Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cyber Attack

Cyber Attack

Rumah sakit berisiko tinggi terkena serangan siber, tetapi pasien tidak menyadarinya

by

Southern Ohio Medical Center, sebuah rumah sakit nirlaba di Portsmouth, Ohio, membatalkan janji untuk hari Jumat lalu dan mengalihkan ambulans setelah terkena serangan cyber pada hari Kamis. Ini adalah bagian dari serangkaian serangan yang meningkat terhadap organisasi perawatan kesehatan dalam dua tahun terakhir — sebuah tren yang dapat memiliki konsekuensi serius bagi perawatan pasien.

Tetapi sementara para ahli teknologi informasi sangat menyadari bahwa risiko serangan siber yang membahayakan data pasien dan mematikan sistem komputer sedang meningkat, pasien tampaknya tidak demikian, menurut laporan baru oleh perusahaan keamanan siber Armis.

Faktanya, lebih dari 60 persen orang di masyarakat umum yang disurvei dalam laporan baru mengatakan mereka belum pernah mendengar serangan siber dalam perawatan kesehatan dalam dua tahun terakhir.

Besarnya serangan selama pandemi COVID-19 mengejutkan para ahli, yang mengatakan bahwa geng ransomware menargetkan rumah sakit lebih agresif daripada sebelumnya. Tidak seperti serangan terhadap bank atau sekolah yang juga umum terjadi, serangan terhadap layanan kesehatan berpotensi melukai orang secara langsung.

Sementara 61 persen pasien potensial yang disurvei belum pernah mendengar tentang serangan siber di layanan kesehatan dalam beberapa tahun terakhir, sekitar sepertiga responden mengatakan bahwa mereka pernah menjadi korban serangan siber di sistem kesehatan.

Laporan tersebut juga memusatkan perhatian pada kesenjangan antara kesadaran orang-orang akan serangan siber layanan kesehatan dan tingkat kepedulian mereka terhadap masalah tersebut.

Sekitar setengah dari orang yang disurvei mengatakan bahwa mereka akan pindah rumah sakit jika ada serangan siber, dan lebih dari 70 persen mengatakan mereka berpikir serangan itu bisa berdampak pada perawatan mereka.

Selengkapnya: The Verge

Peretas Mengakses Sistem Email FBI Dan Mengirim Spam Ke 100.000 Akun

by

Peretas mengakses sistem email FBI dan mengirim spam ke 100.000 akun pada hari Sabtu, menurut Proyek Spamhaus, sebuah kelompok pengawas spam email.

Organisasi tersebut memposting contoh di Twitter dari salah satu email yang dikirim ke ribuan akun.

Email tersebut memuat subjek “Urgent: Threat actor in systems” dan dimaksudkan untuk datang dari divisi keamanan siber dari Departemen Keamanan Dalam Negeri.

Email tersebut dimaksudkan untuk memperingatkan penerima tentang potensi “exfiltration” – yang berarti penarikan data – dari sistem mereka oleh pakar keamanan siber Vinny Troia dan kelompok penjahat siber The Dark Overlord.

Spamhaus memberikan sejumlah kemungkinan motivasi peretas untuk mengirim pesan tersebut.

“Tiga tindakan: Meyakinkan orang untuk menutup semuanya untuk berjaga-jaga, sementara kebenaran ditentukan, pembunuhan karakter Vinny Troia yang disebutkan di dalamnya, dan membanjiri FBI dengan panggilan. Atau, seperti yang orang lain katakan, ‘untuk lulz’. Mungkin semua dari yang disebutkan di atas. Atau mungkin sesuatu yang lain!” kelompok itu menulis sebuah tweet.

Austin Berglas, kepala layanan profesional di perusahaan keamanan siber BlueVoyant dan mantan agen khusus FBI, mengatakan kepada Bloomberg bahwa sistem email yang diretas bukanlah yang digunakan agen untuk mengirim informasi rahasia di FBI.

FBI mengatakan dalam sebuah pernyataan bahwa mereka mengetahui serangan itu tetapi tidak dapat memberikan informasi lebih lanjut.

Selengkapnya: The Hill

MediaMarkt terkena ransomware Hive, tebusan awal $240 juta

by

Raksasa ritel elektronik MediaMarkt telah menderita ransomware Hive dengan permintaan tebusan awal sebesar $240 juta, menyebabkan sistem TI ditutup dan operasi toko terganggu di Belanda dan Jerman.

MediaMarkt adalah pengecer elektronik konsumen terbesar di Eropa, dengan lebih dari 1.000 toko di 13 negara. MediaMarkt mempekerjakan sekitar 53.000 karyawan dan memiliki total penjualan €20,8 miliar.

