Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cyber Attack

Cyber Attack

Peretas membocorkan file yang dicuri dalam serangan ransomware K-Electric Pakistan

by

Minggu ini, Netwalker telah merilis arsip file berukuran 8,5 GB yang diduga dicuri dari K-Electric selama serangan ransomware pada September lalu.

Perusahaan keamanan siber Pakistan, Rewterz, yang memeriksa isi arsip, mengatakan kepada BleepingComputer bahwa arsip itu berisi informasi sensitif seperti data keuangan, informasi pelanggan, laporan teknik, catatan pemeliharaan, dan banyak lagi.
Data yang dibocorkan
Data ini mencakup laporan laba rugi yang tidak diaudit, diagram teknik untuk turbin, dan gambar pernyataan pelanggan yang ditandai dari K-Electric.

Daata Pelanggan K-Electric

Dengan beragam informasi yang diungkapkan sebagai bagian dari serangan ini, pelanggan harus berhati-hati bahwa informasi pribadi mereka mungkin telah tersebar.
Penting juga bagi K-Electric untuk bersikap transparan tentang info yang dibuka sehingga karyawan dan pelanggan dapat melindungi diri mereka sendiri dengan memadai.
BleepingComputer telah menghubungi K-Electric untuk pernyataan lebih lanjut namun belum menerima balasan.

Source : Bleeping Computer

Phishing menggunakan OAuth meningkat dengan Serangan Microsoft Office 365

by

APT yang dikenal sebagai TA2552 telah terlihat menggunakan OAuth2 atau metode otorisasi berbasis token lainnya untuk mengakses akun Office 365, dengan tujuan mencuri kontak dan email pengguna.

OAuth adalah standar terbuka untuk delegasi akses, biasanya digunakan sebagai cara bagi orang untuk masuk ke layanan tanpa memasukkan sandi – menggunakan status masuk di layanan atau situs web tepercaya lainnya. Contohnya seperti “Sign in with Google” atau “Sign in with Facebook”.

Menurut peneliti dari Proofpoint, target menerima umpan yang dibuat dengan baik yang meminta mereka untuk mengklik tautan yang membawa mereka ke halaman persetujuan aplikasi pihak ketiga Microsoft yang sah.

Di sana, mereka diminta untuk memberikan izin hanya-baca ke aplikasi pihak ketiga (berbahaya) yang menyamar sebagai aplikasi organisasi nyata.

Aplikasi berbahaya meminta akses hanya baca ke kontak, profil, dan email pengguna – semuanya dapat digunakan untuk mengintip akun, diam-diam mencuri data, atau bahkan mencegat pesan reset password dari akun lain, seperti perbankan online.

Peneliti Proofpoint menambahkan bahwa pengguna harus mengetahui izin yang diminta ini, dan semua aplikasi pihak ketiga lainnya.

Jika persetujuan diberikan, aplikasi pihak ketiga akan diizinkan untuk mengakses akun Office 365 yang saat ini diautentikasi. Jika persetujuan ditolak, browser akan dialihkan ke halaman yang dikendalikan penyerang, memberikan aktor kesempatan untuk mencoba lagi dengan taktik yang berbeda.

Proofpoint menambahkan bahwa meskipun pesan bertema pajak dan pemerintah Meksiko adalah target spoofing normal untuk kampanye tersebut, peneliti juga mengamati iming-iming dan aplikasi yang meniru Netflix Mexico dan Amazon Prime Mexico.

Pengguna dapat melindungi diri mereka dengan memastikan bahwa aplikasi apa pun yang mereka masuki benar-benar sah. Mereka juga dapat menerapkan strategi kesadaran phishing dasar, seperti mencari ejaan dan tata bahasa yang buruk pada email. Selain itu, nama aplikasi dan URL domain dapat memberikan tanda bahaya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Blackbaud: Geng ransomware yang memiliki akses ke info perbankan dan kata sandi

by

Blackbaud, penyedia software cloud terkemuka, mengonfirmasikan bahwa pelaku ancaman di balik serangan ransomware Mei 2020 memiliki akses ke informasi login dan perbankan yang tidak terenkripsi, serta nomor jaminan sosial.

