Cyber Attack

Hacker Semakin Mengklaim Penargetan Sistem OT

March 24, 2023 by Coffee Bean

Pada Januari 2023, grup hacktivist yang berafiliasi dengan Anonymous, GhostSec, mengklaim di media sosial telah menyebarkan ransomware untuk mengenkripsi unit terminal jarak jauh (RTU) Belarusia—sejenis perangkat teknologi operasional (OT) untuk pemantauan jarak jauh perangkat otomasi industri. Niat yang dinyatakan para aktor adalah untuk menunjukkan dukungan untuk Ukraina dalam invasi Rusia yang sedang berlangsung. Peneliti, profesional keamanan OT, dan media menganalisis klaim tersebut dan menyimpulkan bahwa aktor tersebut melebih-lebihkan implikasi dari dugaan serangan tersebut.

Meskipun tidak ada dampak yang signifikan dalam insiden khusus ini, acara tersebut menyoroti meningkatnya kebutuhan akan diskusi yang lebih luas mengenai sejauh mana risiko yang ditimbulkan para peretas terhadap lingkungan OT. Selama beberapa tahun terakhir, Mandiant telah melacak berbagai klaim peretas yang menargetkan sistem OT yang mengklaim kerusakan fisik sebagai akibatnya. Diperburuk oleh ketegangan geopolitik di berbagai kawasan—seperti invasi Rusia yang sedang berlangsung ke Ukraina—aktor-aktor ini baru-baru ini mengintensifkan aktivitas mereka, mengakibatkan klaim yang lebih sering dan jalan baru untuk memengaruhi target.

Dalam banyak kasus, klaim para peretas dibesar-besarkan atau tidak berdasar. Jumlah klaim palsu terkadang menantang untuk dibantah. Namun, terlepas dari ketidakakuratan sebagian besar klaim, ketika aktivitas peretas yang menargetkan OT menjadi hal yang biasa, kemungkinan insiden OT aktual dan bahkan substansial meningkat. Risikonya lebih tinggi untuk organisasi yang terkait dengan peristiwa politik atau perselisihan sosial berdasarkan lokasi geografis, kebangsaan, bahasa, atau industri yang relevan.

Mandiant menawarkan analisis komprehensif tentang aktivitas peretas baru-baru ini yang menargetkan sistem OT. Mandiant dapat memanfaatkan informasi dari insiden yang sebelumnya dirahasiakan dan diketahui untuk membahas implikasi potensial bagi pembela PL. Kesadaran tentang tren hacktivisme yang muncul membantu para pembela PL untuk memprioritaskan penanggulangan dan membedakan front yang disponsori negara yang memanfaatkan jubah hacktivism.

selengkapnya : mandiant.com

Laporan Kematangan Cybersecurity 2023 Mengungkapkan Ketidaksiapan Organisasi untuk Serangan Cyber

March 24, 2023 by Søren

Pada tahun 2022 saja, serangan siber global meningkat sebesar 38%, mengakibatkan kerugian bisnis yang besar, termasuk kerugian finansial dan reputasi. Sementara itu, anggaran keamanan perusahaan telah meningkat secara signifikan karena meningkatnya kecanggihan serangan dan banyaknya solusi keamanan siber yang diperkenalkan ke pasar. Dengan peningkatan ancaman, anggaran, dan solusi ini, seberapa siapkah industri dan negara untuk secara efektif mengatasi risiko dunia maya saat ini?

Laporan Kematangan Keamanan Siber 2023 CYE yang baru menjawab pertanyaan ini dengan menyoroti kekuatan keamanan siber di berbagai sektor, ukuran perusahaan, dan negara. Ini menyoroti industri dan negara mana yang memiliki postur dunia maya paling kuat dan tertinggal, serta kerentanan paling umum dalam lanskap ancaman dunia maya saat ini.

Analisis ini didasarkan pada data selama dua tahun, yang dikumpulkan dari lebih dari 500 organisasi di 15 negara, dan mencakup 11 industri serta berbagai ukuran perusahaan. Ini mengukur kematangan keamanan siber di tujuh domain keamanan yang berbeda, termasuk keamanan tingkat aplikasi, keamanan tingkat jaringan, manajemen identitas dan akses jarak jauh, dan banyak lagi.

Kesimpulan keseluruhan dari laporan ini adalah bahwa sebagian besar organisasi tidak cukup siap menghadapi ancaman serangan siber. Namun, organisasi masih dapat mencapai postur kematangan keamanan siber yang tinggi tanpa anggaran yang besar, jika mereka merencanakan dan membelanjakannya dengan benar.

Untuk melindungi diri mereka sendiri, organisasi harus berinvestasi dalam kapabilitas, bukan alat; melakukan penilaian komprehensif untuk mencegah peretas mengeksploitasi kerentanan; dan mengembangkan pendekatan terintegrasi untuk keamanan siber dengan akuntabilitas tingkat dewan. Solusi pengoptimalan keamanan siber seperti CYE dapat membantu dengan menggabungkan teknologi, orang, dan proses untuk mengelola risiko siber organisasi dan melakukan kuantifikasi risiko siber untuk memahami ancaman dan memprioritaskan mitigasi.

Selengkapnya: The Hacker News

Setelah diretas, data dari raksasa teknologi Australia Atlassian dibuang secara online

March 20, 2023 by Søren

Kru peretasan yang kurang dikenal bernama SiegedSec memposting data tentang ribuan karyawan Atlassian dan denah lantai untuk dua kantor vendor perangkat lunak Australia.

File karyawan yang diposting online Rabu berisi lebih dari 13.200 entri dan tinjauan sepintas terhadap file tersebut tampaknya menunjukkan beberapa data karyawan saat ini, termasuk nama, alamat email, departemen kerja, dan informasi lainnya. Denah lantai adalah untuk satu lantai kantor perusahaan di San Francisco dan satu lagi untuk kantornya di Sydney, Australia.

“BENAR SEKALI, SiegedSec di sini untuk mengumumkan bahwa kami telah meretas perusahaan perangkat lunak Atlassian,” kata sebuah pesan yang diposting dengan file tersebut. “Perusahaan senilai $44 miliar ini telah dimiliki oleh para peretas berbulu uwu.”

Perwakilan Atlassian awalnya memberi tahu CyberScoop melalui email pada hari Kamis bahwa pada 15 Februari perusahaan mengetahui bahwa data dari Utusan, aplikasi pihak ketiga yang digunakan Atlassian untuk mengoordinasikan sumber daya di kantor, diterbitkan secara online, tetapi bahwa “produk Atlassian dan data pelanggan ” adalah “tidak berisiko”. Perusahaan tersebut kemudian memberi tahu TechCrunch bahwa tinjauan internalnya mengungkapkan bahwa data tersebut diakses dari aplikasi Utusan “menggunakan kredensial karyawan Atlassian yang secara keliru diposting di repositori publik oleh karyawan tersebut.”

Seorang juru bicara Utusan memberi tahu CyberScoop bahwa sistem perusahaan tidak terganggu atau dilanggar. Orang tersebut mengatakan bahwa kedua perusahaan telah berkolaborasi untuk mengidentifikasi sumber kompromi data. “Kami menemukan bukti di log permintaan yang mengonfirmasi bahwa peretas memperoleh kredensial pengguna yang valid dari akun karyawan Atlassian dan menggunakan akses tersebut untuk mengunduh data yang terpengaruh dari aplikasi Envoy. Kami dapat mengonfirmasi bahwa sistem Utusan tidak disusupi atau dilanggar dan tidak ada data pelanggan lain yang diakses.”

Selengkapnya: Cyberscoop

Peretas Mengeksploitasi Cacat Eskalasi Hak Istimewa Microsoft Outlook di Alam Liar

March 19, 2023 by Coffee Bean

Menanggapi penemuan kerentanan kritis di Microsoft Outlook, CVE-2023-23397, yang secara aktif dieksploitasi oleh pelaku ancaman, Cisco Talos mendesak semua pengguna Outlook untuk memperbarui klien email mereka sesegera mungkin setelah kerentanan ditemukan .

Sementara Microsoft kemudian menentukan bahwa aktivitas tersebut dihasilkan dari aktor yang berbasis di Rusia, dan mereka digunakan dalam serangan yang ditargetkan terhadap sejumlah organisasi.

Sebagai akibat dari eksploitasi kerentanan keamanan ini, serangan dilakukan antara pertengahan April dan Desember 2022. Selama ini, pelaku ancaman menargetkan dan menerobos jaringan sekitar 15 organisasi penting terkait dengan:-

Pemerintah
Militer
Energi
Transportasi

Detail Cacat
Kerentanan CVE-2023-23397 memengaruhi semua produk Microsoft Outlook yang berjalan di sistem operasi Windows. Ini adalah kerentanan di NTLM dan dapat dieksploitasi untuk pencurian kredensial untuk mendapatkan akses kaya ke organisasi melalui eskalasi kerentanan hak istimewa.

CVE ID: CVE-2023-23397
Dirilis: 14 Mar 2023, Terakhir diperbarui: 15 Mar 2023
Dampak: Peningkatan Hak Istimewa
Rangkuman: Peningkatan Kerentanan Privilege Microsoft Outlook
Keparahan: Kritis
Skor CVSS: 9.8

Pelaku ancaman dapat membuat email, undangan kalender, atau tugas yang berisi properti MAPI yang diperluas “PidLidReminderFileParameter.”

“PidLidReminderFileParameter” memungkinkan klien untuk menentukan nama file suara yang akan diputar saat pengingat untuk suatu objek terlambat.

Properti PidLidReminderFileParameter ini digunakan oleh penyerang untuk menentukan jalur ke share SMB yang dikendalikan oleh penyerang melalui Konvensi Penamaan Universal (UNC).

Penyerang mungkin dapat menggunakan hash Net-NTLMv2 yang dikirim oleh sistem yang rentan untuk melakukan serangan Relay NTLM terhadap sistem lain.

Mitigasi
Akibatnya, peneliti Microsoft telah menegaskan beberapa mitigasi utama yang harus diikuti organisasi sebagai tindakan pencegahan untuk menjaga diri mereka aman dari serangan cyber semacam ini:-

Menginstal tambalan, Microsoft menyediakan sesegera mungkin akan ideal untuk mengatasi kerentanan ini.
Untuk mencegah penggunaan NTLM sebagai metode otentikasi, pengguna harus menggunakan Grup Keamanan Pengguna yang Dilindungi.
Sangat penting bahwa Anda memblokir port keluar TCP/445 dari jaringan Anda untuk mencegah pesan NTLM meninggalkan jaringan.
Skrip yang dirilis oleh Microsoft memberi administrator kemampuan untuk mengaudit server Exchange mereka untuk item pesan yang memiliki PidLidReminderFileParameters yang disetel ke jalur Konvensi Penamaan Universal (UNC).
Admin harus membersihkan properti dan menghapus item berbahaya atau bahkan menghapus item secara permanen jika diperlukan dengan bantuan skrip ini.

Microsoft Outlook di Windows dipengaruhi oleh kerentanan eskalasi hak istimewa ini dengan tingkat keparahan 9,8, yang memengaruhi semua versi aplikasi.

Dengan mengirimkan email jahat ke target, penyerang dapat menggunakan kerentanan ini untuk mencuri kredensial NTLM mereka dalam hitungan detik.

Setiap kali Outlook terbuka, pengingat akan ditampilkan di sistem, dan tidak diperlukan interaksi dengan pengguna karena eksploitasi terjadi secara otomatis.

Singkatnya, sangat disarankan oleh analis keamanan bahwa admin harus segera menerapkan dan memeriksa semua mitigasi yang disarankan untuk mencegah serangan apa pun secara efektif.

selengkapnya : cybersecuritynews.com

Geng Ransomware BianLian Mengalihkan Fokus ke Pemerasan Data Murni

March 18, 2023 by Coffee Bean

Laporan yang disunting bahwa operator BianLian tetap mempertahankan akses awal dan teknik gerakan lateral yang sama dan terus menerapkan backdoor berbasis Go kustom yang memberi mereka akses jarak jauh pada perangkat yang disusupi, meskipun versinya sedikit lebih baik.

Pelaku ancaman memposting korban mereka dalam bentuk topeng secepat 48 jam setelah pelanggaran di situs pemerasan mereka, memberi mereka kira-kira sepuluh hari untuk membayar uang tebusan.

Pada 13 Maret 2023, BianLian telah mendaftarkan total 118 organisasi korban di portal pemerasan mereka, dengan sebagian besar (71%) adalah perusahaan yang berbasis di A.S.

Perbedaan utama yang terlihat dalam serangan baru-baru ini adalah bahwa BianLian berupaya memonetisasi pelanggarannya tanpa mengenkripsi file korban. Sebaliknya, sekarang hanya mengandalkan ancaman untuk membocorkan data yang dicuri.

“Grup berjanji bahwa setelah mereka dibayar, mereka tidak akan membocorkan data yang dicuri atau mengungkap fakta bahwa organisasi korban telah mengalami pelanggaran. BianLian menawarkan jaminan ini berdasarkan fakta bahwa “bisnis” mereka bergantung pada reputasi mereka,” sebut Disunting dalam laporan.

Tidak diketahui apakah BianLian mengabaikan taktik enkripsi karena Avast merusak enkripsi mereka atau karena peristiwa ini membantu mereka menyadari bahwa mereka tidak memerlukan bagian rantai serangan itu untuk memeras korban agar membayar uang tebusan.

Perlu disebutkan bahwa ketika Avast merilis decryptor gratisnya, BianLian meremehkan pentingnya, mengatakan itu hanya akan bekerja pada versi awal “musim panas 2022” dari ransomware dan akan merusak file yang dienkripsi oleh semua build berikutnya.

selengkapnya : bleepingcomputer

Badan federal diretas oleh 2 grup berkat cacat yang tidak ditambal selama 4 tahun

March 17, 2023 by Søren

Berbagai aktor ancaman—salah satunya bekerja atas nama negara-bangsa—mendapatkan akses ke jaringan agen federal AS dengan mengeksploitasi kerentanan berusia empat tahun yang masih belum ditambal, pemerintah AS memperingatkan.

Aktivitas eksploitasi oleh satu kelompok kemungkinan besar dimulai pada Agustus 2021 dan Agustus lalu oleh kelompok lain, menurut sebuah penasehat yang diterbitkan bersama oleh Cybersecurity and Infrastructure Security Agency, FBI, dan Pusat Analisis dan Berbagi Informasi Multi-State. Dari November lalu hingga awal Januari, server menunjukkan tanda-tanda kompromi.

Kedua grup mengeksploitasi kerentanan eksekusi kode yang dilacak sebagai CVE-2019-18935 di alat pengembang yang dikenal sebagai antarmuka pengguna Telerik (UI) untuk ASP.NET AJAX, yang terletak di server web Microsoft Internet Information Services (IIS) agensi. Penasihat itu tidak mengidentifikasi badan tersebut selain mengatakan bahwa itu adalah Badan Cabang Eksekutif Sipil Federal di bawah otoritas CISA.

UI Telerik untuk ASP.NET AJAX dijual oleh perusahaan bernama Progress, yang berkantor pusat di Burlington, Massachusetts, dan Rotterdam di Belanda. Alat ini menggabungkan lebih dari 100 komponen UI yang dapat digunakan pengembang untuk mengurangi waktu yang diperlukan untuk membuat aplikasi Web kustom. Pada akhir 2019, Progress merilis versi 2020.1.114, yang menambal CVE-2019-18935, kerentanan deserialisasi tidak aman yang memungkinkan eksekusi kode dari jarak jauh pada server yang rentan. Kerentanan membawa peringkat keparahan 9,8 dari kemungkinan 10. Pada tahun 2020, NSA memperingatkan bahwa kerentanan sedang dieksploitasi oleh aktor yang disponsori negara China.

“Eksploitasi ini, yang menghasilkan akses interaktif dengan server web, memungkinkan pelaku ancaman berhasil mengeksekusi kode jarak jauh di server web yang rentan,” jelas penasehat hari Kamis. “Meskipun pemindai kerentanan agensi memiliki plugin yang sesuai untuk CVE-2019-18935, ia gagal mendeteksi kerentanan karena perangkat lunak Telerik UI dipasang di jalur file yang biasanya tidak dipindai. Ini mungkin terjadi pada banyak penginstalan perangkat lunak, karena jalur file sangat bervariasi tergantung pada organisasi dan metode penginstalan.”

Selengkapnya: ars TECHNICA

Grup Ransomware Mengklaim Peretasan Cincin Amazon

March 15, 2023 by Coffee Bean

Geng ransomware mengklaim telah melanggar cincin perusahaan kamera keamanan yang sangat populer, yang dimiliki oleh Amazon. Geng ransomware mengancam akan merilis data Ring. Ring memberi tahu Motherboard bahwa ia tidak memiliki bukti pelanggaran sistemnya sendiri, tetapi mengatakan vendor pihak ketiga telah terkena ransomware.
ALPHV lebih dari sekadar mengunci file korban, dan memiliki situs web yang menamai dan mempermalukan korbannya dalam upaya untuk memeras mereka. Jika target tersebut tidak membayar, ALPHV mengancam akan merilis data yang dicuri dari mereka secara publik. Situs ALPHV menonjol karena bagian situsnya yang menerbitkan data yang diretas, yang disebut “Koleksi”, lebih mudah dicari daripada beberapa situs grup peretasan lainnya.

