News 296 - Naga Cyber Defense

Raksasa Energi Shell Menjadi Korban Serangan Accellion

March 25, 2021 by Mally

Raksasa energi Royal Dutch Shell adalah salah satu korban lainnya dari serangkaian serangan terhadap pengguna produk File Transfer Appliance (FTA) warisan Accellion, yang telah memengaruhi banyak perusahaan dan dikaitkan dengan FIN11 dan geng ransomware Clop.

Para penyerang “memperoleh akses ke “berbagai file” yang berisi data pribadi dan perusahaan dari Shell dan beberapa pemangku kepentingannya”, kata perusahaan itu. Namun, karena implementasi Accellionnya, sistem TI intinya tidak terpengaruh oleh pelanggaran tersebut, “karena layanan transfer file diisolasi dari infrastruktur digital Shell lainnya”, kata perusahaan itu.

Shell, perusahaan terbesar kelima di dunia, juga mengungkapkan beberapa afiliasi perusahaan petrokimia dan energi global terkena dampaknya.

Menurut perusahaan, setelah mengetahui insiden tersebut, Shell segera mengatasi kerentanan tersebut dengan penyedia layanan dan tim keamanan sibernya, dan memulai penyelidikan untuk lebih memahami sifat dan tingkat insiden tersebut.

Shell tidak mengatakan secara spesifik bagaimana penyerang mengakses implementasi Accellion-nya, tetapi pelanggaran tersebut kemungkinan besar terkait dengan serangkaian serangan terhadap kerentanan di Accellion FTA, produk lawas berusia 20 tahun yang digunakan oleh perusahaan besar di seluruh dunia.

Accellion mengungkapkan bahwa ia menyadari kerentanan keamanan zero-day pada produk tersebut pada pertengahan Desember, dan kemudian berusaha menambalnya.

Selengkapnya: The Threat Post

Firefox 87 dikemas dengan penjelajahan pribadi ‘SmartBlock’

March 24, 2021 by Mally

Mozilla telah meluncurkan Firefox 87, dengan versi terbaru dari browser yang memiliki fitur “SmartBlock”, sebuah fitur privasi baru yang disebut-sebut dengan cerdas memperbaiki halaman web yang rusak dengan melacak perlindungan, tanpa mengorbankan privasi pengguna.

SmartBlock bertujuan untuk mendukung fitur pemblokiran konten bawaan Firefox – tersedia di mode penjelajahan pribadi dan perlindungan pelacakan ketat selama enam tahun terakhir – yang memblokir skrip pihak ketiga, gambar, dan konten lainnya agar tidak dimuat dari pelacakan lintas situs perusahaan yang dilaporkan oleh Disconnect.

Dijelaskan dalam blog mereka, dengan memblokir komponen pelacakan ini, jendela penjelajahan pribadi Firefox mencegah perusahaan ini mengawasi pengguna saat mereka menjelajah internet.

“Hal ini dapat mengakibatkan gambar tidak muncul, fitur tidak berfungsi, performa buruk, atau bahkan seluruh halaman tidak dapat dimuat sama sekali,” jelas Mozilla. “Untuk mengurangi kerusakan ini, Firefox 87 sekarang memperkenalkan fitur privasi baru yang kami sebut SmartBlock”.

SmartBlock melakukan ini dengan menyediakan stand-in lokal untuk skrip pelacakan pihak ketiga yang diblokir.

Sumber: ZDNet

Malware Purple Fox masuk ke sistem Windows yang terekspos

March 24, 2021 by Mally

Purple Fox, malware yang sebelumnya didistribusikan melalui exploit kits dan email phishing, kini telah menambahkan modul worm yang memungkinkannya memindai dan menginfeksi sistem Windows yang dapat dijangkau melalui Internet dalam serangan yang sedang berlangsung.

Malware ini hadir dengan kemampuan rootkit dan backdoor, pertama kali terlihat pada tahun 2018 setelah menginfeksi setidaknya 30.000 perangkat, dan digunakan sebagai pengunduh untuk menyebarkan jenis malware lainnya.

Mulai Mei 2020, serangan Purple Fox telah meningkat secara signifikan, mencapai total 90.000 serangan dan 600% lebih banyak infeksi, menurut peneliti keamanan Guardicore Labs Amit Serper dan Ophir Harpaz.

Upaya pemindaian dan eksploitasi port aktif malware dimulai pada akhir tahun lalu berdasarkan telemetri yang dikumpulkan menggunakan Guardicore Global Sensors Network (GGSN).

Setelah menemukan sistem Windows yang terbuka saat memindai perangkat yang dapat dijangkau melalui Internet, modul worm yang baru ditambahkan ke Purple Fox menggunakan SMB password brute force untuk menginfeksinya. Sejauh ini, Purple Fox telah menyebarkan malware dropper dan modul tambahan pada jaringan bot yang luas.

