Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cyber Attack

Cyber Attack

Botnet Menghasilkan Salah Satu Serangan DDoS Terbesar dalam Catatan

by

Bulan lalu, seseorang mencoba meluncurkan salah satu serangan Distributed Denial of Service (DDoS) terbesar yang pernah tercatat untuk menghapus situs keuangan, menurut Cloudflare, penyedia infrastruktur internet.

Serangan itu melibatkan menghasilkan banjir lalu lintas internet melalui permintaan berbasis browser HTTP. Pada puncaknya, pengeboman mencapai 17,2 juta permintaan per detik.

“Untuk perspektif tentang seberapa besar serangan ini: Cloudflare melayani rata-rata lebih dari 25 juta permintaan HTTP per detik,” tulis perusahaan itu dalam sebuah posting blog pada hari Kamis. “Jadi memuncak pada 17,2 juta rps, serangan ini mencapai 68% dari rata-rata rps rata-rata Q2 kami dari lalu lintas HTTP yang sah.”

Secara total, serangan itu membombardir server perusahaan dengan 330 juta permintaan dalam waktu kurang dari satu menit. Namun, Cloudflare mengatakan sistem otomatisnya dapat secara otomatis mendeteksi dan mengurangi banjir lalu lintas.

​​Menurut Cloudflare, insiden tersebut merupakan serangan DDoS berbasis lapisan aplikasi terbesar yang diketahui publik. Pemegang rekor sebelumnya adalah serangan 6 juta permintaan per detik yang terdeteksi Google tahun lalu.

Cloudflare melihat sumber serangan 17,2 juta rps ke botnet 20.000 mesin, yang merupakan pasukan komputer yang dikendalikan malware. “Berdasarkan alamat IP sumber bot, hampir 15% serangan berasal dari Indonesia dan 17% lainnya dari India dan Brasil digabungkan, menunjukkan bahwa mungkin ada banyak perangkat yang terinfeksi malware di negara-negara tersebut,” kata perusahaan tersebut.

Sumber: PC Mag

Selengkapnya: PC Mag

Peretas Terlihat Menggunakan Kode Morse dalam Serangan Phishing untuk Menghindari Deteksi

by

Microsoft telah mengungkapkan rincian kampanye rekayasa sosial selama setahun di mana operator terus mengubah mekanisme penyamaran dan enkripsi mereka rata-rata setiap 37 hari, termasuk mengandalkan kode Morse, dalam upaya untuk menutupi jejak mereka dan secara diam-diam mengumpulkan kredensial pengguna.

Serangan phishing berbentuk umpan bertema faktur yang meniru transaksi bisnis terkait keuangan, dengan email yang berisi file HTML (“XLS.HTML”). Tujuan utamanya adalah untuk mengumpulkan nama pengguna dan kata sandi, yang kemudian digunakan sebagai titik masuk awal untuk upaya penyusupan selanjutnya.

Microsoft menyamakan lampiran dengan “teka-teki jigsaw”, mencatat bahwa setiap bagian dari file HTML dirancang untuk tampak tidak berbahaya dan lolos dari perangkat lunak keamanan endpoint, hanya untuk mengungkapkan niat sebenarnya ketika segmen ini didekodekan dan dirakit bersama. Perusahaan tidak mengidentifikasi peretas di balik operasi tersebut.

“Kampanye phishing ini menunjukkan ancaman email modern: canggih, mengelak, dan terus berkembang,” kata Tim Microsoft 365 Defender Threat Intelligence dalam sebuah analisis.

Kampanye ini dikatakan telah mengalami 10 iterasi sejak ditemukan pada Juli 2020, dengan musuh secara berkala mengganti metode pengkodeannya untuk menutupi sifat jahat dari lampiran HTML dan segmen serangan berbeda yang terkandung dalam file.

