Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Ransomware Mempengaruhi Lebih Dari 200 Organisasi Pemerintah, Pendidikan, Kesehatan Pada Tahun 2022

by

Serangan ransomware pada tahun 2022 berdampak pada lebih dari 200 organisasi yang lebih besar di sektor publik AS di vertikal pemerintahan, pendidikan, dan perawatan kesehatan.

Berdasarkan data yang dikumpulkan dari laporan yang tersedia untuk umum, pernyataan pengungkapan, kebocoran di web gelap, dan intelijen pihak ketiga, menunjukkan bahwa peretas mencuri data di sekitar setengah dari serangan ransomware ini.

Tidak Ada Gambaran Jelas Tentang Serangan Ransomware
Berdasarkan data yang tersedia, ancaman ransomware di AS menyerang 105 kabupaten, 44 universitas dan perguruan tinggi, 45 distrik sekolah, dan 24 penyedia layanan kesehatan.

Tidak semua korban mengungkapkan insiden ini dan beberapa di antaranya mungkin luput dari perhatian para peneliti. Namun, insiden yang mempengaruhi sektor publik lebih mungkin diungkapkan.

Ransomware Mempengaruhi 105 Negara
Pada tahun 2022, serangan ransomware terhadap pemerintah daerah meningkat dari 77 menjadi 105. Angka tersebut dipengaruhi secara dramatis oleh satu insiden di Miller County, AK yang menyebar ke komputer di 55 kabupaten terpisah.

Emsisoft menyoroti bahwa Quincy, MA, adalah satu-satunya pemerintah daerah yang diketahui membayar para peretas, kehilangan $500.000 kepada mereka.

Peretas Mencuri Data Dalam 58 Serangan Terhadap Organisasi Pendidikan
Ransomware menyerang 89 organisasi sektor pendidikan di AS, 44 universitas dan perguruan tinggi, dan 45 distrik sekolah. Peretas mencuri data dalam setidaknya 58 serangan.

Emisoft mengatakan bahwa tiga organisasi pendidikan membayar uang tebusan kepada para peretas untuk memulihkan data terenkripsi.

290 Rumah Sakit Berpotensi Terkena Ransomware
Menurut Emisoft, sangat sulit melacak insiden ransomware di sektor kesehatan, alasan utamanya adalah pengungkapan yang tidak jelas.

Karena itu, mereka hanya menghitung serangan terhadap rumah sakit dan sistem kesehatan multi-rumah sakit, yang bertambah menjadi 24 pada tahun 2022.

Statistik ini tidak memberikan gambaran lengkap tentang serangan ransomware di sektor publik karena akan ada beberapa insiden yang tidak menjadi perhatian perusahaan.

Selengkapnya: BleepingComputer

Peringatan Keamanan WordPress: Malware Linux Baru Mengeksploitasi Lebih dari Dua Lusin Kelemahan CMS

by

Situs WordPress menjadi sasaran malware Linux yang sebelumnya tidak dikenal yang mengeksploitasi kelemahan di lebih dari dua lusin plugin dan tema untuk mengkompromikan sistem yang rentan.

Menurut vendor keamanan Rusia, Doctor Web, penggunaan situs versi lama dari add-on tanpa perbaikan penting, dapat menjadi target yang akan disuntikkan JavaScript berbahaya. Pengguna yang mengklik area mana pun dari halaman yang diserang, dialihkan ke situs lain.

Serangan melibatkan mempersenjatai daftar kerentanan keamanan yang diketahui di 19 plugin dan tema berbeda, kemungkinan dipasang di situs WordPress, digunakan untuk menyebarkan implan yang dapat menargetkan situs web tertentu untuk memperluas jaringan lebih lanjut.

Doctor Web telah mengidentifikasi versi kedua dari backdoor, yang menggunakan domain command-and-control (C2) baru serta daftar kelemahan yang diperbarui yang mencakup 11 plugin tambahan, sehingga totalnya menjadi 30.

Bulan lalu, Sucuri mencatat bahwa lebih dari 15.000 situs WordPress telah dilanggar sebagai bagian dari kampanye berbahaya untuk mengarahkan pengunjung ke portal Q&A palsu, dengan jumlah infeksi aktif saat ini mencapai 9.314.

Pengguna WordPress disarankan untuk selalu memperbarui semua komponen platform, termasuk add-on dan tema pihak ketiga, dan menggunakan login dan kata sandi yang kuat dan unik untuk mengamankan akun mereka.

Selengkapnya: The Hacker News

EarSpy Dapat Menguping Percakapan Telepon Anda Menggunakan Sensor Gerak

by

Para peneliti dari lima perguruan tinggi Amerika telah secara kolektif mengembangkan serangan side-ch ini

Serangan EarSpy dikembangkan oleh sekelompok peneliti dari beberapa lembaga akademik paling terkenal di Amerika, bersama oleh para ahli dari University of Dayton, New Jersey Institute of Technology, Rutgers University, Texas A&M University, dan Temple University.

Para peneliti menguij EarSpy pada ponsel OnePlus 7T dan OnePlus 9 dengan hasil yang sangat akurat hanya menggunakan data dari lubang suara dan akselerometer bawaan. Sebaliknya, data sulit ditangkap pada model OnePlus lama karena kurangnya speaker stereo. Mereka memeriksa gema yang dihasilkan pada speaker telinga dengan bantuan spektrogram dan ekstraksi fitur domain frekuensi waktu.

Fokus tim adalah mengidentifikasi jenis kelamin pembicara dan isi pidato itu sendiri.

Versi Android terbaru memiliki perangkat keamanan yang lebih kuat, sehingga malware sulit untuk mendapatkan izin yang diperlukan. Namun serangan EarSpy masih dapat melewati perlindungan bawaan ini karena data mentah dari sensor gerak ponsel dapat diakses dengan mudah. Peneliti EarSpy yakin masih mungkin untuk menyusup ke perangkat dan menguping percakapan meskipun ada batasan untuk mendapatkan data dari sensor perangkat.

Mengenai keefektifan serangan ini, para peneliti mengatakan

Menurut peneliti, EarSpy dapat dengan tepat membedakan antara laki-laki dan perempuan hingga 98% kasus. Selain itu, dapat mendeteksi identitas seseorang dengan tingkat akurasi tertinggi 92%. Namun, ini turun menjadi 56% ketika benar-benar memahami apa yang diucapkan. Ini masih 5x lebih akurat daripada membuat tebakan acak.

Mengatasi potensi kerentanan pada smartphone, para peneliti merekomendasikan pembuat smartphone untuk memposisikan sensor gerak jauh dari sumber getaran apapun sambil mengurangi tekanan suara selama panggilan telepon.

Selengkapnya: Android Police

Google akan Membayar $29,5 Juta untuk Menyelesaikan Gugatan atas Pelacakan Lokasi Pengguna

by

Google telah setuju untuk membayar total $29,5 juta untuk menyelesaikan dua tuntutan hukum berbeda yang diajukan oleh Indiana dan Washington, D.C., atas praktik pelacakan lokasi yang “menipu”.

Google diharuskan membayar $ 9,5 juta ke D.C. dan $ 20 juta ke Indiana setelah negara bagian menggugat perusahaan tersebut atas tuduhan bahwa perusahaan melacak lokasi pengguna tanpa persetujuan tertulis dari mereka.

Penyelesaian menambah $391,5 juta yang disetujui Google untuk dibayarkan ke 40 negara bagian atas tuduhan serupa bulan lalu. Tuntutan hukum datang sebagai tanggapan atas pengungkapan pada tahun 2018 bahwa perusahaan internet terus melacak keberadaan pengguna di Android dan iOS melalui pengaturan Aktivitas Web & Aplikasi meskipun telah menonaktifkan opsi Riwayat Lokasi.

Tuntutan hukum tersebut didasarkan pada kebijakan produk yang sudah ketinggalan zaman dan telah meluncurkan sejumlah peningkatan privasi dan transparansi yang memungkinkan pengguna untuk menghapus otomatis data lokasi yang terkait dengan akun mereka.

Google juga dituduh menggunakan pola gelap untuk menipu pengguna melakukan tindakan yang melanggar privasi dan membagikan informasi tanpa sepengetahuan mereka.

Perusahaan diperintahkan untuk memberi tahu pengguna dengan Riwayat Lokasi dan Aktivitas Web & Aplikasi diaktifkan tentang apakah data lokasi dikumpulkan, di samping langkah-langkah yang dapat diambil pengguna untuk menonaktifkan pengaturan dan menghapus data.

Google menyatakan akan mulai memberikan informasi lebih detail mengenai kontrol Aktivitas Web & Aplikasi, selain meluncurkan pusat informasi dan toggle baru untuk mematikan pengaturan Riwayat Lokasi dan Aktivitas Web & Aplikasi dan menghapus data sebelumnya di “one simple flow”.

Mengingat tingkat pelacakan dan pengawasan yang luas yang dapat disematkan oleh perusahaan teknologi ke dalam produk mereka, merupakan hal wajar jika konsumen diberi tahu tentang betapa pentingnya data pengguna, termasuk informasi tentang setiap gerakan mereka, menurut Jaksa Agung D.C. Karl A. Racine.

Selengkapnya: The Hacker News

Geng Ransomware Mengkloning Situs Web Korban Untuk Membocorkan Data Yang Dicuri

by

Operator ransomware ALPHV menjadi kreatif dengan taktik pemerasan mereka, setidaknya dalam satu kasus, membuat replika situs korban untuk mempublikasikan data yang dicuri di dalamnya.

ALPHV sebagai Ransomware BlackCat, dikenal karena menguji taktik pemerasan baru sebagai cara untuk menekan dan mempermalukan korbannya agar membayar.

Peretas Membuat Data Yang Dicuri Lebih Mudah Didapat
Pada 26 Desember, aktor ancaman menerbitkan di situs kebocoran data mereka yang disembunyikan di jaringan Tor bahwa mereka telah menyusupi sebuah perusahaan di bidang jasa keuangan.

BlackCat melakukan langkah standar untuk operator ransomware dengan menerbitkan semua file yang dicuri sebagai hukuman akibat korban tidak memenuhi tuntutan pelaku ancaman.

Para peretas juga memutuskan untuk membocorkan data di situs yang meniru korban dalam hal penampilan dan nama domain.

Situs yang dikloning ada di web yang jelas untuk memastikan ketersediaan file yang dicuri secara luas.

ALPHV ransomware menerbitkan data curian di situs yang menyamar sebagai korban (BleepingComputer)

Pembentukan Tren Baru
Menurut Brett Callow, analis ancaman di perusahaan cybersecurity Emsisoft, berbagi data pada domain yang salah ketik akan menjadi perhatian lebih besar bagi perusahaan korban daripada mendistribusikan data melalui situs web di jaringan Tor, yang diketahui oleh komunitas infosec.

Operasi ransomware selalu mencari opsi baru untuk memeras korbannya. Antara mempublikasikan nama perusahaan yang dilanggar, mencuri data dan mengancam untuk meminta tebusan, dan ancaman DDoS. Taktik ini bisa menjadi awal dari tren baru yang mungkin diadopsi oleh geng ransomware lain, karena biayanya jauh dari signifikan.

Meski tidak jelas seberapa suksesnya, strategi ini mengekspos pelanggaran ke audiens yang lebih besar, menempatkan korban pada posisi yang lebih rentan karena datanya tersedia tanpa batasan apa pun.

Selengkapnya: BleepingComputer

Geng Ransomware Meminta Maaf, Memberikan Rumah Sakit SickKids Decryptor Gratis

by

Geng ransomware LockBit telah merilis decryptor gratis untuk Rumah Sakit Anak SickKids, mengatakan salah satu anggotanya melanggar aturan dengan menyerang organisasi perawatan kesehatan.

Rumah Sakit Anak, SickKids mendapatkan serangan ransomware pada tanggal 18 Desember, yang berdampak pada sistem internal dan perusahaan, saluran telepon rumah sakit, dan situs web.

Geng LockBit Meminta Maaf Atas Serangan
Dua hari setelah pemberitaan SickKids diumumkan, geng ransomware LockBit meminta maaf atas serangan di rumah sakit dan merilis decryptor secara gratis. Geng ransomware juga akan memblokir anggotanya yang melanggar aturan dan tidak lagi termasuk dalam program afiliasinya.

BleepingComputer telah mengonfirmasi bahwa file ini tersedia secara gratis dan diklaim sebagai dekripsi Linux/VMware ESXi. Karena tidak ada dekripsi Windows tambahan, ini menunjukkan bahwa penyerang hanya dapat mengenkripsi mesin virtual di jaringan rumah sakit.

Permintaan maaf kepada SickKids di situs kebocoran data LockBit (BleepingComputer)

Operasi LockBit berjalan sebagai Ransomware-as-a-Service, di mana operator memelihara enkripsi dan situs web, dan afiliasi operasi, atau anggota, melanggar jaringan korban, mencuri data, dan mengenkripsi perangkat. Operator LockBit menyimpan sekitar 20% dari semua pembayaran tebusan dan sisanya masuk ke afiliasi.

LockBit memiliki riwayat mengenkripsi rumah sakit dan tidak menyediakan enkripsi. Seperti terjadinya serangan terhadap rumah sakit Prancis menyebabkan pasien dirujuk ke pusat medis lain dan penundaan operasi, yang dapat menimbulkan risiko yang signifikan bagi pasien.

BleepingComputer telah menghubungi LockBit pada saat itu untuk memahami mengapa mereka menuntut uang tebusan dari CHSF, meskipun itu bertentangan dengan kebijakan, tetapi tidak pernah mendapat tanggapan.

Ini bukan pertama kalinya geng ransomware menyediakan decryptor gratis untuk organisasi layanan kesehatan.

Pada Mei 2021, operasi Conti Ransomware menyediakan decryptor gratis untuk layanan kesehatan nasional Irlandia, HSE, setelah menghadapi tekanan yang meningkat dari penegakan hukum internasional.

Selengkapnya: BleepingComputer

PyTorch mengungkapkan kompromi rantai ketergantungan berbahaya selama liburan

by

PyTorch telah mengidentifikasi dependensi berbahaya dengan nama yang sama dengan pustaka ‘torchtriton’ kerangka kerja. Ini telah menghasilkan kompromi yang berhasil melalui vektor serangan kebingungan ketergantungan.

Admin PyTorch memperingatkan pengguna yang menginstal PyTorch-nightly selama liburan untuk menghapus kerangka kerja dan ketergantungan ‘torchtriton’ palsu.

Dari visi komputer hingga pemrosesan bahasa alami, kerangka kerja pembelajaran mesin open source PyTorch telah menjadi terkenal baik di bidang komersial maupun akademik.

Antara 25 Desember dan 30 Desember 2022, pengguna yang memasang PyTorch-nightly harus memastikan sistem mereka tidak terganggu, tim PyTorch telah memperingatkan.

Peringatan tersebut mengikuti dependensi ‘torchtriton’ yang muncul selama liburan di registri Python Package Index (PyPI), repositori perangkat lunak resmi pihak ketiga untuk Python.

“Harap copot dan segera obortriton, dan gunakan binari malam terbaru (lebih baru dari 30 Desember 2022),” saran tim PyTorch.

Ketergantungan ‘torchtriton’ berbahaya pada PyPI berbagi nama dengan perpustakaan resmi yang diterbitkan di repo PyTorch-nightly. Namun, saat mengambil dependensi dalam ekosistem Python, PyPI biasanya lebih diutamakan, menyebabkan paket berbahaya ditarik ke mesin Anda, bukan yang sah dari PyTorch.

“Karena indeks PyPI lebih diutamakan, paket berbahaya ini diinstal alih-alih versi dari repositori resmi kami. Desain ini memungkinkan seseorang untuk mendaftarkan paket dengan nama yang sama dengan yang ada di indeks pihak ketiga, dan pip akan menginstalnya versi secara default,” tulis tim PyTorch dalam pengungkapan yang diterbitkan kemarin.

Selengkapnya: Bleeping Computer

Terinspirasi oleh film ‘Office Space’, insinyur perangkat lunak Washington mencuri lebih dari $300 ribu dari pemberi kerja, kata jaksa penuntut

by

Seorang pria Washington diduga mentransfer ribuan dolar dari majikannya ke rekening pribadi setelah terinspirasi oleh film kultus 1999 “Office Space,” menurut laporan penangkapan oleh Departemen Kepolisian Seattle.

Ermenildo Valdez Castro, 28, bekerja untuk pengecer online Zulily sebagai insinyur perangkat lunak dari Desember 2018 hingga dia dipecat pada Juni, menurut polisi.

“Mulai musim semi 2022, Castro mulai mengedit kode perangkat lunak Zulily dengan cara yang memungkinkannya mencuri dari perusahaan,” kata laporan polisi tersebut.

Polisi mengatakan Castro memasukkan tiga jenis kode berbahaya dalam proses pembayaran di Zulily dan dengan menggunakan metode tersebut, “mencuri gabungan $302.278,52 sebelum dia diberhentikan pada Juni 2022.”

Tim penipuan Zulily dapat menemukan pola penyesuaian harga pada beberapa produk yang dijual oleh perusahaan, yang menurut polisi dipesan oleh Castro dan dikirim ke kediamannya, kata laporan itu.

Dokumen OneNote di laptop kerja Castro yang disebut “Proyek OfficeSpace” ditemukan melalui penyelidikan, dan di dalamnya, “skema untuk mencuri biaya pengiriman”, diuraikan, menurut laporan tersebut.

Laporan polisi juga mencatat plot film “Office Space” berputar di sekitar para insinyur yang membuat rencana untuk memindahkan pecahan sen ke dalam rekening bank pribadi.

Castro dihubungi polisi dan ditangkap pada 21 Juni. Pada tanggal itu dia berbicara dengan detektif setelah dibacakan haknya. Selama wawancara itu dia “mengonfirmasi bahwa dia menyebutkan rencananya untuk mencuri dari Zulily setelah film itu,” kata polisi.

Castro juga memberi tahu pihak berwenang bahwa dia memesan lebih dari 1.000 item yang dikirim ke rumahnya, dan bahwa itu adalah bagian dari “proses pengujian yang diketahui Zulily, tetapi dia mengklaim bahwa ada skrip yang akan dijalankan segera setelah itu. pada dasarnya akan membatalkan pesanan dan memastikan pesanan tidak diproses, ”kata laporan itu.

Selengkapnya: CNN