Cyber Attack

Raksasa asuransi CNA terkena ransomware Phoenix CryptoLocker baru

March 26, 2021 by Mally

Raksasa asuransi CNA telah mengalami serangan ransomware menggunakan varian baru bernama Phoenix CryptoLocker yang mungkin terkait dengan grup peretasan Evil Corp.

Minggu ini, BleepingComputer melaporkan bahwa CNA telah mengalami serangan siber yang memengaruhi layanan online dan operasi bisnis mereka.

Segera setelah mereka melaporkan serangan itu, CNA mengeluarkan pernyataan yang mengonfirmasi bahwa mereka telah mengalami serangan siber akhir pekan lalu.

“Pada 21 Maret 2021, CNA menetapkan bahwa kami mengalami serangan keamanan siber yang canggih. Serangan tersebut menyebabkan gangguan jaringan dan memengaruhi sistem CNA tertentu, termasuk email perusahaan,” ungkap CNA dalam sebuah pernyataan.

Sejak pelaporan pertama BleepingComputer, mereka telah mengonfirmasi bahwa CNA mengalami serangan oleh ransomware baru yang dikenal sebagai ‘Phoenix CryptoLocker.’

Sumber yang akrab dengan serangan itu mengatakan kepada BleepingComputer bahwa pelaku ancaman menyebarkan ransomware di jaringan CNA pada 21 Maret, di mana ia melanjutkan untuk mengenkripsi lebih dari 15.000 perangkat di jaringan mereka.

Dilaporkan oleh BleepingComputer bahwa itu juga mengenkripsi komputer karyawan yang bekerja dari jarak jauh yang masuk ke VPN perusahaan pada saat serangan terjadi.

Saat mengenkripsi perangkat, ransomware menambahkan ekstensi .phoenix ke file yang dienkripsi dan membuat catatan tebusan bernama PHOENIX-HELP.txt, seperti yang ditunjukkan di bawah ini.

Sebuah sumber mengatakan kepada BleepingComputer bahwa Phoenix Locker diyakini sebagai keluarga ransomware baru yang dirilis oleh Evil Corp berdasarkan kesamaan dalam kodenya.

Selengkapnya: Bleeping Computer

Perusahaan asuransi CNA terkena serangan siber dan berpengaruh terhadap operasi mereka

March 24, 2021 by Mally

CNA Financial, perusahaan asuransi terkemuka yang berbasis di AS, telah mengalami serangan siber yang memengaruhi operasi bisnisnya dan menutup situs webnya.

Mulai kemarin, situs web CNA mulai menampilkan pesan yang menyatakan bahwa mereka “saat ini mengalami gangguan jaringan yang memengaruhi beberapa sistem kami. Kami sedang berupaya mengatasi masalah ini untuk meminimalkan gangguan pada Anda”.

Sumber telah memberi tahu BleepingComputer bahwa perusahaan mengalami serangan siber yang telah mengganggu operasi bisnis dan memaksa mereka untuk mematikan sistem tertentu.

BleepingComputer belum dapat memverifikasi apakah pemadaman disebabkan oleh serangan ransomware, meskipun tampaknya itu adalah serangan ransomware menurut sumber yang tahu mengenai serangan tersebut.

Sumber lain mengatakan kepada The Insurer bahwa serangan tersebut mengganggu sisi underwriting dan klaim bisnis, kemungkinan karena sistem menjadi tidak tersedia.

Dalam pernyataan terbaru di situs web mereka, CNA telah mengonfirmasi bahwa serangan siber menyebabkan gangguan jaringan, termasuk email perusahaan. Untuk amannya, CNA juga mengonfirmasi bahwa mereka memutus sistem mereka dari jaringan.

Selengkapnya: Bleeping Computer

Geng ransomware membocorkan data yang dicuri dari universitas Colorado, Miami

March 24, 2021 by Mally

Nilai dan nomor jaminan sosial untuk mahasiswa di University of Colorado dan data pasien di University of Miami telah diposting online oleh grup ransomware Clop.

