menghindari “keamanan berlapis”, tetapi tidak akan memberikan perincian tentang keamanan ekstra.

“IHG menggunakan strategi pertahanan mendalam untuk keamanan informasi yang memanfaatkan banyak solusi keamanan modern,” tambahnya.

Sumber: MSN

LastPass Mengatakan Peretas Memiliki Akses Internal Selama Empat Hari

by

LastPass mengatakan penyerang di balik pelanggaran keamanan Agustus memiliki akses internal ke sistem perusahaan selama empat hari sampai mereka terdeteksi dan diusir.

Dalam pembaruan pemberitahuan insiden keamanan yang diterbitkan bulan lalu, CEO Lastpass Karim Toubba juga mengatakan bahwa penyelidikan perusahaan (dilakukan dalam kemitraan dengan perusahaan keamanan siber Mandiant) tidak menemukan bukti bahwa pelaku ancaman mengakses data pelanggan atau brankas kata sandi terenkripsi.

“Meskipun pelaku ancaman dapat mengakses lingkungan Pengembangan, desain dan kontrol sistem kami mencegah pelaku ancaman mengakses data pelanggan atau brankas kata sandi terenkripsi,” kata Toubba.

Sementara metode di mana penyerang dapat mengkompromikan titik akhir pengembang Lastpass untuk mengakses lingkungan Pengembangan, penyelidikan menemukan bahwa aktor ancaman dapat menyamar sebagai pengembang setelah ia “berhasil mengautentikasi menggunakan otentikasi multi-faktor.”

Setelah menganalisis kode sumber dan pembuatan produksi, perusahaan juga tidak menemukan bukti bahwa penyerang mencoba menyuntikkan kode berbahaya.

Ini mungkin karena hanya tim Rilis Build yang dapat mendorong kode dari Pengembangan ke Produksi, dan meskipun demikian, Toubba mengatakan proses tersebut melibatkan tahap peninjauan kode, pengujian, dan validasi.

Selain itu, ia menambahkan bahwa lingkungan Pengembangan LastPass “secara fisik terpisah dari, dan tidak memiliki konektivitas langsung ke” lingkungan Produksi Lastpass.

Setelah insiden itu, Lastpass telah “menerapkan kontrol keamanan yang ditingkatkan termasuk kontrol dan pemantauan keamanan titik akhir tambahan,” serta kemampuan intelijen ancaman tambahan dan teknologi deteksi dan pencegahan yang ditingkatkan di lingkungan Pengembangan dan Produksi.

Pemberitahuan pelanggaran tertunda selama dua minggu
Pembaruan ini muncul setelah Lastpass memberi tahu pengguna pada 25 Agustus bahwa “baru-baru ini mendeteksi beberapa aktivitas yang tidak biasa” di lingkungan pengembangannya.

Pengungkapan itu terjadi setelah BleepingComputer mengetahui pelanggaran tersebut dari orang dalam satu minggu sebelumnya dan menghubungi perusahaan pada 21 Agustus tanpa menerima jawaban atas pertanyaan dan permintaan untuk mengonfirmasi insiden tersebut.

Dalam surat yang dikirim ke pelanggan setelah email BleepingComputer, Lastpass mengkonfirmasi bahwa itu diretas dua minggu sebelumnya dan bahwa penyerang telah mencuri beberapa kode sumber dan informasi teknis kepemilikan.

“Dua minggu lalu, kami mendeteksi beberapa aktivitas yang tidak biasa dalam bagian dari lingkungan pengembangan LastPass,” kata perusahaan saat itu.

“Setelah memulai penyelidikan segera, kami tidak melihat bukti bahwa insiden ini melibatkan akses ke data pelanggan atau brankas kata sandi terenkripsi.”

LastPass menyediakan salah satu perangkat lunak manajemen kata sandi paling populer di dunia, dengan perusahaan mengklaim bahwa itu digunakan oleh lebih dari 33 juta orang dan 100.000 bisnis.

Sumber: BleepingComputer

Iklan Umpan Berita Microsoft Edge Disalahgunakan untuk Penipuan Dukungan Teknis

by

Kampanye malvertising yang sedang berlangsung menyuntikkan iklan di Umpan Berita Microsoft Edge untuk mengarahkan calon korban ke situs web yang mendorong penipuan dukungan teknis.

Microsoft Edge saat ini adalah browser web default pada komputer yang menjalankan sistem operasi Windows dan saat ini memiliki pangsa pasar 4,3% di seluruh dunia, menurut Statcounter’s Global Stats.