Microsoft mengatakan telah mendeteksi penggunaan kode Morse dalam serangan gelombang Februari dan Mei 2021, sementara varian kit phishing kemudian ditemukan untuk mengarahkan korban ke halaman Office 365 yang sah alih-alih menampilkan pesan kesalahan palsu setelah kata sandi dimasukkan.

Selengkapnya: The Hacker News

Peretas Di Balik Pencurian Crypto Bersejarah Dilaporkan Mengembalikan $256 Juta Dana yang Dicuri

by

Setelah peretas menyerang Poly Network dengan salah satu perampokan crypto terbesar dalam ingatan baru-baru ini, perusahaan itu menerbitkan surat terbuka pada hari Selasa yang memohon kepada para pelaku untuk mendapatkan kembali aset mereka. Rupanya, surat itu berhasil, dan para peretas dilaporkan sudah mulai mengembalikan sebagian besar hasil tangkapan mereka.

The Block pertama kali melaporkan bahwa siapa pun yang berada di balik peretasan telah mengembalikan sekitar $256 juta aset crypto kembali ke perusahaan pada Rabu pagi. Itu masih jauh di bawah $611 juta yang dilaporkan dicuri oleh peretas, yang dilaporkan menjadikannya peretasan terbesar dalam sejarah keuangan terdesentralisasi, yang sering dikenal sebagai DeFi.

Kurang dari 24 jam setelah Poly memposting suratnya — mengingatkan penyerang bahwa penegak hukum “di negara mana pun” kemungkinan akan membuntuti mereka karena kejahatan mereka — para peretas mulai mentransfer jutaan aset berbeda kembali ke dompet crypto Poly Network.

Di antara aset lainnya, para peretas mengembalikan $ 2 juta dalam ShibaCoin, $ 1,1 juta dalam Token Binance BTCB, dan sekitar $ 1 juta dalam token khusus yang dibuat oleh penyerang sendiri, secara harfiah disebut “Peretas siap untuk menyerah,” menurut The Block.

Poly Network telah memulihkan lebih dari sepertiga dari peretasannya sejauh ini, tetapi ada banyak perusahaan lain di dunia crypto yang tidak. Sebuah laporan riset pasar pada industri DeFi yang turun awal pekan ini menemukan bahwa aktor jahat telah menipu $474 juta dari platform seperti Poly antara Januari dan Juli tahun ini.

Selengkapnya: Gizmodo

Perusahaan besar lain terkena serangan ransomware

by

(CNN Business) – Accenture, perusahaan konsultan global, telah dihantam oleh geng ransomware LockBit, menurut situs web kelompok penjahat siber.

File terenkripsi Accenture (ACN) akan dirilis oleh grup di dark web pada hari Rabu kecuali perusahaan membayar uang tebusan, klaim LockBit, menurut tangkapan layar situs web yang ditinjau oleh CNN Business dan Emsisoft, sebuah perusahaan keamanan siber.

Stacey Jones, juru bicara Accenture, mengkonfirmasi insiden keamanan siber kepada CNN Business pada hari Rabu, tetapi tidak secara eksplisit mengakui serangan ransomware.

Geng ransomware LockBit pertama kali muncul pada September 2019, menurut profil grup Emsisoft. LockBit, seperti banyak geng ransomware lainnya, menyewakan perangkat lunak berbahayanya kepada afiliasi kriminal pihak ketiga yang kemudian menerima potongan tebusan sebagai imbalan untuk menanamkan kode ke jaringan korban.

Tahun berikutnya, Interpol memperingatkan lonjakan serangan menggunakan perangkat lunak berbahaya LockBit. Korban utama kelompok itu termasuk Merseyrail, jaringan kereta api Inggris, dan Press Trust of India, sebuah organisasi berita India, menurut Emsisoft.

Ransomware telah menjadi ancaman kritis bagi keamanan nasional dan ekonomi, kata pemerintah AS, di tengah serangkaian serangan terhadap target perusahaan dan infrastruktur. Awal tahun ini, serangan oleh kelompok DarkSide memaksa Colonial Pipeline untuk menutup operasi distribusi bahan bakarnya, menyebabkan kekurangan bensin secara nasional.

Selengkapnya: CNN

Kelompok spionase China menargetkan organisasi infrastruktur penting di Asia Tenggara

by

Sebuah kelompok spionase dunia maya yang diyakini beroperasi di luar China telah menargetkan setidaknya empat organisasi infrastruktur penting di negara Asia Tenggara, kata perusahaan keamanan Symantec dalam sebuah laporan pekan lalu.

Penyusupan terjadi antara November 2020 hingga Maret 2021 dan menargetkan:

  • perusahaan air
  • perusahaan listrik
  • perusahaan komunikasi
  • organisasi pertahanan

Symantec mengatakan menemukan bukti bahwa penyerang tertarik untuk menargetkan informasi tentang sistem SCADA, yang merupakan peralatan yang biasanya digunakan untuk mengontrol dan mengelola jalur produksi dan peralatan industri.

Para peneliti mengatakan mereka tidak dapat menentukan titik masuk penyerang ke dalam organisasi yang diretas tetapi mengatakan bahwa begitu di dalam, kelompok itu menunjukkan taktik canggih yang menyembunyikan operasi jahat menggunakan aplikasi yang sah — taktik yang dikenal sebagai LOLbins atau living-off-the-land. Alat yang disalahgunakan meliputi:

  • Windows Management Instrumentation (WMI)
  • ProcDump
  • PsExec
  • PAExec
  • Mimikatz

Selain itu, grup tersebut menggunakan pemutar multimedia gratis bernama PotPlayer Mini untuk memuat DLL berbahaya pada komputer yang disusupi, termasuk pintu belakang, keylogger, dan traffic proxying tool.

Penggunaan alat yang umum dan sah mempersempit jumlah informasi yang dapat dikumpulkan peneliti tentang kelompok tersebut.

Symantec mengatakan pihaknya hanya dapat menunjukkan dengan tepat serangan tersebut ke kelompok spionase yang berbasis di China tetapi tidak menemukan petunjuk tambahan untuk menghubungkan penyusupan tersebut dengan kelompok yang diketahui sebelumnya.

Perusahaan keamanan tidak menyebutkan nama negara tempat target yang diretas berada.

Selengkapnya: The Record

Peretas dilaporkan mengancam akan membocorkan data dari serangan ransomware Gigabyte

by

Gigabyte telah menjadi korban serangan siber, yang dilaporkan merupakan hasil kerja perusahaan ransomware bernama RansomEXX.

Saat ini, beberapa bagian situs web Gigabyte, termasuk bagian dukungannya, sedang tidak aktif, memberikan masalah kepada pelanggan saat mencoba mengakses informasi dan pembaruan perbaikan garansi. Para peretas yang mengklaim telah melakukan serangan itu dilaporkan mengancam akan merilis data dari perusahaan, termasuk dokumen rahasia dari Intel, AMD, dan American Megatrends.

Menurut catatan tebusan dan halaman web darkweb, dilihat oleh Bleeping Computer dan The Record, RansomEXX mengancam untuk mempublikasikan 112GB data yang didapatnya dari Gigabyte dan repo Git Megatrends Amerika.

Bleeping Computer melaporkan bahwa para peretas juga menyertakan tangkapan layar dokumen dari Intel, AMD, dan American Megatrends yang berada di bawah NDA. American Megatrends membuat firmware untuk produsen motherboard dan komputer serta untuk produsen Chromebook tertentu.

Gigabyte tidak menanggapi permintaan komentar, tetapi mengatakan kepada The Record bahwa perusahaan telah mengisolasi server yang terpengaruh, memberi tahu penegak hukum, dan memulai penyelidikan. Gigabyte belum secara terbuka menyebut RansomEXX sebagai pihak yang bertanggung jawab.