Perangkat yang terjerat dalam botnet ini termasuk mesin Windows Server yang menjalankan IIS versi 7.5 dan Microsoft FTP, dan server yang menjalankan Microsoft RPC, Microsoft Server SQL Server 2008 R2, dan Microsoft HTTPAPI httpd 2.0, dan Layanan Terminal Microsoft.

Setelah menerapkan rootkit dan me-reboot perangkat, malware akan mengganti nama muatan DLL-nya agar sesuai dengan DLL sistem Windows dan akan mengkonfigurasinya untuk diluncurkan saat sistem dimulai.

Setelah malware dijalankan pada peluncuran sistem, setiap sistem yang terinfeksi kemudian akan menunjukkan perilaku mirip worm yang sama, terus-menerus memindai Internet untuk mencari target lain dan mencoba menyusupinya dan menambahkannya ke botnet.

Indicators of compromise (IOC) tersedia di repositori GitHub ini.

Selengkapnya: Bleeping Computer

Perusahaan asuransi CNA terkena serangan siber dan berpengaruh terhadap operasi mereka

March 24, 2021 by Mally

CNA Financial, perusahaan asuransi terkemuka yang berbasis di AS, telah mengalami serangan siber yang memengaruhi operasi bisnisnya dan menutup situs webnya.

Mulai kemarin, situs web CNA mulai menampilkan pesan yang menyatakan bahwa mereka “saat ini mengalami gangguan jaringan yang memengaruhi beberapa sistem kami. Kami sedang berupaya mengatasi masalah ini untuk meminimalkan gangguan pada Anda”.

Sumber telah memberi tahu BleepingComputer bahwa perusahaan mengalami serangan siber yang telah mengganggu operasi bisnis dan memaksa mereka untuk mematikan sistem tertentu.

BleepingComputer belum dapat memverifikasi apakah pemadaman disebabkan oleh serangan ransomware, meskipun tampaknya itu adalah serangan ransomware menurut sumber yang tahu mengenai serangan tersebut.

Sumber lain mengatakan kepada The Insurer bahwa serangan tersebut mengganggu sisi underwriting dan klaim bisnis, kemungkinan karena sistem menjadi tidak tersedia.

Dalam pernyataan terbaru di situs web mereka, CNA telah mengonfirmasi bahwa serangan siber menyebabkan gangguan jaringan, termasuk email perusahaan. Untuk amannya, CNA juga mengonfirmasi bahwa mereka memutus sistem mereka dari jaringan.

Selengkapnya: Bleeping Computer

Geng ransomware membocorkan data yang dicuri dari universitas Colorado, Miami

March 24, 2021 by Mally

Nilai dan nomor jaminan sosial untuk mahasiswa di University of Colorado dan data pasien di University of Miami telah diposting online oleh grup ransomware Clop.

Mulai bulan Desember, pelaku ancaman yang berafiliasi dengan operasi ransomware Clop mulai menargetkan server Accellion FTA dan mencuri data yang tersimpan di dalamnya. Perusahaan menggunakan server ini untuk berbagi file dan informasi sensitif dengan orang di luar organisasi mereka.

Geng ransomware kemudian menghubungi organisasi tersebut dan meminta $ 10 juta dalam bentuk bitcoin atau mereka akan mempublikasikan data yang dicuri.

Sejak Februari, operasi ransomware Clop telah menerbitkan file yang dicuri menggunakan kerentanan di server berbagi file Accellion FTA.

Minggu ini, geng ransomware Clop mulai menerbitkan tangkapan layar file yang dicuri dari server Accellion FTA yang digunakan oleh Universitas Miami dan Colorado.

Pada bulan Februari, University of Colorado (CU) mengungkapkan bahwa mereka mengalami serangan siber di mana pelaku ancaman mencuri data melalui kerentanan Accellion FTA.

Clop ransomware telah mulai memposting tangkapan layar dari data yang dicuri, termasuk dokumen keuangan universitas, nilai siswa, catatan akademik, informasi pendaftaran, dan informasi biografi siswa.

Sementara University of Miami tidak pernah mengungkapkan insiden keamanan, operasi ransomware Clop juga menerbitkan tangkapan layar data pasien.

Data ini mencakup rekam medis, laporan demografis, dan spreadsheet dengan alamat email dan nomor telepon.

Selengkapnya: Bleeping Computer

Microsoft memperingatkan serangan phishing yang melewati gateway email

March 24, 2021 by Mally

Operasi phishing berkelanjutan yang mencuri sekitar 400.000 kredensial OWA (Outlook Web Access) dan Office 365 sejak Desember kini telah meluas dengan menyalahgunakan layanan baru yang sah untuk melewati secure email gateways (SEG).

