Cyber Attack

Peretas membocorkan 190GB dugaan data Samsung, kode sumber

March 6, 2022 by Søren

Kelompok pemerasan data Lapsus hari ini membocorkan sejumlah besar data rahasia yang mereka klaim berasal dari Samsung Electronics, perusahaan elektronik konsumen raksasa Korea Selatan.

Kebocoran terjadi kurang dari seminggu setelah Lapsus$ merilis arsip dokumen 20GB dari 1TB data yang dicuri dari desainer GPU Nvidia.

Dalam catatan yang diposting sebelumnya hari ini, geng pemerasan menggoda tentang merilis data Samsung dengan snapshot dari arahan C/C++ dalam perangkat lunak Samsung.

Tak lama setelah menggoda pengikut mereka, Lapsus$ menerbitkan deskripsi kebocoran yang akan datang, mengatakan bahwa itu berisi “kode sumber rahasia Samsung” yang berasal dari pembobolan.

Kode sumber tersebut terdiri dari: kode sumber untuk setiap Trusted Applet (TA) yang dipasang di lingkungan TrustZone Samsung yang digunakan untuk operasi sensitif (misalnya kriptografi perangkat keras, enkripsi biner, kontrol akses); algoritma untuk semua operasi buka kunci biometrik; kode sumber bootloader untuk semua perangkat Samsung terbaru; kode sumber rahasia dari Qualcomm; kode sumber untuk server aktivasi Samsung; kode sumber lengkap untuk teknologi yang digunakan untuk mengesahkan dan mengautentikasi akun Samsung, termasuk API dan layanan.

Jika detail di atas akurat, Samsung telah mengalami pelanggaran data besar yang dapat menyebabkan kerusakan besar pada perusahaan.

Lapsus$ membagi data yang bocor menjadi tiga file terkompresi yang menambah hampir 190GB dan membuatnya tersedia dalam torrent yang tampaknya sangat populer, dengan lebih dari 400 rekan berbagi konten.

Kelompok pemerasan juga mengatakan bahwa mereka akan menyebarkan lebih banyak server untuk meningkatkan kecepatan unduhan.

Selengkapnya: Bleeping Computer

Peretas mengklaim kebocoran besar Samsung, termasuk kunci enkripsi dan kode sumber

March 6, 2022 by Søren

Kebocoran baru ini dirinci dalam laporan dari Bleeping Computer, yang menyebut Lapsus$ sebagai “geng pemerasan” dan mengatakan kelompok itu awalnya memposting tangkapan layar kode untuk perangkat lunak Samsung, kemudian merinci apa yang telah dieksfiltrasi dari server raksasa elektronik Korea Selatan.

Info yang dicuri tampaknya mencakup informasi penting, termasuk algoritme untuk semua operasi pembukaan kunci biometrik, kode sumber untuk bootloader untuk produk Samsung yang lebih baru, dan semua kode sumber di balik proses otorisasi dan otentikasi akun Samsung.

Ini adalah pelanggaran yang buruk jika semua klaim itu benar. Data tersebut diduga tersedia untuk torrent, dengan Lapsus$ mengemasnya ke dalam file terkompresi yang totalnya hampir 190GB.

Menurut Bleeping Computer, peretasan tersebut bukanlah penculikan seperti halnya Nvidia, karena pada hari Sabtu tidak ada bukti permintaan tebusan.

Ini adalah pertanyaan terbuka tentang bagaimana konsumen akan melihat peretasan ini, tetapi Anda tidak perlu memahami pemrograman atau detail seluk beluk keamanan siber untuk melihat mengapa ini bisa menjadi pukulan bagi salah satu merek elektronik global terbesar.

Samsung mungkin mengetahui nilai dolar sebenarnya dari kerusakan yang terjadi saat pasar dibuka pada hari Senin.

Selengkapnya: Android Police

Situs Ukraina mengalami peningkatan serangan 10x saat invasi dimulai

March 3, 2022 by Winnie the Pooh

Perusahaan keamanan internet telah mencatat gelombang serangan besar-besaran terhadap situs WordPress Ukraina sejak Rusia menginvasi Ukraina, yang bertujuan untuk menghapus situs web dan menyebabkan demoralisasi.

