Breach

Korea Utara meretas Pfizer karena ingin menjual vaksin COVID bajakan di pasar gelap internasional, kata seorang sumber

February 26, 2021 by Winnie the Pooh

Peretas Korea Utara berusaha untuk menerobos server produsen vaksin yang berbasis di AS Pfizer, dan mitranya dari Jerman, BioNTech, dengan harapan mengumpulkan data ilmiah yang dapat digunakan untuk membuat salinan bajakan dari vaksin COVID-19 untuk dijual di pasar gelap internasional, menurut pejabat intelijen di Eropa.

“Itu jelas merupakan upaya pengumpulan informasi daripada sebuah malware – atau serangan gaya tebusan. Saya tidak akan membahas detail teknis tetapi kami telah mengembangkan banyak pengalaman dengan setiap jenis serangan,” kata seorang pejabat Eropa, yang tidak disebutkan namanya karena sensitivitas situasi yang ekstrem.

Ditanya apakah Korea Utara akan mencoba menjual barang bajakan, sumber itu mengatakan tanpa keraguan, mengingat sejarah panjang Korea Utara dalam pemalsuan, perdagangan narkoba, dan penyelundupan senjata melalui kedutaan mereka di seluruh dunia.

Peretasan saja memberikan sejumlah besar pendapatan bagi rezim, menurut dakwaan pekan lalu oleh otoritas AS terhadap jaringan peretas terkait negara Korea Utara yang dituduh mencuri $ 1,3 miliar dari berbagai target.

Selama beberapa dekade, Korea Utara telah dituduh menggunakan kedutaannya sebagai pos yang menguntungkan untuk kejahatan terorganisir mulai dari pemalsuan mata uang AS, perdagangan metamfetamin di seluruh dunia melalui kantong diplomatik yang aman, hingga menjual senjata kepada rezim jahat yang melanggar embargo.

Selengkapnya: Business Insider

Data Bombardier pembuat pesawat diposting di situs kebocoran ransomware setelah peretasan FTA

February 24, 2021 by Winnie the Pooh Leave a Comment

Produsen pesawat Kanada Bombardier hari ini telah mengungkapkan pelanggaran keamanan setelah beberapa datanya dipublikasikan di portal dark web yang dioperasikan oleh geng ransomware Clop.

Meskipun perusahaan tidak secara spesifik menyebutkan nama alat tersebut, kemungkinan besar mereka mengacu pada Accellion FTA, server web yang dapat digunakan oleh perusahaan untuk menghosting dan berbagi file besar yang tidak dapat dikirim melalui email ke pelanggan dan karyawan.

Pada Desember 2020, sebuah grup peretas menemukan zero-day di perangkat lunak FTA dan mulai menyerang perusahaan di seluruh dunia. Penyerang mengambil alih sistem, memasang shell web, dan kemudian mencuri data sensitif.

Para penyerang kemudian mencoba memeras perusahaan yang diretas, meminta pembayaran tebusan, atau mereka akan membuat data yang dicuri itu publik, menurut firma keamanan FireEye.

Data dari perusahaan data geo-spasial Fugro, firma teknologi Danaher, perusahaan telekomunikasi terbesar Singapura Singtel, dan firma hukum AS Jones Day sejauh ini telah dipublikasikan di situs yang sama.

Hari ini, nama Bombardier menambah daftar panjang dari korban peretasan tersebut, yang mendorong pembuat pesawat itu untuk mengumumkan pelanggaran keamanannya.

Data yang dibagikan di situs termasuk dokumen desain untuk berbagai pesawat Bombardier dan bagian pesawat. Tidak ada data pribadi yang dibagikan, tetapi pembuat pesawat kemungkinan besar marah karena beberapa kekayaan intelektual pribadinya sekarang ditawarkan sebagai unduhan gratis di dark web.

Sumber: ZDNet

FireEye menghubungkan serangan zero day di server FTA & kampanye pemerasan ke grup FIN11

February 23, 2021 by Winnie the Pooh

Serangan menggunakan zero-day di server Accellion FTA yang telah melanda sekitar 100 perusahaan di seluruh dunia pada Desember 2020 dan Januari 2021 telah dilakukan oleh kelompok kejahatan siber yang dikenal sebagai FIN11, kata firma keamanan siber FireEye hari ini.

Selama serangan, peretas mengeksploitasi empat kelemahan keamanan untuk menyerang server FTA, memasang kerangka web bernama DEWMODE, yang kemudian digunakan penyerang untuk mengunduh file yang disimpan pada peralatan FTA korban.

“Dari sekitar 300 total klien FTA, kurang dari 100 menjadi korban serangan itu,” kata Accellion dalam siaran pers hari ini. “Dalam grup ini, kurang dari 25 tampaknya mengalami pencurian data yang signifikan”.

Tetapi FireEye mengatakan bahwa beberapa dari 25 pelanggan ini sekarang telah menerima permintaan tebusan menyusul serangan terhadap server berbagi file FTA mereka.

