Cyber Attack

Geng KelvinSecurity telah mengumumkan “PT Pertamina Gas” dalam daftar korban.

April 30, 2022 by Søren

Dilansir dari akun twitter Dark Tracer (@darktracer_int) pada Sabtu 22 April 2022, PT Pertamina Gas telah dimasukkan geng KelvinSecurity ke dalam daftar korban.

Namun, pada unggahan tersebut tidak ada penjelasan lebih lanjut seperti kronologi, waktu dan tempat, ataupun sampel data terkait insiden tersebut.

Demikian pula dari pihak PT Pertamina Gas juga belum memberikan tanggapan sama sekali terkait insiden ini.

Menurut peneliti dari InfoArmor, KelvinSecTeam adalah kemungkinan organisasi peretasan Rusia dengan kehadiran kuat di forum Deep dan Dark Web yang populer di kalangan peretas dan penjahat dunia maya, dengan kemungkinan anggota tim di Amerika Tengah dan Selatan — dan mereka terus berkembang.

Saat ini peneliti dari InfoArmor menilai bahwa tujuan KelvinSecTeam adalah untuk menunjukkan kredibilitas peretasan mereka dan mengganggu demi gangguan, dengan sebagian besar pos berfokus pada informasi yang memalukan tentang atau tentang urusan pemerintah, militer, politik, dan bisnis AS—meningkatkan upayanya terhadap negara-negara Amerika tengah dan selatan .

Beberapa pengungkapan publik mereka berpotensi membahayakan warga AS. Atau paling tidak, informasi yang mereka paparkan berisiko memperburuk ketegangan politik dan sosial hanya untuk duduk diam dan menyaksikan kekacauan yang terjadi.

Selengkapnya: Dark Tracer InfoArmor

Penyelidik DHS mengatakan mereka menggagalkan serangan siber pada kabel internet bawah laut di Hawaii

April 17, 2022 by Søren

Agen federal di Honolulu pekan lalu “mengganggu” serangan siber yang nyata pada server perusahaan telekomunikasi yang tidak disebutkan namanya yang terkait dengan kabel bawah air yang bertanggung jawab untuk internet, layanan kabel, dan koneksi seluler di Hawaii dan kawasan itu, kata badan tersebut dalam sebuah pernyataan Selasa.

Agen yang berbasis di Hawaii dengan Investigasi Keamanan Dalam Negeri, sebuah cabang dari Departemen Keamanan Dalam Negeri, menerima tip dari rekan-rekan HSI daratan mereka yang menyebabkan gangguan “pelanggaran signifikan yang melibatkan server perusahaan swasta yang terkait dengan kabel bawah laut.”

Penyelidikan mengungkapkan bahwa “kelompok peretas internasional” berada di balik serangan itu, dan “agen HSI dan mitra penegak hukum internasional di beberapa negara dapat melakukan penangkapan.”

Pernyataan itu tidak mengidentifikasi jenis serangan siber yang diduga telah terjadi, kelompok peretas yang bertanggung jawab, lembaga penegak hukum lainnya, atau di mana penangkapan terjadi. Tidak ada kerusakan atau gangguan yang terjadi, dan tidak ada ancaman langsung, kata pernyataan itu.

John Tobon, agen khusus HSI yang bertanggung jawab di Hawaii, mengatakan kepada stasiun berita lokal bahwa penyelidik menemukan bahwa penyerang telah memperoleh kredensial yang memungkinkan akses ke sistem perusahaan yang tidak disebutkan namanya.

“Itu bisa menjadi sesuatu yang hanya membuat kekacauan, dengan kata lain, mematikan komunikasi, atau bisa digunakan untuk menargetkan individu dalam skema jenis ransomware,” katanya.

Selengkapnya: Cyber Scoop

Penyerang melepaskan ransomware LockBit di komputer pemerintah AS

April 17, 2022 by Søren

Temuan baru dari perusahaan keamanan siber Sophos menunjukkan beberapa metode yang digunakan oleh peretas dalam hal mengeksploitasi celah di perangkat federal. Satu serangan yang disorot dalam laporan tersebut menemukan bahwa kelompok ransomware menghabiskan setidaknya lima bulan untuk menyisir file dan sistem badan pemerintah regional AS sebelum menyebarkan serangan LockBit ke komputer yang terpengaruh.

“Ini adalah serangan yang sangat kacau,” kata Andrew Brandt, peneliti keamanan utama di Sophos. “Bekerja sama dengan target, peneliti Sophos mampu membangun gambaran yang dimulai dengan apa yang tampak seperti penyerang pemula yang membobol server, mengaduk-aduk jaringan dan menggunakan server yang dikompromikan ke Google, kombinasi versi bajakan dan gratis dari peretas dan alat admin yang sah untuk digunakan dalam serangan mereka.”

Serangan yang tidak terampil tetapi efektif kemudian mencoba menggunakan perangkat lunak manajemen TI untuk menghindari deteksi, melalui penggunaan alat seperti ScreenConnect dan AnyDesk, yang biasanya digunakan untuk tujuan akses jarak jauh. Kemudian ditemukan oleh Sophos bahwa dalam pengaturan sistem itu sendiri, tim TI membiarkan port RDP terbuka di firewall untuk akses publik ke server, memungkinkan penyusupan oleh kelompok peretasan yang bersangkutan.

Setelah akses jarak jauh diaktifkan, ransomware LockBit kemudian disebarkan pada sistem dengan memanfaatkan kerentanan sistem. Pihak-pihak jahat berusaha untuk menutupi jejak mereka setelah selesai dengan menghapus file log, tetapi Sophos dapat merekonstruksi langkah-langkah yang diambil agar peretasan terjadi, karena diduga telah dilakukan oleh penyerang cyber yang tidak canggih.

Selengkapnya; Tech Republic

Malware Android “Octo” ingin mendapatkan informasi perbankan Anda

April 10, 2022 by Søren

Peneliti keamanan siber Threat Fabric mengetahui tentang Octo dari melihat permintaannya di web gelap. Threat Fabric menemukan bahwa Octo memiliki banyak kesamaan dengan ExobotCompact, termasuk langkah-langkah untuk mencegah rekayasa balik malware dan pengkodean yang membuatnya mudah disembunyikan di dalam aplikasi yang tampak tidak bersalah di Google Play Store — serta trik penonaktifan yang rapi Google Protect saat diunduh.

Untuk menjalankan ODF, Octo menyelinap masuk melalui layanan Aksesibilitas dan mengatur jumlah streaming langsung ke server perintah dan kontrol penyerang yang diperbarui setiap detik dari ponsel yang disusupi.

Kemudian menggunakan layar hitam dan menonaktifkan notifikasi untuk mengaburkan apa yang sedang dilakukan dari pengguna yang tidak bersalah. Jadi pada dasarnya, sepertinya perangkat Anda telah dimatikan, tetapi malware mengadakan pesta saat layar kosong, dan melakukan sejumlah tugas seperti menggulir, mengetuk, mengirim teks, dan memotong dan menempel.

Octo juga menggunakan perangkat lunak keylogging untuk melacak semua jenis pengguna yang diretas ke dalam perangkat (seperti PIN, nomor jaminan sosial, pesan OnlyFans), dan mampu memblokir pemberitahuan push oleh aplikasi tertentu dan mencegat atau mengirim teks.

Seperti yang ditunjukkan oleh Bleeping Computer dan Threat Fabric, perangkat lunak berbahaya menjadi lebih licik dengan setiap evolusi baru, menambahkan fitur seperti penghindaran otentikasi multi-faktor. Sangat mudah untuk merasa benar-benar terbuka.

Kewaspadaan adalah kunci dalam melindungi diri Anda dan data Anda. Tetap terinformasi tentang ancaman terbaru dan perbarui perangkat Anda dengan patch keamanan terbaru.

Selengkapnya: Android Police

Peretas membajak situs web dewasa untuk menginfeksi korban dengan malware

April 10, 2022 by Søren

Penjahat dunia maya menipu korban agar mengunduh malware (terbuka di tab baru) dengan memberi tahu mereka bahwa browser mereka sudah usang dan perlu diperbarui untuk melihat konten halaman.

Peneliti keamanan siber Avast Jan Rubin dan Pavel Novak menemukan kampanye phishing di mana aktor ancaman yang tidak dikenal menyusupi lebih dari 16.000 WordPress dan situs web Joomla yang dihosting (dibuka di tab baru) dengan kredensial login yang lemah.

Ini biasanya situs web konten dewasa, situs web pribadi, situs universitas, dan halaman pemerintah daerah

Setelah mendapatkan akses ke situs-situs ini, para penyerang akan membuat Traffic Direction System (TDS), Parrot TDS. TDS adalah gerbang berbasis web yang mengarahkan pengguna ke berbagai konten, tergantung pada parameter tertentu.

Itu memungkinkan penyerang untuk menyebarkan malware hanya pada titik akhir (terbuka di tab baru) yang dianggap sebagai target yang baik (tindakan keamanan siber yang buruk, misalnya, atau lokasi geografis tertentu).

Mereka yang mendapatkan pesan untuk “memperbarui” browser mereka, sebenarnya akan disajikan Remote Access Trojan (RAT) yang disebut NetSupport Manager. Ini memberi penyerang akses penuh ke titik akhir target.

Selengkapnya: Tech Radar

IOTW: Badan-badan AS memperingatkan tentang ancaman dunia maya terhadap komunikasi satelit

March 20, 2022 by Søren

Badan Keamanan Siber dan Infrastruktur (CISA) AS dan Biro Investigasi Federal (FBI) mengeluarkan peringatan terkait ancaman terhadap jaringan komunikasi satelit AS dan internasional (SATCOM) pada 17 Maret 2022.

Ini menyusul serangan terhadap operator satelit komersial Viasat, yang menyebabkan pemadaman sebagian jaringan KA-SAT di Eropa. SATCOM sangat penting selama masa peperangan.

KA-SAT menyediakan internet broadband ke pasar Eropa dan Mediterania. Layanan ini diluncurkan pada Mei 2011.

Menurut NetBlocks, sebuah kelompok pemantau internet, jaringan KA-SAT operator satelit tetap terkena dampak parah pada 15 Maret 2022, 18 hari setelah menjadi sasaran serangan siber.

Ini adalah salah satu dari “beberapa insiden” yang diamati kelompok itu ketika Rusia meluncurkan invasi ke Ukraina pada 24 Februari 2022.

Pada 11 Maret 2022, Reuters melaporkan bahwa Badan Keamanan Nasional AS, organisasi keamanan siber pemerintah Prancis, dan intelijen Ukraina sedang menyelidiki sabotase jarak jauh dari “layanan penyedia internet satelit” yang mereka katakan adalah “pekerjaan peretas yang didukung negara Rusia untuk mempersiapkan medan perang dengan mencoba memutuskan komunikasi”.

Sebuah pernyataan dari ViaSat menyatakan bahwa gangguan itu disebabkan oleh peristiwa siber yang disengaja, terisolasi dan eksternal – tidak ada rincian lain yang diungkapkan.

Selengkapnya: CSHub

Situs pemerintah Rusia diretas dalam serangan rantai pasokan

March 10, 2022 by Winnie the Pooh

Rusia mengatakan beberapa situs web agen federalnya telah disusupi dalam serangan rantai pasokan pada hari Selasa setelah penyerang tak dikenal meretas widget statistik yang digunakan untuk melacak jumlah pengunjung oleh beberapa lembaga pemerintah.

Daftar situs yang terkena dampak serangan termasuk situs Kementerian Energi, Layanan Statistik Negara Federal, Layanan Lembaga Pemasyarakatan Federal, Layanan Jurusita Federal, Layanan Antimonopoli Federal, Kementerian Kebudayaan, dan lembaga negara Rusia lainnya.

Insiden itu ditemukan Selasa malam setelah penyerang menerbitkan konten mereka sendiri dan memblokir akses ke situs web.

“Sulit untuk mengkompromikan situs web ini secara langsung, sehingga peretas menyerang sumber daya melalui layanan eksternal dan dengan demikian mendapatkan akses untuk menunjukkan konten yang salah,” layanan pers Kementerian Pembangunan Ekonomi Rusia mengatakan kepada Interfax.

Kementerian Pengembangan Digital Rusia mengklaim situs web badan-badan negara itu dikembalikan dalam waktu satu jam setelah pelanggaran.

Kejadian ini terjadi setelah pemerintah Rusia membagikan daftar lebih dari 17.000 alamat IP yang diduga digunakan dalam serangan DDoS terhadap jaringan Rusia.

Pusat Koordinasi Nasional untuk Insiden Komputer (NKTsKI) dari Layanan Keamanan Federal memperingatkan organisasi Rusia untuk mengambil langkah-langkah untuk melawan ancaman terhadap keamanan informasi mereka dan berbagi panduan untuk mempertahankan diri dari serangan semacam itu.

Peringatan ini muncul setelah Wakil Perdana Menteri Ukraina Mykhailo Fedorov mengumumkan pembentukan “tentara TI” untuk mendukung “pertarungan di front cyber” negara itu.

Selengkapnya: Bleeping Computer

Peretas mengklaim kebocoran besar Samsung, termasuk kunci enkripsi dan kode sumber

March 7, 2022 by Winnie the Pooh

Kelompok peretas Lapsus$ baru-baru ini menargetkan Nvidia, menuntut pembuat chip menghilangkan fitur di beberapa GPU yang membatasi tingkat hash saat menambang cryptocurrency Ethereum. Lapsus$ tidak berhenti di situ — sekarang Samsung berada di bawah kendali, dan kode sumber yang berharga sekali lagi dipertaruhkan.

Kebocoran baru dirinci dalam laporan dari Bleeping Computer, yang menyebut Lapsus$ sebagai “geng pemerasan” dan mengatakan kelompok itu awalnya memposting tangkapan layar kode untuk perangkat lunak Samsung, kemudian merinci apa yang telah dieksfiltrasi dari server raksasa elektronik Korea Selatan tersebut.

Info yang dicuri tampaknya mencakup informasi penting, termasuk algoritme untuk semua operasi pembukaan kunci biometrik, kode sumber untuk bootloader untuk produk Samsung yang lebih baru, dan semua kode sumber di balik proses otorisasi dan otentikasi akun Samsung.

Ini adalah pelanggaran yang buruk jika semua klaim itu benar. Data tersebut diduga tersedia untuk torrent, dengan Lapsus$ mengemasnya ke dalam file terkompresi yang totalnya hampir 190GB.

Menurut Bleeping Computer, peretasan tersebut bukanlah penculikan seperti halnya Nvidia, karena pada hari Sabtu tidak ada bukti permintaan tebusan.

Sumber: Android Police

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attack

Cookies Settings