Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

AI Beracun: Krisis Cybersecurity Berikutnya

by

Banyak machine learning bergantung pada kumpulan data besar-besaran yang tidak diketahui asalnya. Itu masalah ketika pertahanan digital yang serius.

Selama dekade terakhir, kecerdasan buatan telah digunakan untuk mengenali wajah, menilai kelayakan kredit dan memprediksi cuaca. Pada saat yang sama, peretasan yang semakin canggih menggunakan metode lebih tersembunyi telah meningkat. Kombinasi AI dan cybersecurity tidak dapat dihindari karena kedua bidang mencari alat yang lebih baik dan penggunaan baru untuk teknologi mereka. Tetapi ada masalah besar yang mengancam untuk melemahkan upaya ini dan dapat memungkinkan musuh untuk melewati pertahanan digital tanpa terdeteksi.

Bahayanya adalah keracunan data: memanipulasi informasi yang digunakan untuk melatih mesin menawarkan metode yang hampir tidak dapat dilacak untuk menyiasati pertahanan bertenaga AI. Banyak perusahaan mungkin tidak siap untuk menghadapi tantangan yang meningkat. Pasar global untuk cybersecurity AI sudah diperkirakan akan meningkat tiga kali lipat pada tahun 2028 menjadi $ 35 miliar. Penyedia keamanan dan klien mereka mungkin harus menambal bersama beberapa strategi untuk mencegah ancaman.

Sifat pembelajaran mesin, bagian dari AI, adalah target keracunan data. Mengingat rim data, komputer dapat dilatih untuk mengkategorikan informasi dengan benar. Sebuah sistem mungkin belum melihat gambar Lassie, tetapi mengingat cukup banyak contoh hewan yang berbeda yang diberi label dengan benar oleh spesies (dan bahkan berkembang biak) ia harus dapat menduga dia adalah seekor anjing. Dengan lebih banyak sampel, ia akan dapat menebak dengan benar jenis anjing TV yang terkenal: Rough Collie. Komputer tidak benar-benar tahu. Ini hanya membuat kesimpulan yang diinformasikan secara statistik berdasarkan data pelatihan masa lalu.

Pendekatan yang sama digunakan dalam cybersecurity. Untuk menangkap perangkat lunak berbahaya, perusahaan memberi makan sistem mereka dengan data dan membiarkan mesin belajar dengan sendirinya. Komputer yang dipersenjatai dengan banyak contoh kode baik dan buruk dapat belajar untuk mencari perangkat lunak berbahaya (atau bahkan potongan perangkat lunak) dan menangkapnya.

Teknik canggih yang disebut jaringan saraf – meniru struktur dan proses otak manusia – berjalan melalui data pelatihan dan membuat penyesuaian berdasarkan informasi yang diketahui dan baru. Jaringan seperti itu tidak perlu melihat sepotong kode jahat tertentu untuk menduga bahwa itu buruk. Ini dipelajari untuk dirinya sendiri dan dapat memprediksi yang baik versus yang jahat secara memadai.

“Kami sudah tahu bahwa peretas yang banyak akal dapat memanfaatkan pengamatan ini untuk keuntungan mereka,” Giorgio Severi, seorang mahasiswa PhD di Northwestern University, mencatat dalam presentasi baru-baru ini di simposium keamanan Usenix.

Dengan menggunakan analogi hewan, jika peretas fobia-kucing ingin menyebabkan malapetaka, mereka dapat memberi label banyak foto sloth sebagai kucing, dan dimasukkan ke dalam database sumber terbuka hewan peliharaan rumah. Karena mamalia yang memeluk pohon akan muncul jauh lebih jarang dalam korpus hewan peliharaan, sampel kecil data beracun ini memiliki peluang bagus untuk menipu sistem agar memunculkan foto sloth ketika diminta untuk menunjukkan anak kucing.

Ini adalah teknik yang sama untuk peretas yang lebih berbahaya. Dengan hati-hati membuat kode berbahaya, melabeli sampel ini sebagai baik, dan kemudian menambahkannya ke kumpulan data yang lebih besar, seorang peretas dapat menipu jaringan netral untuk menduga bahwa potongan perangkat lunak yang menyerupai contoh buruk, pada kenyataannya, tidak berbahaya. Menangkap sampel yang salah hampir tidak mungkin. Jauh lebih sulit bagi manusia untuk mengobrak-abrik kode komputer daripada menyortir gambar sloth dari kucing.

