Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cyber Attack

Cyber Attack

Procter & Gamble mengonfirmasi pencurian data melalui GoAnywhere zero-day

by

“P&G dapat mengonfirmasi bahwa itu adalah salah satu dari banyak perusahaan yang terkena dampak insiden GoAnywhere Fortra. Sebagai bagian dari insiden ini, pihak ketiga yang tidak berwenang memperoleh beberapa informasi tentang karyawan P&G,” kata Procter & Gamble kepada BleepingComputer.

“Data yang diperoleh pihak yang tidak berwenang tidak mencakup informasi seperti nomor Jaminan Sosial atau nomor KTP, detail kartu kredit, atau informasi rekening bank.”

P&G mengatakan tidak memiliki bukti bahwa pelanggaran data ini memengaruhi data pelanggan dan berhenti menggunakan layanan berbagi file aman GoAnywhere Fortra setelah menemukan insiden tersebut.

Clop mengklaim mencuri file dari lebih dari 130 organisasi
Geng ransomware Clop sebelumnya memberi tahu Bleeping Computer bahwa mereka mengeksploitasi kerentanan CVE-2023-0669 GoAnywhere sebagai zero-day untuk menembus dan mencuri data dari server penyimpanan aman lebih dari 130 organisasi.

Mereka diduga mencuri data selama sepuluh hari setelah melanggar server yang terpapar Internet yang rentan terhadap eksploitasi yang menargetkan bug ini.

Pelaku ancaman juga mengklaim bahwa mereka hanya mencuri dokumen yang disimpan di platform berbagi file korban yang disusupi, meskipun mereka juga dapat dengan mudah dipindahkan secara lateral melalui jaringan mereka untuk menyebarkan muatan ransomware.

Clop mulai secara terbuka memeras korban serangan GoAnywhere pada 10 Maret ketika menambahkan tujuh perusahaan ke situs kebocoran datanya.

Sejauh ini, daftar korban yang mengakui pelanggaran GoAnywhere dan bahwa Clop memeras mereka juga termasuk raksasa kesehatan Community Health Systems (CHS), platform fintech Hatch Bank, perusahaan keamanan siber Rubrik, Hitachi Energy, peritel merek mewah Saks Fifth Avenue, dan Kota Toronto, Kanada.

Dalam catatan tebusan yang dikirim ke para korban dan dilihat oleh BleepingComputer, geng ransomware memperkenalkan diri mereka sebagai “kelompok peretas Clop”, memperingatkan para korban bahwa mereka telah mencuri dokumen sensitif, yang akan dipublikasikan secara online di situs kebocoran Clop dan dijual di pasar gelap. jika korban tidak mau bernegosiasi.

selengkapnya : bleepingcomputer

Hacker Semakin Mengklaim Penargetan Sistem OT

by

Pada Januari 2023, grup hacktivist yang berafiliasi dengan Anonymous, GhostSec, mengklaim di media sosial telah menyebarkan ransomware untuk mengenkripsi unit terminal jarak jauh (RTU) Belarusia—sejenis perangkat teknologi operasional (OT) untuk pemantauan jarak jauh perangkat otomasi industri. Niat yang dinyatakan para aktor adalah untuk menunjukkan dukungan untuk Ukraina dalam invasi Rusia yang sedang berlangsung. Peneliti, profesional keamanan OT, dan media menganalisis klaim tersebut dan menyimpulkan bahwa aktor tersebut melebih-lebihkan implikasi dari dugaan serangan tersebut.

Meskipun tidak ada dampak yang signifikan dalam insiden khusus ini, acara tersebut menyoroti meningkatnya kebutuhan akan diskusi yang lebih luas mengenai sejauh mana risiko yang ditimbulkan para peretas terhadap lingkungan OT. Selama beberapa tahun terakhir, Mandiant telah melacak berbagai klaim peretas yang menargetkan sistem OT yang mengklaim kerusakan fisik sebagai akibatnya. Diperburuk oleh ketegangan geopolitik di berbagai kawasan—seperti invasi Rusia yang sedang berlangsung ke Ukraina—aktor-aktor ini baru-baru ini mengintensifkan aktivitas mereka, mengakibatkan klaim yang lebih sering dan jalan baru untuk memengaruhi target.