Mulai bulan Desember, pelaku ancaman yang berafiliasi dengan operasi ransomware Clop mulai menargetkan server Accellion FTA dan mencuri data yang tersimpan di dalamnya. Perusahaan menggunakan server ini untuk berbagi file dan informasi sensitif dengan orang di luar organisasi mereka.

Geng ransomware kemudian menghubungi organisasi tersebut dan meminta $ 10 juta dalam bentuk bitcoin atau mereka akan mempublikasikan data yang dicuri.

Sejak Februari, operasi ransomware Clop telah menerbitkan file yang dicuri menggunakan kerentanan di server berbagi file Accellion FTA.

Minggu ini, geng ransomware Clop mulai menerbitkan tangkapan layar file yang dicuri dari server Accellion FTA yang digunakan oleh Universitas Miami dan Colorado.

Pada bulan Februari, University of Colorado (CU) mengungkapkan bahwa mereka mengalami serangan siber di mana pelaku ancaman mencuri data melalui kerentanan Accellion FTA.

Clop ransomware telah mulai memposting tangkapan layar dari data yang dicuri, termasuk dokumen keuangan universitas, nilai siswa, catatan akademik, informasi pendaftaran, dan informasi biografi siswa.

Sementara University of Miami tidak pernah mengungkapkan insiden keamanan, operasi ransomware Clop juga menerbitkan tangkapan layar data pasien.

Data ini mencakup rekam medis, laporan demografis, dan spreadsheet dengan alamat email dan nomor telepon.

Selengkapnya: Bleeping Computer

Serangan ransomware menghantam pembuat Sierra Wireless IoT

March 24, 2021 by Mally

Sierra Wireless, penyedia solusi IoT (Internet of Things) terkemuka di dunia, hari ini mengungkapkan serangan ransomware yang memaksanya menghentikan produksi di semua lokasi manufaktur.

Perusahaan multinasional Kanada yang berkantor pusat di Richmond, British Columbia, memiliki lebih dari 1.300 karyawan di seluruh dunia, mengembangkan peralatan komunikasi, dan memiliki pusat penelitian dan pengembangan di Amerika Utara, Eropa, dan Asia.

Serangan ransomware menghantam jaringan internal Sierra Wireless selama akhir pekan, pada 20 Maret. Perusahaan mengatakan bahwa serangan itu tidak berdampak pada layanan atau produk yang digunakan pelanggan.

Setelah serangan itu, perusahaan juga harus menutup pabriknya di seluruh dunia, dan berharap dapat segera melanjutkan produksi dan operasinya.

Situs web Sierra Wireless saat ini menampilkan pesan “situs sedang dalam pemeliharaan”.

Setelah perusahaan mengetahui serangan tersebut, tim TI dan operasinya segera menerapkan langkah-langkah untuk melawan serangan tersebut sesuai dengan prosedur dan kebijakan keamanan siber yang ditetapkan yang dikembangkan bekerja sama dengan penasihat pihak ketiga. Tim ini, dengan bantuan dari ini dan penasihat pihak ketiga tambahan, yakin bahwa mereka telah mengatasi serangan tersebut, dan saat ini bekerja untuk membuat sistem TI internal Sierra Wireless kembali online. – Sierra Wireless

Sumber: Bleeping Computer

10 Pelajaran Cybersecurity yang dapat dipetik satu tahun dalam pandemi

March 23, 2021 by Mally

Menurut laporan Global Digital Trust Insights 2021 PWC, 96% eksekutif bisnis dan teknologi memprioritaskan investasi siber mereka karena Covid-19 dan dampaknya terhadap organisasi mereka tahun ini.

Laporan ini didasarkan pada wawancara dengan 3.249 eksekutif bisnis dan teknologi di seluruh dunia, dan setengah dari eksekutif yang disurvei mengatakan cybersecurity dan privasi sedang dimasukkan dalam setiap keputusan dan rencana bisnis. Pada tahun 2019, angka itu mendekati 25%.