Agar tetap aman, perusahaan perlu memastikan data mereka bersih, tetapi itu berarti melatih sistem mereka dengan contoh yang lebih sedikit daripada yang mereka dapatkan dengan penawaran open source. Dalam pembelajaran mesin, ukuran sampel penting.

Permainan kucing-dan-tikus antara penyerang dan pembela telah berlangsung selama beberapa dekade, dengan AI hanya alat terbaru yang dikerahkan untuk membantu sisi baik tetap di depan. Ingat: Kecerdasan buatan tidak mahakuasa. Peretas selalu mencari eksploitasi berikutnya.

Sumber: Bloomberg

Quantum ransomware terlihat digunakan dalam serangan jaringan yang cepat

by

Ransomware Quantum, jenis yang pertama kali ditemukan pada Agustus 2021, terlihat melakukan serangan cepat yang meningkat dengan cepat, meninggalkan sedikit waktu bagi para pembela untuk bereaksi.

Pelaku ancaman menggunakan malware IcedID sebagai salah satu vektor akses awal mereka, yang menyebarkan Cobalt Strike untuk akses jarak jauh dan mengarah ke pencurian data dan enkripsi menggunakan Quantum Locker.

Rincian teknis serangan ransomware Quantum dianalisis oleh peneliti keamanan di The DFIR Report, yang mengatakan serangan itu hanya berlangsung 3 jam 44 menit dari infeksi awal hingga penyelesaian perangkat enkripsi.

Serangan yang dilihat oleh The DFIR Report menggunakan malware IcedID sebagai akses awal ke mesin target, yang mereka yakini datang melalui email phishing yang berisi lampiran file ISO.

IcedID adalah trojan perbankan modular yang digunakan selama lima tahun terakhir, terutama untuk penyebaran payload tahap kedua, loader, dan ransomware.

Kombinasi arsip IcedID dan ISO telah digunakan dalam serangan lain baru-baru ini, karena file ini sangat baik untuk melewati kontrol keamanan email.

Dua jam setelah infeksi awal, pelaku ancaman menyuntikkan Cobalt Strike ke dalam proses C:\Windows\SysWOW64\cmd.exe untuk menghindari deteksi.

Langkah pertama dari rantai infeksi (DFIR)

Pada fase ini, penyusup mencuri kredensial domain Windows dengan membuang memori LSASS, yang memungkinkan mereka menyebar secara lateral melalui jaringan.

Akhirnya, pelaku ancaman menggunakan WMI dan PsExec untuk menyebarkan muatan ransomware Quantum dan mengenkripsi perangkat.

Serangan ini hanya memakan waktu empat jam, yang cukup cepat, dan karena serangan ini biasanya terjadi larut malam atau selama akhir pekan, serangan ini tidak memberikan jendela besar bagi admin jaringan dan keamanan untuk mendeteksi dan merespons serangan tersebut.

Untuk detail lebih lanjut tentang TTP yang digunakan oleh Quantum Locker, Laporan DFIR telah menyediakan daftar lengkap indikator kompromi serta alamat C2 yang terhubung dengan IcedID dan Cobalt Strike untuk komunikasi.

Ransomware Quantum Locker adalah rebrand dari operasi ransomware MountLocker, yang diluncurkan pada September 2020.

Sejak itu, geng ransomware telah mengubah nama operasinya menjadi berbagai nama, termasuk AstroLocker, XingLocker, dan sekarang dalam fase saat ini, Quantum Locker.

Perubahan nama menjadi Quantum terjadi pada Agustus 2021, ketika enkripsi ransomware mulai menambahkan ekstensi file .quantum ke nama file terenkripsi dan menjatuhkan catatan tebusan bernama README_TO_DECRYPT.html.

Catatan ini mencakup tautan ke situs negosiasi tebusan Tor dan ID unik yang terkait dengan korban. Catatan tebusan juga menyatakan bahwa data dicuri selama serangan, yang mengancam akan dipublikasikan oleh penyerang jika uang tebusan tidak dibayarkan.

Catatan tebusan Quantum Locker
Sumber: BleepingComputer

Sementara The DFIR Report menyatakan bahwa mereka tidak melihat aktivitas eksfiltrasi data dalam serangan yang mereka analisis, BleepingComputer telah mengkonfirmasi di masa lalu bahwa mereka mencuri data selama serangan dan membocorkannya dalam skema pemerasan ganda.

