Cyber Attack

Situs pemerintah Rusia diretas dalam serangan rantai pasokan

March 10, 2022 by Mally

Rusia mengatakan beberapa situs web agen federalnya telah disusupi dalam serangan rantai pasokan pada hari Selasa setelah penyerang tak dikenal meretas widget statistik yang digunakan untuk melacak jumlah pengunjung oleh beberapa lembaga pemerintah.

Daftar situs yang terkena dampak serangan termasuk situs Kementerian Energi, Layanan Statistik Negara Federal, Layanan Lembaga Pemasyarakatan Federal, Layanan Jurusita Federal, Layanan Antimonopoli Federal, Kementerian Kebudayaan, dan lembaga negara Rusia lainnya.

Insiden itu ditemukan Selasa malam setelah penyerang menerbitkan konten mereka sendiri dan memblokir akses ke situs web.

“Sulit untuk mengkompromikan situs web ini secara langsung, sehingga peretas menyerang sumber daya melalui layanan eksternal dan dengan demikian mendapatkan akses untuk menunjukkan konten yang salah,” layanan pers Kementerian Pembangunan Ekonomi Rusia mengatakan kepada Interfax.

Kementerian Pengembangan Digital Rusia mengklaim situs web badan-badan negara itu dikembalikan dalam waktu satu jam setelah pelanggaran.

Kejadian ini terjadi setelah pemerintah Rusia membagikan daftar lebih dari 17.000 alamat IP yang diduga digunakan dalam serangan DDoS terhadap jaringan Rusia.

Pusat Koordinasi Nasional untuk Insiden Komputer (NKTsKI) dari Layanan Keamanan Federal memperingatkan organisasi Rusia untuk mengambil langkah-langkah untuk melawan ancaman terhadap keamanan informasi mereka dan berbagi panduan untuk mempertahankan diri dari serangan semacam itu.

Peringatan ini muncul setelah Wakil Perdana Menteri Ukraina Mykhailo Fedorov mengumumkan pembentukan “tentara TI” untuk mendukung “pertarungan di front cyber” negara itu.

Selengkapnya: Bleeping Computer

Peretas mengklaim kebocoran besar Samsung, termasuk kunci enkripsi dan kode sumber

March 7, 2022 by Mally

Kelompok peretas Lapsus$ baru-baru ini menargetkan Nvidia, menuntut pembuat chip menghilangkan fitur di beberapa GPU yang membatasi tingkat hash saat menambang cryptocurrency Ethereum. Lapsus$ tidak berhenti di situ — sekarang Samsung berada di bawah kendali, dan kode sumber yang berharga sekali lagi dipertaruhkan.

Kebocoran baru dirinci dalam laporan dari Bleeping Computer, yang menyebut Lapsus$ sebagai “geng pemerasan” dan mengatakan kelompok itu awalnya memposting tangkapan layar kode untuk perangkat lunak Samsung, kemudian merinci apa yang telah dieksfiltrasi dari server raksasa elektronik Korea Selatan tersebut.

Info yang dicuri tampaknya mencakup informasi penting, termasuk algoritme untuk semua operasi pembukaan kunci biometrik, kode sumber untuk bootloader untuk produk Samsung yang lebih baru, dan semua kode sumber di balik proses otorisasi dan otentikasi akun Samsung.

Ini adalah pelanggaran yang buruk jika semua klaim itu benar. Data tersebut diduga tersedia untuk torrent, dengan Lapsus$ mengemasnya ke dalam file terkompresi yang totalnya hampir 190GB.

Menurut Bleeping Computer, peretasan tersebut bukanlah penculikan seperti halnya Nvidia, karena pada hari Sabtu tidak ada bukti permintaan tebusan.

Sumber: Android Police

Situs Ukraina mengalami peningkatan serangan 10x saat invasi dimulai

March 3, 2022 by Mally

Perusahaan keamanan internet telah mencatat gelombang serangan besar-besaran terhadap situs WordPress Ukraina sejak Rusia menginvasi Ukraina, yang bertujuan untuk menghapus situs web dan menyebabkan demoralisasi.

