Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Peringatan Lorenz Ransomware: Risiko pada Sektor Layanan Kesehatan dan Sektor Publik

by

Organisasi kesehatan dan sektor publik besar terus diserang oleh penyerang yang menggunakan ransomware Lorenz, pakar keamanan siber memperingatkan.

“Lorenz digunakan untuk menargetkan organisasi yang lebih besar dalam apa yang disebut ‘perburuan besar’, dan mempublikasikan data secara publik sebagai bagian dari menekan korban dalam proses pemerasan,” menurut peringatan keamanan baru dari Departemen Kesehatan dan Layanan Kemanusiaan AS.

“Relatif sedikit yang diketahui tentang Lorenz dibandingkan dengan banyak operator ransomware lainnya,” kata Pusat Koordinasi Keamanan Siber Sektor Kesehatan HHS, atau HC3.

Ransomware Lorenz pertama kali terlihat di alam liar pada Februari 2021, dan tampaknya terkait dengan ransomware sZ40 – pertama kali terlihat pada Oktober 2020 – serta ransomware ThunderCrypt, yang berasal dari Mei 2017, menurut HHS.

Di antara kesamaan: “Lorenz menggunakan encryptor yang sama dengan ThunderCrypt, yang dapat menunjukkan operasi oleh grup yang sama, atau pembelian atau pencurian kode.” Selain itu, file yang dienkripsi oleh Lorenz memiliki .Lorenz.sz40 yang ditambahkan ke nama file.

Korban Lorenz yang diketahui termasuk Wolfe Eye Clinic di Iowa, yang menjadi korban pada April 2021, dan menolak membayar uang tebusan. Informasi kesehatan yang dilindungi hingga 500.000 pasien terpapar.

Di antara korban baru-baru ini, Lorenz pada 14 November mengklaim melalui situs kebocoran datanya telah melanggar Salud Family Health of Colorado, lapor firma intelijen ancaman Kela.

KEmudian diikuti oleh Salud Family Health pada bulan Oktober memperingatkan HHS bahwa mereka telah mengalami pelanggaran pada bulan September yang mempengaruhi jumlah pasien yang belum ditentukan, seperti yang pertama kali dilaporkan oleh Databreaches.net.

Dalam pemberitahuan pelanggarannya, Salud memberi tahu para korban bahwa “nama, nomor Jaminan Sosial, nomor SIM atau nomor kartu identitas Colorado, informasi akun keuangan/nomor kartu kredit, nomor paspor, informasi perawatan medis dan diagnosis, informasi asuransi kesehatan, data biometrik, dan nama pengguna dan kata sandi” mungkin telah terungkap.

Selengkapnya: Data Breach Today

Pembaruan Windows Server baru menyebabkan macet pada domain controller, dimulai ulang

by

Microsoft sedang menyelidiki kebocoran memori LSASS (yang disebabkan oleh pembaruan Windows Server yang dirilis selama Patch November Selasa) yang mungkin menyebabkan pembekuan dan restart pada beberapa pengontrol domain.

LSASS (kependekan dari Local Security Authority Subsystem Service) bertanggung jawab untuk menegakkan kebijakan keamanan pada sistem Windows, dan menangani pembuatan token akses, perubahan kata sandi, dan login pengguna.

Jika layanan ini mogok, pengguna yang masuk segera kehilangan akses ke akun Windows di mesin, dan mereka diperlihatkan kesalahan restart sistem diikuti dengan reboot sistem.

“LSASS mungkin menggunakan lebih banyak memori dari waktu ke waktu dan DC mungkin menjadi tidak responsif dan memulai ulang,” Microsoft menjelaskan di dasbor Windows Health.

“Tergantung pada beban kerja DC Anda dan jumlah waktu sejak terakhir kali server dihidupkan ulang, LSASS mungkin terus meningkatkan penggunaan memori dengan waktu aktif server Anda dan server mungkin menjadi tidak responsif atau memulai ulang secara otomatis.”

