Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cyber Attack

Cyber Attack

Microsoft: Peretas menggunakan taktik ‘mengkhawatirkan’ ini untuk menghindari otentikasi multi-faktor

by

Microsoft telah menguraikan beberapa mitigasi untuk melindungi dari serangan pada otentikasi multi-faktor yang sayangnya akan membuat hidup lebih sulit bagi pekerja jarak jauh Anda.

Tiga tahun lalu, serangan terhadap otentikasi multi-faktor (MFA) sangat jarang sehingga Microsoft tidak memiliki statistik yang layak tentang mereka, terutama karena beberapa organisasi telah mengaktifkan MFA.

Tetapi dengan meningkatnya penggunaan MFA karena serangan terhadap kata sandi menjadi lebih umum, Microsoft telah melihat peningkatan penyerang yang menggunakan pencurian token dalam upaya mereka untuk menghindari MFA.

Dalam serangan ini, penyerang mengkompromikan token yang dikeluarkan untuk seseorang yang telah menyelesaikan MFA dan memutar ulang token tersebut untuk mendapatkan akses dari perangkat yang berbeda. Token merupakan inti dari platform identitas OAuth 2.0, termasuk Azure Active Directory (AD), yang bertujuan untuk membuat autentikasi lebih sederhana dan lebih cepat bagi pengguna, tetapi dengan cara yang masih tahan terhadap serangan kata sandi.

Juga: Pekerjaan keamanan siber: Lima cara untuk membantu Anda membangun karier

Selain itu, Microsoft memperingatkan bahwa pencurian token berbahaya karena tidak memerlukan keterampilan teknis yang tinggi, sulit untuk mendeteksi dan, karena teknik ini baru saja mengalami peningkatan, beberapa organisasi memiliki mitigasi.

“Baru-baru ini, Tim Deteksi dan Respons Microsoft (DART) telah melihat peningkatan penyerang yang menggunakan pencurian token untuk tujuan ini,” kata Microsoft dalam sebuah blogpost.

Selengkapnya: ZDNet

PCspooF: Kerentanan Baru Mempengaruhi Jaringan Pesawat Luar Angkasa dan Pesawat Terbang

by

Sebuah metode serangan baru telah diungkapkan terhadap bagian penting dari teknologi yang disebut time-triggered ethernet (TTE) yang digunakan dalam infrastruktur penting keselamatan, yang berpotensi menyebabkan kegagalan sistem yang menggerakkan pesawat ruang angkasa dan pesawat terbang.

TTE adalah salah satu teknologi jaringan yang merupakan bagian dari apa yang disebut jaringan kekritisan campuran di mana lalu lintas dengan persyaratan waktu dan toleransi kesalahan yang berbeda hidup berdampingan dalam jaringan fisik yang sama. Ini berarti bahwa kedua perangkat kritis, yang memungkinkan kontrol kendaraan, dan perangkat non-kritis, yang digunakan untuk pemantauan dan pengumpulan data, berbagi jaringan yang sama.

Keuntungan yang jelas dari pendekatan ini adalah kenyataan bahwa ada persyaratan bobot dan daya yang lebih rendah serta biaya pengembangan dan waktu yang lebih rendah karena hanya mengandalkan satu teknologi. Tapi ini juga datang dengan kekurangannya sendiri.

ilustrasi level tinggi PCspooF

“Pendekatan kekritisan campuran ini memberi lebih banyak tekanan pada desain jaringan untuk memberikan isolasi,” Andrew Loveless, penulis utama studi tersebut,

Protokol jaringan dan perangkat keras perlu melakukan pekerjaan ekstra untuk memastikan lalu lintas kritis selalu dijamin berhasil dan tepat waktu.”

Selagi perangkat penting dalam jaringan harus melalui pemeriksaan menyeluruh, perangkat non-kritis bukan hanya perangkat komersial siap pakai (COTS) tetapi juga tidak memiliki proses ketat yang sama, yang mengarah ke kemungkinan jalan untuk kompromi rantai pasokan yang dapat terjadi. dipersenjatai untuk mengaktifkan serangan dengan mengintegrasikan komponen pihak ketiga nakal ke dalam sistem.

“Di PCspooF, kami menemukan cara bagi perangkat non-kritis berbahaya untuk merusak jaminan isolasi ini di jaringan TTE,” Baris Kasikci,

Pada gilirannya, dicapai dengan menggunakan perangkat jahat untuk menyuntikkan interferensi elektromagnetik (EMI) ke sakelar TTE melalui kabel Ethernet,

Sebagai mitigasi, penelitian ini merekomendasikan penggunaan optocoupler atau pelindung gelombang untuk memblokir interferensi elektromagnetik, memeriksa alamat MAC sumber untuk memastikannya asli, menyembunyikan bidang PCF utama, menggunakan protokol autentikasi lapisan tautan seperti IEEE 802.

Temuan menunjukkan bahwa penggunaan perangkat keras umum dalam sistem yang direkayasa untuk memberikan jaminan isolasi yang ketat kadang-kadang dapat mengalahkan perlindungan itu sendiri, kata para peneliti, menambahkan sistem perangkat lunak kritik campuran harus diperiksa dengan cermat dengan cara yang sama untuk memastikan mekanisme isolasi. sangat mudah.

sumber : the hacker news

Peretas OPERA1ER mencuri lebih dari $11 juta dari bank dan perusahaan telekomunikasi

by

Sebuah kelompok ancaman yang peneliti sebut OPERA1ER telah mencuri setidaknya $ 11 juta dari bank dan penyedia layanan telekomunikasi di Afrika menggunakan alat peretasan yang tersedia.

Antara 2018 dan 2022, para peretas meluncurkan lebih dari 35 serangan yang berhasil, sekitar sepertiganya dilakukan pada tahun 2020.

Analis di Group-IB, yang bekerja dengan departemen CERT-CC di Orange, telah melacak OPERA1ER sejak 2019 dan memperhatikan bahwa grup tersebut mengubah teknik, taktik, dan prosedur (TTP) tahun lalu.

Khawatir kehilangan jejak aktor ancaman, perusahaan keamanan siber menunggu kelompok itu muncul kembali untuk menerbitkan laporan terbaru. Tahun ini, Group-IB mengamati bahwa para peretas kembali aktif.

Mereka mendapatkan akses awal melalui email spear-phishing yang memanfaatkan topik populer seperti faktur atau pemberitahuan pengiriman pos.

Email tersebut memiliki lampiran yang mengirimkan malware tahap pertama, di antaranya Netwire, bitrat, venomRAT, AgentTesla, Remcos, Neutrino, BlackNET, dan Venom RAT. Group-IB juga mengatakan bahwa para peretas mendistribusikan sniffer dan dumper kata sandi.

Menurut para peneliti, OPERA1ER dapat menghabiskan antara tiga hingga dua belas bulan di dalam jaringan yang disusupi, dan terkadang mereka menyerang perusahaan yang sama dua kali.

Para peneliti mengatakan bahwa setelah mendapatkan akses ke jaringan korban, peretas juga dapat menggunakan infrastruktur sebagai titik pivot ke target lain.

Group-IB mengatakan bahwa pelaku ancaman membuat email spear-phishing “berkualitas tinggi” yang ditulis dalam bahasa Prancis. Sebagian besar waktu, pesan tersebut menyamar sebagai kantor pajak pemerintah atau agen perekrutan dari Bank Sentral Negara-negara Afrika Barat (BCEAO).

Selengkapnya: Bleeping Computer

Peretas OPERA1ER Mencuri Lebih dari $11 Juta dari Bank dan Perusahaan Telekomunikasi

by

Sebuah kelompok ancaman yang peneliti sebut OPERA1ER telah mencuri setidaknya $ 11 juta dari bank dan penyedia layanan telekomunikasi di Afrika menggunakan alat peretasan yang tersedia.

Antara 2018 dan 2022, para peretas meluncurkan lebih dari 35 serangan yang berhasil,

Kelompok peretas ini terdiri dari anggota berbahasa Prancis yang diyakini beroperasi dari Afrika. Selain menargetkan perusahaan di Afrika, geng itu juga menyerang organisasi di Argentina, Paraguay, dan Bangladesh.

OPERA1ER bergantung pada alat sumber terbuka, malware komoditas, dan kerangka kerja seperti Metasploit dan Cobalt Strike untuk mengkompromikan server perusahaan.

Mereka mendapatkan akses awal melalui email spear-phishing yang memanfaatkan topik populer seperti faktur atau pemberitahuan pengiriman pos.

OPERA1ER dapat menghabiskan antara tiga hingga dua belas bulan di dalam jaringan yang disusupi, dan terkadang mereka menyerang perusahaan yang sama dua kali.

peretas menargetkan akun operator yang mengendalikan sejumlah besar uang dan menggunakan kredensial curian untuk mentransfer dana ke akun Pengguna Saluran, yang akhirnya memindahkannya ke akun pelanggan di bawah kendali mereka.


OPERA1ER’s cashing out procedure (Group-IB)

Biasanya, acara pencairan uang terjadi pada hari libur atau selama akhir pekan untuk meminimalkan kemungkinan organisasi yang dikompromikan merespons situasi tepat waktu.

sumber : bleeping computer

Peretas Menjual Akses ke 576 Jaringan Perusahaan Seharga $4 Juta

by

Sebuah laporan baru menunjukkan bahwa peretas menjual akses ke 576 jaringan perusahaan di seluruh dunia dengan total harga penjualan kumulatif $4.000.000, memicu serangan terhadap perusahaan.

Meskipun jumlah penjualan untuk akses jaringan tetap sama seperti pada dua kuartal sebelumnya, harga permintaan kumulatif kini telah mencapai $4.000.000.

Jalan manuju ransomware

Pialang akses awal (IAB) adalah peretas yang menjual akses ke jaringan perusahaan, biasanya dicapai melalui pencurian kredensial, webshell, atau mengeksploitasi kerentanan dalam perangkat keras yang terbuka untuk umum.

Alasan IAB memilih untuk tidak memanfaatkan akses jaringan bervariasi, mulai dari kurangnya keterampilan intrusi yang beragam hingga memilih untuk tidak mengambil risiko peningkatan masalah hukum.

statistik babak 3 2022

Pada babak ketiga tahun 2022, analis KELA mengamati 110 pelaku ancaman memposting 576 penawaran akses awal dengan total nilai kumulatif $4.000.000.


Volume bulanan penjualan akses awal (KELA)

Harga jual rata-rata listing ini adalah $2.800, sedangkan harga jual rata-rata mencapai rekor $1.350.


Harga jual akses awal (KELA)

KELA juga melihat kasus akses tunggal yang ditawarkan untuk pembelian dengan harga astronomi $3.000.000. Namun, daftar ini tidak termasuk dalam statistik dan total Q3 ’22 karena keraguan tentang keasliannya.


Negara yang paling banyak ditargetkan oleh IAB di Q3 (KELA)

Ketika melihat sektor yang ditargetkan, layanan profesional, manufaktur, dan teknologi menempati urutan teratas dengan masing-masing 13,4%, 10,8%, dan 9,4%. Sekali lagi, serangan ransomware memiliki peringkat yang sama, menekankan hubungan antara keduanya.


IAB sektor yang paling banyak ditargetkan di Q3 (KELA)

Karena broker akses awal telah menjadi bagian integral dari rantai serangan ransomware, mengamankan jaringan Anda dengan benar dari gangguan sangat penting.

Serangan siber menunda perawatan pasien di rantai rumah sakit utama AS

by

Pasien di rumah sakit di salah satu sistem perawatan kesehatan terbesar di Amerika Serikat menghadapi penundaan perawatan karena serangan siber. Gangguan ini meluas ke minggu kedua.

CommonSpirit Health, yang mengoperasikan lebih dari 700 situs perawatan kesehatan di lebih dari 20 negara bagian, mengatakan dalam sebuah pernyataan pada tanggal 4 Oktober bahwa pihaknya “sedang mengelola masalah keamanan TI” dan perlu membuat beberapa sistem offline — termasuk catatan medis elektronik. Masalah ini disebabkan oleh serangan ransomware, kata seorang sumber kepada NBC News.