Dalam banyak kasus, klaim para peretas dibesar-besarkan atau tidak berdasar. Jumlah klaim palsu terkadang menantang untuk dibantah. Namun, terlepas dari ketidakakuratan sebagian besar klaim, ketika aktivitas peretas yang menargetkan OT menjadi hal yang biasa, kemungkinan insiden OT aktual dan bahkan substansial meningkat. Risikonya lebih tinggi untuk organisasi yang terkait dengan peristiwa politik atau perselisihan sosial berdasarkan lokasi geografis, kebangsaan, bahasa, atau industri yang relevan.

Mandiant menawarkan analisis komprehensif tentang aktivitas peretas baru-baru ini yang menargetkan sistem OT. Mandiant dapat memanfaatkan informasi dari insiden yang sebelumnya dirahasiakan dan diketahui untuk membahas implikasi potensial bagi pembela PL. Kesadaran tentang tren hacktivisme yang muncul membantu para pembela PL untuk memprioritaskan penanggulangan dan membedakan front yang disponsori negara yang memanfaatkan jubah hacktivism.

selengkapnya : mandiant.com

Laporan Kematangan Cybersecurity 2023 Mengungkapkan Ketidaksiapan Organisasi untuk Serangan Cyber

by

Pada tahun 2022 saja, serangan siber global meningkat sebesar 38%, mengakibatkan kerugian bisnis yang besar, termasuk kerugian finansial dan reputasi. Sementara itu, anggaran keamanan perusahaan telah meningkat secara signifikan karena meningkatnya kecanggihan serangan dan banyaknya solusi keamanan siber yang diperkenalkan ke pasar. Dengan peningkatan ancaman, anggaran, dan solusi ini, seberapa siapkah industri dan negara untuk secara efektif mengatasi risiko dunia maya saat ini?

Laporan Kematangan Keamanan Siber 2023 CYE yang baru menjawab pertanyaan ini dengan menyoroti kekuatan keamanan siber di berbagai sektor, ukuran perusahaan, dan negara. Ini menyoroti industri dan negara mana yang memiliki postur dunia maya paling kuat dan tertinggal, serta kerentanan paling umum dalam lanskap ancaman dunia maya saat ini.

Analisis ini didasarkan pada data selama dua tahun, yang dikumpulkan dari lebih dari 500 organisasi di 15 negara, dan mencakup 11 industri serta berbagai ukuran perusahaan. Ini mengukur kematangan keamanan siber di tujuh domain keamanan yang berbeda, termasuk keamanan tingkat aplikasi, keamanan tingkat jaringan, manajemen identitas dan akses jarak jauh, dan banyak lagi.

Kesimpulan keseluruhan dari laporan ini adalah bahwa sebagian besar organisasi tidak cukup siap menghadapi ancaman serangan siber. Namun, organisasi masih dapat mencapai postur kematangan keamanan siber yang tinggi tanpa anggaran yang besar, jika mereka merencanakan dan membelanjakannya dengan benar.

Untuk melindungi diri mereka sendiri, organisasi harus berinvestasi dalam kapabilitas, bukan alat; melakukan penilaian komprehensif untuk mencegah peretas mengeksploitasi kerentanan; dan mengembangkan pendekatan terintegrasi untuk keamanan siber dengan akuntabilitas tingkat dewan. Solusi pengoptimalan keamanan siber seperti CYE dapat membantu dengan menggabungkan teknologi, orang, dan proses untuk mengelola risiko siber organisasi dan melakukan kuantifikasi risiko siber untuk memahami ancaman dan memprioritaskan mitigasi.

Selengkapnya: The Hacker News

Setelah diretas, data dari raksasa teknologi Australia Atlassian dibuang secara online

by

Kru peretasan yang kurang dikenal bernama SiegedSec memposting data tentang ribuan karyawan Atlassian dan denah lantai untuk dua kantor vendor perangkat lunak Australia.

File karyawan yang diposting online Rabu berisi lebih dari 13.200 entri dan tinjauan sepintas terhadap file tersebut tampaknya menunjukkan beberapa data karyawan saat ini, termasuk nama, alamat email, departemen kerja, dan informasi lainnya. Denah lantai adalah untuk satu lantai kantor perusahaan di San Francisco dan satu lagi untuk kantornya di Sydney, Australia.

“BENAR SEKALI, SiegedSec di sini untuk mengumumkan bahwa kami telah meretas perusahaan perangkat lunak Atlassian,” kata sebuah pesan yang diposting dengan file tersebut. “Perusahaan senilai $44 miliar ini telah dimiliki oleh para peretas berbulu uwu.”

