Cyber Attack

Trik Baru Berbahaya Ransomware Mengenkripsi Ganda Data Anda

May 18, 2021 by Winnie the Pooh

KELOMPOK RANSOMWARE selalu mengambil pendekatan lebih. Jika korban membayar tebusan dan kemudian kembali ke bisnis seperti biasa — serang mereka lagi. Eskalasi terbaru? Peretas ransomware yang mengenkripsi data korban dua kali pada waktu yang bersamaan.

Serangan enkripsi ganda pernah terjadi sebelumnya, biasanya berasal dari dua geng ransomware terpisah yang membahayakan korban yang sama pada waktu yang sama. Tetapi perusahaan antivirus Emsisoft mengatakan mereka mengetahui lusinan insiden di mana aktor atau grup yang sama secara sengaja melapisi dua jenis ransomware di atas satu sama lain.

“Kelompok-kelompok itu terus-menerus mencoba mencari strategi mana yang terbaik, yang memberi mereka uang paling banyak untuk usaha yang paling sedikit,” kata analis ancaman Emsisoft, Brett Callow.

Beberapa korban mendapatkan dua catatan tebusan sekaligus, kata Callow, yang berarti bahwa peretas ingin korbannya mengetahui tentang serangan enkripsi ganda. Namun, dalam kasus lain, korban hanya melihat satu catatan tebusan dan hanya mengetahui tentang enkripsi lapis kedua setelah mereka membayar untuk menghilangkan yang pertama.

Emsisoft telah mengidentifikasi dua taktik berbeda. Yang pertama, peretas mengenkripsi data dengan ransomware A dan kemudian mengenkripsi ulang data tersebut dengan ransomware B. Jalur lain melibatkan apa yang disebut Emsisoft sebagai serangan “side-by-side encryption”, di mana serangan mengenkripsi beberapa sistem organisasi dengan ransomware A dan lainnya dengan ransomware B.

Para peneliti juga mencatat bahwa dalam skenario side-by-side ini, penyerang mengambil langkah untuk membuat dua jenis ransomware yang berbeda terlihat semirip mungkin, jadi lebih sulit bagi incident responders untuk memilah apa yang terjadi.

Selengkapnya: Wired

Serangan Colonial Pipeline meningkatkan permainan ransomware

May 11, 2021 by Winnie the Pooh

Pada hari Jumat, Perusahaan Colonial Pipeline menemukan bahwa mereka telah terkena serangan ransomware.

Bertanggung jawab untuk mengirimkan gas, minyak pemanas, dan bentuk minyak bumi lainnya ke rumah dan organisasi, perusahaan tersebut menyumbang 45% dari bahan bakar Pantai Timur. Serangan tersebut memaksa Colonial Pipeline untuk mematikan sistem tertentu, menghentikan sementara semua operasi pipeline.

Dalam sebuah pernyataan yang dirilis pada hari Minggu, perusahaan mengatakan bahwa mereka menyewa perusahaan keamanan siber pihak ketiga untuk menyelidiki serangan itu dan menghubungi penegak hukum serta lembaga federal, termasuk Departemen Energi. Selain menangani insiden itu sendiri, Colonial Pipeline juga siap untuk menjalankan operasinya kembali online dengan aman dan terjamin.

James Shank, ketua komite Ransomware Task Force (RTF) untuk skenario terburuk, mengatakan bahwa jenis serangan terhadap infrastruktur atau layanan kritis ini menunjukkan munculnya ransomware sebagai ancaman terhadap keamanan nasional, terutama saat kita terus bergulat dengan COVID-19.

Colonial Pipeline telah mengontrak firma keamanan FireEye Mandiant untuk menyelidiki serangan itu. Seorang juru bicara FireEye mengatakan kepada TechRepublic bahwa perusahaan tidak mengomentari insiden tersebut pada saat ini. Sementara itu, FBI telah menunjuk geng ransomware DarkSide sebagai penyebab di balik serangan ini.

Selengkapnya: Tech Republic

12 Cacat Keamanan Teratas Peretas Mata-mata Rusia Memanfaatkan di Alam Liar

May 9, 2021 by Winnie the Pooh

Operator dunia maya yang berafiliasi dengan Badan Intelijen Luar Negeri Rusia (SVR) telah mengubah taktik mereka sebagai tanggapan atas pengungkapan publik sebelumnya tentang metode serangan mereka, menurut sebuah nasihat baru yang diterbitkan bersama oleh badan-badan intelijen dari Inggris dan AS Jumat.

Ini termasuk penyebaran alat sumber terbuka yang disebut Sliver untuk mempertahankan akses mereka ke korban yang disusupi serta memanfaatkan kelemahan ProxyLogon di server Microsoft Exchange untuk melakukan aktivitas pasca-eksploitasi.

Perkembangan tersebut mengikuti atribusi publik dari aktor terkait SVR ke serangan rantai pasokan SolarWinds bulan lalu. Musuh juga dilacak di bawah moniker yang berbeda, seperti Advanced Persistent Threat 29 (APT29), the Dukes, CozyBear, dan Yttrium.