Kemampuan aktor jahat untuk di rumah pada kesenjangan cybersecury, dalam sistem dan manusia, terbukti secara akurat pada tahun 2020. Dari banyak pelajaran yang dipetik pada tahun 2020, mungkin yang paling berharga adalah bahwa elemen manusia harus datang lebih dulu.

Berikut ini adalah 10 pelajaran teratas yang dipelajari dalam satu tahun pandemi, menurut Cisos, CIO, dan tim mereka:

Rantai pasokan dunia nyata rentan terhadap serangan siber
Tenaga kerja virtual membuat self-diagnosing dan self-remediating endpoint menjadi sebuah keharusan
Perdagangan Touchless berarti Kode QR sekarang menjadi vektor ancaman yang tumbuh paling cepat
Peningkatan akan serangan siber terhadap penyedia layanan terkelola (MSP).
Penyerang dapat membahayakan rantai pasokan perangkat lunak dan memodifikasi executable
Rekayasa Sosial Dapat Mengompromi Platform Media Sosial
Menggunakan zero-trust untuk mengelola identitas mesin
Aktor jahat Mengubah Catatan Perawatan Kesehatan menjadi Penjualan Terbaik
Kesalahan konfigurasi keamanan cloud adalah penyebab utama pelanggaran data cloud
Pemantauan infrastruktur sangat penting untuk mengidentifikasi anomali.

Selengkapnya: Venturebeat

Raksasa komputer Acer terkena serangan ransomware senilai $ 50 juta

March 20, 2021 by Mally

Raksasa komputer Acer telah terkena serangan ransomware REvil di mana pelaku ancaman menuntut tebusan terbesar yang diketahui hingga saat ini, $50.000.000.

Acer adalah produsen elektronik dan komputer Taiwan yang terkenal dengan laptop, desktop, dan monitor. Acer mempekerjakan sekitar 7.000 karyawan dan menghasilkan $ 7,8 miliar pada 2019.

Kemarin, geng ransomware mengumumkan di situs kebocoran data mereka bahwa mereka telah membobol Acer dan membagikan beberapa gambar dari file yang diduga dicuri sebagai bukti.

Gambar yang bocor ini untuk dokumen yang mencakup spreadsheet keuangan, saldo bank, dan komunikasi bank.

Menanggapi pertanyaan dari BleepingComputer, Acer tidak memberikan jawaban yang jelas mengenai apakah mereka mengalami serangan ransomware REvil, sebaliknya mengatakan bahwa mereka “melaporkan situasi abnormal baru-baru ini” ke LEA dan DPA yang relevan.

Setelah menerbitkan berita mengenai ini, Valery Marchive dari LegMagIT menemukan sampel REvil ransomware yang digunakan dalam serangan Acer yang menuntut tebusan $ 50 juta.

Segera setelah itu, BleepingComputer menemukan sampel tersebut dan dapat mengonfirmasi bahwa berdasarkan catatan tebusan dan percakapan korban dengan penyerang, sampel tersebut berasal dari serangan siber di Acer.

Selengkapnya: Bleeping Computer

Rusia mengaku bersalah atas upaya peretasan dan pemerasan Tesla

March 20, 2021 by Mally

Warga negara Rusia Egor Igorevich Kriuchkov telah mengaku bersalah merekrut karyawan Tesla untuk menanam malware yang dirancang untuk mencuri data dalam jaringan Nevada Gigafactory Tesla.

Tujuan akhirnya adalah memeras perusahaan menggunakan informasi sensitif yang dicuri dari server Tesla sebagai pengaruh untuk meyakinkan perusahaan agar membayar uang tebusan untuk menghindari kebocoran data.

Untuk meyakinkan karyawan perusahaan agar bertindak sebagai orang dalam bagi geng kriminalnya, Kriuchkov mengatakan kepadanya bahwa dia akan dibayar $ 1.000.000 bitcoin setelah malware tersebut disebarkan di jaringan perusahaan, menurut dokumen pengadilan.

