Cyber Attack

Bahaya Tersembunyi dari Power Automate dan eDiscovery Tools Microsoft 365

February 10, 2021 by Winnie the Pooh

Ketika organisasi semakin merangkul lingkungan cloud hybrid, para aktor siber mengambil keuntungan dengan menggunakan akses istimewa dan aplikasi yang sah untuk melakukan serangan dan melakukan tindakan jahat.

Dengan tenaga kerja yang semakin tersebar dan adopsi cepat aplikasi berbasis cloud untuk mengakomodasi pekerja jarak jauh, Microsoft Office 365, sekarang disebut Microsoft 365, telah menjadi salah satu alat kolaborasi dan produktivitas yang paling kuat dan banyak digunakan di dunia, dengan lebih dari 250 juta pengguna.

Namun, Microsoft 365 terus menjadi salah satu lingkungan yang paling menantang dan kompleks untuk dipantau dan dikontrol, meskipun adopsi otentikasi multifaktor (MFA) dan kontrol keamanan lainnya ditingkatkan.

Power Automate dan eDiscovery Compliance Search, alat aplikasi yang disematkan di Microsoft 365, telah muncul sebagai target berharga bagi penyerang. Studi Vectra mengungkapkan bahwa 71% akun yang dipantau telah memperhatikan aktivitas mencurigakan menggunakan Power Automate, dan 56% akun mengungkapkan perilaku mencurigakan yang serupa menggunakan alat eDiscovery.

Di bawah ini adalah data yang ditampilkan dari waktu ke waktu dan relatif terhadap penerapan total Microsoft 365.

Penggunaan jahat Power Automate baru-baru ini menjadi yang terdepan ketika Microsoft mengumumkan menemukan pelaku ancaman tingkat lanjut dalam organisasi multinasional besar yang menggunakan alat tersebut untuk mengotomatiskan eksfiltrasi data. Insiden ini tidak terdeteksi selama lebih dari 200 hari.

Yang tidak kalah penting adalah eDiscovery Compliance Search, yang merupakan alat penemuan elektronik yang memungkinkan pengguna mencari informasi di semua konten dan aplikasi Microsoft 365 menggunakan satu perintah sederhana. Penyerang dapat menggunakan eDiscovery sebagai alat eksfiltrasi data. Misalnya, pencarian sederhana untuk “kata sandi” akan memunculkan hasil dari Microsoft Outlook, Teams, SharePoint, OneDrive, dan OneNote.

Power Automate dan eDiscovery secara aktif digunakan bersama di seluruh siklus hidup serangan. Setelah pelaku ancaman mendapatkan akses menggunakan Power Automate dan eDiscovery, mereka dapat mengonfigurasi ulang pengaturan email, membahayakan penyimpanan file SharePoint dan OneDrive, serta menyiapkan kemampuan pengintaian dan eksfiltrasi persisten dalam hitungan menit.

Selengkapnya: Dark Reading

NAT Slipstreaming v2.0: Varian Serangan Baru Dapat Memaparkan Semua Perangkat Jaringan Internal ke Internet

January 27, 2021 by Winnie the Pooh

Peneliti Armis Ben Seri dan Gregory Vishnepolsky telah menemukan varian baru untuk teknik bypass NAT yang dikenal sebagai NAT Slipstreaming, dan telah bekerja dengan peneliti keamanan Samy Kamkar (yang awalnya mengungkapkan teknik tersebut pada 31 Oktober 2020) untuk lebih memahami serangan tersebut, dan memitigasi serangan tersebut.

Penemuan baru ini mencakup metode untuk melewati NAT dan firewall untuk menjangkau perangkat apa pun di jaringan internal. Sementara serangan asli sebagian dimitigasi oleh tambalan dari browser, varian baru memperkenalkan teknik primitif tambahan yang melewati mitigasi ini.

Dampak serangan terhadap perangkat yang tidak dikelola dapat menjadi parah, mulai dari gangguan hingga serangan ransomware yang sangat parah.

NATs/firewall tingkat perusahaan dari Fortinet, Cisco, dan HPE dipastikan terpengaruh, sementara yang lain kemungkinan juga terpengaruh.

