Cyber Attack

Perusahaan teknologi besar termasuk Intel, Nvidia, dan Cisco semuanya terinfeksi selama peretasan SolarWinds

December 23, 2020 by Winnie the Pooh

Minggu lalu, tersiar kabar bahwa perusahaan manajemen TI SolarWinds telah diretas, diduga oleh pemerintah Rusia, dan departemen Keuangan, Perdagangan, Negara, Energi, dan Keamanan Dalam Negeri AS telah terpengaruh – dua di antaranya mungkin telah dicuri emailnya akibat peretasan tersebut.

The Wall Street Journal sekarang melaporkan bahwa beberapa perusahaan teknologi besar telah terinfeksi juga. Cisco, Intel, Nvidia, Belkin, dan VMware semuanya memiliki komputer di jaringan mereka yang terinfeksi malware.

Mungkin ada lebih banyak lagi: SolarWinds telah menyatakan bahwa “kurang dari 18.000” perusahaan terkena dampak, seolah-olah angka itu seharusnya meyakinkan, dan bahkan berusaha menyembunyikan daftar klien yang menggunakan perangkat lunak yang terinfeksi.

Ada berbagai macam alasan mengapa grup peretas mungkin ingin masuk ke sistem perusahaan teknologi besar, termasuk akses ke paket produk di masa mendatang atau informasi karyawan dan pelanggan yang dapat dijual atau ditahan untuk mendapatkan tebusan, dengan asumsi mereka benar-benar mencari info tersebut.

Namun, mungkin juga perusahaan-perusahaan ini hanyalah “bonus” karena kelompok peretas ini mengejar lembaga pemerintah, yang kebetulan menggunakan sistem manajemen TI yang disediakan SolarWinds.

Sumber: The Verge

Lima peretasan Rusia yang mengubah keamanan siber AS

December 21, 2020 by Winnie the Pooh

Cuckoo’s Egg

Cliff Stoll menjaga jaringan komputer di labnya. Pada tahun 1986, dia melihat seseorang masuk untuk menggunakan komputer tanpa membayar. Dalam beberapa bulan mendatang, dia akan mengikuti jejak mereka dan mengamati pihak tak dikenal yang mencari data terkait militer.

Dalam bukunya, Cuckoo’s Egg, Stoll mengungkapkan bagaimana dia akhirnya melacak login ke sekelompok peretas di Jerman, yang telah menjual akses mereka ke KGB, dinas intelijen Moskow.

Moonlight Maze

Satu dekade kemudian, pada pertengahan 1990-an, kampanye spionase siber besar pertama yang dilakukan oleh badan intelijen negara terungkap.

Dengan code name Moonlight Maze, beberapa detail tetap dirahasiakan. Tapi ini adalah sekelompok peretas kelas atas yang bekerja secara “rendah dan lambat” untuk mencuri rahasia militer AS melalui backdoor.

Penyelidik AS yakin mereka tahu siapa di baliknya. Para penyerang bekerja pukul 08:00 hingga 17:00 waktu Moskow (tetapi tidak pernah pada hari libur Rusia) dan bahasa Rusia ditemukan dalam kode tersebut. Moskow membantah semuanya, dan menghentikan penyelidikan.

Buckshot Yankee

Pada tahun 2008, USB stick yang berisi malware – kemungkinan ditemukan di tempat parkir mobil di pangkalan militer di luar negeri – mengguncang Washington. USB tersebut memungkinkan peretas untuk menembus sistem militer AS yang diklasifikasikan yang seharusnya tetap offline.

Butuh waktu empat bulan bagi seorang analis untuk menemukan pelanggaran di Komando Pusat AS dan melakukan pembersihan, dengan nama sandi Buckshot Yankee, membutuhkan waktu lebih lama. Dan hal ini memiliki kaitan dengan grup yang sama yang berada di belakang Moonlight Maze.

The Democrats

Selama pemilihan presiden AS 2016, ternyata tidak hanya satu, tetapi dua, tim peretas dinas intelijen Rusia berada di dalam partai Demokrat.

