Cyber Attack

Raksasa perangkat keras komputer GIGABYTE terkena ransomware RansomEXX

August 9, 2021 by Winnie the Pooh

Pembuat motherboard Taiwan Gigabyte telah dihantam oleh geng ransomware RansomEXX, yang mengancam akan mempublikasikan 112GB data curian kecuali uang tebusan dibayarkan.

Gigabyte terkenal karena motherboardnya, tetapi juga memproduksi komponen dan perangkat keras komputer lainnya, seperti kartu grafis, server pusat data, laptop, dan monitor.

Serangan itu terjadi Selasa malam hingga Rabu dan memaksa perusahaan untuk mematikan sistem di Taiwan. Insiden itu juga memengaruhi beberapa situs web perusahaan, termasuk situs dukungannya dan bagian dari situs web Taiwan.

Pelanggan juga telah melaporkan masalah saat mengakses dokumen dukungan atau menerima informasi terbaru tentang RMA, yang kemungkinan disebabkan oleh serangan ransomware.

Menurut situs berita China United Daily News, Gigabyte mengonfirmasi bahwa mereka mengalami serangan siber yang memengaruhi sejumlah kecil server.

Setelah mendeteksi aktivitas abnormal di jaringan mereka, mereka telah mematikan sistem TI mereka dan memberi tahu penegak hukum.

Sementara Gigabyte belum secara resmi menyatakan operasi ransomware apa yang melakukan serangan itu, BleepingComputer telah mengetahui bahwa itu dilakukan oleh geng RansomEXX.

Ketika operator RansomEXX mengenkripsi jaringan, mereka akan membuat catatan tebusan pada setiap perangkat terenkripsi.

Catatan tebusan ini berisi tautan ke halaman non-publik yang dimaksudkan hanya dapat diakses oleh korban untuk menguji dekripsi satu file dan meninggalkan alamat email untuk memulai negosiasi tebusan.

Sebuah sumber mengirim BleepingComputer tautan ke halaman kebocoran RansomEXX non-publik untuk Gigabytes Technologies, di mana pelaku ancaman mengklaim telah mencuri 112GB data selama serangan.

Selengkapnya: Bleeping Computer

Serangan ransomware Kaseya memicu perlombaan untuk meretas penyedia layanan -peneliti

August 5, 2021 by Winnie the Pooh

Serangan ransomware pada bulan Juli yang melumpuhkan sebanyak 1.500 organisasi dengan mengkompromikan perangkat lunak manajemen teknologi dari sebuah perusahaan bernama Kaseya telah memicu perlombaan di antara para penjahat yang mencari kerentanan serupa, kata pakar keamanan siber.

Afiliasi dari geng ransomware top berbahasa Rusia yang dikenal sebagai REvil menggunakan dua kelemahan dalam perangkat lunak dari Kaseya yang berbasis di Florida untuk membobol sekitar 50 penyedia layanan terkelola (MSP) yang menggunakan produknya, kata penyelidik.

Sekarang para penjahat melihat betapa kuatnya serangan MSP, “mereka sudah sibuk, mereka sudah pindah dan kita tidak tahu di mana,” kata Victor Gevers, kepala Institut Pengungkapan Kerentanan Belanda nirlaba, yang memperingatkan Kaseya atas kelemahan sebelum serangan.

Gevers mengatakan para penelitinya telah menemukan kerentanan serupa di lebih banyak MSP. Dia menolak menyebutkan nama perusahaan karena mereka belum memperbaiki semua masalah.

Bisnis MSP telah berkembang pesat selama pandemi coronavirus di samping peningkatan pesat dalam pekerjaan jarak jauh.

“Di situlah Anda menemukan akses tepercaya ke sistem pelanggan,” kata Chris Krebs, pemimpin pertama Badan Keamanan Siber dan Keamanan Infrastruktur (CISA) Departemen Keamanan Dalam Negeri AS, yang telah menjadikan ransomware sebagai prioritas utama. “Ini adalah pendekatan yang jauh lebih ekonomis untuk meluncurkan serangan breakout. Dan sulit bagi pelanggan untuk mempertahankannya.”