Firma keamanan siber Wordfence, yang melindungi 8.320 situs WordPress milik universitas, pemerintah, militer, dan entitas penegak hukum di Ukraina, melaporkan telah mencatat 144.000 serangan pada 25 Februari saja.

Fokus serangan tampaknya adalah bagian dari 376 situs web akademik yang menerima 209.624 serangan antara 25 dan 27 Februari.

Gelombang besar serangan terkoordinasi ini telah mengakibatkan kompromi dari 30 situs web universitas Ukraina, yang sebagian besar mengalami kerusakan total dan tidak tersedianya layanan.

Kelompok peretas di balik serangan ini adalah kelompok pro-Rusia yang disebut “theMx0nday,” yang telah memposting bukti peretasan pada agregator defacement Zone-H.

Wordfence telah menemukan bahwa pelaku ancaman berbasis di Brasil tetapi mengarahkan serangan mereka melalui alamat IP Finlandia menggunakan penyedia layanan internet anonim Njalla.

Kelompok aktor tertentu sebelumnya telah menyerang situs Brasil, Indonesia, Spanyol, Argentina, AS, dan Turki, sementara entri pertama mereka di Zone-H dimulai pada April 2019.

Untuk pertama kalinya dalam sejarahnya, Wordfence telah memutuskan untuk menyebarkan real-time threat intelligenc ke semua situs web Ukraina terlepas dari tingkat langganan mereka ke layanannya. Biasanya, fitur ini hanya tersedia untuk pelanggan Premium.

Sumber: Bleeping Computer

Pejabat DOJ memperingatkan perusahaan ‘bodoh’ untuk tidak menopang keamanan siber di tengah ketegangan Rusia

February 19, 2022 by Søren

Seorang pejabat tinggi Departemen Kehakiman mengeluarkan peringatan keras pada hari Kamis kepada perusahaan-perusahaan di AS dan luar negeri, menyerukan mereka untuk segera menopang pertahanan keamanan siber mereka di tengah potensi invasi Rusia ke Ukraina.

“Mengingat ketegangan yang sangat tinggi yang kami alami, perusahaan dari berbagai ukuran dan ukuran akan bodoh jika tidak bersiap sekarang saat kita berbicara — untuk meningkatkan pertahanan mereka, melakukan hal-hal seperti menambal, meningkatkan sistem peringatan mereka, untuk memantau keamanan siber mereka secara real-time,” kata wakil jaksa agung Lisa Monaco dalam sambutannya di Konferensi Keamanan Siber Munich.

“Mereka harus seperti yang kita katakan, ‘melindungi’ dan benar-benar berada pada tingkat kewaspadaan paling tinggi yang mereka bisa dan mengambil semua tindakan pencegahan yang diperlukan.”

Monaco mengatakan ancaman itu sama sekali tidak “hipotetis,” mengutip serangan siber NotPetya yang menghancurkan pada tahun 2017 yang dimulai di Ukraina sebelum menyebar secara global dan menyebabkan kerusakan senilai miliaran dolar.

“Saya pikir penjahat dunia maya perlu tahu bahwa – dan pelaku kejahatan dunia maya perlu tahu – bahwa serangan terhadap infrastruktur penting tidak dapat diterima dan akan ditanggapi,” kata Monaco.

Itu terjadi ketika berbagai lembaga AS memperingatkan awal pekan ini tentang serangan siber yang terjadi pada saat yang sama dengan potensi invasi Rusia ke Ukraina.

Pada panggilan telepon dengan pejabat negara bagian dan lokal pada hari Senin, pejabat tinggi keamanan siber dari Departemen Keamanan Dalam Negeri dan FBI memperingatkan potensi serangan terhadap infrastruktur siber AS bersamaan dengan invasi fisik ke Ukraina, menurut seseorang yang mengetahui panggilan tersebut.