Firma keamanan siber Wordfence, yang melindungi 8.320 situs WordPress milik universitas, pemerintah, militer, dan entitas penegak hukum di Ukraina, melaporkan telah mencatat 144.000 serangan pada 25 Februari saja.

Fokus serangan tampaknya adalah bagian dari 376 situs web akademik yang menerima 209.624 serangan antara 25 dan 27 Februari.

Gelombang besar serangan terkoordinasi ini telah mengakibatkan kompromi dari 30 situs web universitas Ukraina, yang sebagian besar mengalami kerusakan total dan tidak tersedianya layanan.

Kelompok peretas di balik serangan ini adalah kelompok pro-Rusia yang disebut “theMx0nday,” yang telah memposting bukti peretasan pada agregator defacement Zone-H.

Wordfence telah menemukan bahwa pelaku ancaman berbasis di Brasil tetapi mengarahkan serangan mereka melalui alamat IP Finlandia menggunakan penyedia layanan internet anonim Njalla.

Kelompok aktor tertentu sebelumnya telah menyerang situs Brasil, Indonesia, Spanyol, Argentina, AS, dan Turki, sementara entri pertama mereka di Zone-H dimulai pada April 2019.

Untuk pertama kalinya dalam sejarahnya, Wordfence telah memutuskan untuk menyebarkan real-time threat intelligenc ke semua situs web Ukraina terlepas dari tingkat langganan mereka ke layanannya. Biasanya, fitur ini hanya tersedia untuk pelanggan Premium.

Sumber: Bleeping Computer

Regulator Eropa dan AS Memberi Tahu Bank Untuk Bersiap Menghadapi Ancaman Serangan Siber Rusia

February 10, 2022 by Mally

Dilansir dari Reuters, Bank Sentral Eropa (ECB) sedang mempersiapkan bank-bank untuk adanya kemungkinan serangan siber yang datang dari Rusia ketika ketegangan dengan Ukraina meningkat, dua orang yang mengetahui masalah tersebut mengatakan, saat kawasan itu bersiap menghadapi dampak finansial dari setiap konflik.

Kebuntuan antara Rusia dan Ukraina telah mengguncang para pemimpin politik dan bisnis Eropa, yang takut akan invasi yang akan menimbulkan kerusakan di seluruh wilayah.

Sementara regulator selama ini fokus pada penipuan biasa yang berkembang pesat selama pandemi, krisis Ukraina telah mengalihkan perhatiannya ke serangan siber yang diluncurkan dari Rusia, kata salah satu sumber, menambahkan bahwa ECB telah menanyai bank tentang pertahanan mereka.

Kekhawatiran ini tercermin di seluruh dunia.

Departemen Layanan Keuangan New York mengeluarkan peringatan kepada lembaga keuangan pada akhir Januari, peringatan serangan siber pembalasan jika Rusia menyerang Ukraina dan memicu sanksi AS, menurut Regulatory Intelligence Thomson Reuters.

Awal tahun ini, beberapa situs web Ukraina terkena serangan dunia maya yang meninggalkan peringatan untuk “takut dan mengharapkan yang terburuk”, karena Rusia telah mengumpulkan pasukan di dekat perbatasan Ukraina.

Para pejabat Rusia mengatakan Barat dicengkeram oleh Russophobia dan tidak memiliki hak untuk menceramahi Moskow untuk bertindak setelah negara itu memperluas aliansi militer NATO ke arah timur sejak jatuhnya Uni Soviet pada 1991.

Kremlin juga berulang kali membantah bahwa negara Rusia ada hubungannya dengan peretasan di seluruh dunia dan mengatakan siap bekerja sama dengan Amerika Serikat dan negara lain untuk menindak kejahatan dunia maya.

Meskipun demikian, regulator di Eropa sangat waspada akan adanya serangan siber dari Rusia.