Insiden keamanan yang dirujuk Blackbaud diungkapkan dalam siaran pers yang dikeluarkan pada 16 Juli 2020, ketika perusahaan mengatakan bahwa para penyerang diblokir sebelum sistem dienkripsi sepenuhnya tetapi tidak sebelum mereka dapat mencuri “salinan subset data” dari lingkungan self-hosted (cloud pribadi).

Sementara Blackbaud awalnya mengatakan bahwa geng ransomware di balik serangan itu tidak dapat “mengakses informasi kartu kredit, informasi rekening bank, atau nomor jaminan sosial,” kemudian ditemukan setelah penyelidikan forensik bahwa pelaku ancaman memiliki akses ke info perbankan yang tidak terenkripsi, kredensial dan SSN.

“Setelah 16 Juli, penyelidikan forensik lebih lanjut menemukan bahwa untuk beberapa pelanggan yang diberitahu, penjahat siber mungkin telah mengakses beberapa bidang tidak terenkripsi yang dimaksudkan untuk informasi rekening bank, nomor jaminan sosial, nama pengguna dan / atau kata sandi,” kata Blackbaud.

“Pelanggan yang kami yakini menggunakan bidang ini untuk informasi semacam itu akan dihubungi minggu tanggal 27 September 2020, dan sedang diberikan dukungan tambahan.”

Tergantung pada geng ransomware yang mencuri data Blackbaud, kesediaannya untuk benar-benar menghancurkannya, dan apa yang akan dilakukannya dengan data tersebut jika tidak benar-benar dihancurkan seperti yang dijanjikan, pelanggan perusahaan mungkin menghadapi berbagai macam risiko keamanan mengingat sifat informasi yang bocor sangat sensitif.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Korea Utara telah mencoba meretas 11 pejabat Dewan Keamanan PBB

by

Sebuah kelompok peretas yang sebelumnya terkait dengan rezim Korea Utara telah terlihat meluncurkan serangan spear-phishing untuk membahayakan pejabat bagian dari Dewan Keamanan Perserikatan Bangsa-Bangsa.

Serangan tersebut, yang diungkapkan dalam laporan PBB bulan lalu, telah terjadi tahun ini dan menargetkan setidaknya 28 pejabat PBB, termasuk setidaknya 11 individu yang mewakili enam negara Dewan Keamanan PBB.

Serangan tersebut dikaitkan dengan kelompok peretas Korea Utara yang dikenal di komunitas keamanan siber dengan nama sandi Kimsuky.

Operasi Kimsuky berlangsung sepanjang Maret dan April tahun ini dan terdiri dari serangkaian kampanye spear-phishing yang ditujukan ke akun Gmail pejabat PBB.

Email tersebut dirancang agar terlihat seperti peringatan keamanan PBB atau permintaan wawancara dari wartawan, keduanya dirancang untuk meyakinkan pejabat agar mengakses halaman phishing atau menjalankan file malware di sistem mereka.

Namun serangan ini tidak berhenti pada bulan April, seperti yang dinyatakan dalam laporan PBB terbaru tentang Korea Utara, dan kelompok Kimsuky terus menargetkan PBB, sebagai bagian dari upaya yang lebih luas untuk memata-matai pengambilan keputusan PBB sehubungan dengan urusan Korea Utara dan kemungkinan rencana untuk menjatuhkan sanksi baru.