Selengkapnya: ABC News

Regulator Eropa dan AS Memberi Tahu Bank Untuk Bersiap Menghadapi Ancaman Serangan Siber Rusia

February 10, 2022 by Winnie the Pooh

Dilansir dari Reuters, Bank Sentral Eropa (ECB) sedang mempersiapkan bank-bank untuk adanya kemungkinan serangan siber yang datang dari Rusia ketika ketegangan dengan Ukraina meningkat, dua orang yang mengetahui masalah tersebut mengatakan, saat kawasan itu bersiap menghadapi dampak finansial dari setiap konflik.

Kebuntuan antara Rusia dan Ukraina telah mengguncang para pemimpin politik dan bisnis Eropa, yang takut akan invasi yang akan menimbulkan kerusakan di seluruh wilayah.

Sementara regulator selama ini fokus pada penipuan biasa yang berkembang pesat selama pandemi, krisis Ukraina telah mengalihkan perhatiannya ke serangan siber yang diluncurkan dari Rusia, kata salah satu sumber, menambahkan bahwa ECB telah menanyai bank tentang pertahanan mereka.

Kekhawatiran ini tercermin di seluruh dunia.

Departemen Layanan Keuangan New York mengeluarkan peringatan kepada lembaga keuangan pada akhir Januari, peringatan serangan siber pembalasan jika Rusia menyerang Ukraina dan memicu sanksi AS, menurut Regulatory Intelligence Thomson Reuters.

Awal tahun ini, beberapa situs web Ukraina terkena serangan dunia maya yang meninggalkan peringatan untuk “takut dan mengharapkan yang terburuk”, karena Rusia telah mengumpulkan pasukan di dekat perbatasan Ukraina.

Para pejabat Rusia mengatakan Barat dicengkeram oleh Russophobia dan tidak memiliki hak untuk menceramahi Moskow untuk bertindak setelah negara itu memperluas aliansi militer NATO ke arah timur sejak jatuhnya Uni Soviet pada 1991.

Kremlin juga berulang kali membantah bahwa negara Rusia ada hubungannya dengan peretasan di seluruh dunia dan mengatakan siap bekerja sama dengan Amerika Serikat dan negara lain untuk menindak kejahatan dunia maya.

Meskipun demikian, regulator di Eropa sangat waspada akan adanya serangan siber dari Rusia.

Sumber: Reuters

Peretas China yang dicurigai menyerang News Corp dengan ‘serangan siber yang terus-menerus’

February 5, 2022 by Søren

News Corp mengalami “serangan siber terus-menerus,” kata perusahaan itu Jumat, dan penyelidik yakin mata-mata China mungkin bertanggung jawab.

Puluhan jurnalis di Wall Street Journal milik News Corp menjadi sasaran peretasan, yang tampaknya berfokus pada wartawan dan editor yang meliput isu-isu terkait China, dua orang yang mengetahui masalah tersebut mengatakan kepada CNN.

Perusahaan keamanan siber Mandiant (MNDT), yang disewa News Corp (NWS) untuk menyelidiki pelanggaran tersebut, percaya para peretas “kemungkinan terlibat dalam kegiatan spionase untuk mengumpulkan intelijen demi kepentingan China,” kata David Wong, wakil presiden konsultasi di Mandiant.

Penyusupan itu, yang tampaknya berlangsung setidaknya hingga Februari 2022, menyusupi akun email dan dokumen Google Drive yang digunakan oleh jurnalis Wall Street Journal tertentu, salah satu orang yang mengetahui penyelidikan tersebut mengatakan. The Wall Street Journal pertama kali melaporkan kronologi peretasan tersebut.

Wartawan sering menjadi sasaran berbagai peretas yang didukung negara untuk mencari intelijen tentang pemerintah dan perusahaan. Karena alasan ini, banyak jurnalis tidak menyebutkan informasi sensitif melalui email.

Manajemen Wall Street Journal mengadakan serangkaian pengarahan pada hari Kamis dengan para jurnalis yang terkena dampak peretasan, kata dua sumber yang akrab dengan penyelidikan tersebut. Staf jurnal sedang memeriksa data forensik untuk menentukan informasi apa yang diambil dari masing-masing jurnalis, kata salah satu dari orang-orang itu.