Sumber: Reuters

Conti Ransomware Menambahkan Bank Indonesia Ke Dalam Daftar Korbannya

January 20, 2022 by Mally

Bank Indonesia, yang merupakan bank sentral Indonesia, diumumkan sebagai korban ransomware Conti, dalam sebuah posting yang diterbitkan oleh pelaku ancaman. Postingan tersebut dipublikasikan di situs kebocoran dark web geng ransomware Conti, bersama dengan 838 file dengan ukuran 487,09 megabyte.

[ALERT] Conti ransomware gang has announced "BANK OF INDONESIA" on the victim list. pic.twitter.com/qv2iJswis5

— DarkTracer : DarkWeb Criminal Intelligence (@darktracer_int) January 19, 2022

Menurut catatan yang dibuat oleh geng ransomware Conti, ini hanya mewakili satu persen dari total data yang telah dicuri. Jika itu benar, volume yang dicuri berjumlah seratus kali lipat, atau 48,7 gigabyte.

Dilaporkan oleh Bleeping Computer, Bank Indonesia (BI) telah mengkonfirmasi bahwa serangan ransomware memang menyerang jaringannya bulan lalu.

Selama insiden tersebut, para penyerang mencuri “data non-kritis” milik pegawai Bank Indonesia sebelum menyebarkan muatan ransomware di lebih dari selusin sistem di jaringan bank, seperti yang dilaporkan CNN Indonesia.

Namun, menurut juru bicara bank, insiden itu telah dimitigasi sebelum berdampak pada layanan publik BI, seperti yang dilaporkan pertama kali oleh Reuters.

Conti adalah operasi Ransomware-as-a-Service (RaaS) yang memiliki kaitan dengan kelompok kejahatan dunia maya Wizard Spider Rusia, yang juga dikenal dengan malware terkenal lainnya, termasuk Ryuk, TrickBot, dan BazarLoader.

Afiliasi grup ransomware melanggar jaringan target setelah perangkat perusahaan terinfeksi malware BazarLoader atau TrickBot, memberi mereka akses jarak jauh ke sistem yang disusupi.

Setelah mendapatkan akses ke jaringan internal korban, operator Conti akan mengkompromikan perangkat lain yang menyebar melalui jaringan korban.

Jaringan kementerian Pertahanan Belgia sebagian mati setelah adanya serangan siber

December 22, 2021 by Mally

Sebagian dari jaringan Kementerian Pertahanan Belgia mati selama beberapa hari sebagai akibat dari serangan siber “serius” setelah lubang keamanan ditemukan di perangkat lunak.

Sejak Kamis lalu, sebagian jaringan komputer mati, termasuk sistem surat, akibat serangan tersebut. Masih belum jelas siapa pelakunya, menurut laporan dari VRT News.

Menurut Kementerian Pertahanan, serangan tersebut merupakan akibat dari kerentanan kritis Log4Shell, sebuah bug dalam keamanan perangkat lunak Apache Log4j, sebuah perpustakaan logging Java open-source yang dibuat oleh Apache Foundation yang banyak digunakan oleh pengembang untuk menyimpan catatan aktivitas dalam aplikasi.

Masalah ini telah menimbulkan kekhawatiran di luar komunitas keamanan cyber, karena Log4j adalah komponen perangkat lunak yang digunakan oleh jutaan komputer di seluruh dunia yang menjalankan layanan online, sehingga berpotensi menjadi kerentanan komputer paling parah dalam beberapa tahun, menurut National Cyber Security Center (NCSC) Inggris.

Bug tersebut dapat membuat berbagai perangkat lunak rentan terhadap peretas, di antaranya banyak yang sekarang aktif memindai untuk mendeteksi sistem yang memiliki kelemahan ini sehingga mereka dapat mengendalikan sistem yang rentan dari jarak jauh.

Selengkapnya: The Brussels Times

Peretas SolarWinds memiliki banyak trik baru untuk serangan kompromi massal

December 10, 2021 by Mally

Hampir tepat setahun yang lalu, peneliti keamanan menemukan salah satu pelanggaran data terburuk dalam sejarah modern: kampanye peretasan yang didukung Kremlin yang membahayakan server penyedia manajemen jaringan SolarWinds dan, dari sana, 100 jaringan tertinggi -profil pelanggan, termasuk sembilan agen federal AS.