Kriuchkov juga mengatakan kepada karyawan Tesla bahwa dia sebelumnya terlibat dalam “proyek” serupa lainnya di mana salah satu perusahaan korban membayar $ 4 juta setelah merundingkan uang tebusan dari $ 6 juta.

Kriuchkov menjelaskan bahwa “‘kelompok’ tersebut telah melakukan ‘proyek khusus’ ini dengan sukses dalam beberapa kesempatan, dan mengidentifikasi beberapa perusahaan yang menjadi sasaran,” menurut dakwaan.

Karyawan Tesla juga diberitahu bahwa selama “proyek khusus” mereka menargetkan jaringan Tesla, para penjahat akan meluncurkan serangan Distributed Denial of Service (DDoS) untuk mengalihkan perhatian dari upaya orang dalam untuk menyebarkan malware.

CEO Tesla, Elon Musk, kemudian mengonfirmasi dalam balasan Twitter bahwa Kriuchkov memang mencoba merekrut karyawan Tesla untuk membantu skema pemerasannya.

Terdakwa ditangkap pada Agustus 2020 setelah menerima panggilan telepon dari agen FBI dan bergegas meninggalkan AS untuk menghindar.

Dia didakwa satu bulan kemudian dan didakwa dengan tuduhan konspirasi yang sengaja menyebabkan kerusakan pada komputer yang dilindungi, menghadapi hukuman maksimum lima tahun penjara dan denda $ 250.000.

Selengkapnya: Bleeping Computer

REvil ransomware memiliki mode enkripsi ‘Windows Safe Mode’ baru

March 20, 2021 by Mally

Operasi ransomware REvil telah menambahkan kemampuan baru untuk mengenkripsi file dalam Windows Safe Mode, kemungkinan besar menghindari deteksi oleh perangkat lunak keamanan dan untuk kesuksesan yang lebih besar saat mengenkripsi file.

Dalam sampel baru REvil ransomware yang ditemukan oleh MalwareHunterTeam, argumen baris perintah -smode baru ditambahkan yang memaksa komputer untuk melakukan boot ulang ke Safe Mode sebelum mengenkripsi perangkat.

Untuk melakukan ini, REvil akan menjalankan perintah berikut untuk memaksa komputer boot ke Safe Mode with Networking ketika Windows restart berikutnya.

bootcfg /raw /a /safeboot:network /id 1
bcdedit /set {current} safeboot network

Kemudian membuat autorun ‘RunOnce’ bernama ‘*franceisshit’ yang menjalankan ‘bcdedit /deletevalue {current} safeboot’ setelah pengguna masuk ke Safe Mode.

Akhirnya, ransomware melakukan restart paksa Windows yang tidak dapat diganggu oleh pengguna.

Tepat sebelum proses keluar, itu akan membuat autorun RunOnce tambahan bernama ‘AstraZeneca’, mungkin tentang pertimbangan Prancis baru-baru ini tentang penggunaan vaksin. Penting untuk diingat bahwa kedua entri ‘RunOnce’ ini akan dijalankan setelah masuk ke Safe Mode dan secara otomatis akan dihapus oleh Windows.

Saat reboot, perangkat akan memulai dalam Safe Mode With Networking, dan pengguna akan diminta untuk masuk ke Windows. Setelah mereka masuk, REvil ransomware akan dijalankan tanpa argumen -smode sehingga mulai mengenkripsi file pada perangkat.

Saat berjalan, ransomware akan mencegah pengguna meluncurkan program apa pun melalui Task Manager hingga selesai mengenkripsi perangkat.

Setelah perangkat dienkripsi, ini akan memungkinkan sisa urutan boot untuk dilanjutkan, dan desktop akan ditampilkan dengan catatan tebusan dan file terenkripsi.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attack

Cookies Settings