Selengkapnya: CNN Business

Conti Ransomware Menambahkan Bank Indonesia Ke Dalam Daftar Korbannya

January 20, 2022 by Winnie the Pooh

Bank Indonesia, yang merupakan bank sentral Indonesia, diumumkan sebagai korban ransomware Conti, dalam sebuah posting yang diterbitkan oleh pelaku ancaman. Postingan tersebut dipublikasikan di situs kebocoran dark web geng ransomware Conti, bersama dengan 838 file dengan ukuran 487,09 megabyte.

[ALERT] Conti ransomware gang has announced "BANK OF INDONESIA" on the victim list. pic.twitter.com/qv2iJswis5

— DarkTracer : DarkWeb Criminal Intelligence (@darktracer_int) January 19, 2022

Menurut catatan yang dibuat oleh geng ransomware Conti, ini hanya mewakili satu persen dari total data yang telah dicuri. Jika itu benar, volume yang dicuri berjumlah seratus kali lipat, atau 48,7 gigabyte.

Dilaporkan oleh Bleeping Computer, Bank Indonesia (BI) telah mengkonfirmasi bahwa serangan ransomware memang menyerang jaringannya bulan lalu.

Selama insiden tersebut, para penyerang mencuri “data non-kritis” milik pegawai Bank Indonesia sebelum menyebarkan muatan ransomware di lebih dari selusin sistem di jaringan bank, seperti yang dilaporkan CNN Indonesia.

Namun, menurut juru bicara bank, insiden itu telah dimitigasi sebelum berdampak pada layanan publik BI, seperti yang dilaporkan pertama kali oleh Reuters.

Conti adalah operasi Ransomware-as-a-Service (RaaS) yang memiliki kaitan dengan kelompok kejahatan dunia maya Wizard Spider Rusia, yang juga dikenal dengan malware terkenal lainnya, termasuk Ryuk, TrickBot, dan BazarLoader.

Afiliasi grup ransomware melanggar jaringan target setelah perangkat perusahaan terinfeksi malware BazarLoader atau TrickBot, memberi mereka akses jarak jauh ke sistem yang disusupi.

Setelah mendapatkan akses ke jaringan internal korban, operator Conti akan mengkompromikan perangkat lain yang menyebar melalui jaringan korban.

Malware Perusak Menargetkan Organisasi Ukraina

January 16, 2022 by Søren

Microsoft Threat Intelligence Center (MSTIC) telah mengidentifikasi bukti operasi malware destruktif yang menargetkan beberapa organisasi di Ukraina. Malware ini pertama kali muncul di sistem korban di Ukraina pada 13 Januari 2022.

Microsoft mengetahui peristiwa geopolitik yang sedang berlangsung di Ukraina dan wilayah sekitarnya dan mendorong organisasi untuk menggunakan informasi dalam postingan ini untuk secara proaktif melindungi dari aktivitas berbahaya apa pun.

Sementara penyelidikan berlanjut, MSTIC belum menemukan hubungan penting antara aktivitas yang diamati ini, yang dilacak sebagai DEV-0586, dan grup aktivitas lain yang diketahui.

MSTIC menilai bahwa malware, yang dirancang agar terlihat seperti ransomware tetapi tidak memiliki mekanisme pemulihan tebusan, dimaksudkan untuk merusak dan dirancang untuk membuat perangkat yang ditargetkan tidak dapat dioperasikan daripada untuk mendapatkan uang tebusan.

Saat ini dan berdasarkan visibilitas Microsoft, tim investigasi telah mengidentifikasi malware pada lusinan sistem yang terpengaruh dan jumlah itu dapat bertambah seiring investigasi kami berlanjut.

Sistem ini menjangkau beberapa organisasi pemerintah, nirlaba, dan teknologi informasi, semuanya berbasis di Ukraina. MSTIC tidak tahu tahap saat ini dari siklus operasional penyerang ini atau berapa banyak organisasi korban lainnya yang mungkin ada di Ukraina atau lokasi geografis lainnya.

Selengkapnya: Microsoft

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attack

Cookies Settings