Tuntutan tebusan untuk geng ini bervariasi tergantung pada korban, dengan beberapa serangan menuntut $ 150.000 untuk menerima decryptor, sementara yang lain dilihat oleh BleepingComputer adalah tuntutan multi-juta dolar, seperti yang ditunjukkan di bawah ini.

Quantum Locker menuntut uang tebusan $3,8 juta
Sumber: BleepingComputer

Meskipun mereka mungkin tidak seaktif operasi ransomware lainnya, seperti Conti, LockBit, dan AVOS, mereka masih merupakan risiko yang signifikan dan penting bagi pembela jaringan untuk menyadari TTP yang terkait dengan serangan mereka.

Sumber : Bleeping Computer

Varian Malware BotenaGo Baru yang Menargetkan Perangkat DVR Kamera Keamanan Lilin

by

Varian baru botnet IoT yang disebut BotenaGo telah muncul di alam liar, secara khusus memilih perangkat DVR kamera keamanan Lilin untuk menginfeksi mereka dengan malware Mirai.

Dijuluki “Lilin Scanner” oleh Nozomi Networks, versi terbaru dirancang untuk mengeksploitasi kerentanan injeksi perintah kritis berusia dua tahun dalam firmware DVR yang ditambal oleh perusahaan Taiwan pada Februari 2020.

BotenaGo, pertama kali didokumentasikan pada November 2021 oleh AT&T Alien Labs, ditulis dalam bahasa Golang dan menampilkan lebih dari 30 eksploitasi untuk kerentanan yang diketahui di server web, router, dan jenis perangkat IoT lainnya.

Kode sumber botnet telah diunggah ke GitHub, membuatnya siap untuk disalahgunakan oleh pelaku kriminal lainnya. “Dengan hanya 2.891 baris kode, BotenaGo berpotensi menjadi titik awal bagi banyak varian baru dan keluarga malware baru yang menggunakan kode sumbernya,” kata para peneliti tahun ini.

Malware BotenaGo baru adalah yang terbaru untuk mengeksploitasi kerentanan di perangkat DVR Lilin setelah Chalubo, Fbot, dan Moobot. Awal bulan ini, Lab Penelitian Keamanan Jaringan Qihoo 360 (360 Netlab) merinci botnet DDoS yang menyebar cepat yang disebut Fodcha yang menyebar melalui beberapa kelemahan N-Day yang berbeda, termasuk kelemahan Lilin, dan kata sandi Telnet/SSH yang lemah.

Salah satu aspek penting yang membedakan Lillin Scanner dari BotenaGo adalah ketergantungannya pada program eksternal untuk membangun daftar alamat IP perangkat Lilin yang rentan, kemudian mengeksploitasi kelemahan tersebut untuk mengeksekusi kode arbitrer dari jarak jauh pada target dan menyebarkan muatan Mirai.

Perlu dicatat bahwa malware tidak dapat menyebarkan dirinya dengan cara seperti cacing, dan hanya dapat digunakan untuk menyerang alamat IP yang diberikan sebagai input dengan binari Mirai.

Perilaku lain yang terkait dengan botnet Mirai adalah pengecualian rentang IP milik jaringan internal Departemen Pertahanan AS (DoD), Layanan Pos AS (USPS), General Electric (GE), Hewlett-Packard (HP), dan lainnya,” kata para peneliti.

Seperti Mirai, kemunculan Lilin Scanner menunjukkan penggunaan kembali kode sumber yang tersedia untuk menelurkan cabang malware baru.

Sumber : The Hacker News

Malware Prynt Stealer baru yang kuat dijual hanya dengan $100 per bulan

by

Analis ancaman telah melihat tambahan lain ke ruang pertumbuhan infeksi malware pencuri info, bernama Prynt Stealer, yang menawarkan kemampuan yang kuat dan modul keylogger dan clipper tambahan.

Prynt Stealer menargetkan banyak pilihan browser web, aplikasi perpesanan, dan aplikasi game dan juga dapat melakukan kompromi finansial langsung.

Penulisnya menjual alat dalam langganan berbasis waktu, seperti $100/bulan, $200/kuartal, atau $700 selama setahun, tetapi juga dijual di bawah lisensi seumur hidup seharga $900.