Atribusi tersebut juga disertai dengan laporan teknis yang merinci lima kerentanan yang digunakan oleh kelompok APT29 SVR sebagai titik akses awal untuk menyusup ke AS dan entitas asing.

CVE-2018-13379 – Fortinet FortiGate VPN
CVE-2019-9670 – Synacor Zimbra Collaboration Suite
CVE-2019-11510 – Pulse Secure Pulse Connect Secure VPN
CVE-2019-19781 – Citrix Application Delivery Controller and Gateway
CVE-2020-4006 – VMware Workspace ONE Access

Menurut NCSC, tujuh kerentanan lagi telah ditambahkan ke dalam campuran, sambil mencatat bahwa APT29 kemungkinan besar “dengan cepat” mempersenjatai kerentanan publik yang baru-baru ini dirilis yang dapat memungkinkan akses awal ke target mereka.

CVE-2019-1653 – Cisco Small Business RV320 and RV325 Routers
CVE-2019-2725 – Oracle WebLogic Server
CVE-2019-7609 – Kibana
CVE-2020-5902 – F5 Big-IP
CVE-2020-14882 – Oracle WebLogic Server
CVE-2021-21972 – VMware vSphere
CVE-2021-26855 – Microsoft Exchange Server

selengkapnya : thehackernews.com

Ransomware N3TW0RM muncul dalam gelombang serangan dunia maya di Israel

May 4, 2021 by Winnie the Pooh

Geng ransomware baru yang dikenal sebagai ‘N3TW0RM’ menargetkan perusahaan Israel dalam gelombang serangan siber yang dimulai minggu lalu.

Media Israel Haaretz melaporkan bahwa setidaknya empat perusahaan Israel dan satu organisasi nirlaba telah berhasil dibobol dalam gelombang serangan ini.

Seperti geng ransomware lainnya, N3TW0RM telah membuat situs kebocoran data di mana mereka mengancam akan membocorkan file curian sebagai cara untuk menakut-nakuti korbannya agar membayar tebusan.

Dua dari bisnis Israel, H&M Israel dan jaringan Veritas Logistic, telah terdaftar dalam kebocoran data geng ransomware, dengan pelaku ancaman telah membocorkan data yang diduga dicuri selama serangan terhadap Veritas.

Serangan N3TW0RM belum dikaitkan dengan grup peretasan mana pun saat ini.

Saat mengenkripsi jaringan, pelaku ancaman biasanya akan mendistribusikan ransomware mandiri yang dapat dieksekusi ke setiap perangkat yang ingin mereka enkripsi.

N3TW0RM melakukannya sedikit berbeda dengan menggunakan model klien-server sebagai gantinya.

Dari sampel [VirusTotal] ransomware yang dilihat oleh BleepingComputer dan diskusi dengan Arik Nachmias, CEO dari firma tanggapan insiden Honey Badger Security, pelaku ancaman N3TW0RM menginstal program di server korban yang akan mendengarkan koneksi dari workstation.

Nachmias menyatakan bahwa pelaku ancaman kemudian menggunakan PAExec untuk menyebarkan dan mengeksekusi klien ‘slave.exe’ yang dapat dieksekusi di setiap perangkat yang akan dienkripsi oleh ransomware. Saat mengenkripsi file, file akan memiliki ekstensi ‘.n3tw0rm’ yang ditambahkan ke namanya.

Selengkapnya: Bleeping Computer

Kerentanan keamanan machine learning adalah ancaman yang berkembang terhadap web

April 29, 2021 by Winnie the Pooh

Saat sistem pembelajaran mesin (ML) menjadi pokok dalam kehidupan sehari-hari, ancaman keamanan yang ditimbulkannya akan meluas ke semua jenis aplikasi yang kita gunakan, menurut sebuah laporan baru.

Tidak seperti perangkat lunak tradisional, di mana kekurangan dalam desain dan kode sumber menyebabkan sebagian besar masalah keamanan, dalam sistem AI, kerentanan dapat muncul pada gambar, file audio, teks, dan data lain yang digunakan untuk melatih dan menjalankan model pembelajaran mesin.

Hal ini menurut para peneliti dari Adversa, start-up berbasis di Tel Aviv yang berfokus pada keamanan untuk sistem kecerdasan buatan (AI), yang menguraikan temuan terbaru mereka dalam laporan mereka, The Road to Secure and Trusted AI, bulan ini.

Menurut para peneliti di Adversa, sistem pembelajaran mesin yang memproses data visual bertanggung jawab atas sebagian besar pekerjaan pada serangan adversarial, diikuti oleh analitik, pemrosesan bahasa, dan otonomi.

Pengembang web yang mengintegrasikan model pembelajaran mesin ke dalam aplikasi mereka harus memperhatikan masalah keamanan ini, Alex Polyakov memperingatkan, salah satu pendiri dan CEO Adversa.

Polyakov juga memperingatkan tentang kerentanan dalam model pembelajaran mesin yang disajikan melalui web seperti layanan API yang disediakan oleh perusahaan teknologi besar.