Analis PwC, yang ahli dalam operasi Kimsuky, mengatakan sebagian besar operasi grup adalah serangan spear-phishing yang bertujuan untuk mendapatkan kredensial korban untuk berbagai akun online. Operasi spear-phishing lainnya juga bertujuan agar para korban terinfeksi malware.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Kampanye worm phishing ini mengubah permainan dalam pencurian kata sandi dan pengambilalihan akun

by

Pada tanggal 29 September, arsitek keamanan siber dan pemburu bug bounty Craig Hays menguraikan upaya phishing baru-baru ini yang jauh melampaui taktik spray-dan-pray biasa dan upaya dasar untuk menyusupi jaringan, untuk menjadi “pencuri sandi terbesar yang pernah dilihatnya”.

“Kami dapat melihat bahwa semua akun sedang diakses dari lokasi asing di seluruh dunia dan mengirimkan sejumlah besar email,” kata Hays. “Untuk begitu banyak akun yang terkena serangan sekaligus, itu adalah serangan phishing yang benar-benar efektif, atau seseorang telah menunggu waktu mereka setelah mencuri kredensial dalam waktu yang lama.”

“Email phishing dikirim sebagai balasan ke email asli,” jelas peneliti. “Email dipertukarkan antar karyawan dan pemasok kami, pelanggan kami, dan bahkan secara internal antar rekan kerja.”

Beginilah cara kerjanya: setelah satu akun email disusupi, kredensial untuk akun tersebut dikirim ke bot jarak jauh. Bot kemudian akan masuk ke akun dan menganalisis email yang dikirim dalam beberapa hari terakhir.

“Untuk setiap rantai email unik yang ditemukan, mereka membalas email terbaru dengan link ke halaman phishing untuk mendapatkan kredensial,” kata Hays. “Kata-katanya cukup umum untuk menyusaikan hampir semua skenario dan tautan ke ‘dokumen’ tidak terlihat aneh.”

Dikirim sebagai balasan ke semua, menggunakan akun email yang sah, dan mengingat riwayat percakapan, sulit untuk mencoba membedakan bot dan pemilik akun asli.

Teknik tersebut, yang menghasilkan pengambilalihan masal seperti worm, membuat Hays “kagum” dengan “jumlah akun fenomenal [yang] disusupi dalam beberapa jam.”

Email phishing juga dikirim ke orang lain di luar organisasi.

Otentikasi multi-faktor lalu dengan cepat diimplementasikan untuk akun email yang tidak mengaktifkan lapisan keamanan tambahan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Serangan DDoS semakin kuat karena penyerang mengubah taktik

by

Ada lonjakan serangan Distributed Denial of Service (DDoS) sepanjang tahun ini, dan serangan tersebut semakin kuat dan mengganggu.

Serangan DDoS diluncurkan terhadap situs web atau layanan web dengan tujuan mengganggu mereka sampai mematikan layanannya. Penyerang mengarahkan lalu lintas dari pasukan botnet yang terdiri dari ratusan ribu PC, server, dan perangkat lain yang terhubung ke internet yang telah mereka kendalikan melalui malware menuju target, dengan tujuan untuk membuatnya kewalahan.

Sebuah serangan dapat berlangsung hanya beberapa detik, atau jam atau hari dan mencegah pengguna yang sah mengakses layanan online.

Sebuah laporan intelijen ancaman baru oleh perusahaan keamanan siber Netscout menunjukkan bahwa penjahat siber telah meluncurkan lebih banyak serangan DDoS daripada sebelumnya karena adanya pandemi coronavirus ini. Perusahaan mengatakan telah mengamati 4,83 juta serangan DDoS pada paruh pertama tahun 2020, naik 15% dibandingkan dengan 2019.

Kabar buruknya adalah bahwa serangan DDoS juga semakin besar, dengan potensi serangan terkuat naik 2.851% sejak 2017 – memberi penyerang kemampuan untuk melumpuhkan jaringan jauh lebih cepat daripada sebelumnya.

Alasan serangan DDoS semakin kuat adalah karena serangan itu semakin kompleks, menggunakan berbagai jenis perangkat dan menargetkan berbagai bagian jaringan korban.