Selain itu, pembeli dapat memanfaatkan pembuat malware untuk membuat putaran Prynt yang khusus, ramping, dan sulit dideteksi untuk digunakan dalam operasi yang ditargetkan.

Biaya lisensi Prynt Stealer (Bleeping Computer)

Analis malware di Cyble telah menganalisis Prynt untuk mengevaluasi pencuri info baru dan melaporkan bahwa alat itu dibuat dengan kerahasian sebagai prioritas, menampilkan kebingungan biner dan string terenkripsi Rijndael.

Biner Prynt yang dikaburkan (Cyble)

Selain itu, semua komunikasi C2-nya dienkripsi dengan AES256, sedangkan folder AppData (dan subfolder) yang dibuat untuk menyimpan sementara data yang dicuri sebelum eksfiltrasi disembunyikan.

Dekripsi string yang di-hardcode (Cyble)

Pada awalnya, Prynt Stealer memindai semua drive di host dan mencuri dokumen, file database, file kode sumber, dan file gambar yang memiliki ukuran di bawah 5.120 byte (5 KB).

Mencuri file kecil dari host (Cyble)

Selanjutnya, malware menargetkan data pengisian otomatis, kredensial (kata sandi akun), info kartu kredit, riwayat pencarian, dan cookie yang disimpan di browser web berbasis Chrome, MS Edge, dan Firefox.

Mencuri data dari browser Chromium (Cyble)

Pada tahap ini, malware menggunakan ScanData () untuk memeriksa apakah ada kata kunci yang relevan dengan perbankan, cryptocurrency, atau situs porno yang ada di data browser dan mencurinya jika ada.

Memindai layanan tertentu (Cyble)

Selanjutnya, Prynt menargetkan aplikasi perpesanan seperti Discord, Pidgin, dan Telegram dan juga mengambil token Discord jika ada di sistem.

File otorisasi aplikasi game, file save game, dan data berharga lainnya dari Ubisoft Uplay, Steam, dan Minecraft juga dicuri.

Mencuri data Minecraft (Cyble)

Kemudian, malware meminta registri untuk menemukan direktori data untuk dompet cryptocurrency, seperti Zcash, Armory, Bytecoin, Jaxx, Ethereum, AtomicWallet, Guarda, dan dompet cryptocurrency Coinomi.

Karena direktori data ini berisi file konfigurasi dompet dan database yang sebenarnya, pelaku ancaman mengumpulkannya untuk mencuri cryptocurrency yang tersimpan di dalamnya.

Memindai registri untuk dompet (Cyble)

Terakhir, Prynt mencuri data dari FileZilla, OpenVPN, NordVPN, dan ProtonVPN, menyalin kredensial akun terkait pada subfolder terkait di AppData.

Sebelum eksfiltrasi, Prynt Stealer melakukan tindakan profil sistem umum yang melibatkan penghitungan proses yang berjalan, mengambil tangkapan layar ringkasan, dan menggabungkannya dengan kredensial jaringan dan kunci produk Windows yang digunakan di mesin host.

Kunci Windows juga dicuri (Cyble)

Pencurian data terkompresi akhirnya dilakukan melalui bot Telegram yang menggunakan koneksi jaringan terenkripsi yang aman untuk meneruskan semuanya ke server jarak jauh.

Langkah Eksfiltrasi Data Telegram (Cyble)

Terlepas dari fitur-fitur di atas, yang sejalan dengan kemampuan kebanyakan pencuri info saat ini, Prynt juga dilengkapi dengan clipper dan keylogger.

Clipper adalah alat yang memantau data yang disalin pada clipboard mesin yang disusupi untuk mengidentifikasi alamat dompet cryptocurrency dan menggantinya saat itu juga dengan yang berada di bawah kendali aktor ancaman.

Setiap kali korban mencoba membayar dengan cryptocurrency ke alamat tertentu, malware secara diam-diam mengalihkan alamat penerima, dan pembayaran dialihkan ke peretas.

Keylogger adalah modul tambahan lain yang memungkinkan operator malware jarak jauh melakukan pencurian informasi massal dengan merekam semua penekanan tombol.

Modul keylogger Prynt (Cyble)

Prynt adalah tambahan lain untuk kebanyakan alat malware pencuri informasi yang tersedia yang dapat dipilih oleh penjahat dunia maya, banyak di antaranya baru-baru ini muncul di alam liar.