Perwakilan Atlassian awalnya memberi tahu CyberScoop melalui email pada hari Kamis bahwa pada 15 Februari perusahaan mengetahui bahwa data dari Utusan, aplikasi pihak ketiga yang digunakan Atlassian untuk mengoordinasikan sumber daya di kantor, diterbitkan secara online, tetapi bahwa “produk Atlassian dan data pelanggan ” adalah “tidak berisiko”. Perusahaan tersebut kemudian memberi tahu TechCrunch bahwa tinjauan internalnya mengungkapkan bahwa data tersebut diakses dari aplikasi Utusan “menggunakan kredensial karyawan Atlassian yang secara keliru diposting di repositori publik oleh karyawan tersebut.”

Seorang juru bicara Utusan memberi tahu CyberScoop bahwa sistem perusahaan tidak terganggu atau dilanggar. Orang tersebut mengatakan bahwa kedua perusahaan telah berkolaborasi untuk mengidentifikasi sumber kompromi data. “Kami menemukan bukti di log permintaan yang mengonfirmasi bahwa peretas memperoleh kredensial pengguna yang valid dari akun karyawan Atlassian dan menggunakan akses tersebut untuk mengunduh data yang terpengaruh dari aplikasi Envoy. Kami dapat mengonfirmasi bahwa sistem Utusan tidak disusupi atau dilanggar dan tidak ada data pelanggan lain yang diakses.”

Selengkapnya: Cyberscoop

Peretas Mengeksploitasi Cacat Eskalasi Hak Istimewa Microsoft Outlook di Alam Liar

by

Menanggapi penemuan kerentanan kritis di Microsoft Outlook, CVE-2023-23397, yang secara aktif dieksploitasi oleh pelaku ancaman, Cisco Talos mendesak semua pengguna Outlook untuk memperbarui klien email mereka sesegera mungkin setelah kerentanan ditemukan .

Sementara Microsoft kemudian menentukan bahwa aktivitas tersebut dihasilkan dari aktor yang berbasis di Rusia, dan mereka digunakan dalam serangan yang ditargetkan terhadap sejumlah organisasi.

Sebagai akibat dari eksploitasi kerentanan keamanan ini, serangan dilakukan antara pertengahan April dan Desember 2022. Selama ini, pelaku ancaman menargetkan dan menerobos jaringan sekitar 15 organisasi penting terkait dengan:-

  • Pemerintah
  • Militer
  • Energi
  • Transportasi

Detail Cacat
Kerentanan CVE-2023-23397 memengaruhi semua produk Microsoft Outlook yang berjalan di sistem operasi Windows. Ini adalah kerentanan di NTLM dan dapat dieksploitasi untuk pencurian kredensial untuk mendapatkan akses kaya ke organisasi melalui eskalasi kerentanan hak istimewa.

  • CVE ID: CVE-2023-23397
  • Dirilis: 14 Mar 2023, Terakhir diperbarui: 15 Mar 2023
  • Dampak: Peningkatan Hak Istimewa
  • Rangkuman: Peningkatan Kerentanan Privilege Microsoft Outlook
  • Keparahan: Kritis
  • Skor CVSS: 9.8

Pelaku ancaman dapat membuat email, undangan kalender, atau tugas yang berisi properti MAPI yang diperluas “PidLidReminderFileParameter.”

“PidLidReminderFileParameter” memungkinkan klien untuk menentukan nama file suara yang akan diputar saat pengingat untuk suatu objek terlambat.

Properti PidLidReminderFileParameter ini digunakan oleh penyerang untuk menentukan jalur ke share SMB yang dikendalikan oleh penyerang melalui Konvensi Penamaan Universal (UNC).

Penyerang mungkin dapat menggunakan hash Net-NTLMv2 yang dikirim oleh sistem yang rentan untuk melakukan serangan Relay NTLM terhadap sistem lain.

Mitigasi
Akibatnya, peneliti Microsoft telah menegaskan beberapa mitigasi utama yang harus diikuti organisasi sebagai tindakan pencegahan untuk menjaga diri mereka aman dari serangan cyber semacam ini:-

  • Menginstal tambalan, Microsoft menyediakan sesegera mungkin akan ideal untuk mengatasi kerentanan ini.
  • Untuk mencegah penggunaan NTLM sebagai metode otentikasi, pengguna harus menggunakan Grup Keamanan Pengguna yang Dilindungi.
  • Sangat penting bahwa Anda memblokir port keluar TCP/445 dari jaringan Anda untuk mencegah pesan NTLM meninggalkan jaringan.
  • Skrip yang dirilis oleh Microsoft memberi administrator kemampuan untuk mengaudit server Exchange mereka untuk item pesan yang memiliki PidLidReminderFileParameters yang disetel ke jalur Konvensi Penamaan Universal (UNC).
  • Admin harus membersihkan properti dan menghapus item berbahaya atau bahkan menghapus item secara permanen jika diperlukan dengan bantuan skrip ini.

Microsoft Outlook di Windows dipengaruhi oleh kerentanan eskalasi hak istimewa ini dengan tingkat keparahan 9,8, yang memengaruhi semua versi aplikasi.

Dengan mengirimkan email jahat ke target, penyerang dapat menggunakan kerentanan ini untuk mencuri kredensial NTLM mereka dalam hitungan detik.

Setiap kali Outlook terbuka, pengingat akan ditampilkan di sistem, dan tidak diperlukan interaksi dengan pengguna karena eksploitasi terjadi secara otomatis.

Singkatnya, sangat disarankan oleh analis keamanan bahwa admin harus segera menerapkan dan memeriksa semua mitigasi yang disarankan untuk mencegah serangan apa pun secara efektif.

selengkapnya : cybersecuritynews.com

Geng Ransomware BianLian Mengalihkan Fokus ke Pemerasan Data Murni

by

Laporan yang disunting bahwa operator BianLian tetap mempertahankan akses awal dan teknik gerakan lateral yang sama dan terus menerapkan backdoor berbasis Go kustom yang memberi mereka akses jarak jauh pada perangkat yang disusupi, meskipun versinya sedikit lebih baik.

Pelaku ancaman memposting korban mereka dalam bentuk topeng secepat 48 jam setelah pelanggaran di situs pemerasan mereka, memberi mereka kira-kira sepuluh hari untuk membayar uang tebusan.

Pada 13 Maret 2023, BianLian telah mendaftarkan total 118 organisasi korban di portal pemerasan mereka, dengan sebagian besar (71%) adalah perusahaan yang berbasis di A.S.

Pada 13 Maret 2023, BianLian telah mendaftarkan total 118 organisasi korban di portal pemerasan mereka, dengan sebagian besar (71%) adalah perusahaan yang berbasis di A.S.

Korban BianLian sejak Juli 2022

Perbedaan utama yang terlihat dalam serangan baru-baru ini adalah bahwa BianLian berupaya memonetisasi pelanggarannya tanpa mengenkripsi file korban. Sebaliknya, sekarang hanya mengandalkan ancaman untuk membocorkan data yang dicuri.

“Grup berjanji bahwa setelah mereka dibayar, mereka tidak akan membocorkan data yang dicuri atau mengungkap fakta bahwa organisasi korban telah mengalami pelanggaran. BianLian menawarkan jaminan ini berdasarkan fakta bahwa “bisnis” mereka bergantung pada reputasi mereka,” sebut Disunting dalam laporan.

Tidak diketahui apakah BianLian mengabaikan taktik enkripsi karena Avast merusak enkripsi mereka atau karena peristiwa ini membantu mereka menyadari bahwa mereka tidak memerlukan bagian rantai serangan itu untuk memeras korban agar membayar uang tebusan.

Perlu disebutkan bahwa ketika Avast merilis decryptor gratisnya, BianLian meremehkan pentingnya, mengatakan itu hanya akan bekerja pada versi awal “musim panas 2022” dari ransomware dan akan merusak file yang dienkripsi oleh semua build berikutnya.

selengkapnya : bleepingcomputer

Badan federal diretas oleh 2 grup berkat cacat yang tidak ditambal selama 4 tahun

by

Berbagai aktor ancaman—salah satunya bekerja atas nama negara-bangsa—mendapatkan akses ke jaringan agen federal AS dengan mengeksploitasi kerentanan berusia empat tahun yang masih belum ditambal, pemerintah AS memperingatkan.

Aktivitas eksploitasi oleh satu kelompok kemungkinan besar dimulai pada Agustus 2021 dan Agustus lalu oleh kelompok lain, menurut sebuah penasehat yang diterbitkan bersama oleh Cybersecurity and Infrastructure Security Agency, FBI, dan Pusat Analisis dan Berbagi Informasi Multi-State. Dari November lalu hingga awal Januari, server menunjukkan tanda-tanda kompromi.

Kedua grup mengeksploitasi kerentanan eksekusi kode yang dilacak sebagai CVE-2019-18935 di alat pengembang yang dikenal sebagai antarmuka pengguna Telerik (UI) untuk ASP.NET AJAX, yang terletak di server web Microsoft Internet Information Services (IIS) agensi. Penasihat itu tidak mengidentifikasi badan tersebut selain mengatakan bahwa itu adalah Badan Cabang Eksekutif Sipil Federal di bawah otoritas CISA.

UI Telerik untuk ASP.NET AJAX dijual oleh perusahaan bernama Progress, yang berkantor pusat di Burlington, Massachusetts, dan Rotterdam di Belanda. Alat ini menggabungkan lebih dari 100 komponen UI yang dapat digunakan pengembang untuk mengurangi waktu yang diperlukan untuk membuat aplikasi Web kustom. Pada akhir 2019, Progress merilis versi 2020.1.114, yang menambal CVE-2019-18935, kerentanan deserialisasi tidak aman yang memungkinkan eksekusi kode dari jarak jauh pada server yang rentan. Kerentanan membawa peringkat keparahan 9,8 dari kemungkinan 10. Pada tahun 2020, NSA memperingatkan bahwa kerentanan sedang dieksploitasi oleh aktor yang disponsori negara China.

“Eksploitasi ini, yang menghasilkan akses interaktif dengan server web, memungkinkan pelaku ancaman berhasil mengeksekusi kode jarak jauh di server web yang rentan,” jelas penasehat hari Kamis. “Meskipun pemindai kerentanan agensi memiliki plugin yang sesuai untuk CVE-2019-18935, ia gagal mendeteksi kerentanan karena perangkat lunak Telerik UI dipasang di jalur file yang biasanya tidak dipindai. Ini mungkin terjadi pada banyak penginstalan perangkat lunak, karena jalur file sangat bervariasi tergantung pada organisasi dan metode penginstalan.”

Selengkapnya: ars TECHNICA

Grup Ransomware Mengklaim Peretasan Cincin Amazon

by

Geng ransomware mengklaim telah melanggar cincin perusahaan kamera keamanan yang sangat populer, yang dimiliki oleh Amazon. Geng ransomware mengancam akan merilis data Ring. Ring memberi tahu Motherboard bahwa ia tidak memiliki bukti pelanggaran sistemnya sendiri, tetapi mengatakan vendor pihak ketiga telah terkena ransomware.
ALPHV lebih dari sekadar mengunci file korban, dan memiliki situs web yang menamai dan mempermalukan korbannya dalam upaya untuk memeras mereka. Jika target tersebut tidak membayar, ALPHV mengancam akan merilis data yang dicuri dari mereka secara publik. Situs ALPHV menonjol karena bagian situsnya yang menerbitkan data yang diretas, yang disebut “Koleksi”, lebih mudah dicari daripada beberapa situs grup peretasan lainnya.

Motherboard memverifikasi bahwa daftar penamaan Cincin saat ini ada di situs pembuangan data ALPHV. Kolektif keamanan siber VX Underground men-tweet tangkapan layar dari daftar tersebut sebelumnya pada hari Senin.

Setelah publikasi, satu orang membagikan tautan ke artikel ini di saluran internal Amazon Slack, dan menulis “Jangan membahas apa pun tentang ini. Tim keamanan yang tepat dilibatkan.”

Tidak jelas data spesifik apa yang dapat diakses oleh ALPHV. Dalam sebuah pernyataan, Ring memberi tahu Motherboard, “Saat ini kami tidak memiliki indikasi bahwa Ring telah mengalami peristiwa ransomware.” Tetapi perusahaan menambahkan bahwa mereka mengetahui vendor pihak ketiga yang telah mengalami peristiwa ransomware, dan Ring bekerja sama dengan perusahaan tersebut untuk mempelajari lebih lanjut. Ring mengatakan vendor ini tidak memiliki akses ke catatan pelanggan.

Amazon telah bermitra dengan setidaknya dua ribu departemen kepolisian di seluruh negeri untuk memudahkan pengguna berbagi rekaman dengan penegak hukum. Kamera — dan rekaman yang mereka ambil, yang sering diposting online — telah menjadi sangat populer sehingga Amazon meluncurkan acara televisi yang disebut “Ring Nation”, yang merupakan acara ragam yang sebagian besar terdiri dari blooper yang diambil oleh kamera Ring.

Meskipun Ring sendiri tidak dikompromikan selama insiden tersebut, para peretas memang memanfaatkan kelemahan dalam pengaturan keamanan default Ring. Sejak peretasan tersebut, Ring telah mengubah beberapa praktik keamanannya untuk mempermudah dan memperjelas bagi pengguna untuk memeriksa pengaturan keamanan mereka.

selengkapnya : vice