Dokter mengandalkan sistem TI dan catatan medis elektronik untuk melihat pemindaian pasien, memeriksa obat, dan mengingat detail tentang rencana perawatan khusus mereka. Tanpa mereka, mereka dibiarkan membuat catatan di atas kertas dan membawa catatan melalui rumah sakit dengan tangan.

Penelitian mulai menunjukkan bahwa rumah sakit yang terkena serangan siber seperti yang ada di CommonSpirit Health memiliki tingkat kematian yang lebih tinggi daripada tempat yang tidak terkena serangan.

Pasien di rumah sakit CommonSpirit Health sudah terkena dampak nya. Seorang wanita di Texas mengatakan kepada NBC News bahwa dokter suaminya merekomendasikan untuk menunda operasi sampai sistem kembali online.

CommonSpirit Health tidak merilis rincian tentang rumah sakit mana yang terkena dampak serangan itu, tetapi lokasi di Nebraska, Iowa, Washington, Texas, dan Tennessee mengatakan mereka terpengaruh.

Selengkapnya: The Verge

Serangan siber dilaporkan telah terjadi di bandara AS

by

Beberapa bandara terbesar di AS telah menjadi sasaran serangan siber pada hari Senin oleh seorang penyerang di Federasi Rusia, seorang pejabat senior menjelaskan tentang situasi yang dikonfirmasi kepada ABC News.

Lebih dari selusin situs web bandara terkena dampak serangan “denial of service”, John Hultquist, kepala analisis intelijen di perusahaan keamanan siber Mandiant, mengatakan kepada ABC News. Jenis serangan itu pada dasarnya membebani situs dengan membuat mereka macet dengan pengguna buatan.

“Killnet,” kelompok peretas pro-Rusia, diyakini berada di balik serangan itu, menurut Hultquist. Sementara kelompok serupa telah ditemukan menjadi front bagi aktor yang didukung negara, Hultquist mengatakan tidak ada bukti bahwa pemerintah Rusia terlibat dalam mengarahkan serangan ini.

Serangan pertama kali dilaporkan sekitar pukul 3 pagi ET ketika Otoritas Pelabuhan memberi tahu Badan Keamanan Cybersecurity dan Infrastruktur bahwa sistem Bandara LaGuardia telah diserang. LaGuardia telah dipulihkan, tetapi bandara lain di seluruh negeri kemudian menjadi sasaran.

Kelompok “Killnet” telah aktif sejak awal perang di Ukraina, menargetkan sekutu Ukraina dan baru-baru ini mengklaim kredit karena menghapus situs web pemerintah di AS. Mereka beroperasi secara internasional dan diketahui melakukan serangan di seluruh Eropa, menurut pakar keamanan siber.

Selengkapnya: ABC News

Singtel mengkonfirmasi pencurian digital di anak perusahaan, Dialog

by

Singtel telah mengkonfirmasi bahwa bisnis Australia lainnya yang dimilikinya, unit konsultan Dialog, telah menjadi korban perampokan dunia maya hanya beberapa minggu setelah kebocoran data raksasa di telco Optus terungkap.

Dalam sebuah pernyataan kepada bursa saham Singapura, Singtel mengatakan penyusup mungkin telah mengakses data perusahaan “berpotensi mempengaruhi kurang dari 20 klien dan 1.000 karyawan Dialog saat ini serta mantan karyawan”.

Akses tidak sah ke servernya pertama kali terdeteksi pada 10 September. Sistem ini ditutup sebagai “tindakan pencegahan” tetapi dipulihkan dan beroperasi penuh kembali dua hari kemudian.

Singtel telah memberi tahu pihak berwenang terkait dan menawarkan dukungan kepada mereka yang terjebak dalam kekacauan ini. Saat ini “tidak ada bukti” bahwa “insiden keamanan siber” di Dialog memiliki kaitan dengan insiden di Optus.

Singtel telah menyewa Deloitte untuk membantunya menginvestigasi insiden itu, dan Polisi Federal Australia (AFP) telah meminta FBI untuk membantu mereka menyisir jaring untuk menemukan para pelaku.

Selengkapnya: The Register