Sementara keylogger, clipper, dan kemampuan mencuri yang ekstensif dikombinasikan dengan operasi tersembunyi menjadikannya kandidat yang baik untuk penyebaran luas, biayanya yang relatif tinggi (dibandingkan dengan malware lain yang baru muncul) dan keandalan infrastruktur server yang meragukan mungkin menghambat kebangkitannya.

Namun, Prynt adalah malware berbahaya yang dapat mencuri informasi sensitif pengguna dan menyebabkan kerugian finansial yang signifikan, kompromi akun, dan pelanggaran data.

Sumber : Bleeping Computer

Peretas Korea Utara menargetkan jurnalis dengan malware baru

by

Peretas yang disponsori negara Korea Utara yang dikenal sebagai APT37 telah ditemukan menargetkan jurnalis yang berspesialisasi di DPRK dengan jenis malware baru.

Malware ini didistribusikan melalui serangan phishing yang pertama kali ditemukan oleh NK News, sebuah situs berita Amerika yang didedikasikan untuk meliput berita dan menyediakan penelitian dan analisis tentang Korea Utara, menggunakan intelijen dari dalam negeri.

Kelompok peretas APT37, alias Ricochet Chollima, diyakini disponsori oleh pemerintah Korea Utara, yang melihat pelaporan berita sebagai operasi permusuhan, dan berusaha menggunakan serangan ini untuk mengakses informasi yang sangat sensitif dan berpotensi mengidentifikasi sumber jurnalis.

Stairwell menemukan sampel malware baru bernama “Goldbackdoor,” yang dinilai sebagai penerus “Bluelight.”

Perlu dicatat bahwa ini bukan pertama kalinya APT37 dikaitkan dengan kampanye malware yang menargetkan jurnalis, dengan yang terbaru adalah laporan November 2021 yang menggunakan pintu belakang “Chinotto” yang sangat dapat disesuaikan.

Email phishing tersebut berasal dari akun mantan direktur National Intelligence Service (NIS) Korea Selatan, yang sebelumnya dikompromikan oleh APT37.

Proses infeksi dua tahap (Stairwell)

Email yang dikirim ke jurnalis berisi tautan untuk mengunduh arsip ZIP yang memiliki file LNK, keduanya bernama ‘editan Kang Min-chol’. Kang Min-chol adalah Menteri Industri Pertambangan Korea Utara.

File LNK (pintasan Windows) disamarkan dengan ikon dokumen dan menggunakan bantalan untuk meningkatkan ukurannya secara artifisial menjadi 282,7 MB, menghalangi pengunggahan yang mudah ke Total Virus dan alat deteksi online lainnya.

Setelah dieksekusi, skrip PowerShell meluncurkan dan membuka dokumen umpan (doc) untuk gangguan saat mendekode skrip kedua di latar belakang.

Skrip PowerShell pertama yang digunakan dalam serangan (Stairwell)

Dokumen umpan berisi gambar eksternal tertanam yang dihosting di platform Heroku, yang memperingatkan pelaku ancaman saat dokumen dilihat.

Tautan pelacak tertanam dalam dokumen (Stairwell)

Skrip kedua mengunduh dan menjalankan muatan shellcode yang disimpan di Microsoft OneDrive, layanan hosting file berbasis cloud yang sah yang tidak mungkin menghasilkan peringatan AV.

Payload ini disebut “Fantasy,” dan menurut Stairwell, ini adalah yang pertama dari dua mekanisme penggelaran Goldbackdoor, keduanya mengandalkan injeksi proses tersembunyi.

Goldbackdoor dijalankan sebagai file PE (portable executable) dan dapat menerima perintah dasar dari jarak jauh dan mengekstrak data.

Untuk ini, ia datang dengan satu set kunci API yang digunakan untuk mengautentikasi ke Azure dan mengambil perintah untuk dieksekusi. Perintah-perintah ini terkait dengan keylogging, operasi file, RCE dasar, dan kemampuan untuk menghapus instalasi itu sendiri.

Malware menggunakan layanan cloud yang sah untuk eksfiltrasi file, dengan Stairwell memperhatikan penyalahgunaan Google Drive dan Microsoft OneDrive.

File yang ditargetkan oleh Goldbackdoor terutama dokumen dan media, seperti PDF, DOCX, MP3, TXT, M4A, JPC, XLS, PPT, BIN, 3GP, dan MSG.