Para penyerang menghubungi melalui email dan meminta pembayaran Bitcoin, atau mereka akan mempublikasikan data korban di “situs kebocoran” yang dioperasikan oleh geng ransomware Clop.

FireEye, yang telah membantu Accellion menyelidiki serangan-serangan ini, mengatakan serangan tersebut telah dikaitkan dengan dua kelompok aktivitas yang dilacak perusahaan sebagai UNC2546 (eksploitasi zero-day pada perangkat FTA) dan UNC2582 (email yang dikirim ke korban yang mengancam untuk mempublikasikan data tentang Tutup situs kebocoran ransomware).

Kedua grup memiliki infrastruktur yang tumpang tindih dengan FIN11, geng kejahatan siber besar yang ditemukan dan didokumentasikan FireEye tahun lalu, yang memiliki berbagai bentuk operasi kejahatan siber.

Selengkapnya: ZDNet

Microsoft mengatakan peretas SolarWinds mengunduh beberapa kode sumber Azure, Exchange, dan Intune

February 19, 2021 by Winnie the Pooh

Tim keamanan Microsoft mengatakan hari ini telah secara resmi menyelesaikan penyelidikannya atas pelanggaran terkait SolarWinds dan tidak menemukan bukti bahwa peretas menyalahgunakan sistem internal atau produk resminya untuk berputar dan menyerang pengguna akhir dan pelanggan bisnis.

Pembuat OS mulai menyelidiki pelanggaran tersebut pada pertengahan Desember setelah ditemukan bahwa peretas yang terkait dengan Rusia melanggar vendor perangkat lunak SolarWinds dan memasukkan malware ke dalam platform pemantauan TI Orion, produk yang juga telah digunakan oleh Microsoft secara internal.

Pada laporan bulan Desember, Microsoft sempat mengatakan bahwa peretas telah mengakses kode sumber produk nya.

“Analisis kami menunjukkan viewing pertama file di repositori sumber terjadi pada akhir November dan berakhir ketika kami mengamankan akun yang terpengaruh,” kata perusahaan hari ini, dalam laporan terakhirnya terkait pelanggaran terkait SolarWinds.

Pembuat OS mengatakan penyusup melihat “hanya beberapa file individual […] sebagai hasil dari pencarian repositori.”

Tetapi selain melihat file, para peretas juga berhasil mengunduh beberapa kode. Namun, Microsoft mengatakan datanya tidak ekstensif dan penyusup hanya mengunduh kode sumber dari beberapa komponen yang terkait dengan beberapa produk berbasis cloud-nya.

Menurut Microsoft, repositori ini berisi kode untuk:

sebagian kecil komponen Azure (subset layanan, keamanan, identitas)
sebagian kecil komponen Intune
sebagian kecil komponen Exchange

Sumber: ZDNet

Prancis mengaitkan serangan penyedia hosting ke peretas Sandworm Rusia

February 16, 2021 by Winnie the Pooh

Badan keamanan siber nasional Prancis telah mengaitkan serangkaian serangan yang mengakibatkan pelanggaran beberapa penyedia TI Prancis selama rentang empat tahun ke grup peretasan Sandworm yang didukung Rusia.

ANSSI (kependekan dari Agence Nationale de la Sécurité des Systèmes d’Information) belum dapat menentukan bagaimana server disusupi.

Oleh karena itu, belum jelas apakah para penyerang mengeksploitasi kerentanan dalam perangkat lunak Centreon yang terekspos atau para korban dikompromikan melalui serangan rantai pasokan.

“Korban pertama tampaknya telah dikompromikan sejak akhir 2017. Kampanye tersebut berlangsung hingga 2020,” kata ANSSI dalam laporan yang diterbitkannya.

“Kampanye ini sebagian besar memengaruhi penyedia teknologi informasi, terutama penyedia web hosting.”

ANSSI menemukan bahwa para penyerang menyebarkan backdoors web shell Exaramel dan PAS (alias Fobushell) saat menganalisis server yang disusupi di jaringan organisasi yang terkena dampak.

Para penyerang menggunakan VPN publik dan komersial serta layanan anonimisasi saat menghubungkan ke pintu belakang termasuk jaringan Tor, EXpressVPN, VPNBook, dan PrivateInternetAccess (PIA).

Menurut badan keamanan siber Prancis, kampanye tersebut menunjukkan beberapa kesamaan dengan perilaku yang diamati saat menganalisis serangan Sandworm sebelumnya, termasuk kampanye penyusupan sebelum memilih salah satu korban untuk kompromi lebih lanjut.

ANSSI juga mengatakan bahwa infrastruktur komando dan kontrol yang digunakan oleh pelaku ancaman untuk mengendalikan malware yang disebarkan pada mesin korban yang dikompromikan dikenal sebagai server yang dikendalikan Sandworm.

Selengkapnya: Bleeping Computer

KeepChange mengatakan mereka menghentikan peretas mencuri dana pengguna, tetapi bukan data pribadi

February 12, 2021 by Winnie the Pooh

KeepChange, portal pertukaran Bitcoin yang diluncurkan tahun lalu, mengatakan telah diretas selama akhir pekan tetapi perlindungan keamanan yang diterapkannya menghentikan para penyusup untuk mencuri dana pengguna.

“Permintaan penarikan Bitcoin dimulai dari akun pelanggan ke alamat milik penyerang,” kata pasar Bitcoin dalam sebuah posting blog minggu ini.

“Salah satu subsistem kontrol kami menendang dan menghentikan permintaan penarikan tersebut, dan tidak ada Bitcoin yang dicuri dari KeepChange.”

Namun, KeepChange mengatakan bahwa meskipun peretas tidak berhasil mencuri dana pengguna, mereka berhasil mencuri beberapa data pribadi pelanggannya. Ini termasuk detail seperti nama, alamat email, jumlah perdagangan, total jumlah yang diperdagangkan, dan kata sandi yang di hash.

KeepChange telah menghentikan penarikan dana di platform hingga hari ini, Kamis, 11 Februari, untuk memberi pengguna waktu untuk mengubah kata sandi dan mengaktifkan berbagai fitur keamanan untuk akun mereka.

Di antaranya adalah otentikasi dua faktor (2FA), yang perusahaan mendesak pengguna untuk mengaktifkannya pada akun mereka.

Selengkapnya: ZDNet

Singtel mengalami pelanggaran keamanan vendor pihak ketiga, data pelanggan kemungkinan bocor

February 12, 2021 by Winnie the Pooh

Singtel mengatakan sedang menyelidiki dampak pelanggaran keamanan siber yang mungkin telah membahayakan data pelanggan, setelah dipastikan pada 9 Februari bahwa “file telah diambil”.

Serangan tersebut telah memengaruhi sistem berbagi file yang dikembangkan dua dekade lalu oleh vendor pihak ketiga Accellion, yang telah digunakan oleh perusahaan telekomunikasi Singapura secara internal dan dengan stakeholders eksternal.

Singtel mengungkapkan dalam sebuah pernyataan hari Kamis bahwa mereka telah diberitahu oleh Accellion bahwa sistem berbagi file, yang disebut FTA (File Transfer Appliance), telah dilanggar oleh peretas tak dikenal.

Semua penggunaan sistem telah ditarik kembali dan otoritas terkait, termasuk Badan Keamanan Siber Singapura dan polisi setempat, telah diberitahu mengenai hal ini.

“Informasi pelanggan mungkin telah diakses,” kata perusahaan telekomunikasi itu. “Prioritas kami adalah bekerja secara langsung dengan pelanggan dan stakeholders yang informasinya mungkin telah disusupi agar mereka tetap didukung dan membantu mereka mengelola risiko apa pun. Kami akan menghubungi mereka secepatnya setelah kami mengidentifikasi file mana yang relevan dengan mereka yang diakses secara ilegal.”

Accellion pada 1 Februari mengatakan sistem FTA-nya adalah perangkat lunak transfer file besar berusia 20 tahun yang mendekati akhir siklus hidupnya. Itu telah menjadi target dari “serangan cyber yang canggih”, yang pertama kali diketahui pada tanggal 23 Desember ketika Accellion menginformasikan semua pelanggannya tentang serangan yang melibatkan sistem berbagi file.

Selengkapnya: ZDNet

Oxfam Australia menyelidiki pelanggaran data setelah database dijual secara online

February 5, 2021 by Winnie the Pooh

Oxfam Australia menyelidiki dugaan pelanggaran data setelah seorang pelaku ancaman mengaku menjual database milik mereka di forum peretas.

Oxfam Australia adalah badan amal yang berfokus pada pengentasan kemiskinan di kalangan penduduk asli Australia dan orang-orang dari Afrika, Asia, dan timur tengah.

Minggu lalu, BleepingComputer mengetahui tentang pelaku ancaman yang mengaku menjual database berisi kontak Oxfam Australia dan informasi donor untuk 1,7 juta orang.

Sampel database yang dilihat oleh BleepingComputer termasuk nama, alamat email, alamat, nomor telepon, dan jumlah donasi.

Ketika BleepingComputer mengetahui mengenai penjualan ini, mereka lalu menghubungi Oxfam Australia, yang segera menyatakan bahwa mereka sedang menyelidiki situasinya.

Pada hari Rabu, Oxfam Australia mengatakan kepada BleepingComputer bahwa mereka terus menyelidiki pelanggaran tersebut dan melaporkannya ke Pusat Keamanan Cyber Australia (ACSC) dan Kantor Komisaris Informasi Australia (OAIC).

Oxfam Australia telah memberi tahu BleepingComputer bahwa tidak diketahui data apa yang berpotensi diakses dan berapa banyak orang yang terpengaruh.

Badan amal tersebut sedang menyelidiki insiden tersebut dan akan memperbarui nasihat keamanannya saat lebih banyak informasi diketahui.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Breach

Cookies Settings