Selengkapnya: The Verge

Raksasa perangkat keras komputer GIGABYTE terkena ransomware RansomEXX

by

Pembuat motherboard Taiwan Gigabyte telah dihantam oleh geng ransomware RansomEXX, yang mengancam akan mempublikasikan 112GB data curian kecuali uang tebusan dibayarkan.

Gigabyte terkenal karena motherboardnya, tetapi juga memproduksi komponen dan perangkat keras komputer lainnya, seperti kartu grafis, server pusat data, laptop, dan monitor.

Serangan itu terjadi Selasa malam hingga Rabu dan memaksa perusahaan untuk mematikan sistem di Taiwan. Insiden itu juga memengaruhi beberapa situs web perusahaan, termasuk situs dukungannya dan bagian dari situs web Taiwan.

Pelanggan juga telah melaporkan masalah saat mengakses dokumen dukungan atau menerima informasi terbaru tentang RMA, yang kemungkinan disebabkan oleh serangan ransomware.

Menurut situs berita China United Daily News, Gigabyte mengonfirmasi bahwa mereka mengalami serangan siber yang memengaruhi sejumlah kecil server.

Setelah mendeteksi aktivitas abnormal di jaringan mereka, mereka telah mematikan sistem TI mereka dan memberi tahu penegak hukum.

Sementara Gigabyte belum secara resmi menyatakan operasi ransomware apa yang melakukan serangan itu, BleepingComputer telah mengetahui bahwa itu dilakukan oleh geng RansomEXX.

Ketika operator RansomEXX mengenkripsi jaringan, mereka akan membuat catatan tebusan pada setiap perangkat terenkripsi.

Catatan tebusan ini berisi tautan ke halaman non-publik yang dimaksudkan hanya dapat diakses oleh korban untuk menguji dekripsi satu file dan meninggalkan alamat email untuk memulai negosiasi tebusan.

Sebuah sumber mengirim BleepingComputer tautan ke halaman kebocoran RansomEXX non-publik untuk Gigabytes Technologies, di mana pelaku ancaman mengklaim telah mencuri 112GB data selama serangan.

Selengkapnya: Bleeping Computer

Serangan ransomware Kaseya memicu perlombaan untuk meretas penyedia layanan -peneliti

by

Serangan ransomware pada bulan Juli yang melumpuhkan sebanyak 1.500 organisasi dengan mengkompromikan perangkat lunak manajemen teknologi dari sebuah perusahaan bernama Kaseya telah memicu perlombaan di antara para penjahat yang mencari kerentanan serupa, kata pakar keamanan siber.

Afiliasi dari geng ransomware top berbahasa Rusia yang dikenal sebagai REvil menggunakan dua kelemahan dalam perangkat lunak dari Kaseya yang berbasis di Florida untuk membobol sekitar 50 penyedia layanan terkelola (MSP) yang menggunakan produknya, kata penyelidik.

Sekarang para penjahat melihat betapa kuatnya serangan MSP, “mereka sudah sibuk, mereka sudah pindah dan kita tidak tahu di mana,” kata Victor Gevers, kepala Institut Pengungkapan Kerentanan Belanda nirlaba, yang memperingatkan Kaseya atas kelemahan sebelum serangan.

Gevers mengatakan para penelitinya telah menemukan kerentanan serupa di lebih banyak MSP. Dia menolak menyebutkan nama perusahaan karena mereka belum memperbaiki semua masalah.

Bisnis MSP telah berkembang pesat selama pandemi coronavirus di samping peningkatan pesat dalam pekerjaan jarak jauh.

“Di situlah Anda menemukan akses tepercaya ke sistem pelanggan,” kata Chris Krebs, pemimpin pertama Badan Keamanan Siber dan Keamanan Infrastruktur (CISA) Departemen Keamanan Dalam Negeri AS, yang telah menjadikan ransomware sebagai prioritas utama. “Ini adalah pendekatan yang jauh lebih ekonomis untuk meluncurkan serangan breakout. Dan sulit bagi pelanggan untuk mempertahankannya.”

Selengkapnya: Reuters