Redmond mengatakan bahwa pembaruan Windows out-of-band didorong untuk mengatasi masalah otentikasi pada pengontrol domain Windows mungkin juga terpengaruh oleh masalah yang diketahui ini.

Daftar lengkap versi Windows yang terpengaruh termasuk Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1, dan Windows Server 2008 SP2.

Microsoft sedang mengerjakan resolusi dan mengatakan akan memberikan pembaruan dengan rilis yang akan datang.

Selengkapnya: Bleeping Computer

Pencuri profesional: scammer oportunistik yang menargetkan pengguna Steam, Roblox, dan Amazon di 111 negara

by

Group-IB, salah satu pemimpin global dalam keamanan siber, telah mengidentifikasi 34 kelompok berbahasa Rusia yang mendistribusikan malware pencuri informasi dengan model stealer-as-a-service. Penjahat dunia maya terutama menggunakan pencuri Racoon dan Redline untuk mendapatkan kata sandi untuk akun game di Steam dan Roblox, kredensial untuk Amazon dan PayPal, serta catatan pembayaran pengguna dan informasi dompet kripto.

Dalam tujuh bulan pertama tahun 2022, geng-geng tersebut secara kolektif menginfeksi lebih dari 890.000 perangkat pengguna dan mencuri lebih dari 50 juta kata sandi. Semua kelompok yang diidentifikasi mengatur serangan mereka melalui kelompok Telegram berbahasa Rusia, meskipun mereka terutama menargetkan pengguna di Amerika Serikat, Brasil, India, Jerman, dan Indonesia. Pada tahun 2022, malware pencuri informasi telah berkembang menjadi salah satu ancaman digital paling serius.

Menurut tim Perlindungan Risiko Digital Grup-IB, (bagian dari Platform Risiko Terpadu), grup dan bot Telegram massal yang dirancang untuk mendistribusikan pencuri info pertama kali muncul pada awal tahun 2021. Dengan menyelidiki sejumlah akun, analis Grup-IB dapat untuk mengkonfirmasi bahwa anggota dari beberapa kelompok penipuan yang sebelumnya berpartisipasi dalam skema Classiscam mulai menggunakan pencuri. Pada tahun 2021 dan 2022, pakar Grup-IB mengidentifikasi 34 grup aktif di Telegram. Rata-rata, grup distribusi pencuri info tersebut memiliki sekitar 200 anggota aktif.

Pencuri paling populer di antara kelompok yang diperiksa oleh Grup-IB adalah RedLine, yang digunakan oleh 23 dari 34 geng. Racoon menempati urutan kedua: 8 kelompok menggunakan alat ini. Pencuri kustom digunakan di 3 komunitas. Administrator biasanya memberi pekerja RedLine dan Racoon dengan imbalan bagian dari data atau uang yang dicuri. Namun, malware yang dimaksud ditawarkan untuk disewa di web gelap seharga $150-200 per bulan. Beberapa kelompok menggunakan 3 pencuri pada saat yang sama, sementara yang lain hanya memiliki satu pencuri di gudang senjata mereka.

5 besar negara yang paling sering diserang pada tahun 2022 adalah Amerika Serikat, Brasil, India, Jerman, dan Indonesia dengan masing-masing 91.565, 86.043, 53.988, 40.750, dan 35.345 perangkat yang terinfeksi.

Selengkapnya: Group-IB

34 Grup Cybercrime Rusia Mencuri Lebih dari 50 Juta Kata Sandi dengan Malware Stealer

by

Sebanyak 34 geng berbahasa Rusia mendistribusikan malware pencuri informasi di bawah model pencuri sebagai layanan mencuri tidak kurang dari 50 juta kata sandi dalam tujuh bulan pertama tahun 2022.

Mayoritas korban berada di AS, diikuti oleh Brasil, India, Jerman, Indonesia, Filipina, Prancis, Turki, Vietnam, dan Italia. Secara total, lebih dari 890.000 perangkat di 111 negara terinfeksi selama jangka waktu tersebut.

