Cyber Crime

Bahaya Tersembunyi dari Power Automate dan eDiscovery Tools Microsoft 365

February 10, 2021 by Winnie the Pooh

Ketika organisasi semakin merangkul lingkungan cloud hybrid, para aktor siber mengambil keuntungan dengan menggunakan akses istimewa dan aplikasi yang sah untuk melakukan serangan dan melakukan tindakan jahat.

Dengan tenaga kerja yang semakin tersebar dan adopsi cepat aplikasi berbasis cloud untuk mengakomodasi pekerja jarak jauh, Microsoft Office 365, sekarang disebut Microsoft 365, telah menjadi salah satu alat kolaborasi dan produktivitas yang paling kuat dan banyak digunakan di dunia, dengan lebih dari 250 juta pengguna.

Namun, Microsoft 365 terus menjadi salah satu lingkungan yang paling menantang dan kompleks untuk dipantau dan dikontrol, meskipun adopsi otentikasi multifaktor (MFA) dan kontrol keamanan lainnya ditingkatkan.

Power Automate dan eDiscovery Compliance Search, alat aplikasi yang disematkan di Microsoft 365, telah muncul sebagai target berharga bagi penyerang. Studi Vectra mengungkapkan bahwa 71% akun yang dipantau telah memperhatikan aktivitas mencurigakan menggunakan Power Automate, dan 56% akun mengungkapkan perilaku mencurigakan yang serupa menggunakan alat eDiscovery.

Di bawah ini adalah data yang ditampilkan dari waktu ke waktu dan relatif terhadap penerapan total Microsoft 365.

Penggunaan jahat Power Automate baru-baru ini menjadi yang terdepan ketika Microsoft mengumumkan menemukan pelaku ancaman tingkat lanjut dalam organisasi multinasional besar yang menggunakan alat tersebut untuk mengotomatiskan eksfiltrasi data. Insiden ini tidak terdeteksi selama lebih dari 200 hari.

Yang tidak kalah penting adalah eDiscovery Compliance Search, yang merupakan alat penemuan elektronik yang memungkinkan pengguna mencari informasi di semua konten dan aplikasi Microsoft 365 menggunakan satu perintah sederhana. Penyerang dapat menggunakan eDiscovery sebagai alat eksfiltrasi data. Misalnya, pencarian sederhana untuk “kata sandi” akan memunculkan hasil dari Microsoft Outlook, Teams, SharePoint, OneDrive, dan OneNote.

Power Automate dan eDiscovery secara aktif digunakan bersama di seluruh siklus hidup serangan. Setelah pelaku ancaman mendapatkan akses menggunakan Power Automate dan eDiscovery, mereka dapat mengonfigurasi ulang pengaturan email, membahayakan penyimpanan file SharePoint dan OneDrive, serta menyiapkan kemampuan pengintaian dan eksfiltrasi persisten dalam hitungan menit.

Selengkapnya: Dark Reading

Serangan ransomware menargetkan perusahaan IT Ness di Israel, AS, India

February 9, 2021 by Winnie the Pooh

Serangan ransomware telah menargetkan perusahaan Ness Digital Engineering yang beroperasi di Israel, AS, dan India, menurut konsultan keamanan siber Einat Meyron.

Rincian serangan siber masih belum jelas, tetapi laporan awal menunjukkan bahwa serangan itu mungkin telah dimulai di Israel dan kemudian menyebar ke cabang Ness lainnya di seluruh dunia.

Shachar Efal, CEO Ness Technologies, mengatakan kepada Ynet bahwa semua sistem mereka telah diuji dan tidak ada gangguan ke dalam perusahaan atau pelanggannya, termasuk ratusan pelanggan di Israel.

Menurut Direktorat Siber Nasional, insiden itu tidak ada hubungannya dengan Israel.

Menurut Meyron, lebih dari 150 server di Israel dan sekitar 1.000 server di luar Israel sedang dipindai oleh McAfee sehubungan dengan serangan itu. Manajer perusahaan cabang India dilaporkan telah mulai mengelola insiden tersebut dan telah melibatkan perusahaan asuransi mereka, AIG.