Pengingat terbaru tentang kemahiran kelompok Nobelium datang dari firma keamanan Mandiant, yang pada hari Senin menerbitkan penelitian yang merinci banyak prestasi Nobelium—dan beberapa kesalahan—karena terus menembus jaringan beberapa target bernilai tertingginya.

Salah satu hal yang membuat Nobelium begitu tangguh adalah kreativitas TTP-nya. Alih-alih membobol setiap target satu per satu, grup tersebut meretas jaringan SolarWinds dan menggunakan akses, dan kepercayaan yang dimiliki pelanggan di perusahaan, untuk mendorong pembaruan berbahaya ke sekitar 18.000 pelanggannya.

Laporan Mandiant menunjukkan bahwa kecerdikan Nobelium tidak goyah. Sejak tahun lalu, peneliti perusahaan mengatakan dua kelompok peretasan yang terkait dengan peretasan SolarWinds—satu disebut UNC3004 dan lainnya UNC2652—terus merancang cara baru untuk mengkompromikan sejumlah besar target dengan cara yang efisien.

Alih-alih meracuni rantai pasokan SolarWinds, kelompok tersebut mengkompromikan jaringan penyedia solusi cloud dan penyedia layanan terkelola, atau CSP, yang merupakan perusahaan pihak ketiga yang diandalkan oleh banyak perusahaan besar untuk berbagai layanan TI. Peretas kemudian menemukan cara cerdas untuk menggunakan penyedia yang dikompromikan itu untuk mengganggu pelanggan mereka.

Selengkapnya: Ars Technica

Web Server Polri Diretas oleh Peretas Brasil

November 18, 2021 by Mally

Dilansir dari CyberThreat.id, seorang peretas asal Brasil bernama son1x mengklaim bahwa ia telah meretas web server dari subdomain milik Polri. Tidak hanya satu web server namun 3 web server yang berhasil ia retas. Lebih buruknya lagi, basis data yang diduga berasal dari salah satu server, ia bagikan secara gratis di akun Twitter nya.

Peretas ini adalah peretas yang sama yang melakukan deface pada situs web Pusat Malware Nasional milik Badan Siber dan Sandi Negara pada akhir Oktober kemarin. Ia mengklaim sebetulnya bisa masuk lebih dalam lagi ke server BSSN, tapi dirinya takut dipenjara.

Baru-baru ini, ia kembali berulah dengan merusak empat subdomain Badan Pengkajian dan Penerapan Teknologi (BPPT) dan satu subdomain Goverment Certification Authority (GovCA), yaitu otoritas yang mengotentikasi pihak yang akan bertransaksi khususnya di pemerintahan. GovCa dibentuk oleh BPPT.

Ia mengatakan bahwa semenjak ia meretas BSSN, ada beberapa upaya Polri untuk mencari tahu tentang dirinya.

Basis data yang ia bocorkan berisi informasi pribadi dan kredensial pegawai Polri dan orang-orang yang terlibat di dalamnya.

Dari pengamatan CyberThreat.id, basis data tersebut berisi:

Nama
Tempat tanggal lahir
Satker
Pangkat
Status pernikahan
Jabatan
Alamat
Pangkat terakhir
Agama
Golongan darah
Suku
pen_umum_terakhir
pen_polri_terakhir
pen_jurusan_terakhir
pen_jenjang_terakhir
rehab_no_putusan
rehab_tanggal_putusan_sidang
rehab_id_jenis_pelanggaran
id_propam
s_tgl_hukuman_selesai
s_tgl_hukuman_mulai
s_tgl_rehab_mulai
s_tgl_rehab_selesai
s_tgl_binlu_mulai
s_tgl_binlu_selesai
email
no_hp.[]

Sumber: Cyberthreat.id

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attack

Cookies Settings