Selengkapnya: Reuters

‘Situasinya Sangat Serius’: Peretas Ransomware Mengganggu Vaksinasi Covid-19 di Italia

August 5, 2021 by Winnie the Pooh

Serangkaian serangan siber telah mengganggu vaksinasi COVID-19 di wilayah Lazio Italia—wilayah luas yang mencakup ibu kota negara, Roma.

Serangan, yang tampaknya diluncurkan oleh peretas yang terhubung dengan geng ransomware, untuk sementara melumpuhkan situs web pemerintah Lazio selama akhir pekan, sementara juga melumpuhkan LAZIOCrea, perusahaan pihak ketiga yang bertanggung jawab atas penjadwalan dan pemesanan janji vaksinasi. Data yang terkait dengan basis data kesehatan masyarakat yang besar juga dienkripsi, meskipun pemerintah memiliki cadangan data tersebut, lapor outlet lokal.

ANSA, layanan kabel terkemuka di negara itu, melaporkan bahwa penjahat siber menyusup ke sistem LAZIOCrea sebagai “administrator” dan mampu menyebarkan “malware yang mengenkripsi data pada sistem.” Dalam sebuah posting Facebook, pemerintah setempat mengakui bahwa “operasi yang berkaitan dengan vaksinasi mungkin tertunda” sebagai akibatnya.

“Saat ini kami membela komunitas kami dari serangan teroris ini,” kata Nicola Zingaretti, gubernur Lazio, pada konferensi pers. “Serangan masih berlangsung. Situasinya sangat serius.”

Manajer kesehatan Lazio, Alessio D’Amato, menambahkan bahwa itu adalah “serangan peretas yang sangat kuat, sangat serius… Seluruh CED regional [database] sedang diserang.”

Selengkapnya: Gizmodo

Badan Riset Nuklir Diduga Diretas oleh Korea Utara selama 12 Hari

July 8, 2021 by Winnie the Pooh

Lembaga penelitian nuklir Korea Selatan telah terkena serangan siber, kemungkinan dilakukan oleh Korea Utara, selama 12 hari.

Badan Intelijen Nasional (NIS) mengungkapkan insiden peretasan pada sidang komite parlemen pada hari Kamis. Badan mata-mata itu mengatakan kepada anggota parlemen bahwa mereka yakin kelompok yang terkait dengan Korea Utara berada di balik serangan itu, menurut anggota parlemen Partai Demokrat yang berkuasa Kim Byeong-ki dan anggota parlemen oposisi utama Partai Kekuatan Rakyat (PPP) Ha Tae-keung.

Kedua anggota parlemen, yang menjabat sebagai anggota komite intelijen, mengatakan NIS tidak yakin pelakunya dapat mengakses materi tentang teknologi utama.

NIS mengatakan kepada anggota komite kerusakan dari organisasi teroris siber yang disponsori negara naik sembilan persen pada semester pertama tahun ini dari enam bulan sebelumnya.

Rep Ha, anggota senior komite intelijen untuk PPP, mengatakan Institut Penelitian Energi Atom Korea (KAERI) melaporkan pelanggaran data pada 1 Juni. Ha menambahkan bahwa badan tersebut kemungkinan ditargetkan selama 12 hari.

Ha mengatakan penyelidikan terpisah sedang berlangsung setelah Korea Aerospace Industries (KAI) juga diduga menjadi target serangan dunia maya.

Mengenai pemimpin Korea Utara Kim Jong-un, yang baru-baru ini tampak lebih ramping dalam foto-foto resmi, agen mata-mata Korea Selatan mengatakan tampaknya Kim telah kehilangan antara sepuluh dan 20 kilogram dan mengawasi urusan negara seperti biasa.

Selengkapnya: KBS World

Penyerang Mempercepat Serangan Ransomware di Jaringan ICS

July 8, 2021 by Winnie the Pooh

Serangan Ransomware berkembang pesat untuk menargetkan titik akhir Sistem Kontrol Industri (ICS) di seluruh dunia dengan peningkatan aktivitas yang signifikan selama setahun terakhir. Sebuah laporan oleh peneliti keamanan siber di Trend Micro menyoroti tren dominan ini.