Tim dari badan intelijen asing, SVR, tetap menyamar – tetapi tim intelijen militer dari GRU – Fancy Bear – memiliki rencana yang berbeda. Mereka membocorkan materi yang dicurinya, menyebabkan gangguan dan, bisa dibilang, berperan dalam menggeser jalannya pemilu.

Setelah kejadian itu, dalam pemilihan presiden 2020, perusahaan dan pejabat waspada terhadap campur tangan pemilu dari Rusia.

Tetapi apa yang tidak mereka sadari adalah bahwa spionase tradisional terus berlanjut tanpa diketahui – dengan intelijen Rusia lagi-lagi diyakini sebagai pelakunya. Sekali lagi Moskow membantah peran apa pun.

Sunburst

Dampak pasti dari pelanggaran Sunburst, melalui perusahaan SolarWinds, masih belum jelas. Meskipun demikian, pejabat federal berbicara tentang “risiko besar” karena skala kemungkinan kompromi departemen, perusahaan dan organisasi.

Ini bukan “spionase seperti biasa”, kata Presiden Microsoft Brad Smith.

Tetapi beberapa orang tidak setuju, dan menyebutnya sebagai spionase rutin. Mereka menambahkan bahwa AS bukan hanya korbannya, tetapi juga pelaku peretasan jenis ini. Pengungkapan Snowden tahun 2013 menunjukkan bahwa AS (dan Inggris) lebih dari mampu untuk menargetkan rahasia negara lain dengan mengorbankan perangkat keras dan perangkat lunak dari perusahaan terkemuka – dengan cara yang tidak jauh berbeda dengan pelanggaran terbaru ini.

Sumber: BBC

CISA: Peretasan besar pemerintah AS tidak hanya menggunakan backdoor SolarWinds

December 18, 2020 by Winnie the Pooh

Badan Keamanan Siber dan Infrastruktur AS (CISA) mengatakan bahwa kelompok APT di balik kampanye peretasan baru-baru ini yang menargetkan lembaga pemerintah AS menggunakan lebih dari satu vektor akses awal.

“CISA memiliki bukti vektor akses awal tambahan, selain dari platform SolarWinds Orion; namun, ini masih diselidiki. CISA akan memperbarui Peringatan ini saat informasi baru tersedia,” kata organisasi tersebut.

“Tidak semua organisasi yang memiliki backdoor yang dikirimkan melalui SolarWinds Orion telah menjadi sasaran musuh dengan tindakan lanjutan.”

Grup APT, yang dicurigai sebagai APT29 yang disponsori negara Rusia (alias Cozy Bear and The Dukes), hadir di jaringan organisasi yang dikompromikan untuk jangka waktu yang lama menurut CISA.

Selain itu, CISA mengatakan bahwa sangat mungkin aktor ancaman di balik kampanye peretasan terkoordinasi ini menggunakan taktik, teknik, dan prosedur (TTP) lain yang belum ditemukan sebagai bagian dari investigasi yang sedang berlangsung.

Badan ini juga sedang menyelidiki insiden di mana mereka menemukan TTP konsisten dengan aktivitas berbahaya yang sedang berlangsung ini, “termasuk beberapa di mana korban tidak memanfaatkan SolarWinds Orion atau di mana SolarWinds Orion hadir tetapi tidak ada aktivitas eksploitasi SolarWinds yang diamati.”

Detail teknis tambahan termasuk info tentang vektor infeksi awal, taktik, teknik, dan prosedur (TTP) yang digunakan dalam kampanye ini, langkah-langkah mitigasi, dan indikator gangguan tersedia dalam peringatan AA20-352A CISA.

Sumber: Bleeping Computer

Raksasa elektronik Foxconn terkena ransomware, tebusan $34 juta

December 15, 2020 by Winnie the Pooh

Raksasa elektronik Foxconn mengalami serangan ransomware di fasilitas Meksiko selama akhir pekan Thanksgiving, di mana penyerang mencuri file yang tidak dienkripsi sebelum mengenkripsi perangkat.

Foxconn adalah perusahaan manufaktur elektronik terbesar di dunia, dengan pendapatan tercatat $172 miliar pada 2019 dan lebih dari 800.000 karyawan di seluruh dunia. Anak perusahaan Foxconn termasuk Sharp Corporation, Innolux, FIH Mobile, dan Belkin.

Operator ransomware DoppelPaymer menerbitkan file milik Foxconn NA di situs kebocoran data ransomware mereka. Data yang bocor termasuk dokumen dan laporan bisnis umum tetapi tidak berisi informasi keuangan atau detail pribadi karyawan.

Sejak serangan itu, situs web fasilitas tersebut tidak dapat diakses dan saat ini menunjukkan kesalahan kepada pengunjung.

Beberapa sumber juga telah membagikan catatan tebusan yang dibuat di server Foxconn selama serangan ransomware, seperti yang dapat dilihat di bawah.

Dalam sebuah wawancara dengan DoppelPaymer, geng ransomware mengkonfirmasi bahwa mereka menyerang fasilitas Foxconn di Amerika Utara pada tanggal 29 November tetapi tidak menyerang seluruh perusahaan.

Sebagai bagian dari serangan ini, pelaku ancaman mengklaim telah mengenkripsi sekitar 1.200 server, mencuri 100 GB file tidak terenkripsi, dan menghapus cadangan 20-30 TB.

Dalam sebuah pernyataan kepada BleepingComputer, Foxconn mengkonfirmasi serangan itu dan mengatakan mereka perlahan-lahan mengembalikan sistem mereka.

Sumber: Bleeping Computer

Ransomware: Varian baru ini bisa menjadi ancaman malware besar berikutnya bagi bisnis Anda

November 27, 2020 by Winnie the Pooh

Bentuk baru ransomware menjadi semakin produktif karena penjahat dunia maya menggunakannya sebagai cara yang disukai untuk mengenkripsi jaringan yang rentan dalam upaya mengeksploitasi bitcoin dari para korban. Egregor ransomware pertama kali muncul pada bulan September tetapi telah menjadi terkenal setelah beberapa insiden terkenal, termasuk serangan terhadap penjual buku Barnes & Noble, serta perusahaan video game Ubisoft dan Crytek.

Seperti semua geng ransomware, motif utama di balik Egregor adalah uang dan untuk mendapatkan kesempatan terbaik untuk memeras pembayaran, geng tersebut menggunakan taktik umum yang umum terjadi setelah serangan ransomware – mengancam untuk merilis informasi pribadi yang dicuri dari sekian korban jika mereka tidak membayar. Dalam beberapa kasus, penyerang akan merilis potongan informasi dengan catatan tebusan, sebagai bukti kesungguhan mereka.

Salah satu alasan Egregor tiba-tiba melonjak jumlahnya tampaknya karena itu mengisi celah yang dibiarkan terbuka oleh pengunduran diri geng ransomware Maze. Egregor ransomware masih baru, jadi belum sepenuhnya jelas bagaimana operatornya menyusupi jaringan korban. Para peneliti mencatat bahwa kode tersebut sangat dikaburkan dengan cara yang tampaknya dirancang secara khusus untuk menghindari tim keamanan informasi dapat menganalisis malware.

Organisasi dapat melindungi diri mereka sendiri dari ransomware Egregor dan serangan malware lainnya dengan menggunakan protokol keamanan informasi seperti otentikasi multi-faktor, jadi jika nama pengguna dan kata sandi disusupi oleh penyerang, ada penghalang tambahan yang mencegah mereka untuk mengeksploitasinya. Dan untuk lapisan perlindungan ekstra terhadap serangan ransomware, organisasi harus secara teratur membuat cadangan jaringan mereka dan menyimpannya secara offline, jadi jika yang terburuk terjadi dan jaringan dienkripsi, itu dapat dipulihkan secara relatif tanpa menyerah pada tuntutan pemerasan dari peretas.

sumber : ZDNET

Peretasan besar-besaran yang didanai negara China menghantam perusahaan di seluruh dunia, menurut laporan

November 21, 2020 by Winnie the Pooh

Peneliti telah menemukan kampanye peretasan besar-besaran yang menggunakan alat dan teknik canggih untuk menyusupi jaringan perusahaan di seluruh dunia. Para peretas, kemungkinan besar dari kelompok terkenal yang didanai oleh pemerintah China, dilengkapi dengan alat siap pakai dan alat yang dibuat khusus. Salah satu alat tersebut mengeksploitasi Zerologon, nama yang diberikan untuk kerentanan server Windows, yang ditambal pada bulan Agustus, yang dapat memberi penyerang hak istimewa administrator instan pada sistem yang rentan.

Symantec menggunakan nama kode Cicada untuk grup tersebut, yang diyakini secara luas didanai oleh pemerintah China dan juga membawa nama APT10, Stone Panda, dan Cloud Hopper dari organisasi penelitian lain. Grup, yang tidak memiliki hubungan atau afiliasi dengan perusahaan mana pun yang menggunakan nama Cicada, telah aktif dalam peretasan bergaya spionase setidaknya sejak 2009 dan hampir secara eksklusif menargetkan perusahaan yang terkait dengan Jepang. Meskipun perusahaan yang ditargetkan dalam kampanye baru-baru ini berlokasi di Amerika Serikat dan negara lain, semuanya memiliki hubungan dengan Jepang atau perusahaan Jepang.

Symantec menghubungkan serangan tersebut ke Cicada berdasarkan sidik jari digital yang ditemukan di malware dan kode serangan. Sidik jari termasuk obfuscation techniques dan kode shell yang terlibat dalam pemuatan samping DLL serta ciri-ciri berikut yang dicatat dalam laporan tahun 2019 ini dari perusahaan keamanan Cylance:
1. DLL tahap ketiga memiliki ekspor bernama “FuckYouAnti”
2. DLL tahap ketiga menggunakan teknik CppHostCLR untuk menginjeksi dan menjalankan rakitan loader .NET
3. .NET Loader dikaburkan dengan ConfuserEx v1.0.0
4. Muatan terakhir adalah QuasarRAT — backdoor open source yang digunakan oleh Cicada di masa lalu

sumber : Arstechnica

Hacker membagikan 3,2 Juta akun Pluto TV di Forum

November 16, 2020 by Winnie the Pooh

Pluto TV, layanan televisi Internet yang menyiarkan streaming acara TV gratis dengan iklan dengan lebih dari 28 juta anggota, dan aplikasi selulernya telah diinstal lebih dari 10 juta kali, telah mengalami kebocoran data pada minggu lalu.

Dipublish oleh ShinyHuynter, akun peretas yang bertanggung jawab pada banyak insiden databreach, seperti Github private repositroy, Animal Jam, 123RF, Geekie, Athletico, Wongnai, Redmart, dan lainnya.

Contoh database yang dibagikan berisi nama tampilan anggota, alamat email, kata sandi hash bcrypt, tanggal lahir, platform perangkat, dan alamat IP yang berasalah dari tahun 2018.

Pluto TV belum memberikan konfirmasi terkait insiden ini, namun Pengguna Pluto TV dihimbau untuk segera mengganti password.

Source : BleepingComputer

Manufaktur menjadi target utama serangan ransomware

November 15, 2020 by Winnie the Pooh

Ransomware telah menjadi ancaman utama bagi industri manufaktur karena kelompok penjahat dunia maya semakin tertarik untuk menargetkan sistem kontrol industri (ICS) yang mengelola operasi. Menurut analisis para peneliti keamanan siber di perusahaan keamanan Dragos, jumlah serangan ransomware yang tercatat secara publik terhadap manufaktur telah meningkat tiga kali lipat pada tahun lalu saja.

Sementara banyak manufaktur bergantung pada TI tradisional, beberapa elemen manufaktur bergantung pada ICS saat memproduksi produk secara massal – dan itu adalah area yang secara aktif ingin ditargetkan oleh beberapa grup peretasan.

Untuk penjahat dunia maya, manufaktur membuat target yang sangat strategis karena dalam banyak kasus ini adalah operasi yang tidak dapat dihentikan untuk jangka waktu yang lama, sehingga mereka lebih cenderung untuk menyerah pada tuntutan penyerang dan membayar ratusan ribu dolar dalam bitcoin sebagai imbalan untuk mendapatkan jaringan kembali.