Tangkapan layar dari pesan yang ditampilkan sebagai bagian dari serangan tersebut berbunyi “Halo ness-digital-engineering! Jika Anda membaca pesan ini, artinya jaringan Anda DITETRASI dan semua file serta data Anda telah DIENKRIPSI oleh RAGNAR LOCKER!” Pesan tersebut menginstruksikan perusahaan untuk menghubungi obrolan langsung yang disediakan dalam pesan untuk menyelesaikan kasus dan “membuat kesepakatan.”

Selengkapnya: Jpost

Peretas memodifikasi level kimia air minum di Florida

February 9, 2021 by Winnie the Pooh

Seorang peretas tak dikenal telah mengakses sistem komputer untuk fasilitas pengolahan air di kota Oldsmar, Florida, dan telah memodifikasi tingkat kimiawi menjadi parameter berbahaya.

Intrusi terjadi pada hari Jumat, 5 Februari, ketika peretas mengakses sistem komputer yang diatur untuk memungkinkan kendali jarak jauh operasi pengolahan air.

Peretas pertama kali mengakses sistem ini pada jam 8 pagi, di pagi hari, dan kemudian lagi untuk gangguan kedua yang lebih lama pada jam 1:30 siang, di sore hari.

Gangguan kedua ini berlangsung selama sekitar lima menit dan langsung terdeteksi oleh operator yang memantau sistem dan melihat peretas menggerakkan kursor mouse di layar dan mengakses perangkat lunak yang bertanggung jawab untuk pengolahan air.

Staf kota Oldsmar mengatakan bahwa tidak ada air tercemar yang dikirim ke penduduk setempat karena serangan itu terjadi tepat waktu sebelum level alkali dapat digunakan.

Menurut Sheriff Gualtieri, peretas memutuskan sambungan segera setelah mereka memodifikasi tingkat alkali, dan seorang operator manusia mengatur tingkat bahan kimia kembali ke normal segera.

Pejabat tidak mengaitkan serangan itu dengan kelompok atau entitas peretas tertentu. Waktu serangan juga diperhatikan karena kota Oldsmar terletak di dekat pusat kota Tampa, yang menjadi tuan rumah pertandingan Super Bowl LV pada hari Minggu.

Selengkapnya: ZDNet

Bagaimana serangan phishing yang berhasil dapat merugikan organisasi Anda

February 9, 2021 by Winnie the Pooh

Serangan phishing tampak seperti taktik yang relatif sederhana di pihak penjahat siber. Namun, di sisi penerima, kampanye phishing yang berhasil dapat merusak organisasi dengan lebih dari satu cara.

Sebuah laporan yang dirilis pada hari Minggu oleh penyedia keamanan Proofpoint melihat dampak serangan phishing dan menawarkan tip tentang cara melawannya.

Tahun 2020 terlihat sedikit peningkatan serangan phishing di antara pelanggan Proofpoint. Sekitar 57% mengatakan organisasi mereka terkena serangan yang sukses tahun lalu, naik dari 55% pada 2019. Lebih dari 75% responden mengatakan mereka menghadapi serangan phishing berbasis luas – baik yang berhasil maupun yang tidak – pada tahun 2020.

Serangan phishing yang berhasil dapat memengaruhi organisasi dalam beberapa cara. Kehilangan data adalah efek samping terbesar, dikutip oleh rata-rata 60% di antara mereka yang disurvei.

Akun atau kredensial yang disusupi adalah pengaruh terbesar kedua, yang disebutkan oleh 52% responden. Hasil tambahan dari serangan phishing termasuk infeksi ransomware sebanyak 47%, infeksi malware lainnya sebesar 29%, dan kerugian finansial atau penipuan transfer bank sebesar 18%.

Untuk membantu organisasi dan karyawan Anda menggagalkan kampanye phishing, Proofpoint menawarkan berbagai saran yang dapat Anda lihat disini.

Sumber: Tech Republic

Versi Ransomware Zeoticus 2.0 yang baru menjalankan muatan tanpa konektivitas atau perintah jarak jauh

February 8, 2021 by Winnie the Pooh

Rilis versi yang lebih fleksibel dan efektif dari ransomware Zeoticus telah menggarisbawahi semakin pentingnya pencegahan serangan, seorang peneliti keamanan menyimpulkan.

Tidak seperti pendahulunya, Zeoticus 2.0 dapat mengeksekusi muatan tanpa konektivitas atau perintah jarak jauh, menurut analisis malware yang dilakukan oleh SentinelOne.

Jenis ransomware, yang pertama kali muncul pada awal 2020, “akan dijalankan sepenuhnya secara offline, tanpa ketergantungan pada C2 (Command & Control)”, tulis Jim Walter, peneliti ancaman senior di vendor keamanan siber, dalam sebuah posting blog.

Sebagian besar peningkatan Zeoticus 2.0 “berfokus pada kecepatan dan efisiensi”, seperti penggunaan algoritme enkripsi cepat, yang mencakup algoritme XChaCha20 simetris dan, di sisi asimetris, Poly1305, XSalsa20, dan Curve25519.

Kumpulan dan permukaan serangan yang dapat dieksploitasi dari target potensial telah meluas juga, dengan malware sekarang dapat menemukan dan menginfeksi drive jarak jauh yang kompatibel dengan semua lini OS Windows dan bahkan mungkin dapat “berjalan di Windows XP dan sebelumnya”.

“Infeksi ransomware aktif semakin sulit dikendalikan, ditahan, dan dimitigasi,” kata Walter. Hal ini membuat pencegahan infeksi “lebih penting daripada sebelumnya mengingat sulitnya pemulihan dari serangan ransomware yang dahsyat”.

Pengguna juga harus dididik tentang metode penyerang dan didorong untuk melaporkan aktivitas yang mencurigakan, lanjut peneliti.

Sumber: The Daily Swig

Geng Ransomware Mulai Mengincar Sektor Industri

February 3, 2021 by Winnie the Pooh

Sebuah laporan baru-baru ini dikeluarkan oleh perusahaan keamanan siber Digital Shadows, meneliti industri mana yang paling menjadi sasaran ransomware selama tahun 2020. Meskipun hampir setiap industri berurusan dengan geng ransomware selama 12 bulan terakhir, barang dan jasa industri adalah yang paling ditargetkan, terhitung 29 % atau hampir satu per tiga serangan ransomware.

Jumlah serangan itu lebih banyak daripada yang terjadi pada tiga sektor berikutnya yang paling ditargetkan – konstruksi, teknologi, dan ritel

Produsen dan infrastruktur dapat menjadi target serangan ransomware karena organisasi di sektor ini harus beroperasi sepanjang waktu, baik itu menjalankan jalur produksi pabrik atau mengoperasikan pabrik utilitas. Jika mereka tidak dapat menyediakan layanan ini, mungkin ada dampak luas di bagian bawah rantai pasokan.

Sistem ini cenderung digunakan terus-menerus, yang dapat menimbulkan masalah lain karena operator mungkin enggan menjadikannya offline untuk menerapkan aliran tambalan perangkat lunak rutin yang diperlukan untuk melindungi dari kerentanan keamanan yang dapat memberikan akses geng ransomware. Itu jika mesin dapat menerima pembaruan keamanan sama sekali karena teknologi usang dan tidak didukung masih umum di banyak lingkungan industri.

Ketergantungan pada sistem yang lebih lama dan kebutuhan untuk waktu kerja yang konstan, oleh karena itu, membuat pabrik industri menggoda korban untuk serangan ransomware. Untuk penjahat dunia maya, ini semua tentang uang dan mereka menargetkan pabrik karena mereka tahu ada uang yang akan dihasilkan, berpotensi melawan sasaran empuk yang bersedia membayar.

Ada beberapa contoh kemungkinan peretas yang disponsori negara yang mengkompromikan pemasok infrastruktur penting dan merusak sistem, seperti Stuxnet, serangan malware yang menyebabkan kerusakan besar pada program nuklir Iran.

Saat ini, ransomware yang menargetkan sistem kontrol industri masih jarang terjadi, bahkan jika lingkungan industri yang lebih luas masih secara teratur menjadi penerima serangan ransomware. Namun dalam kedua kasus tersebut, ada hal-hal yang dapat dilakukan organisasi untuk meminimalkan kemungkinan menjadi korban serangan ransomware.

Kerentanan keamanan yang tidak di patch memungkinkan ransomware dan malware lainnya masuk dan menyebar ke seluruh jaringan, jadi sangat disarankan agar pembaruan keamanan penting segera diterapkan setelah dirilis karena ada untuk melindungi dari kerentanan yang diketahui. Meskipun mungkin ribet untuk untuk memastikan patch diterapkan, namun jauh lebih baik daripada menjadi korban serangan dunia maya.

Forum IObit Diretas Untuk Mendistribusikan DeroHE Ransomware

January 19, 2021 by Winnie the Pooh

IObit, pembuat perangkat lunak seperti pengoptimal sistem dan anti-malware untuk OS Windows, forumnya telah dilanggar. Ini diketahui setelah anggota forum terinfeksi kampanye jahat bundel IObit gratis, karena menjadi anggota.

Mereka melaporkan menerima email dari IObit tentang paket satu tahun gratis dari bundel mereka, yang memiliki tautan ke situs hxxps: //forums.iobit.com/promo.html dan akhirnya dibawa ke hxxps: //forums.iobit. situs com / free-iobit-license-promo.zip unduh file zip.

Meskipun file zip ini ditandatangani secara digital oleh program IObit License Manager yang sah, file IObitUnlocker.dll diganti oleh file berbahaya yang akan menginstal ransomware DeroHE ke dalam C: \ Program Files (x86) \ IObit \ iobit.dll dan menjalankannya.

Ini terjadi karena pengguna percaya perangkat lunak itu sah, karena memiliki tanda tangan digital dari IObit dan dihosting di situs resmi mereka. Saat membukanya, mereka akan melihat kotak dialog untuk tidak mengunci layar atau sistem saat sedang memproses. Namun di latar belakang, ransomware sedang mengenkripsi file host.

Setelah melakukannya, grup ransomware membuat dua folder di layar desktop, satu untuk memberi tahu korban tentang semua file yang dienkripsi dan yang lainnya adalah catatan tebusan. Anehnya, para peretas meminta pembayaran dalam bentuk koin DeroHE, yang merupakan cryptocurrency seperti Bitcoin.

Ini memberi korban tautan darknet ke halaman pembayaran, di mana ia meminta 200 koin DeroHE, yang diterjemahkan menjadi sekitar $ 100. Selain itu, ia menyalahkan IObit atas peretasannya dan membujuk para korban untuk membuat IObit membayar 100.000 dalam bentuk koin Dero untuk mendekripsi sistem semua orang.

Source : Techdator

250.000 database MySQL curian dijual di situs lelang dark web

December 11, 2020 by Winnie the Pooh

Peretas telah menyiapkan situs lelang di dark web untuk menjual 250.000 database yang dicuri dari puluhan ribu server MySQL yang dibobol.

Seluruh koleksi berukuran tujuh terabyte dan merupakan bagian dari database ransom business yang tercatat naik tajam sejak Oktober.

Kembali pada bulan Mei, BleepingComputer melaporkan tentang penyerang yang mencuri database SQL dari toko online dan mengancam korban bahwa data mereka akan diketahui publik jika mereka tidak membayar 0,06 BTC.

Peneliti di Guardicore memantau skema tersebut sepanjang tahun dan melihat peningkatan tajam dalam aktivitas sejak 3 Oktober.

Penyerang telah berpindah dari clear web ke dark web, membuat situs lelang yang mencantumkan 250.000 basis data dari 83.000 server yang dibobol yang terungkap di web publik.

Basis data MySQL yang dijual di situs lelang berukuran mulai dari 20 byte hingga gigabyte, dan ditawarkan dengan jumlah yang sama – 0,03 bitcoin atau $ 545 dengan harga saat ini.

Dalam laporannya, Guardicore menegaskan bahwa hasil data dari serangan otomatis non-target yang menggunakan brute force untuk mendapatkan akses ke data.

Admin harus menghindari mengekspos database, jika memungkinkan, atau setidaknya mengaktifkan akses ke database tersebut melalui koneksi non publik yang aman, dan melengkapi pertahanan ini dengan visibilitas jaringan yang baik.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Crime

Cookies Settings