Kolaborasi tersebut menghasilkan pengungkapan keamanan dengan vendor browser untuk mengurangi serangan tersebut. Google, Apple, Mozilla dan Microsoft telah merilis tambalan untuk Chrome, Safari, Firefox dan Edge, yang memitigasi varian baru ini.

Selama sebulan terakhir, semua browser yang disebutkan di atas telah merilis versi yang berisi mitigasi terhadap serangan ini (Chrome v87.0.4280.141, Firefox v85.0, Safari v14.0.3). Browser Microsoft Edge sekarang juga ditambal, karena bergantung pada kode sumber Chromium. Chromium melacak varian baru melalui CVE-2020-16043, sementara Firefox melacaknya melalui CVE-2021-23961.

Selengkapnya: Armis

Pembuat derek terkemuka Palfinger terkena serangan siber global

January 27, 2021 by Winnie the Pooh

Produsen derek dan pengangkat terkemuka Palfinger menjadi sasaran serangan siber yang sedang berlangsung yang telah mengganggu sistem TI dan operasi bisnis.

Palfinger adalah pembuat solusi derek dan pengangkatan terkemuka yang biasa digunakan untuk konstruksi, serta solusi pengangkatan, pemuatan, dan penanganan darat dan laut.

Palfinger adalah perusahaan Austria dengan lebih dari 11.000 karyawan di 35 lokasi dan menghasilkan pendapatan €1,75 miliar untuk 2019.

Situs Palfinger saat ini menampilkan peringatan yang memperingatkan bahwa perusahaan mengalami serangan siber yang telah menghapus email mereka dan mengganggu operasi bisnis.

Pemberitahuan keamanan berjudul ‘Serangan siber di PALFINGER Group’ juga menyatakan bahwa sistem perencanaan sumber daya Perusahaan (ERP) mereka mati dan bahwa “sebagian besar lokasi grup di seluruh dunia terpengaruh.”

Palfinger juga meminta mitra untuk tidak membuat pesanan pembelian lebih lanjut untuk saat ini.

Tidak diketahui apa yang menyebabkan serangan siber tersebut, tetapi kemungkinan itu adalah serangan ransomware.

Sumber: Bleeping Computer

Bug DNSpooq memungkinkan penyerang membajak DNS di jutaan perangkat

January 21, 2021 by Winnie the Pooh

Perusahaan konsultan keamanan yang berbasis di Israel, JSOF, mengungkapkan tujuh kerentanan Dnsmasq, yang secara kolektif dikenal sebagai DNSpooq, yang dapat dimanfaatkan untuk meluncurkan serangan DNS cache poisoning, eksekusi kode jarak jauh, dan denial-of-service terhadap jutaan perangkat yang terpengaruh.

Jumlah lengkap atau nama semua perusahaan yang menggunakan versi Dnsmasq yang rentan terhadap serangan DNSpooq di perangkat mereka belum diketahui.

Namun, JSOF menyoroti daftar 40 vendor dalam laporan mereka, termasuk Android / Google, Comcast, Cisco, Redhat, Netgear, Qualcomm, Linksys, Netgear, IBM, D-Link, Dell, Huawei, dan Ubiquiti.

Tiga dari kerentanan DNSpooq (dilacak sebagai CVE-2020-25686, CVE-2020-25684, CVE-2020-25685) memungkinkan kedua serangan DNS cache poisoning (juga dikenal sebagai spoofing DNS).

Sisanya adalah kerentanan buffer overflow yang dilacak sebagai CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, dan CVE-2020-25681 yang dapat memungkinkan penyerang mengeksekusi kode dari jarak jauh pada peralatan jaringan yang rentan saat Dnsmasq dikonfigurasi untuk menggunakan DNSSEC.

MITIGASI

Untuk sepenuhnya mengurangi serangan yang mencoba mengeksploitasi kelemahan DNSpooq, JSOF menyarankan untuk memperbarui perangkat lunak Dnsmasq ke versi terbaru (2.83 atau lebih baru).

JSOF juga membagikan daftar solusi (sebagian) bagi mereka yang tidak dapat segera memperbarui Dnsmasq:

Konfigurasikan dnsmasq agar tidak “listen” pada antarmuka WAN jika tidak diperlukan di lingkungan Anda.
Kurangi kueri maksimum yang diizinkan untuk diteruskan dengan option–dns-forward-max=. Standarnya adalah 150, tetapi bisa diturunkan.
Nonaktifkan sementara opsi validasi DNSSEC hingga Anda mendapatkan patch.
Gunakan protokol yang menyediakan keamanan transportasi untuk DNS (seperti DoT atau DoH). Ini akan mengurangi Dnspooq tetapi mungkin memiliki implikasi keamanan dan privasi lainnya. Pertimbangkan pengaturan, sasaran keamanan, dan risiko Anda sendiri sebelum melakukan ini.
Mengurangi ukuran maksimum pesan EDNS kemungkinan akan mengurangi beberapa kerentanan. Ini, bagaimanapun, belum diuji dan bertentangan dengan rekomendasi dari RFC5625 yang relevan.

Sumber: Bleeping Computer

Peringatan phishing: Ini adalah merek yang paling mungkin ditiru oleh penjahat, tetap waspada!

January 15, 2021 by Winnie the Pooh

Peneliti keamanan siber di Check Point menganalisis email phishing yang dikirim selama tiga bulan terakhir dan menemukan bahwa 43% dari semua upaya phishing yang meniru merek mencoba menyamar sebagai pesan dari Microsoft.

Microsoft adalah daya tarik yang populer karena distribusi Office 365 yang luas di antara perusahaan. Dengan mencuri kredensial ini, penjahat berharap mendapatkan akses ke jaringan perusahaan.

Merek kedua yang paling sering ditiru selama periode analisis Check Point adalah DHL, dengan serangan yang meniru penyedia logistik terhitung 18% dari semua upaya phishing. DHL telah menjadi umpan phishing yang populer bagi para penjahat karena banyak orang sekarang terjebak di rumah karena pembatasan COVID-19 dan menerima lebih banyak paket – sehingga orang lebih cenderung lengah ketika melihat pesan yang mengaku dari perusahaan pengiriman.

Merek lain yang biasanya ditiru dalam email phishing termasuk LinkedIn, Amazon, Google, PayPal, dan Yahoo. Mengompromikan salah satu akun ini dapat memberi penjahat siber akses ke informasi pribadi yang sensitif yang dapat mereka eksploitasi.

“Penjahat meningkatkan upaya mereka pada Q4 2020 untuk mencuri data pribadi orang-orang dengan meniru merek terkemuka, dan data kami dengan jelas menunjukkan bagaimana mereka mengubah taktik phishing untuk meningkatkan peluang sukses mereka,” kata Maya Horowitz, direktur intelijen dan penelitian ancaman di Check Titik.

“Seperti biasa, kami mendorong pengguna untuk berhati-hati saat memberikan data pribadi dan kredensial ke aplikasi bisnis, dan berpikir dua kali sebelum membuka lampiran atau tautan email, terutama email yang mengklaim dari perusahaan, seperti Microsoft atau Google, yang kemungkinan besar akan ditiru,” tambahnya.

Sumber: ZDNet

FBI Memperingatkan Sekolah untuk Bersiap akan adanya Lebih Banyak Serangan Siber

January 6, 2021 by Winnie the Pooh

FBI dan Cybersecurity and Infrastructure Security Agency (CISA) baru-baru ini memperingatkan bahwa serangan ransomware pada entitas K-12 telah meningkat secara dramatis selama paruh kedua tahun 2020 dan serangan ini serta serangan siber lainnya kemungkinan akan berlanjut selama tahun depan.

Pada tahun 2020, banyak peretas menargetkan sekolah dengan menyebarkan ransomware ke seluruh distrik secara nasional, menyebabkan seringnya pembatalan kelas, dan melakukan zoombombing pada setiap ruang kelas virtual yang bisa mereka dapatkan.

Menurut FBI, semua hal ini kemungkinan akan berlanjut pada level buruk saat ini dan berpotensi menjadi lebih buruk pada tahun 2021.

Minggu ini, saat siswa kembali dari liburan ke ruang kelas virtual mereka, pejabat FBI menegaskan kembali perlunya melindungi lembaga pendidikan Amerika yang rentan dengan lebih baik.

Menurut agen federal, peretas kemungkinan akan terus memanfaatkan berbagai macam serangan, mulai dari serangan Denial of Service hingga ransomware hingga gangguan melalui third-party ed-tech, seperti ruang pembelajaran online seperti Google Classroom. Karena sekolah pada umumnya adalah tempat di mana kesadaran akan risiko rendah dan pendanaan keamanan siber minimal, para penjahat cenderung memandangnya sebagai target yang menarik, kata para pejabat.

Sumber: Gizmodo

Ryuk ransomware adalah ancaman utama bagi sektor kesehatan

January 6, 2021 by Winnie the Pooh

Organisasi perawatan kesehatan terus menjadi target utama untuk semua jenis serangan siber, dengan insiden ransomware, Ryuk khususnya, menjadi lebih umum.

Dalam laporan bersama pada akhir Oktober, Cybersecurity and Infrastructure Security Agency (CISA) AS, Biro Investigasi Federal (FBI), dan Departemen Kesehatan dan Layanan Kemanusiaan (HHS) memperingatkan ancaman kejahatan siber yang akan segera terjadi ke rumah sakit dan penyedia layanan kesehatan.

Ini bertujuan untuk mempersiapkan organisasi menghadapi serangan ransomware Ryuk dan Conti dengan menyediakan taktik, teknik, dan prosedur (TTP) khusus untuk insiden dengan jenis malware ini.

Menurut Check Point, ancaman ransomware utama yang digunakan dalam serangan terhadap entitas kesehatan adalah Ryuk diikuti oleh REvil (Sodinokibi).

Sesuai data yang dikumpulkan oleh Check Point, sebagian besar serangan siber selama dua bulan terakhir yang menghantam organisasi perawatan kesehatan di Eropa Tengah, melonjak hingga hampir 150% pada November.

Dengan jumlah infeksi COVID-19 yang terus meningkat, serangan siber cenderung terus menghantam organisasi perawatan kesehatan. Menjaga sistem tetap diperbarui dengan tambalan terbaru, kebersihan siber yang baik, memantau jaringan untuk akses yang tidak sah, dan mendidik karyawan untuk mengenali upaya phishing adalah cara yang baik untuk melindungi dari serangan dari sebagian besar pelaku ancaman.

Sumber: Bleeping Computer

Whirlpool raksasa peralatan rumah tangga terkena serangan ransomware Nefilim

December 30, 2020 by Winnie the Pooh

Whirlpool raksasa peralatan rumah tangga mengalami serangan ransomware oleh geng ransomware Nefilim yang mencuri data sebelum mengenkripsi perangkat.

Whirlpool adalah salah satu pembuat aplikasi rumah terbesar di dunia dengan peralatan di bawah namanya dan KitchenAid, Maytag, Brastemp, Consul, Hotpoint, Indesit, dan Bauknecht. Whirlpool mempekerjakan 77.000 orang di 59 pusat penelitian manufaktur & teknologi di seluruh dunia dan menghasilkan pendapatan sekitar $20 miliar untuk tahun 2019.

Selama akhir pekan, geng ransomware Nefilim menerbitkan file yang dicuri dari Whirlpool selama serangan ransomware. Data yang bocor termasuk dokumen terkait tunjangan karyawan, permintaan akomodasi, permintaan informasi medis, pemeriksaan latar belakang, dan banyak lagi.

Sebuah sumber di industri keamanan siber mengatakan kepada BleepingComputer bahwa geng ransomware Nefilim menyerang Whirlpool pada akhir pekan pertama bulan Desember.

Nefilim bukanlah operasi ransomware yang sangat aktif tetapi dikenal karena serangan terhadap korban besar dan terkenal lainnya di masa lalu. Korban lain yang diserang oleh Nefilim termasuk Orange S.A., Dussman Group, Luxottica, dan Toll Group.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attack

MITIGASI

Cookies Settings