Motherboard memverifikasi bahwa daftar penamaan Cincin saat ini ada di situs pembuangan data ALPHV. Kolektif keamanan siber VX Underground men-tweet tangkapan layar dari daftar tersebut sebelumnya pada hari Senin.

Setelah publikasi, satu orang membagikan tautan ke artikel ini di saluran internal Amazon Slack, dan menulis “Jangan membahas apa pun tentang ini. Tim keamanan yang tepat dilibatkan.”

Tidak jelas data spesifik apa yang dapat diakses oleh ALPHV. Dalam sebuah pernyataan, Ring memberi tahu Motherboard, “Saat ini kami tidak memiliki indikasi bahwa Ring telah mengalami peristiwa ransomware.” Tetapi perusahaan menambahkan bahwa mereka mengetahui vendor pihak ketiga yang telah mengalami peristiwa ransomware, dan Ring bekerja sama dengan perusahaan tersebut untuk mempelajari lebih lanjut. Ring mengatakan vendor ini tidak memiliki akses ke catatan pelanggan.

Amazon telah bermitra dengan setidaknya dua ribu departemen kepolisian di seluruh negeri untuk memudahkan pengguna berbagi rekaman dengan penegak hukum. Kamera — dan rekaman yang mereka ambil, yang sering diposting online — telah menjadi sangat populer sehingga Amazon meluncurkan acara televisi yang disebut “Ring Nation”, yang merupakan acara ragam yang sebagian besar terdiri dari blooper yang diambil oleh kamera Ring.

Meskipun Ring sendiri tidak dikompromikan selama insiden tersebut, para peretas memang memanfaatkan kelemahan dalam pengaturan keamanan default Ring. Sejak peretasan tersebut, Ring telah mengubah beberapa praktik keamanannya untuk mempermudah dan memperjelas bagi pengguna untuk memeriksa pengaturan keamanan mereka.

selengkapnya : vice

Apa yang terjadi jika Anda ‘menutupi’ infeksi ransomware? Untuk Blackbaud, biaya $3 juta

March 13, 2023 by Søren

Blackbaud telah setuju untuk membayar $3 juta untuk menyelesaikan tuduhan bahwa ia membuat pengungkapan yang menyesatkan tentang infeksi ransomware tahun 2020 di mana penjahat mencuri lebih dari satu juta file di sekitar 13.000 pelanggan pembuat perangkat lunak cloud.

Menurut pengawas keuangan Amerika, SEC, Blackbaud akan mengeluarkan uang tunai – tanpa mengakui atau menyangkal temuan regulator – dan akan berhenti melakukan pelanggaran lebih lanjut.

“Blackbaud dengan senang hati menyelesaikan masalah ini dengan SEC dan menghargai kolaborasi dan umpan balik konstruktif dari Komisi karena perusahaan terus meningkatkan kebijakan pelaporan dan pengungkapannya,” kata Tony Boor, kepala keuangan perusahaan tersebut, kepada The Register.

“Blackbaud terus memperkuat program keamanan sibernya untuk melindungi pelanggan dan konsumen, serta meminimalkan risiko serangan siber dalam lanskap ancaman yang selalu berubah,” tambah Boor.

Sebagai perspektif: perusahaan yang berbasis di South Carolina – yang menyediakan, antara lain, alat manajemen donor untuk organisasi nirlaba – menghasilkan pendapatan $1,1 miliar pada tahun 2022, yang mengakibatkan kerugian $45,4 juta. Penyelesaian ini adalah yang paling tidak menjadi perhatian bisnis, kami bayangkan.

Inilah yang terjadi: pada bulan Mei 2020, Blackbaud mengalami infeksi ransomware, diam-diam melunasi para penjahat, dan tidak memberi tahu pelanggan tentang pelanggaran keamanan hingga Juli 2020. Dan ketika perusahaan perangkat lunak memberi tahu pelanggan, mereka meyakinkan mereka bahwa ” penjahat dunia maya tidak mengakses…informasi rekening bank, atau nomor jaminan sosial,” menurut perintah SEC.

Namun, pada akhir bulan itu, SEC mengklaim bahwa personel Blackbaud menemukan bahwa penjahat telah mengakses informasi rekening bank donor dan nomor jaminan sosial yang tidak terenkripsi. Tetapi karyawan diduga tidak memberi tahu manajemen senior tentang pencurian data sensitif pelanggan karena Blackbaud “tidak memiliki kebijakan atau prosedur yang dirancang untuk memastikan mereka melakukannya,” kata dokumen pengadilan.

Selengkapnya: The Register

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attack

Cookies Settings