Selengkapnya: Daily Swig

Insiden keamanan UnitingCare Queensland membuat beberapa sistem offline

April 28, 2021 by Winnie the Pooh

UnitingCare Queensland telah mengonfirmasi telah menjadi korban insiden dunia maya, membuat beberapa sistemnya tidak dapat diakses.

Organisasi, yang menyediakan perawatan lansia, dukungan disabilitas, perawatan kesehatan, dan layanan tanggap krisis di seluruh negara bagian, mengatakan insiden itu terjadi pada Minggu 25 April 2021.

UnitingCare juga memberi tahu Pusat Keamanan Cyber Australia (ACSC) tentang insiden tersebut dan mengatakan pihaknya terus bekerja dengan mereka untuk menyelidiki insiden tersebut.

Jika perlu, proses pencadangan manual tersedia untuk memastikan kontinuitas sebagian besar layanan UnitingCare.

Organisasi tersebut mengatakan bahwa mengingat insiden tersebut hanya terjadi minggu ini, saat ini tidak memungkinkan untuk memberikan kerangka waktu penyelesaian. Namun, dikatakan, tim digital dan teknologinya sedang bekerja untuk menyelesaikan masalah secepat mungkin.

“Kami berkomitmen untuk menjaga orang-orang, pasien, klien, dan penghuni kami mendapat informasi dan aman saat kami bekerja untuk menyelesaikan insiden ini, dan akan memberikan pembaruan lebih lanjut yang relevan saat informasi baru datang,” lanjut pernyataan itu.

Selengkapnya: ZDNet

Peretasan VPN Adalah Bencana Dalam Mode Slow-Motion

April 26, 2021 by Winnie the Pooh

Tahun ini tidak pernah ada kekurangan peretasan blockbuster, mulai dari kehancuran rantai pasokan SolarWinds hingga serangan kilat China terhadap server Microsoft Exchange. Contoh terbaru dari kehancuran VPN — yang kita bicarakan adalah koneksi perusahaan, bukan pengaturan pribadi Anda — adalah yang paling dramatis.

Perusahaan keamanan FireEye minggu ini mengungkapkan bahwa mereka telah menemukan selusin keluarga malware, tersebar di beberapa grup peretasan, berpesta dengan kerentanan di Pulse Secure VPN.

Para korban tersebar di seluruh dunia dan menjangkau target bernilai tinggi: kontraktor pertahanan, lembaga keuangan, dan pemerintah. Para penyerang menggunakan tempat bertengger mereka untuk mencuri kredensial yang sah, meningkatkan peluang mereka untuk mendapatkan akses yang mendalam dan berkelanjutan.

Namun, tambalan untuk memperbaiki kerentanan di jantung serangan tidak akan tersedia hingga bulan depan. Dan bahkan kemudian, itu mungkin tidak memberikan banyak penawar. Perusahaan sering kali lambat dalam memperbarui VPN mereka, sebagian karena waktu henti berarti karyawan tidak dapat menyelesaikan pekerjaannya secara efektif.

Perangkat lunak dari semua jalur memiliki kerentanan, tetapi karena VPN menurut definisi bertindak sebagai saluran informasi yang dimaksudkan untuk menjadi pribadi, bug mereka memiliki implikasi yang serius.

Lebih banyak kekurangan berarti lebih banyak peluang bagi penyerang. Lebih banyak pengguna pada VPN tertentu juga membuatnya semakin sulit untuk menemukan orang jahat, terutama untuk perusahaan multinasional yang besar.

Selengkapnya: Wired

Supermarket Belanda kehabisan keju setelah serangan ransomware

April 15, 2021 by Winnie the Pooh

Serangan ransomware terhadap pergudangan yang berkondisi dan penyedia transportasi Bakker Logistiek telah menyebabkan kekurangan keju di supermarket Belanda.

Bakker Logistiek adalah salah satu penyedia layanan logistik terbesar di Belanda, menawarkan pergudangan ber-AC dan transportasi makanan untuk supermarket Belanda.

Minggu lalu, Bakker Logistiek mengalami serangan ransomware yang mengenkripsi perangkat di jaringan mereka dan mengganggu transportasi makanan dan operasi pemenuhan.

“Kami tidak bisa lagi menerima pesanan dari pelanggan,” kata direktur Bakker Toon Verhoeven kepada NOS. “Dan di gudang kami, kami tidak lagi tahu di mana produk berada. Ini adalah gudang yang sangat besar, Anda tidak hanya mencari palet. Kami juga tidak dapat merencanakan pengangkutan kami lagi. Kami memiliki ratusan truk, yang tidak bisa dilakukan dengan tangan juga.”

Gangguan ini menyebabkan kekurangan produk makanan tertentu, terutama keju, di jaringan supermarket terbesar di Belanda, Albert Heijn.

Kekurangan ini menyebabkan Albert Heijn memposting pemberitahuan di situs web mereka untuk memberi tahu pelanggan tentang terbatasnya ketersediaan keju kemasan.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attack

Cookies Settings