Serangan tersebut merupakan bagian dari beberapa kampanye phishing yang secara kolektif dijuluki Kampanye “Compact”, aktif sejak awal tahun 2020 yang pertama kali terdeteksi oleh Tim Intelijen Ancaman Global WMC.

“Phisher terus menemukan keberhasilan dalam menggunakan akun yang disusupi di layanan pemasaran email untuk mengirim email berbahaya dari domain dan range IP yang sah,” kata pakar keamanan Microsoft.

Email phishing mereka disamarkan sebagai pemberitahuan dari layanan konferensi video, berbagai solusi keamanan, dan alat produktivitas untuk menambah legitimasi.

Pelaku ancaman juga menggunakan akun yang disusupi untuk layanan pengiriman email SendGrid dan MailGun, memanfaatkan gateway email yang aman memungkinkan daftar tersebut menjadi domain tepercaya.

Hal ini memungkinkan pesan phishing untuk melewati mereka dan masuk ke kotak masuk target, membujuk mereka untuk mengklik hyperlink yang disematkan yang mengarahkan mereka ke halaman arahan phishing yang dirancang untuk meniru halaman login Microsoft.

Domain dan akun yang digunakan selama kampanye phishing ini akan dihapus segera setelah Microsoft dan WMC Global mendeteksinya.

Selengkapnya: Bleeping Computer

Serangan ransomware menghantam pembuat Sierra Wireless IoT

March 24, 2021 by Mally

Sierra Wireless, penyedia solusi IoT (Internet of Things) terkemuka di dunia, hari ini mengungkapkan serangan ransomware yang memaksanya menghentikan produksi di semua lokasi manufaktur.

Perusahaan multinasional Kanada yang berkantor pusat di Richmond, British Columbia, memiliki lebih dari 1.300 karyawan di seluruh dunia, mengembangkan peralatan komunikasi, dan memiliki pusat penelitian dan pengembangan di Amerika Utara, Eropa, dan Asia.

Serangan ransomware menghantam jaringan internal Sierra Wireless selama akhir pekan, pada 20 Maret. Perusahaan mengatakan bahwa serangan itu tidak berdampak pada layanan atau produk yang digunakan pelanggan.

Setelah serangan itu, perusahaan juga harus menutup pabriknya di seluruh dunia, dan berharap dapat segera melanjutkan produksi dan operasinya.

Situs web Sierra Wireless saat ini menampilkan pesan “situs sedang dalam pemeliharaan”.

Setelah perusahaan mengetahui serangan tersebut, tim TI dan operasinya segera menerapkan langkah-langkah untuk melawan serangan tersebut sesuai dengan prosedur dan kebijakan keamanan siber yang ditetapkan yang dikembangkan bekerja sama dengan penasihat pihak ketiga. Tim ini, dengan bantuan dari ini dan penasihat pihak ketiga tambahan, yakin bahwa mereka telah mengatasi serangan tersebut, dan saat ini bekerja untuk membuat sistem TI internal Sierra Wireless kembali online. – Sierra Wireless

Sumber: Bleeping Computer

Beberapa aplikasi Android crash, Google sedang memperbaikinya

March 23, 2021 by Mally

Beberapa aplikasi Android sedang crash untuk beberapa pengguna saat ini, tetapi Google sedang memperbaikinya. Masalah ini disebabkan oleh komponen sistem yang disebut Android System WebView yang memungkinkan aplikasi Android menampilkan konten web, tetapi saat ini ada masalah yang menyebabkan beberapa aplikasi crash.

“Kami menyadari masalah dengan WebView yang menyebabkan beberapa aplikasi di Android crash untuk beberapa pengguna,” kata Google dalam sebuah pernyataan kepada The Verge. “Kami sedang berupaya untuk sepenuhnya memvalidasi cakupan dan perbaikan sedang berlangsung”.

Beberapa pengguna mengatakan bahwa menghapus pembaruan terbaru untuk WebView seharusnya memperbaiki masalah – dan faktanya, akun Twitter dukungan resmi Samsung di AS merekomendasikannya untuk mengambil langkah yang tepat.

Hi! Thanks for bringing this to our attention. Please remove the Webview Update and then restart the phone. Here are the steps: Go settings > apps > tap the three dots in the top right corner > show system apps > search for Android System WebView > select Uninstall updates. ^Nina

— Samsung Support US (@SamsungSupport) March 22, 2021

Google juga mengakui masalah dengan Gmail di Android pada halaman status Google Workspace. Perusahaan merekomendasikan penggunaan versi desktop hingga masalah ini teratasi.

Sumber: The Verge

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings