Cyber Attack

CISA: Peretasan besar pemerintah AS tidak hanya menggunakan backdoor SolarWinds

December 18, 2020 by Mally

Badan Keamanan Siber dan Infrastruktur AS (CISA) mengatakan bahwa kelompok APT di balik kampanye peretasan baru-baru ini yang menargetkan lembaga pemerintah AS menggunakan lebih dari satu vektor akses awal.

“CISA memiliki bukti vektor akses awal tambahan, selain dari platform SolarWinds Orion; namun, ini masih diselidiki. CISA akan memperbarui Peringatan ini saat informasi baru tersedia,” kata organisasi tersebut.

“Tidak semua organisasi yang memiliki backdoor yang dikirimkan melalui SolarWinds Orion telah menjadi sasaran musuh dengan tindakan lanjutan.”

Grup APT, yang dicurigai sebagai APT29 yang disponsori negara Rusia (alias Cozy Bear and The Dukes), hadir di jaringan organisasi yang dikompromikan untuk jangka waktu yang lama menurut CISA.

Selain itu, CISA mengatakan bahwa sangat mungkin aktor ancaman di balik kampanye peretasan terkoordinasi ini menggunakan taktik, teknik, dan prosedur (TTP) lain yang belum ditemukan sebagai bagian dari investigasi yang sedang berlangsung.

Badan ini juga sedang menyelidiki insiden di mana mereka menemukan TTP konsisten dengan aktivitas berbahaya yang sedang berlangsung ini, “termasuk beberapa di mana korban tidak memanfaatkan SolarWinds Orion atau di mana SolarWinds Orion hadir tetapi tidak ada aktivitas eksploitasi SolarWinds yang diamati.”

Detail teknis tambahan termasuk info tentang vektor infeksi awal, taktik, teknik, dan prosedur (TTP) yang digunakan dalam kampanye ini, langkah-langkah mitigasi, dan indikator gangguan tersedia dalam peringatan AA20-352A CISA.

Sumber: Bleeping Computer

Raksasa elektronik Foxconn terkena ransomware, tebusan $34 juta

December 15, 2020 by Mally

Raksasa elektronik Foxconn mengalami serangan ransomware di fasilitas Meksiko selama akhir pekan Thanksgiving, di mana penyerang mencuri file yang tidak dienkripsi sebelum mengenkripsi perangkat.

Foxconn adalah perusahaan manufaktur elektronik terbesar di dunia, dengan pendapatan tercatat $172 miliar pada 2019 dan lebih dari 800.000 karyawan di seluruh dunia. Anak perusahaan Foxconn termasuk Sharp Corporation, Innolux, FIH Mobile, dan Belkin.

Operator ransomware DoppelPaymer menerbitkan file milik Foxconn NA di situs kebocoran data ransomware mereka. Data yang bocor termasuk dokumen dan laporan bisnis umum tetapi tidak berisi informasi keuangan atau detail pribadi karyawan.

Sejak serangan itu, situs web fasilitas tersebut tidak dapat diakses dan saat ini menunjukkan kesalahan kepada pengunjung.

Beberapa sumber juga telah membagikan catatan tebusan yang dibuat di server Foxconn selama serangan ransomware, seperti yang dapat dilihat di bawah.

Dalam sebuah wawancara dengan DoppelPaymer, geng ransomware mengkonfirmasi bahwa mereka menyerang fasilitas Foxconn di Amerika Utara pada tanggal 29 November tetapi tidak menyerang seluruh perusahaan.

Sebagai bagian dari serangan ini, pelaku ancaman mengklaim telah mengenkripsi sekitar 1.200 server, mencuri 100 GB file tidak terenkripsi, dan menghapus cadangan 20-30 TB.

Dalam sebuah pernyataan kepada BleepingComputer, Foxconn mengkonfirmasi serangan itu dan mengatakan mereka perlahan-lahan mengembalikan sistem mereka.

Sumber: Bleeping Computer

Ransomware: Varian baru ini bisa menjadi ancaman malware besar berikutnya bagi bisnis Anda

November 27, 2020 by Mally

Bentuk baru ransomware menjadi semakin produktif karena penjahat dunia maya menggunakannya sebagai cara yang disukai untuk mengenkripsi jaringan yang rentan dalam upaya mengeksploitasi bitcoin dari para korban. Egregor ransomware pertama kali muncul pada bulan September tetapi telah menjadi terkenal setelah beberapa insiden terkenal, termasuk serangan terhadap penjual buku Barnes & Noble, serta perusahaan video game Ubisoft dan Crytek.

Seperti semua geng ransomware, motif utama di balik Egregor adalah uang dan untuk mendapatkan kesempatan terbaik untuk memeras pembayaran, geng tersebut menggunakan taktik umum yang umum terjadi setelah serangan ransomware – mengancam untuk merilis informasi pribadi yang dicuri dari sekian korban jika mereka tidak membayar. Dalam beberapa kasus, penyerang akan merilis potongan informasi dengan catatan tebusan, sebagai bukti kesungguhan mereka.

Salah satu alasan Egregor tiba-tiba melonjak jumlahnya tampaknya karena itu mengisi celah yang dibiarkan terbuka oleh pengunduran diri geng ransomware Maze. Egregor ransomware masih baru, jadi belum sepenuhnya jelas bagaimana operatornya menyusupi jaringan korban. Para peneliti mencatat bahwa kode tersebut sangat dikaburkan dengan cara yang tampaknya dirancang secara khusus untuk menghindari tim keamanan informasi dapat menganalisis malware.

Organisasi dapat melindungi diri mereka sendiri dari ransomware Egregor dan serangan malware lainnya dengan menggunakan protokol keamanan informasi seperti otentikasi multi-faktor, jadi jika nama pengguna dan kata sandi disusupi oleh penyerang, ada penghalang tambahan yang mencegah mereka untuk mengeksploitasinya. Dan untuk lapisan perlindungan ekstra terhadap serangan ransomware, organisasi harus secara teratur membuat cadangan jaringan mereka dan menyimpannya secara offline, jadi jika yang terburuk terjadi dan jaringan dienkripsi, itu dapat dipulihkan secara relatif tanpa menyerah pada tuntutan pemerasan dari peretas.

sumber : ZDNET

Peretasan besar-besaran yang didanai negara China menghantam perusahaan di seluruh dunia, menurut laporan

November 21, 2020 by Mally

Peneliti telah menemukan kampanye peretasan besar-besaran yang menggunakan alat dan teknik canggih untuk menyusupi jaringan perusahaan di seluruh dunia. Para peretas, kemungkinan besar dari kelompok terkenal yang didanai oleh pemerintah China, dilengkapi dengan alat siap pakai dan alat yang dibuat khusus. Salah satu alat tersebut mengeksploitasi Zerologon, nama yang diberikan untuk kerentanan server Windows, yang ditambal pada bulan Agustus, yang dapat memberi penyerang hak istimewa administrator instan pada sistem yang rentan.

Symantec menggunakan nama kode Cicada untuk grup tersebut, yang diyakini secara luas didanai oleh pemerintah China dan juga membawa nama APT10, Stone Panda, dan Cloud Hopper dari organisasi penelitian lain. Grup, yang tidak memiliki hubungan atau afiliasi dengan perusahaan mana pun yang menggunakan nama Cicada, telah aktif dalam peretasan bergaya spionase setidaknya sejak 2009 dan hampir secara eksklusif menargetkan perusahaan yang terkait dengan Jepang. Meskipun perusahaan yang ditargetkan dalam kampanye baru-baru ini berlokasi di Amerika Serikat dan negara lain, semuanya memiliki hubungan dengan Jepang atau perusahaan Jepang.

Symantec menghubungkan serangan tersebut ke Cicada berdasarkan sidik jari digital yang ditemukan di malware dan kode serangan. Sidik jari termasuk obfuscation techniques dan kode shell yang terlibat dalam pemuatan samping DLL serta ciri-ciri berikut yang dicatat dalam laporan tahun 2019 ini dari perusahaan keamanan Cylance:
1. DLL tahap ketiga memiliki ekspor bernama “FuckYouAnti”
2. DLL tahap ketiga menggunakan teknik CppHostCLR untuk menginjeksi dan menjalankan rakitan loader .NET
3. .NET Loader dikaburkan dengan ConfuserEx v1.0.0
4. Muatan terakhir adalah QuasarRAT — backdoor open source yang digunakan oleh Cicada di masa lalu

sumber : Arstechnica

Hacker membagikan 3,2 Juta akun Pluto TV di Forum

November 16, 2020 by Mally

Pluto TV, layanan televisi Internet yang menyiarkan streaming acara TV gratis dengan iklan dengan lebih dari 28 juta anggota, dan aplikasi selulernya telah diinstal lebih dari 10 juta kali, telah mengalami kebocoran data pada minggu lalu.

Dipublish oleh ShinyHuynter, akun peretas yang bertanggung jawab pada banyak insiden databreach, seperti Github private repositroy, Animal Jam, 123RF, Geekie, Athletico, Wongnai, Redmart, dan lainnya.

Contoh database yang dibagikan berisi nama tampilan anggota, alamat email, kata sandi hash bcrypt, tanggal lahir, platform perangkat, dan alamat IP yang berasalah dari tahun 2018.

Pluto TV belum memberikan konfirmasi terkait insiden ini, namun Pengguna Pluto TV dihimbau untuk segera mengganti password.

Source : BleepingComputer

Manufaktur menjadi target utama serangan ransomware

November 15, 2020 by Mally

Ransomware telah menjadi ancaman utama bagi industri manufaktur karena kelompok penjahat dunia maya semakin tertarik untuk menargetkan sistem kontrol industri (ICS) yang mengelola operasi. Menurut analisis para peneliti keamanan siber di perusahaan keamanan Dragos, jumlah serangan ransomware yang tercatat secara publik terhadap manufaktur telah meningkat tiga kali lipat pada tahun lalu saja.

Sementara banyak manufaktur bergantung pada TI tradisional, beberapa elemen manufaktur bergantung pada ICS saat memproduksi produk secara massal – dan itu adalah area yang secara aktif ingin ditargetkan oleh beberapa grup peretasan.

Untuk penjahat dunia maya, manufaktur membuat target yang sangat strategis karena dalam banyak kasus ini adalah operasi yang tidak dapat dihentikan untuk jangka waktu yang lama, sehingga mereka lebih cenderung untuk menyerah pada tuntutan penyerang dan membayar ratusan ribu dolar dalam bitcoin sebagai imbalan untuk mendapatkan jaringan kembali.

sumber : ZDNET

Bagaimana operator Ryuk Ransomware menghasilkan $34 juta dari satu korban

November 9, 2020 by Mally

Satu kelompok peretas yang menargetkan perusahaan berpenghasilan tinggi dengan ransomware Ryuk menerima $34 juta dari satu korban dengan imbalan kunci dekripsi yang membuka kunci komputer mereka.

Aktor ancaman sangat mahir bergerak secara lateral di dalam jaringan yang dikompromikan dan menghapus sebanyak mungkin jejak mereka sebelum meledakkan ransomware Ryuk.

Disebut sebagai grup “satu”, sesuai dengan identifikasi yang diterima dari botnet Trickbot yang memfasilitasi intrusi jaringan untuk malware pengenkripsi file Ryuk, pelaku ancaman ini tidak bermoral dalam hal target.

Menurut Vitali Kremez dari Advanced Intelligence, korban dari kelompok “satu” Ryuk termasuk perusahaan di bidang teknologi, perawatan kesehatan, energi, layanan keuangan, dan sektor pemerintah.

Dalam sebuah terbaru, Kremez mengatakan bahwa aktor ancaman berbahasa Rusia ini tangguh selama negosiasi dan jarang menunjukkan kelonggaran apapun. Pembayaran terkonfirmasi terbesar yang mereka dapatkan adalah 2.200 bitcoin, yang saat ini mendekati $34 juta.

Menganalisis aliran serangan, Kremez mencatat bahwa kelompok “satu” Ryuk menggunakan 15 langkah untuk menemukan host yang tersedia di jaringan, mencuri kredensial tingkat admin, dan menyebarkan ransomware Ryuk.

Rantai serangan dimulai dengan menjalankan perintah “invoke” Cobalt Strike untuk menjalankan skrip “DACheck.ps1” untuk memeriksa apakah pengguna saat ini adalah bagian dari grup Admin Domain.

Dari sana, sandi diambil melalui Mimikatz, jaringan dipetakan, dan host diidentifikasi mengikuti pemindaian port untuk protokol FTP, SSH, SMB, RDP, dan VNC.

Kremez merinci langkah lengkap serangan itu pada tautan di bawah ini:

Bleeping Computer

Garda Nasional untuk Membantu Jaringan Kesehatan Vermont Setelah Serangan Cyber

November 8, 2020 by Mally

Gubernur Vermont telah memanggil Garda Nasional untuk membantu Jaringan Kesehatan Universitas Vermont menanggapi serangan dunia maya yang serius. Enam rumah sakit di Jaringan Kesehatan UVM mengalami masalah jaringan yang signifikan menyusul serangan yang melanda sepekan dari tanggal 25 Oktober.
Dampak serangan terhadap layanan bervariasi di berbagai organisasi afiliasi jaringan. Pemadaman listrik di sejumlah sistem sedang dialami di University of Vermont Medical Center di Burlington, di mana beberapa prosedur elektif yang tidak mendesak telah dijadwalkan ulang. Staf tidak dapat mengakses jadwal janji temu dan beberapa atau semua informasi pasien. Studi tidur telah dibatalkan dan pemindaian radiologi rawat jalan ditunda.

Di Vermont, pasien yang mengunjungi Medical Center Porter di Middlebury atau Medical Center Central Vermont di Berlin telah diperingatkan untuk mengharapkan waktu tunggu yang lebih lama. Selain itu, komunikasi elektronik antara Home Health & Hospice di Colchester dan Medical Center UVM telah terganggu oleh pemadaman listrik.
Di New York, portal pasien rumah sakit untuk Medical Center Alice Hyde di Malone saat ini terputus dan komunikasi elektronik antara Medical Center UVM dan Rumah Sakit Komunitas Elizabethtown terputus.

Kemarin, Gubernur Vermont Phil Scott mengerahkan Tim Respons Maya Gabungan Garda Nasional Vermont untuk membantu tim TI Jaringan Kesehatan UVM dalam meninjau ribuan komputer dan perangkat pengguna akhir. Sementara “kemajuan yang stabil” sedang dilakukan untuk pemulihan total, Jaringan Kesehatan UVM tidak dapat mengatakan dengan pasti kapan semua sistem akan dipulihkan. Data pasien tampaknya tidak terungkap oleh insiden keamanan.

sumber : Infosecurity Magazine

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attack

Cookies Settings