Jaringan ICS yang mendukung utilitas penting, seperti air dan listrik, harus beroperasi penuh untuk menyediakan layanan. Semakin lama jaringan tersebut tidak aktif, semakin banyak gangguan yang ditimbulkannya.

Menurut laporan tersebut, serangan ransomware baru-baru ini hanya bermotivasi finansial karena menyerang jaringan ICS di pabrik operasional dan lingkungan manufaktur memiliki peluang tinggi untuk dibayar dengan cepat. Penjahat dunia maya menggunakan beberapa jenis ransomware yang berbeda yang menargetkan ICS. Namun, empat keluarga ransomware (Ryuk, Nefilm, Revil, dan LockBit) bertanggung jawab atas lebih dari setengah serangan ini.

Menurut laporan tersebut, AS adalah salah satu negara yang paling ditargetkan dengan kasus ransomware terbanyak yang memengaruhi ICS. Negara lain yang terkena dampak termasuk India, Taiwan, dan Spanyol.

Beberapa serangan ransomware telah diamati akhir-akhir ini yang menargetkan industri besar. Gangguan seperti itu pada sistem OT dan ICS di industri besar telah menyebabkan hasil yang parah dan kehilangan uang dalam jumlah besar.

Serangan ransomware DarkSide baru-baru ini di Colonial Pipeline menunjukkan bagaimana serangan ransomware terhadap target industri dapat memiliki konsekuensi yang sangat berbahaya bagi seluruh negara.

ICS, yang digunakan dalam infrastruktur kritis nasional, manufaktur, dan fasilitas lainnya, telah menjadi sasaran empuk bagi penyerang karena banyak dari sistem ini masih menjalankan versi OS yang lebih lama dan aplikasi yang belum ditambal. Oleh karena itu, lebih banyak yang perlu dilakukan untuk melindungi jaringan di fasilitas industri dari ancaman yang berkembang seperti itu.

Selengkapnya: Cyware

Hingga 1.500 bisnis terkena serangan ransomware, kata CEO perusahaan AS

July 6, 2021 by Winnie the Pooh

Antara 800 sampai 1.500 bisnis di seluruh dunia telah terpengaruh oleh serangan ransomware yang berpusat pada perusahaan teknologi informasi AS Kaseya, kata kepala eksekutifnya pada hari Senin.

Fred Voccola, CEO perusahaan yang berbasis di Florida, mengatakan dalam sebuah wawancara bahwa sulit untuk memperkirakan dampak yang tepat dari serangan hari Jumat karena yang terkena terutama adalah pelanggan dari pelanggan Kaseya.

Kaseya adalah perusahaan yang menyediakan alat perangkat lunak untuk toko outsourcing TI: perusahaan yang biasanya menangani pekerjaan back-office untuk perusahaan yang terlalu kecil atau sumber dayanya sederhana untuk memiliki departemen teknologi sendiri.

Salah satu alat itu ditumbangkan pada hari Jumat, memungkinkan para peretas melumpuhkan ratusan bisnis di lima benua.

Peretas yang mengaku bertanggung jawab atas pelanggaran tersebut telah menuntut $70 juta untuk memulihkan semua data bisnis yang terpengaruh, meskipun mereka telah menunjukkan kesediaan untuk mengurangi tuntutan mereka dalam percakapan pribadi dengan pakar keamanan siber dan dengan Reuters.

Topik pembayaran tebusan menjadi semakin penuh dengan serangan ransomware menjadi semakin mengganggu – dan menguntungkan.

Voccola mengatakan dia telah berbicara dengan para pejabat di Gedung Putih, Biro Investigasi Federal, dan Departemen Keamanan Dalam Negeri tentang pelanggaran itu tetapi menolak untuk mengatakan apa yang mereka katakan kepadanya tentang pembayaran atau negosiasi.

Selengkapnya: Reuters

TrickBot Botnet Ditemukan Menyebarkan Ransomware Baru yang Disebut Diavol

July 6, 2021 by Winnie the Pooh

Pelaku ancaman di balik malware TrickBot yang terkenal telah dikaitkan dengan jenis ransomware baru bernama “Diavol,” menurut penelitian terbaru.

Muatan ransomware Diavol dan Conti dikerahkan pada sistem yang berbeda dalam kasus serangan yang gagal menargetkan salah satu pelanggannya awal bulan ini, kata peneliti dari FortiGuard Labs Fortinet minggu lalu.

TrickBot, Trojan perbankan yang pertama kali terdeteksi pada tahun 2016, secara tradisional merupakan solusi crimeware berbasis Windows, menggunakan modul yang berbeda untuk melakukan berbagai aktivitas berbahaya di jaringan target, termasuk pencurian kredensial dan melakukan serangan ransomware.

Terlepas dari upaya penegakan hukum untuk menetralisir jaringan bot, malware yang terus berkembang telah terbukti menjadi ancaman yang tangguh, dengan operator yang berbasis di Rusia – dijuluki “Wizard Spider” – dengan cepat mengadaptasi alat baru untuk melakukan serangan lebih lanjut.

Diavol dikatakan telah dikerahkan di alam liar dalam satu insiden hingga saat ini. Sumber intrusi masih belum diketahui. Yang jelas, bagaimanapun, adalah bahwa kode sumber payload memiliki kesamaan dengan Conti, meskipun catatan tebusan telah ditemukan untuk menggunakan kembali beberapa bahasa dari ransomware Egregor.

Aspek lain dari ransomware yang menonjol adalah ketergantungannya pada teknik anti-analisis untuk mengaburkan kodenya dalam bentuk gambar bitmap, dari mana rutinitas dimuat ke dalam buffer dengan izin eksekusi.

Selengkapnya: The Hacker News

Peretas Rusia REvil menuntut $70 JUTA untuk kunci dekripsi

July 6, 2021 by Winnie the Pooh

Serangan ransomware terbesar dalam sejarah telah menghantam sistem TI hingga 1 juta perusahaan di hampir setiap benua ketika peretas yang terkait dengan Rusia menuntut $70 juta dalam cryptocurrency untuk memperbaikinya.

Toko kelontong Swedia, sekolah di Selandia Baru, dan dua perusahaan IT besar Belanda termasuk di antara korban kelompok peretasan REvil yang meluncurkan serangannya pada hari Jumat setelah melanggar sistem perusahaan perangkat lunak yang berbasis di AS Kaseya.

REvi yang telah menuntut uang tebusan hingga $5 juta dari masing-masing perusahaan – namun sekarang mengatakan meminta $70 juta dan akan membuka kunci semua jaringan yang terpengaruh.

Analis mengatakan bukan kebetulan bahwa serangan terakhir bertepatan dengan akhir pekan 4 Juli, ketika perusahaan akan kekurangan staf dan kurang mampu merespons.

Di antara korban yang dilaporkan adalah dua perusahaan besar layanan TI Belanda – VelzArt dan Hoppenbrouwer Techniek.

Tetapi sebagian besar korban diyakini adalah usaha kecil hingga menengah dan layanan publik yang tidak mungkin mengumumkan bahwa mereka telah terinfeksi – seperti praktik gigi, firma arsitektur, pusat operasi plastik, dan perpustakaan.

Peretas berhasil menjatuhkan perusahaan dengan menyusup ke VSA, perangkat lunak Kaseya yang digunakan untuk mengelola jaringan TI yang jauh lebih besar. Peretasan semacam itu dikenal sebagai serangan ‘rantai pasokan’.

Para ahli mengatakan fakta bahwa REvil meminta uang tebusan sebesar $70 juta untuk mengembalikan semua jaringan yang terpengaruh menunjukkan bahwa peretasannya jauh lebih luas daripada yang diantisipasi oleh peretas itu sendiri.

Selengkapnya: Daily Mail UK

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attack

Cookies Settings