Meskipun ini adalah kampanye yang sangat bertarget, penemuan, paparan, dan aturan deteksi yang dihasilkan serta hash file yang tersedia di laporan teknis Stairwell masih signifikan bagi komunitas infosec.

Sumber: Bleeping Computer

Malware Emotet menginfeksi pengguna lagi setelah memperbaiki penginstal yang rusak

by

Jumat lalu, distributor malware Emotet meluncurkan kampanye email baru yang menyertakan lampiran file ZIP yang dilindungi kata sandi yang berisi file Windows LNK (pintasan) yang berpura-pura menjadi dokumen Word.

Emotet adalah infeksi malware yang didistribusikan melalui kampanye spam dengan lampiran berbahaya. Jika pengguna membuka lampiran, makro atau skrip berbahaya akan mengunduh Emotet DLL dan memuatnya ke dalam memori.

Setelah dimuat, malware akan mencari dan mencuri email untuk digunakan dalam kampanye spam di masa mendatang dan menjatuhkan muatan tambahan seperti Cobalt Strike atau malware lain yang biasanya mengarah ke serangan ransomware.

Contoh email phishing Emotet saat ini
Sumber: Cofense

Ketika pengguna mengklik dua kali pada pintasan, itu akan menjalankan perintah yang mencari file pintasan untuk string tertentu yang berisi kode Visual Basic Script, menambahkan kode yang ditemukan ke file VBS baru, dan mengeksekusi file VBS itu, seperti yang ditunjukkan di bawah ini .

Perintah pintasan emotet dari kampanye hari Jumat
Sumber: BleepingComputer

Namun, perintah ini mengandung bug karena menggunakan nama pintasan statis ‘Password2.doc.lnk,’ meskipun nama sebenarnya dari file pintasan terlampir berbeda, seperti ‘INVOICE 2022-04-22_1033, USA.doc’.

Ini menyebabkan perintah gagal, karena file Password2.doc.lnk tidak ada, dan dengan demikian file VBS tidak dibuat, seperti yang dijelaskan oleh grup riset Emotet Cryptolaemus.

Peneliti Cryptolaemus Joseph Roosen mengatakan bahwa Emotet menutup kampanye email baru sekitar pukul 00:00 UTC pada hari Jumat setelah menemukan bahwa bug tersebut mencegah pengguna terinfeksi.

Sayangnya, Emotet memperbaiki bug hari ini dan, sekali lagi, mulai mengirim spam kepada pengguna dengan email berbahaya yang berisi file zip yang dilindungi kata sandi dan lampiran pintasan.

Pintasan ini sekarang merujuk nama file yang benar ketika perintah dijalankan, memungkinkan file VBS dibuat dengan benar dan malware Emotet diunduh dan diinstal pada perangkat korban.

Memperbaiki perintah lampiran Emotet
Sumber: BleepingComputer

Perusahaan keamanan email Cofense mengatakan bahwa lampiran yang digunakan bernama yang digunakan dalam kampanye Emotet hari ini adalah:

form.zip
Formulir.zip
Formulir elektronik.zip
PO 04252022.zip
Formulir – 25 Apr 2022.zip
Status Pembayaran.zip
TRANSFER BANK COPY.zip
Transaksi.zip
formulir ACH.zip
Info pembayaran ACH.zip

Sumber : Bleeping Computer

FBI Memperingatkan Sektor Pertanian Tentang Meningkatnya Risiko Serangan Ransomware

by

FBI pada hari Rabu memperingatkan perusahaan makanan dan pertanian untuk bersiap-siap bagi operasi ransomware untuk berpotensi menyerang entitas pertanian selama musim tanam dan panen – kerangka waktu yang diperingatkan FBI lebih mungkin untuk menarik perhatian aktor ransomware yang bertekad memanfaatkan sektor ini pada yang paling rentan, termasuk sekarang saat musim tanam musim semi berlangsung.

Pemberitahuan FBI kepada industri menegaskan bahwa peretas ransomware bertekad “mengganggu operasi, menyebabkan kerugian finansial, dan berdampak negatif pada rantai pasokan makanan,” dan mencatat ada serangan ransomware terhadap enam koperasi biji-bijian selama panen musim gugur 2021, bersama dengan dua serangan pada awal 2022 terhadap target yang tidak disebutkan biro yang dapat mempengaruhi musim tanam dengan mengganggu pasokan benih dan pupuk.

Pemberitahuan FBI hari Rabu mengungkapkan untuk pertama kalinya seberapa luas serangan ransomware terhadap target pertanian tahun lalu dan awal tahun ini, menurut Allan Liska, seorang analis intelijen di Recorded Future.

“Perusahaan pertanian tidak selalu mampu untuk staf TI dan peran keamanan, sehingga mereka sangat bergantung pada MSPs untuk memberikan perlindungan,” kata Liska. “Ketika MSP itu dikompromikan, biasanya tidak ada perlindungan untuk melindungi para korban.”

Sektor pertanian telah mengalami peningkatan jumlah serangan ransomware dalam beberapa bulan terakhir. Oktober lalu, pabrik dan pusat distribusi di Schreiber Foods, sebuah perusahaan susu bernilai miliaran dolar, dipaksa offline mengikuti apa yang disebut perusahaan sebagai “peristiwa cyber.” Insiden itu menyusul pemberitahuan FBI september untuk peringatan industri makanan dan pertanian tentang ancaman ransomware. Pemberitahuan itu mengatakan bahwa dari 2019 hingga 2020 permintaan tebusan rata-rata dua kali lipat dan pembayaran asuransi cyber rata-rata meningkat sebesar 65%.

Sekitar waktu yang sama, Badan Keamanan Siber dan Infrastruktur Departemen Keamanan Dalam Negeri, FBI, dan Badan Keamanan Nasional memperingatkan sektor pertanian bahwa penyerang ransomware BlackMatter menargetkan mereka sebagai bagian dari ancaman yang lebih luas terhadap infrastruktur penting AS.

Selengkapnya: Cyberscoop

Kesalahan Palo Alto Networks mengekspos kasus dukungan pelanggan, lampiran

by

Sebuah bug di dasbor dukungan Palo Alto Networks (PAN) mengekspos ribuan tiket dukungan pelanggan ke individu yang tidak berwenang, BleepingComputer telah mempelajarinya.

Informasi yang terungkap termasuk, nama dan informasi kontak (bisnis) dari orang yang membuat tiket dukungan, percakapan antara anggota staf Palo Alto Networks dan pelanggan.

Bukti yang dibagikan dengan BleepingComputer menunjukkan beberapa tiket dukungan berisi lampiran—seperti log firewall, konfigurasi dump, dan aset debug lainnya yang dibagikan dengan staf PAN oleh pelanggan.

Palo Alto Networks, penyedia terkemuka produk keamanan siber dan jaringan serta firewall, mengatakan kepada BleepingComputer bahwa masalah tersebut kini telah diperbaiki—sekitar delapan hari setelah dilaporkan.

Saat menyadari kesalahan akses, pelanggan memberi tahu BleepingComputer bahwa mereka segera memberi tahu Palo Alto Networks, baik dengan mengajukan “permintaan dukungan kritis” dan menghubungi anggota PAN tertentu di LinkedIn.

BleepingComputer menghubungi PAN untuk lebih memahami ruang lingkup dan dampak kebocoran data ini.

PAN mengatakan bahwa tidak ada data yang diunduh dan menyiratkan bahwa cakupan kebocoran tetap terbatas hanya pada satu pelanggan:

“Kami diberitahu tentang masalah yang memungkinkan pelanggan resmi untuk melihat sebagian kecil kasus dukungan, yang biasanya tidak dapat mereka lihat,” kata juru bicara Palo Alto Networks kepada BleepingComputer.

“Kami segera memulai penyelidikan dan mengidentifikasi itu karena kesalahan kesalahan konfigurasi izin dalam sistem pendukung.”

“Analisis kami mengkonfirmasi tidak ada data yang diunduh atau diubah, dan masalah ini segera diperbaiki.”

Namun, perhatikan, perbaikan bug memakan waktu sekitar delapan hari, setelah itu akses pelanggan tersebut ke 1.900 tiket yang tidak terkait dicabut.

PAN tidak menjawab apakah memberi tahu pelanggan yang informasinya terpengaruh oleh bug kebocoran data, atau jika berencana melakukannya.

Saat ini, perusahaan mengatakan, tidak ada tindakan pelanggan yang diperlukan dan yakin bahwa produk dan layanannya aman.

Selengkapnya: Bleeping Computer