Group-IB mengatakan anggota dari beberapa grup scam yang menyebarkan pencuri informasi sebelumnya berpartisipasi dalam operasi Classiscam.

Setelah kompromi yang berhasil, para penjahat dunia maya menjajakan informasi yang dicuri di web gelap untuk mendapatkan uang.

Perkembangan tersebut menyoroti peran penting yang dimainkan oleh Telegram dalam memfasilitasi berbagai kegiatan kriminal, termasuk berfungsi sebagai pusat untuk mengumumkan pembaruan produk, menawarkan dukungan pelanggan, dan mengekstraksi data dari perangkat yang disusupi.

Temuan ini juga mengikuti laporan baru dari SEKOIA, yang mengungkapkan bahwa tujuh tim traffer yang berbeda telah menambahkan pencuri informasi yang sedang naik daun yang dikenal sebagai Aurora ke perangkat mereka.

“Popularitas skema yang melibatkan pencuri dapat dijelaskan dengan hambatan masuk yang rendah,” jelas Group-IB. “Pemula tidak perlu memiliki pengetahuan teknis lanjutan karena prosesnya sepenuhnya otomatis dan satu-satunya tugas pekerja adalah membuat file dengan pencuri di bot Telegram dan mengarahkan lalu lintas ke sana.”

sumber : the hacker news

Microsoft: Popular IoT SDKs Leave Critical Infrastructure Wide Open to Cyberattack

by

Microsoft minggu ini mengidentifikasi vektor serangan menganga untuk menonaktifkan sistem kontrol industri (ICS), yang sayangnya menyebar di seluruh jaringan infrastruktur penting: server Web Boa.

Mungkin tampak aneh bahwa server akhir masa pakai yang berusia hampir 20 tahun masih berkeliaran, tetapi Boa termasuk dalam serangkaian kit pengembang perangkat lunak (SDK) populer yang digunakan pengembang perangkat Internet of Things dalam desain kritis mereka. komponen untuk ICS,

Ini termasuk SDK yang dirilis oleh RealTek yang digunakan dalam SOC yang disediakan untuk perusahaan yang memproduksi perangkat gateway seperti router, titik akses, dan repeater, catat para peneliti.

Ternyata komponen yang rentan dalam serangan tersebut adalah server Web Boa. Menurut postingan blog Microsoft Security Threat Intelligence yang diterbitkan pada 22 November, server Web dan kerentanan yang diwakilinya dalam rantai pasokan komponen IoT seringkali tidak diketahui oleh pengembang dan administrator yang mengelola sistem dan berbagai perangkatnya.

Membuat Penemuan
kelompok ancaman Hive mengklaim serangan ransomware pada Tata Power di India. Dan dalam pelacakan aktivitas mereka yang berkelanjutan, para peneliti terus melihat penyerang mencoba mengeksploitasi kerentanan Boa, “menunjukkan bahwa itu masih ditargetkan sebagai vektor serangan” dan akan terus menjadi satu selama server ini digunakan.

maka dari hal tersebut jaringan ICS untuk mengidentifikasi kapan server Boa yang rentan sedang digunakan dan untuk menambal kerentanan sedapat mungkin, serta mengambil tindakan lain untuk mengurangi risiko dari serangan di masa mendatang, kata para peneliti

tindakan yang perlu dipertimbangkan untuk mitigasi termasuk menggunakan pemindaian antivirus proaktif untuk mengidentifikasi muatan berbahaya pada perangkat; mengonfigurasi aturan deteksi untuk mengidentifikasi aktivitas berbahaya jika memungkinkan; dan mengadopsi solusi IoT dan OT yang komprehensif untuk memantau perangkat, merespons ancaman, dan meningkatkan visibilitas untuk mendeteksi dan memperingatkan saat perangkat IoT dengan Boa digunakan sebagai titik masuk ke jaringan.

sumber : dark reading

Peretas Dapat Menyebabkan Bencana pada Deepwater Horizon

by

Jaringan fasilitas minyak dan gas lepas pantai di A.S. berada pada risiko yang serius dan semakin meningkat dari serangan siber yang berpotensi sangat membahayakan. jika serangan dunia maya berhasil mengenai infrastruktur lepas pantai negara tersebut, hal itu dapat menyebabkan bencana dengan dampak yang serupa dengan bencana Deepwater Horizon.

Saat ini terdapat lebih dari 1.600 bangunan di landas kontinen luar yang terlibat dalam produksi minyak dan gas yang tersebar di pesisir Atlantik, Pasifik, dan Alaska, serta Teluk Meksiko. Struktur tersebut sangat bergantung pada teknologi operasional yang dikendalikan dari jarak jauh. Peretasan itu sangat memalukan mengingat bahwa kebocoran itu adalah hasil dari satu kata sandi yang disusupi, dan audit teknologi yang dilakukan tiga tahun sebelum pelanggaran tersebut menemukan bahwa sistem Kolonial dapat diretas oleh “anak kelas delapan,” kata salah satu auditor kemudian.

Jaringan fasilitas dan infrastruktur minyak dan gas lepas pantai nasional diatur oleh Bureau of Safety and Environmental Enforcement (BSEE). The Government Accountability Office (GAO) menemukan bahwa operasi minyak dan gas semakin berpindah ke pekerjaan jarak jauh dan “produksi minyak dan gas tak berawak menjadi semakin umum.” Pada saat yang sama, banyak sistem teknologi operasional yang sudah ketinggalan zaman atau terhubung ke bisnis yang lebih besar dan sistem TI dalam perusahaan yang dapat diakses dari jarak jauh.

Kegagalan sistem keamanan otomatis adalah bagian dari rangkaian masalah yang menyebabkan ledakan Deepwater Horizon 2010, tumpahan minyak terbesar dalam sejarah AS yang menewaskan 11 orang.

“Aktor ancaman semakin mampu melakukan serangan terhadap infrastruktur penting, termasuk infrastruktur minyak dan gas lepas pantai,” laporan itu menemukan. “Pada saat yang sama, infrastruktur menjadi lebih rentan terhadap serangan.

sumber : gizmodo

Peneliti Diam-diam Membobol Kunci Ransomware Zeppelin

by

Peter adalah seorang manajer TI untuk produsen teknologi yang terkena serangan ransomware Rusia yang disebut “Zeppelin”. Peter, yang berbicara terus terang tentang serangan tanpa menyebut nama, mengatakan FBI menyuruhnya untuk menghubungi perusahaan konsultan keamanan dunia maya di New Jersey bernama Unit 221B, dan khususnya pendirinya – Lance James.

Dalam sebuah wawancara dengan KrebsOnSecurity, James mengatakan Unit 221B berhati-hati dalam mengiklankan kemampuannya untuk memecahkan kunci ransomware Zeppelin karena tidak ingin menyerahkan tangannya kepada pencipta Zeppelin, yang cenderung memodifikasi pendekatan enkripsi file mereka jika mereka mendeteksi itu entah bagaimana. sedang dilewati.

Kelompok Zeppelin tampaknya telah berhenti menyebarkan kode ransomware mereka secara bertahap selama setahun terakhir, mungkin karena rujukan Unit 221B dari FBI membiarkan mereka diam-diam membantu hampir dua lusin organisasi korban pulih tanpa membayar pemeras mereka.

Para peneliti mengatakan jeda mereka datang ketika mereka memahami bahwa sementara Zeppelin menggunakan tiga jenis kunci enkripsi yang berbeda untuk mengenkripsi file, mereka dapat membatalkan keseluruhan skema dengan memfaktorkan atau menghitung hanya salah satunya: Kunci publik RSA-512 singkat yang dihasilkan secara acak pada setiap mesin yang terinfeksi.

Unit 221B akhirnya membuat versi Linux “Live CD” yang dapat dijalankan oleh korban pada sistem yang terinfeksi untuk mengekstrak kunci RSA-512 tersebut. Dari sana, mereka akan memuat kunci ke dalam sekelompok 800 CPU yang disumbangkan oleh raksasa Digital Ocean hosting yang kemudian akan mulai memecahkannya.

Catatan ransomware khas Zeppelin.

Jon adalah korban ransomware Zeppelin lainnya yang dibantu oleh upaya dekripsi Unit 221B. Penyerang yang merusak perusahaan Jon berhasil melakukan phishing kredensial dan token autentikasi multi-faktor untuk beberapa alat yang digunakan perusahaan untuk mendukung pelanggan, dan dalam waktu singkat mereka telah menguasai server dan cadangan untuk pelanggan penyedia layanan kesehatan.

Pada Agustus 2022, FBI dan Cybersecurity & Infrastructure Security Agency (CISA) mengeluarkan peringatan bersama pada Zeppelin, mengatakan FBI telah “mengamati contoh di mana aktor Zeppelin mengeksekusi malware mereka beberapa kali dalam jaringan korban, menghasilkan pembuatan ID yang berbeda. atau ekstensi file, untuk setiap kejadian serangan; ini mengakibatkan korban memerlukan beberapa kunci dekripsi unik.”

Pada saat perusahaan Jon berhasil mendekripsi data mereka, mereka dipaksa oleh regulator untuk membuktikan bahwa tidak ada data pasien yang telah diekstraksi dari sistem mereka. Secara keseluruhan, majikannya membutuhkan waktu dua bulan untuk pulih sepenuhnya dari serangan itu.

sumber : krebson security

AS menuntut tersangka BEC dengan penargetan program perawatan kesehatan federal

by

Departemen Kehakiman AS (DOJ) telah menuntut sepuluh terdakwa atas dugaan keterlibatan mereka dalam skema kompromi email bisnis (BEC) yang menargetkan banyak korban di seluruh negeri, termasuk program pendanaan federal AS seperti Medicare dan Medicaid.

Untuk mengelabui target agar percaya bahwa pembayaran dilakukan ke akun yang sah, US DOJ mengatakan penyerang memalsukan alamat email rumah sakit untuk meminta program asuransi kesehatan publik dan swasta untuk beralih ke rekening bank baru (dikendalikan oleh rekan konspirator) untuk mengirim pembayaran. pelayanan medis.

Tuduhan US DOJ yang tidak disegel juga terkait dengan pencucian uang dan skema penipuan kawat terhadap para terdakwa di berbagai negara bagian:

  • enam terdakwa di Distrik Utara Georgia (Patrick Ndong-Bike, Desmond Nkwenya, Cory Smith, Chisom Okonkwo, Olugbenga Abu, Trion Thomas)
  • satu terdakwa di Distrik Carolina Selatan (Biliamin Fagbewesa)
  • satu terdakwa sebelumnya didakwa di Distrik Utara Georgia (Malachi Mullings)
  • yang sebelumnya dibebankan di Distrik Timur Virginia (Sauveur Blanchard)
  • terdakwa ketiga yang sebelumnya didakwa di Distrik Utara Texas (Adewale Adesanya) telah mengajukan pengakuan bersalah dan dijatuhi hukuman empat tahun penjara

Skema mereka diduga menyebabkan kerugian lebih dari $4,7 juta bagi Medicare, Medicaid, dan perusahaan asuransi kesehatan swasta A.S. dan kerugian lebih dari $6,4 juta bagi lembaga pemerintah federal A.S., perusahaan swasta, dan individu.

Business email compromise is a $43 billion scam
Penipu BEC menggunakan banyak taktik—termasuk phishing, rekayasa sosial, dan peretasan—untuk mengalihkan transfer bank target ke rekening bank yang mereka kendalikan.

Sayangnya, seperti yang diungkapkan FBI, tingkat keberhasilan mereka juga sangat tinggi karena mereka umumnya menyamar sebagai orang yang dipercaya oleh target, seperti mitra bisnis atau eksekutif perusahaan.

sumber : bleeping computer