MediaMarkt mengalami serangan ransomware Minggu malam hingga Senin pagi yang mengenkripsi server dan workstation dan menyebabkan penutupan sistem TI untuk mencegah penyebaran serangan.

Sementara penjualan online terus berfungsi seperti yang diharapkan, mesin kasir tidak dapat menerima kartu kredit atau mencetak tanda terima di toko yang terkena dampak. Pemadaman sistem juga mencegah pengembalian barang karena ketidakmampuan untuk mencari pembelian sebelumnya.

Media lokal melaporkan bahwa komunikasi internal MediaMarkt memberi tahu karyawan untuk menghindari sistem terenkripsi dan memutuskan mesin kasir dari jaringan.

BleepingComputer telah mengkonfirmasi bahwa operasi Hive Ransomware berada di balik serangan itu dan awalnya menuntut jumlah uang tebusan yang sangat besar, tetapi tidak realistis, $ 240 juta untuk menerima decryptor untuk file terenkripsi.

Meskipun tidak jelas apakah data yang tidak terenkripsi telah dicuri sebagai bagian dari serangan, ransomware Hive diketahui mencuri file dan mempublikasikannya di situs kebocoran data ‘HiveLeaks’ jika uang tebusan tidak dibayarkan.

Selengkapnya: Bleeping Computer

Perusahaan perangkat lunak medis mendesak pengaturan ulang kata sandi setelah serangan ransomware

by

Medatixx, vendor perangkat lunak medis Jerman yang produknya digunakan di lebih dari 21.000 institusi kesehatan, mendesak pelanggan untuk mengubah kata sandi aplikasi mereka setelah serangan ransomware yang telah sangat mengganggu seluruh operasinya.

Perusahaan mengklarifikasi bahwa dampaknya belum mencapai klien dan terbatas pada sistem TI internal mereka dan tidak boleh memengaruhi PVS (sistem manajemen praktik) mereka.

Namun, karena tidak diketahui data apa yang dicuri selama serangan, pelaku ancaman mungkin telah memperoleh kata sandi pelanggan Medatixx.

Oleh karena itu, Medatixx merekomendasikan agar pelanggan melakukan langkah-langkah berikut untuk memastikan perangkat lunak manajemen praktik mereka tetap aman:

  • Ubah kata sandi pengguna pada perangkat lunak praktik (petunjuk).
  • Ubah kata sandi masuk Windows di semua workstation dan server (petunjuk).
  • Ubah kata sandi konektor TI (petunjuk).

Perusahaan menjelaskan bahwa langkah di atas adalah tindakan pencegahan, tetapi mereka harus diterapkan sesegera mungkin.

Serangan ransomware pada Mediatixx terjadi minggu lalu, dan perusahaan masih dalam pemulihan, sejauh ini hanya berhasil memulihkan sistem email dan telepon pusat.

Belum ada perkiraan kapan perusahaan akan kembali beroperasi normal.

Belum diketahui apakah pelaku berhasil melakukan eksfiltrasi data klien, dokter, atau pasien. Namun, perusahaan menyatakan bahwa mereka memberi tahu otoritas perlindungan data Jerman tentang insiden tersebut dan akan mengeluarkan pembaruan setelah penyelidikan selesai.

Selengkapnya: Bleeping Computer

Pengguna NPM Library ‘coa’ Siap-siap Ganti Sandi!

by

Jumat, 5 November 2021 NPM Library ‘coa’ dibajak, terdapat kode berbahaya yang berdampak pada pipeline React di seluruh dunia dipastikan kata sandi pengguna dicuri.

Library ‘coa’, kependekan dari Command-Option-Argument, menerima sekitar 9 juta unduhan mingguan di npm, dan digunakan oleh hampir 5 juta repositori open source di GitHub. Beberapa jam setelah penemuan ini, komponen npm lain yang umum digunakan ‘rc’ juga ditemukan telah dibajak. Pustaka ‘rc’ rata-rata mendapatkan 14 juta unduhan per minggu.

Kode Berbahaya Disuntikkan dalam Rilis ‘coa’
Hari ini, pengembang di seluruh dunia dibuat terkejut melihat rilis baru untuk npm library ‘coa’—proyek yang belum tersentuh selama bertahun-tahun, tiba-tiba muncul di npm. ‘coa’ adalah parser opsi baris perintah untuk proyek Node.js. Versi stabil terakhir 2.0.2 untuk proyek ini dirilis pada Desember 2018. Namun, beberapa versi mencurigakan 2.0.3, 2.0.4, 2.1.1, 2.1.3, dan 3.1.3 mulai muncul di npm beberapa jam yang lalu, merusak paket React yang bergantung pada ‘coa’.

“Saya tidak yakin mengapa atau apa yang terjadi tetapi 10 menit yang lalu ada rilis (meskipun perubahan terakhir di GitHub adalah pada 2018). Apa pun yang dilakukan rilis ini, itu merusak internet,” kata Roberto Wesley Overdijk, pengembang React. Pengguna GitHub lain dengan pegangan ElBidouilleur melihat salah satu dari versi ‘coa’ ini, 2.1.3 merusak build mereka:

Beberapa pengembang bergabung dalam diskusi, membenarkan mengalami masalah dengan build mereka sejak rilis ‘coa’ baru mencapai npm. Tak lama setelah menerbitkan bagian ini, BleepingComputer juga menemukan klaim bahwa perpustakaan npm populer lainnya, ‘rc’ juga dibajak, dengan versi jahat 1.2.9, 1.3.9, dan 2.3.9 muncul di npm.

Apa yang Harus Dilakukan Pengguna COA dan RC?
Sangat disarankan agar semua pengguna perpustakaan “coa” dan “rc” memeriksa proyek mereka untuk perangkat lunak berbahaya.

Periksa keberadaan compile.js, compile.bat, sdd.dll dan menghapus file jika ditemukan.

Karena varian “sdd.dll” ini juga telah diidentifikasi sebagai trojan di VirusTotal, dan yang dijatuhkan oleh “ua-parser-js” adalah pencuri kredensial, pengguna yang terinfeksi juga harus menganggap perangkat mereka sepenuhnya disusupi dan mengubah kata sandi, kunci , dan merefresh token, karena kemungkinan telah disusupi dan dikirim ke pelaku ancaman.

Sumber: BLEEPING COMPUTER

Laporan Serangan Terenkripsi Zscaler 2021 Mengungkapkan 314% Lonjakan Ancaman HTTPS

by

Zscaler, Inc. (NASDAQ: ZS), pemimpin dalam keamanan cloud mengumumkan rilis Laporan Serangan Terenkripsi tahunan, yang melacak dan menganalisis lebih dari 20 miliar ancaman yang diblokir melalui HTTPS, sebuah protokol yang awalnya dirancang untuk komunikasi aman melalui jaringan.

Studi tahun ini menemukan peningkatan lebih dari 314 persen tahun-ke-tahun di seluruh wilayah geografis yang mencakup APAC, Eropa, dan Amerika Utara, menggarisbawahi perlunya model keamanan tanpa kepercayaan dan inspeksi lalu lintas yang lebih besar daripada yang dapat dicapai kebanyakan perusahaan dengan model keamanan berbasis firewall lama.

Sementara penjahat dunia maya dapat menggunakan berbagai jenis serangan untuk bersembunyi di lalu lintas terenkripsi, konten berbahaya mewakili 91 persen serangan yang mengejutkan, meningkat 212 persen dibandingkan tahun lalu. Sebaliknya, malware cryptomining turun 20 persen, mencerminkan perubahan yang lebih luas dalam tren serangan, dengan ransomware menjadi pilihan yang lebih menguntungkan.

Laporan tersebut menemukan bahwa serangan terhadap perusahaan teknologi, ritel, dan grosir mengalami peningkatan ancaman yang signifikan. Serangan terhadap perusahaan teknologi meningkat secara mengejutkan 2.300 persen, dan serangan ritel dan grosir meningkat lebih dari 800 persen.

Zscaler ThreatLabz mengamati serangan di lebih dari 200 negara dan wilayah di seluruh dunia, termasuk negara-negara kecil yang bukan merupakan target umum seperti pulau-pulau di seluruh Karibia. Selain itu, peningkatan pekerjaan dari mana saja telah menyebabkan karyawan bercabang dari pusat teknologi raksasa seperti San Francisco Bay Area, New York, London, Paris, Sydney.

Lima negara yang paling menjadi sasaran serangan terenkripsi termasuk Inggris (5.446.549.767), AS (2.674.879.625), India (2.169.135.553), Australia (1.806.003.182), dan Prancis (519.251.819).

Secara keseluruhan, Eropa memimpin dengan 7.234.747.361 serangan, dengan APAC (4.924.732,36) dan Amerika Utara (2.778.360.051) melengkapi tiga besar.

Selengkapnya: Dark Reading

Microsoft memperingatkan peningkatan serangan “Penyemprotan Kata Sandi”

by

Baru-baru ini, Microsoft mengamati kelompok peretasan Iran yang muncul menggunakan penyemprotan kata sandi terhadap target infrastruktur penting Israel dan AS yang beroperasi di Teluk Persia.

Microsoft memperkirakan bahwa lebih dari sepertiga dari kompromi akun adalah serangan penyemprotan kata sandi, meskipun serangan tersebut memiliki tingkat keberhasilan 1% untuk akun, kecuali organisasi menggunakan ‘perlindungan kata sandi’ Microsoft untuk menghindari kata sandi yang buruk.

“Alih-alih mencoba banyak kata sandi terhadap satu pengguna, mereka mencoba mengalahkan penguncian dan deteksi dengan mencoba banyak pengguna terhadap satu kata sandi,” Microsoft menjelaskan tahun lalu. Pendekatan itu membantu menghindari pembatasan kecepatan, di mana terlalu banyak upaya kata sandi yang gagal menghasilkan penguncian.

Tim Deteksi dan Respons Microsoft (DART) telah menguraikan dua teknik penyemprotan kata sandi utama, yang pertama disebut ‘rendah dan lambat’. Di sini, penyerang yang gigih menyebarkan semprotan kata sandi yang canggih menggunakan “beberapa alamat IP individu untuk menyerang beberapa akun secara bersamaan dengan sejumlah tebakan kata sandi yang dikuratori.”

Teknik lainnya, ‘ketersediaan dan penggunaan kembali’, mengeksploitasi kredensial yang sebelumnya dikompromikan yang diposting dan dijual di web gelap. “Penyerang dapat menggunakan taktik ini, yang juga disebut ‘penjejalan kredensial’, untuk mendapatkan entri dengan mudah karena taktik ini bergantung pada orang yang menggunakan kembali kata sandi dan nama pengguna di seluruh situs,” Microsoft menjelaskan.

Selengkapnya: ZDNet

Baru Dirilis, Decryptor Gratis untuk Atom Silo dan LockFile Ransomware

by

Avast baru saja merilis alat dekripsi yang akan membantu korban ransomware AtomSilo dan LockFile memulihkan beberapa file mereka secara gratis tanpa harus membayar uang tebusan.

Avast merilis alat dekripsi lain sebelumnya hari ini untuk membantu korban ransomware Babuk memulihkan file mereka secara gratis.

Seperti yang dijelaskan oleh perusahaan perangkat lunak keamanan siber Ceko, decryptor ini mungkin tidak dapat mendekripsi file dengan tidak dikenal, berpemilik, atau tanpa format sama sekali.

“Selama proses dekripsi, dekripsi Avast AtomSilo bergantung pada format file yang diketahui untuk memverifikasi bahwa file berhasil didekripsi. Oleh karena itu, beberapa file mungkin tidak didekripsi,” kata Tim Intelijen Ancaman Avast.

Decryptor bekerja untuk kedua jenis ransomware karena mereka sangat mirip, meskipun kelompok yang menyebarkannya di jaringan korban menggunakan taktik serangan yang berbeda.

Avast Threat Labs mengatakan dekripsi ransomware ini dibuat bekerja sama dengan analis malware RE – CERT Jiří Vinopal, yang menemukan kelemahan di ransomware AtomSilo awal bulan ini.

Korban AtomSilo dan LockFile dapat mengunduh alat dekripsi dari server Avast dan mendekripsi seluruh partisi disk menggunakan petunjuk yang ditampilkan dalam UI dekripsi.

BleepingComputer menguji alat ini dan memulihkan file yang dienkripsi dengan sampel Atom Silo menggunakan dekripsi gratis Avast.

Avast Atom Silo Decryptor (sumber:BleepingComputer)

Operasi ransomware LockFile pertama kali terlihat pada Juli 2021 setelah geng tersebut terlihat mengambil alih domain Windows dan mengenkripsi perangkat setelah mengeksploitasi server yang belum ditambal terhadap kerentanan ProxyShell dan PetitPotam.

Saat mengenkripsi file, LockFile ransomware akan menambahkan ekstensi .lockfile ke nama file terenkripsi dan menjatuhkan catatan tebusan yang diberi nama menggunakan format ‘[victim_name]-LOCKFILE-README.hta’.

Yang menarik adalah bahwa skema warna LockFile dan tata letak catatan tebusan sangat mirip dengan ransomware LockBit. Namun, tampaknya tidak ada hubungan antara kedua kelompok.

Atom Silo adalah geng ransomware baru yang operatornya baru-baru ini menargetkan Server Confluence dan server Pusat Data yang rentan terhadap bug yang sekarang ditambal dan dieksploitasi secara aktif.

Ransomware yang digunakan oleh Atom Silo hampir identik dengan LockFile, menurut peneliti SophosLabs.

Namun, operator Atom Silo menggunakan teknik baru yang membuatnya sangat sulit untuk menyelidiki serangan mereka, termasuk pemuatan samping pustaka tautan dinamis berbahaya yang mengganggu solusi perlindungan titik akhir.

sumber: BLEEPING COMPUTER