Operasi penipuan ini telah berjalan setidaknya selama dua bulan, menurut Tim Intelijen Ancaman Malwarebytes, yang mengatakan ini adalah salah satu kampanye paling luas saat ini berdasarkan jumlah kebisingan telemetri yang dihasilkannya.

Ini tidak mengherankan mengingat skalanya, dengan penyerang beralih di antara ratusan subdomain ondigitalocean.app untuk meng-host halaman penipuan mereka dalam satu hari.

Beberapa iklan berbahaya yang mereka masukkan ke timeline Edge News Feed juga ditautkan ke lebih dari selusin domain, setidaknya salah satunya (tissatweb[.]us) juga dikenal sebagai hosting loker browser di masa lalu.

Alur pengalihan yang digunakan untuk mengirim pengguna Edge dimulai dengan pemeriksaan browser web target untuk beberapa pengaturan, seperti zona waktu, untuk memutuskan apakah mereka sepadan dengan waktu mereka. Jika tidak, mereka akan mengirimnya ke halaman umpan.

Untuk mengalihkan ke halaman arahan penipuan mereka, pelaku ancaman menggunakan jaringan iklan Taboola untuk memuat skrip JavaScript yang disandikan Base64 yang dirancang untuk memfilter calon korban.

“Tujuan dari skrip ini adalah untuk hanya menampilkan pengalihan berbahaya kepada calon korban, mengabaikan bot, VPN, dan geolokasi yang tidak menarik yang malah ditampilkan halaman yang tidak berbahaya terkait dengan iklan tersebut,” jelas Malwarebytes.

“Skema ini dimaksudkan untuk mengelabui pengguna yang tidak bersalah dengan halaman loker browser palsu, sangat terkenal dan digunakan oleh scammer dukungan teknis.”

Meskipun Malwarebytes tidak mengatakan apa yang terjadi jika Anda menghubungi nomor telepon penipu, dalam kebanyakan kasus, mereka akan mengunci komputer Anda menggunakan berbagai metode atau memberi tahu Anda bahwa perangkat Anda terinfeksi dan Anda perlu membeli lisensi dukungan.

Atau, begitu mereka terhubung ke komputer Anda untuk membantu Anda, scammers akan mencoba meyakinkan korbannya untuk membayar kontrak dukungan teknis yang mahal tanpa manfaat bagi korban.

“Dalam kemitraan dengan penyedia periklanan kami, kami telah menghapus konten ini dan memblokir pengiklan dari jaringan kami,” kata juru bicara Microsoft kepada BleepingComputer.

“Kami tetap berdedikasi untuk keselamatan pengguna kami dan akan terus bekerja dengan mitra kami untuk mendeteksi, menghilangkan, dan memberikan solusi teknologi baru untuk mencegah serangan malware dan mengatasi ancaman ini.”

Pembaruan: Menambahkan pernyataan Microsoft.

Sumber: BleepingComputer

Chrome untuk Android Mendapatkan Tab Penyamaran yang Dilindungi Sidik Jari

by

Inilah fitur baru yang menyenangkan untuk Chrome untuk Android: tab penyamaran yang dilindungi sidik jari. 9to5Google menemukan fitur di saluran stabil Chrome 105, meskipun Anda harus menggali jauh ke dalam pengaturan untuk mengaktifkannya saat ini.

Jika Anda ingin menambahkan sedikit lebih banyak perlindungan ke sesi penjelajahan pribadi Anda, ketik “chrome://flags/#incognito-reauthentication-for-android” ke dalam bilah alamat dan tekan enter. Setelah mengaktifkan bendera dan memulai ulang Chrome, Anda akan melihat opsi untuk “Mengunci tab Penyamaran saat Anda meninggalkan Chrome”. Jika Anda meninggalkan sesi Penyamaran dan kembali, layar “buka kunci Penyamaran” akan muncul alih-alih tab Anda, dan Anda akan diminta untuk memindai sidik jari.

Chrome di iOS telah memiliki fitur Penyamaran yang didukung biometrik, yang disebut “Layar Privasi,” selama beberapa tahun. Ini adalah yang pertama untuk Android. Menu “bendera” Chrome secara teknis untuk eksperimen dan fitur dalam pengembangan, jadi ini tidak dijamin menjadi fitur pengguna yang mudah diakses, tetapi membuatnya ke saluran stabil—ditambah fitur yang sudah ada di iOS—adalah pertanda baik.

Sumber: ArsTechnica

Pembaharuan sistem KB5017308 Windows 10 menyebabkan masalah dengan pengaturan Group Policy

by

Pembaruan kumulatif Windows 10 KB5017308 yang dirilis Patch Selasa ini dilaporkan menyebabkan masalah Group Policy Object (GPO), menurut laporan admin.

Menurut laporan yang dibagikan di beberapa jejaring sosial dan komunitas online Microsoft, operasi file GPO tidak akan berfungsi lagi karena mereka tidak dapat lagi membuat atau menyalin pintasan dengan benar setelah menginstal KB5017308.

“Secara khusus, kami menyalin file batch ke dokumen publik, lalu menyalin pintasan ke desktop pengguna saat ini untuk menjalankannya,” kata seorang admin di Reddit.

“Sejak pembaruan, ikon tidak ditransfer untuk pintasan (yaitu ikon kosong sekarang) dan file batch sebenarnya kosong saat disalin.”

Yang lain mengkonfirmasi masalah ini di situs web Komunitas Microsoft, mengatakan bahwa semua pintasan yang dibuat oleh GPO “dibuat kosong dengan 0 byte dan tidak ada info ke mana pintasan “mengarah.”

Meskipun Microsoft belum secara resmi mengakui masalah ini dan memberikan perbaikan atau solusi, beberapa admin Windows telah melaporkan bahwa menghapus centang pada opsi “Jalankan dalam konteks keamanan pengguna” pada GPO yang terpengaruh akan mengatasi masalah pembuatan pintasan.

Yang lain juga menyarankan perbaikan yang lebih radikal yang memerlukan penghapusan dan penyembunyian pembaruan kumulatif KB5017308 secara manual.

“Untuk menghapus LCU setelah menginstal paket SSU dan LCU gabungan, gunakan opsi baris perintah DISM/Hapus-Paket dengan nama paket LCU sebagai argumen. Anda dapat menemukan nama paket dengan menggunakan perintah ini: DISM /online /get- paket,” kata Microsoft.

“Menjalankan Windows Update Standalone Installer (wusa.exe) dengan sakelar /uninstall pada paket gabungan tidak akan berfungsi karena paket gabungan berisi SSU. Anda tidak dapat menghapus SSU dari sistem setelah penginstalan.”

Namun, penting untuk disebutkan bahwa, karena Microsoft menggabungkan semua perbaikan keamanan ke dalam satu pembaruan, menghapus KB5017308 dapat menyelesaikan bug tetapi juga akan menghapus semua perbaikan untuk kerentanan keamanan yang baru saja ditambal.

Selengkapnya: Bleeping Computer

Alarm atas serangan siber layanan kesehatan semakin keras / FBI memperingatkan organisasi layanan kesehatan bahwa perangkat medis bisa menjadi risiko besar

by

Alarm keamanan siber telah berdering keras di industri layanan kesehatan bulan ini. FBI memperingatkan fasilitas kesehatan bahwa perangkat medis (seperti monitor pasien atau pompa infus) sering berjalan pada perangkat lunak usang yang rentan terhadap peretasan.

Serangkaian peringatan datang dengan kesadaran yang berkembang tentang betapa berbahayanya celah keamanan siber dalam layanan kesehatan. Organisasi layanan kesehatan semakin bergantung pada perangkat yang terhubung ke internet untuk melakukan hal-hal seperti melacak catatan pasien dan memberikan obat-obatan. Dan mereka semakin menjadi target serangan ransomware, yang dapat mencuri data dan mematikan sistem yang mereka gunakan untuk memberikan perawatan.

Para ahli menghabiskan waktu bertahun-tahun dengan frustrasi karena rumah sakit tidak menganggap serius keamanan siber. Namun selama pandemi COVID-19, gelombang itu mulai bergeser. Dengan peringatannya minggu ini, FBI bergabung dengan Kongres dalam menangani kerentanan perangkat medis secara serius – awal musim panas ini, para senator mengusulkan undang-undang yang akan mengharuskan Food and Drug Administration untuk mengeluarkan pedoman yang lebih teratur seputar keamanan siber perangkat medis. FDA juga meminta lebih banyak kekuatan untuk membuat aturan seputar keamanan siber.

Insiden seperti peretasan di Pusat Medis OakBend sangat umum akhir-akhir ini sehingga mereka hampir tidak terdaftar di barometer berita nasional. Kebanyakan orang tidak menyadari bahwa itu terjadi secara teratur – atau bahwa itu sangat berbahaya.

Tetapi dengan hal-hal seperti tindakan kongres dan peringatan FBI yang meningkat, para ahli berharap bahwa keamanan siber akhirnya mulai menjadi prioritas. “Saya yakin kami membuat langkah untuk akhirnya benar-benar menangani ransomware,” Oscar Miranda, kepala teknologi untuk perawatan kesehatan di perusahaan keamanan siber Armis, mengatakan kepada The Verge tahun lalu.

Selengkapnya: The Verge

Pranksters di Twitter menggagalkan bot GPT-3 dengan peretasan “prompt injection” yang baru ditemukan

by

Pada hari Kamis, beberapa pengguna Twitter menemukan cara membajak bot tweet otomatis, yang didedikasikan untuk pekerjaan jarak jauh, yang berjalan pada model bahasa GPT-3 oleh OpenAI. Menggunakan teknik yang baru ditemukan yang disebut “promt injection attack”, mereka mengarahkan bot untuk mengulangi frasa yang memalukan dan konyol.

Bot dijalankan oleh Remoteli.io, sebuah situs yang mengumpulkan peluang kerja jarak jauh dan menggambarkan dirinya sebagai “bot berbasis OpenAI yang membantu Anda menemukan pekerjaan jarak jauh yang memungkinkan Anda bekerja dari mana saja.” Biasanya akan menanggapi tweet yang diarahkan padanya dengan pernyataan umum tentang hal-hal positif dari pekerjaan jarak jauh. Setelah eksploitasi menjadi viral dan ratusan orang mencoba eksploitasi untuk diri mereka sendiri, bot ditutup kemarin malam.

Peretasan ini terjadi hanya empat hari setelah peneliti data Riley Goodside menemukan kemampuan untuk meminta GPT-3 dengan “input berbahaya” yang memerintahkan model untuk mengabaikan petunjuk sebelumnya dan melakukan hal lain sebagai gantinya. Peneliti AI Simon Willison memposting garis besar eksploitasi di blognya pada hari berikutnya, menciptakan istilah “prompt injection” untuk menggambarkannya.

“Eksploitasi hadir kapan saja ada orang yang menulis perangkat lunak yang berfungsi dengan memberikan serangkaian instruksi cepat yang diprogram dan kemudian menambahkan input yang disediakan oleh pengguna,” kata Willison kepada Ars. “Hal tersebut dikarenakan pengguna dapat mengetik ‘Abaikan instruksi sebelumnya dan (lakukan ini sebagai gantinya).'”

Selengkapnya: ars TECHNICA

Kematian Ratu Elizabeth II dieksploitasi untuk mencuri kredensial Microsoft

by

Pelaku ancaman mengeksploitasi kematian Ratu Elizabeth II dalam serangan phishing untuk memikat target mereka ke situs yang mencuri kredensial akun Microsoft mereka.

Selain detail akun Microsoft, penyerang juga berusaha mencuri kode otentikasi multi-faktor (MFA) korban mereka untuk mengambil alih akun mereka.

Dalam kampanye yang ditemukan oleh Proofpoint, aktor phishing menyamar sebagai “tim Microsoft” dan mencoba memancing penerima untuk menambahkan memo mereka ke papan memori online “untuk mengenang Yang Mulia Ratu Elizabeth II.”

Setelah mengklik tombol yang disematkan di dalam email phishing, target malah dikirim ke halaman arahan phishing di mana mereka diminta untuk memasukkan kredensial Microsoft mereka terlebih dahulu.

Contoh email phishing (Proofpoint)

Penyerang menggunakan platform reverse-proxy Phishing-as-a-Service (PaaS) baru yang dikenal sebagai EvilProxy yang dipromosikan di forum clearnet dan dark web hacking, yang memungkinkan aktor ancaman berketerampilan rendah mencuri token otentikasi untuk melewati MFA.

Pusat Keamanan Siber Nasional Inggris memperingatkan pada hari Selasa tentang peningkatan risiko penjahat dunia maya mengeksploitasi kematian Ratu untuk keuntungan mereka sendiri dalam kampanye phishing dan penipuan lainnya.

“Sementara NCSC – yang merupakan bagian dari GCHQ – belum melihat bukti ekstensif tentang hal ini, seperti biasa Anda harus menyadari kemungkinan itu dan memperhatikan email, pesan teks, dan komunikasi lain mengenai kematian Yang Mulia Raja. Ratu dan pengaturan pemakamannya,” kata NCSC.

Meskipun aktivitas berbahaya ini tampaknya terbatas, NCSC telah melihat serangan phishing tersebut dan saat ini sedang menyelidikinya.

Sumber juga mengatakan bahwa NCSC mengetahui pesan phishing di mana penyerang berusaha mengelabui calon korban agar menyerahkan informasi sensitif, termasuk rincian perbankan.

“Tujuannya sering kali membuat Anda mengunjungi situs web, yang mungkin mengunduh virus ke komputer Anda, atau mencuri detail bank atau informasi pribadi lainnya.”