Salah satu elemen yang membantu serangan siber di balik botnet untuk serangan DDoS adalah banyak kode sumbernya tersedia secara gratis. Kasus paling terkenal dari ini adalah Mirai botnet, yang menyerang banyak layanan online pada akhir 2016. Kode sumber untuk Mirai dipublikasikan secara online dan telah berfungsi sebagai tulang punggung yang populer untuk membangun botnet sejak saat itu.

Meningkatnya jumlah perangkat yang terhubung juga berfungsi untuk meningkatkan potensi kekuatan botnet; tidak hanya penyerang dapat mengendalikan PC dan server yang tidak aman sebagai bagian dari serangan, tetapi peningkatan perangkat Internet of Things (IoT) – yang terhubung ke internet dan seringkali memiliki protokol keamanan minim atau tanpa protokol keamanan samasekali – dapat digunakan untuk memperkuat serangan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Ransomware dilaporkan menjadi penyebab pemadaman di jaringan rumah sakit AS

by

Universal Health Services, salah satu penyedia layanan kesehatan terbesar di AS, telah terkena serangan ransomware.

Serangan itu menghantam sistem UHS pada Minggu pagi, menurut dua orang yang mengetahui langsung insiden itu. Serangan itu mengunci komputer dan sistem telepon di beberapa fasilitas UHS di seluruh negeri, termasuk di California dan Florida.

Salah satu orang mengatakan layar komputer berubah dengan teks yang merujuk pada “shadow universe”, ciri khas ransomware Ryuk. “Setiap orang diberitahu untuk mematikan semua komputer dan tidak menyalakannya lagi,” kata orang itu. “Kami diberi tahu bahwa akan membutuhkan beberapa hari sebelum komputer menyala lagi.”

UHS menerbitkan pernyataan pada hari Senin, mengatakan jaringan TI-nya “saat ini sedang offline, karena masalah keamanan TI.”

“Kami menerapkan protokol keamanan TI yang ekstensif dan bekerja dengan rajin dengan mitra keamanan TI kami untuk memulihkan operasi TI secepat mungkin. Sementara itu, fasilitas kami menggunakan proses pencadangan yang sudah mapan termasuk metode dokumentasi offline. Perawatan pasien terus diberikan dengan aman dan efektif, ”kata pernyataan itu.

“Tidak ada data pasien atau karyawan yang tampaknya telah diakses, disalin, atau disusupi,” tambahnya.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Tech Crunch

Microsoft mendeteksi kerentanan Zerologon telah terdeteksi dieksploitasi secara aktif

by

Peretas secara aktif mengeksploitasi kerentanan Zerologon dalam serangan dunia nyata, kata tim intelijen keamanan Microsoft.

“Microsoft secara aktif melacak aktivitas aktor ancaman menggunakan eksploitasi untuk kerentanan CVE-2020-1472 Netlogon EoP, yang dijuluki Zerologon. Kami telah mengamati serangan di mana eksploitasi publik telah dimasukkan ke dalam buku pedoman penyerang,” tulis perusahaan tersebut dalam akun twitter mereka.

Serangan itu diperkirakan akan terjadi, menurut pakar industri keamanan.

Beberapa versi kode eksploitasi weaponized proof-of-concept telah diterbitkan secara online dalam bentuk yang dapat diunduh secara bebas sejak detail tentang kerentanan Zerologon diungkapkan pada 14 September oleh perusahaan keamanan Belanda Secura BV.

Meskipun Microsoft belum merilis rincian tentang serangan tersebut, namun mereka merilis file hash untuk eksploitasi yang digunakan dalam serangan tersebut.

Seperti yang direkomendasikan oleh beberapa pakar keamanan sejak Microsoft mengungkapkan serangan tersebut, perusahaan yang pengontrol domainnya terekspos di internet harus membuat sistem offline untuk menambalnya.

Server yang dapat dijangkau internet ini sangat rentan karena serangan dapat dipasang secara langsung, tanpa peretas terlebih dahulu membutuhkan pijakan pada sistem internal.

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet