Cyber Attack

NAT Slipstreaming v2.0: Varian Serangan Baru Dapat Memaparkan Semua Perangkat Jaringan Internal ke Internet

January 27, 2021 by Winnie the Pooh

Peneliti Armis Ben Seri dan Gregory Vishnepolsky telah menemukan varian baru untuk teknik bypass NAT yang dikenal sebagai NAT Slipstreaming, dan telah bekerja dengan peneliti keamanan Samy Kamkar (yang awalnya mengungkapkan teknik tersebut pada 31 Oktober 2020) untuk lebih memahami serangan tersebut, dan memitigasi serangan tersebut.

Penemuan baru ini mencakup metode untuk melewati NAT dan firewall untuk menjangkau perangkat apa pun di jaringan internal. Sementara serangan asli sebagian dimitigasi oleh tambalan dari browser, varian baru memperkenalkan teknik primitif tambahan yang melewati mitigasi ini.

Dampak serangan terhadap perangkat yang tidak dikelola dapat menjadi parah, mulai dari gangguan hingga serangan ransomware yang sangat parah.

NATs/firewall tingkat perusahaan dari Fortinet, Cisco, dan HPE dipastikan terpengaruh, sementara yang lain kemungkinan juga terpengaruh.

Kolaborasi tersebut menghasilkan pengungkapan keamanan dengan vendor browser untuk mengurangi serangan tersebut. Google, Apple, Mozilla dan Microsoft telah merilis tambalan untuk Chrome, Safari, Firefox dan Edge, yang memitigasi varian baru ini.

Selama sebulan terakhir, semua browser yang disebutkan di atas telah merilis versi yang berisi mitigasi terhadap serangan ini (Chrome v87.0.4280.141, Firefox v85.0, Safari v14.0.3). Browser Microsoft Edge sekarang juga ditambal, karena bergantung pada kode sumber Chromium. Chromium melacak varian baru melalui CVE-2020-16043, sementara Firefox melacaknya melalui CVE-2021-23961.

Selengkapnya: Armis

Pembuat derek terkemuka Palfinger terkena serangan siber global

January 27, 2021 by Winnie the Pooh

Produsen derek dan pengangkat terkemuka Palfinger menjadi sasaran serangan siber yang sedang berlangsung yang telah mengganggu sistem TI dan operasi bisnis.

Palfinger adalah pembuat solusi derek dan pengangkatan terkemuka yang biasa digunakan untuk konstruksi, serta solusi pengangkatan, pemuatan, dan penanganan darat dan laut.

Palfinger adalah perusahaan Austria dengan lebih dari 11.000 karyawan di 35 lokasi dan menghasilkan pendapatan €1,75 miliar untuk 2019.

Situs Palfinger saat ini menampilkan peringatan yang memperingatkan bahwa perusahaan mengalami serangan siber yang telah menghapus email mereka dan mengganggu operasi bisnis.

Pemberitahuan keamanan berjudul ‘Serangan siber di PALFINGER Group’ juga menyatakan bahwa sistem perencanaan sumber daya Perusahaan (ERP) mereka mati dan bahwa “sebagian besar lokasi grup di seluruh dunia terpengaruh.”

Palfinger juga meminta mitra untuk tidak membuat pesanan pembelian lebih lanjut untuk saat ini.

Tidak diketahui apa yang menyebabkan serangan siber tersebut, tetapi kemungkinan itu adalah serangan ransomware.

Sumber: Bleeping Computer

Bug DNSpooq memungkinkan penyerang membajak DNS di jutaan perangkat

January 21, 2021 by Winnie the Pooh

Perusahaan konsultan keamanan yang berbasis di Israel, JSOF, mengungkapkan tujuh kerentanan Dnsmasq, yang secara kolektif dikenal sebagai DNSpooq, yang dapat dimanfaatkan untuk meluncurkan serangan DNS cache poisoning, eksekusi kode jarak jauh, dan denial-of-service terhadap jutaan perangkat yang terpengaruh.

Jumlah lengkap atau nama semua perusahaan yang menggunakan versi Dnsmasq yang rentan terhadap serangan DNSpooq di perangkat mereka belum diketahui.

Namun, JSOF menyoroti daftar 40 vendor dalam laporan mereka, termasuk Android / Google, Comcast, Cisco, Redhat, Netgear, Qualcomm, Linksys, Netgear, IBM, D-Link, Dell, Huawei, dan Ubiquiti.

Tiga dari kerentanan DNSpooq (dilacak sebagai CVE-2020-25686, CVE-2020-25684, CVE-2020-25685) memungkinkan kedua serangan DNS cache poisoning (juga dikenal sebagai spoofing DNS).

Sisanya adalah kerentanan buffer overflow yang dilacak sebagai CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, dan CVE-2020-25681 yang dapat memungkinkan penyerang mengeksekusi kode dari jarak jauh pada peralatan jaringan yang rentan saat Dnsmasq dikonfigurasi untuk menggunakan DNSSEC.

MITIGASI

Untuk sepenuhnya mengurangi serangan yang mencoba mengeksploitasi kelemahan DNSpooq, JSOF menyarankan untuk memperbarui perangkat lunak Dnsmasq ke versi terbaru (2.83 atau lebih baru).

JSOF juga membagikan daftar solusi (sebagian) bagi mereka yang tidak dapat segera memperbarui Dnsmasq:

Konfigurasikan dnsmasq agar tidak “listen” pada antarmuka WAN jika tidak diperlukan di lingkungan Anda.
Kurangi kueri maksimum yang diizinkan untuk diteruskan dengan option–dns-forward-max=. Standarnya adalah 150, tetapi bisa diturunkan.
Nonaktifkan sementara opsi validasi DNSSEC hingga Anda mendapatkan patch.
Gunakan protokol yang menyediakan keamanan transportasi untuk DNS (seperti DoT atau DoH). Ini akan mengurangi Dnspooq tetapi mungkin memiliki implikasi keamanan dan privasi lainnya. Pertimbangkan pengaturan, sasaran keamanan, dan risiko Anda sendiri sebelum melakukan ini.
Mengurangi ukuran maksimum pesan EDNS kemungkinan akan mengurangi beberapa kerentanan. Ini, bagaimanapun, belum diuji dan bertentangan dengan rekomendasi dari RFC5625 yang relevan.

Sumber: Bleeping Computer

Peringatan phishing: Ini adalah merek yang paling mungkin ditiru oleh penjahat, tetap waspada!

January 15, 2021 by Winnie the Pooh

Peneliti keamanan siber di Check Point menganalisis email phishing yang dikirim selama tiga bulan terakhir dan menemukan bahwa 43% dari semua upaya phishing yang meniru merek mencoba menyamar sebagai pesan dari Microsoft.

Microsoft adalah daya tarik yang populer karena distribusi Office 365 yang luas di antara perusahaan. Dengan mencuri kredensial ini, penjahat berharap mendapatkan akses ke jaringan perusahaan.

Merek kedua yang paling sering ditiru selama periode analisis Check Point adalah DHL, dengan serangan yang meniru penyedia logistik terhitung 18% dari semua upaya phishing. DHL telah menjadi umpan phishing yang populer bagi para penjahat karena banyak orang sekarang terjebak di rumah karena pembatasan COVID-19 dan menerima lebih banyak paket – sehingga orang lebih cenderung lengah ketika melihat pesan yang mengaku dari perusahaan pengiriman.

Merek lain yang biasanya ditiru dalam email phishing termasuk LinkedIn, Amazon, Google, PayPal, dan Yahoo. Mengompromikan salah satu akun ini dapat memberi penjahat siber akses ke informasi pribadi yang sensitif yang dapat mereka eksploitasi.

“Penjahat meningkatkan upaya mereka pada Q4 2020 untuk mencuri data pribadi orang-orang dengan meniru merek terkemuka, dan data kami dengan jelas menunjukkan bagaimana mereka mengubah taktik phishing untuk meningkatkan peluang sukses mereka,” kata Maya Horowitz, direktur intelijen dan penelitian ancaman di Check Titik.

“Seperti biasa, kami mendorong pengguna untuk berhati-hati saat memberikan data pribadi dan kredensial ke aplikasi bisnis, dan berpikir dua kali sebelum membuka lampiran atau tautan email, terutama email yang mengklaim dari perusahaan, seperti Microsoft atau Google, yang kemungkinan besar akan ditiru,” tambahnya.

Sumber: ZDNet

FBI Memperingatkan Sekolah untuk Bersiap akan adanya Lebih Banyak Serangan Siber

January 6, 2021 by Winnie the Pooh

FBI dan Cybersecurity and Infrastructure Security Agency (CISA) baru-baru ini memperingatkan bahwa serangan ransomware pada entitas K-12 telah meningkat secara dramatis selama paruh kedua tahun 2020 dan serangan ini serta serangan siber lainnya kemungkinan akan berlanjut selama tahun depan.

Pada tahun 2020, banyak peretas menargetkan sekolah dengan menyebarkan ransomware ke seluruh distrik secara nasional, menyebabkan seringnya pembatalan kelas, dan melakukan zoombombing pada setiap ruang kelas virtual yang bisa mereka dapatkan.

Menurut FBI, semua hal ini kemungkinan akan berlanjut pada level buruk saat ini dan berpotensi menjadi lebih buruk pada tahun 2021.

Minggu ini, saat siswa kembali dari liburan ke ruang kelas virtual mereka, pejabat FBI menegaskan kembali perlunya melindungi lembaga pendidikan Amerika yang rentan dengan lebih baik.

Menurut agen federal, peretas kemungkinan akan terus memanfaatkan berbagai macam serangan, mulai dari serangan Denial of Service hingga ransomware hingga gangguan melalui third-party ed-tech, seperti ruang pembelajaran online seperti Google Classroom. Karena sekolah pada umumnya adalah tempat di mana kesadaran akan risiko rendah dan pendanaan keamanan siber minimal, para penjahat cenderung memandangnya sebagai target yang menarik, kata para pejabat.

Sumber: Gizmodo

Ryuk ransomware adalah ancaman utama bagi sektor kesehatan

January 6, 2021 by Winnie the Pooh

Organisasi perawatan kesehatan terus menjadi target utama untuk semua jenis serangan siber, dengan insiden ransomware, Ryuk khususnya, menjadi lebih umum.

Dalam laporan bersama pada akhir Oktober, Cybersecurity and Infrastructure Security Agency (CISA) AS, Biro Investigasi Federal (FBI), dan Departemen Kesehatan dan Layanan Kemanusiaan (HHS) memperingatkan ancaman kejahatan siber yang akan segera terjadi ke rumah sakit dan penyedia layanan kesehatan.

Ini bertujuan untuk mempersiapkan organisasi menghadapi serangan ransomware Ryuk dan Conti dengan menyediakan taktik, teknik, dan prosedur (TTP) khusus untuk insiden dengan jenis malware ini.

Menurut Check Point, ancaman ransomware utama yang digunakan dalam serangan terhadap entitas kesehatan adalah Ryuk diikuti oleh REvil (Sodinokibi).

Sesuai data yang dikumpulkan oleh Check Point, sebagian besar serangan siber selama dua bulan terakhir yang menghantam organisasi perawatan kesehatan di Eropa Tengah, melonjak hingga hampir 150% pada November.

Dengan jumlah infeksi COVID-19 yang terus meningkat, serangan siber cenderung terus menghantam organisasi perawatan kesehatan. Menjaga sistem tetap diperbarui dengan tambalan terbaru, kebersihan siber yang baik, memantau jaringan untuk akses yang tidak sah, dan mendidik karyawan untuk mengenali upaya phishing adalah cara yang baik untuk melindungi dari serangan dari sebagian besar pelaku ancaman.

Sumber: Bleeping Computer

Whirlpool raksasa peralatan rumah tangga terkena serangan ransomware Nefilim

December 30, 2020 by Winnie the Pooh

Whirlpool raksasa peralatan rumah tangga mengalami serangan ransomware oleh geng ransomware Nefilim yang mencuri data sebelum mengenkripsi perangkat.

Whirlpool adalah salah satu pembuat aplikasi rumah terbesar di dunia dengan peralatan di bawah namanya dan KitchenAid, Maytag, Brastemp, Consul, Hotpoint, Indesit, dan Bauknecht. Whirlpool mempekerjakan 77.000 orang di 59 pusat penelitian manufaktur & teknologi di seluruh dunia dan menghasilkan pendapatan sekitar $20 miliar untuk tahun 2019.

Selama akhir pekan, geng ransomware Nefilim menerbitkan file yang dicuri dari Whirlpool selama serangan ransomware. Data yang bocor termasuk dokumen terkait tunjangan karyawan, permintaan akomodasi, permintaan informasi medis, pemeriksaan latar belakang, dan banyak lagi.

Sebuah sumber di industri keamanan siber mengatakan kepada BleepingComputer bahwa geng ransomware Nefilim menyerang Whirlpool pada akhir pekan pertama bulan Desember.

Nefilim bukanlah operasi ransomware yang sangat aktif tetapi dikenal karena serangan terhadap korban besar dan terkenal lainnya di masa lalu. Korban lain yang diserang oleh Nefilim termasuk Orange S.A., Dussman Group, Luxottica, dan Toll Group.

Sumber: Bleeping Computer

Berikut adalah ‘skala peretasan’ untuk lebih memahami serangan siber SolarWinds

December 29, 2020 by Winnie the Pooh

Beberapa peretasan adalah sebuah bencana besar, tetapi beberapa dapat bertahan. Kita melihat kenyataan ini dalam berbagai laporan yang keluar tentang “peretasan SolarWinds”. Beberapa organisasi sangat terpengaruh sementara yang lain tidak begitu terpengaruh. Namun perbedaan penting ini hilang saat kita mengatakan semuanya telah “diretas”.

Tidak ada “hacked scale” yang digunakan oleh para profesional, apalagi yang bisa digunakan oleh orang awam.

Jika kita ingin memahami perbedaan dalam kasus SolarWinds dengan lebih baik, kita perlu menentukan skala. Karena hal terpenting dalam peretasan adalah penyebaran dan tingkat keparahan, sistem stadium kanker memberikan model yang baik untuk beradaptasi karena melacak penyebaran dan tingkat keparahan kanker dalam lima tahap.

Tahap 0: Penyerang telah menemukan atau membuat titik masuk ke sistem atau jaringan tetapi belum menggunakannya atau tidak mengambil tindakan.

Tahap I: Penyerang memiliki kendali atas sistem tetapi belum berpindah ke luar sistem ke jaringan yang lebih luas.

Tahap II: Penyerang telah berpindah ke jaringan yang lebih luas dan berada dalam mode “read-only” yang berarti mereka dapat membaca dan mencuri data tetapi tidak mengubahnya

Tahap III: Penyerang telah berpindah ke jaringan yang lebih luas dan memiliki akses “write” ke jaringan yang berarti mereka dapat mengubah data serta membaca dan mencurinya.

Tahap IV: Penyerang memiliki kontrol administratif dari jaringan yang lebih luas yang berarti mereka dapat membuat akun dan cara baru untuk masuk ke jaringan serta mengubah, membaca, dan mencuri data.

Faktor kunci dalam level ini adalah akses dan kontrol penyerang: semakin sedikit semakin baik, semakin banyak semakin buruk.

Misalnya, SolarWinds mengatakan bahwa 18.000 pelanggan terkena dampaknya. Namun ini tidak berarti bahwa 18.000 jaringan pelanggan mengalami Tahap IV dan sepenuhnya dikendalikan oleh penyerang.

Informasi yang disediakan SolarWinds hanya memberi tahu kita bahwa pelanggan tersebut mengalami Tahap 0: penyerang mungkin memiliki cara untuk masuk lebih jauh ke dalam jaringan. Untuk mengetahui apakah penyerang bertindak lebih jauh dan pelanggan terkena dampak yang lebih parah, diperlukan penyelidikan lebih lanjut.

FireEye membuat pernyataan pada 8 Desember tentang peretasan yang menimpa mereka yang ternyata adalah bagian dari serangan SolarWinds. Tampaknya menunjukkan bahwa penyerang dapat mencuri informasi tetapi tidak memberikan indikasi bahwa penyerang dapat mengubah data atau mendapatkan kontrol administratif jaringan, kemungkinan membuat apa yang dialami perusahaan tersebut masih dalam Tahap II.

Poin utama bagi semua orang saat ini adalah memahami bahwa “diretas” bukanlah status biner sederhana: ada derajat yang berbeda-beda. Dengan memahami hal ini, kita dapat menilai dengan lebih baik seberapa serius suatu situasi dan apa yang perlu kita lakukan sebagai tanggapan.

Sumber: Geek Wire

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attack

MITIGASI

Cookies Settings