Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cyber Crime

Cyber Crime

Prancis mengaitkan serangan penyedia hosting ke peretas Sandworm Rusia

by

Badan keamanan siber nasional Prancis telah mengaitkan serangkaian serangan yang mengakibatkan pelanggaran beberapa penyedia TI Prancis selama rentang empat tahun ke grup peretasan Sandworm yang didukung Rusia.

ANSSI (kependekan dari Agence Nationale de la Sécurité des Systèmes d’Information) belum dapat menentukan bagaimana server disusupi.

Oleh karena itu, belum jelas apakah para penyerang mengeksploitasi kerentanan dalam perangkat lunak Centreon yang terekspos atau para korban dikompromikan melalui serangan rantai pasokan.

“Korban pertama tampaknya telah dikompromikan sejak akhir 2017. Kampanye tersebut berlangsung hingga 2020,” kata ANSSI dalam laporan yang diterbitkannya.

“Kampanye ini sebagian besar memengaruhi penyedia teknologi informasi, terutama penyedia web hosting.”

ANSSI menemukan bahwa para penyerang menyebarkan backdoors web shell Exaramel dan PAS (alias Fobushell) saat menganalisis server yang disusupi di jaringan organisasi yang terkena dampak.

Para penyerang menggunakan VPN publik dan komersial serta layanan anonimisasi saat menghubungkan ke pintu belakang termasuk jaringan Tor, EXpressVPN, VPNBook, dan PrivateInternetAccess (PIA).

Menurut badan keamanan siber Prancis, kampanye tersebut menunjukkan beberapa kesamaan dengan perilaku yang diamati saat menganalisis serangan Sandworm sebelumnya, termasuk kampanye penyusupan sebelum memilih salah satu korban untuk kompromi lebih lanjut.

ANSSI juga mengatakan bahwa infrastruktur komando dan kontrol yang digunakan oleh pelaku ancaman untuk mengendalikan malware yang disebarkan pada mesin korban yang dikompromikan dikenal sebagai server yang dikendalikan Sandworm.

Selengkapnya: Bleeping Computer

Operator ransomware Egregor ditangkap di Ukraina

by

Anggota dari ransomware Egregor telah ditangkap minggu ini di Ukraina, stasiun radio Prancis France Inter melaporkan pada hari Jumat, mengutip sumber penegakan hukum.

Penangkapan tersebut, yang belum diumumkan secara resmi, merupakan hasil penyelidikan bersama antara polisi Prancis dan Ukraina.

Nama-nama tersangka belum dirilis. France Inter mengatakan tersangka yang ditangkap memberikan dukungan hacking, logistik, dan keuangan untuk geng Egregor.

Geng Egregor, yang mulai beroperasi pada September 2020, beroperasi berdasarkan model Ransomware-as-a-Service (RaaS). Mereka menyewakan akses ke jenis ransomware yang sebenarnya, tetapi mereka mengandalkan geng kejahatan siber lain untuk mengatur intrusi ke jaringan perusahaan dan menyebarkan ransomware.

Para korban yang menolak membayar biaya pemerasan sering kali terdaftar di situs yang disebut “situs kebocoran”, dengan harapan mempermalukan mereka agar membayar permintaan tebusan. Para korban yang tidak membayar seringkali memiliki dokumen dan file internal yang dibagikan di situs kebocoran Egregor sebagai hukuman.

Menurut laporan France Inter, para tersangka yang ditangkap dipercayai beberapa “afiliasi” (atau mitra) dari geng Egregor, yang membantu menopang operasinya.

France Inter mengatakan pihak berwenang Prancis terlibat dalam penyelidikan setelah beberapa perusahaan besar Prancis dilanda Egregor tahun lalu, seperti studio game Ubisoft dan perusahaan logistik Gefco.

Selengkapnya: ZDNet

Eksklusif: FBI melaporkan banjir serangan ransomware, perusahaan perawatan kesehatan dikepung

by

Peningkatan keluhan ransomware membanjiri FBI pada bulan-bulan terakhir tahun 2020, termasuk serentetan serangan terhadap rumah sakit, The Washington Times telah mempelajari.

Dalam empat bulan terakhir tahun 2020, FBI menerima lebih dari 200 keluhan tentang ransomware, menurut data yang dikumpulkan oleh Internet Crime Complaint Center FBI yang dibagikan dengan The Times.

Kerugian tunai para korban meningkat lebih dari tiga kali lipat pada tahun 2020 dari tahun ke tahun menjadi $29,1 juta, menurut data yang dikumpulkan oleh FBI.

Keluhan memuncak pada bulan Oktober dengan 302 laporan ransomware, yang merupakan perangkat lunak berbahaya yang menginfeksi sistem komputer dan mengancam untuk mempublikasikan data korban atau memblokir akses ke sana kecuali uang tebusan dibayarkan.

FBI tidak melacak serangan ransomware dari segi industri, tetapi laporan pada saat yang sama menunjukkan bahwa industri perawatan kesehatan sedang dikepung.

Serangan ransomware terbukti lebih berhasil dan berkembang lebih canggih, kata Brett Callow, analis ancaman di perusahaan perangkat lunak Emsisoft.

Dia mengatakan orang-orang yang berada di balik serangan ransomware dulu hanya mengenkripsi data tetapi sekarang juga mencoba mencurinya sebagai pengaruh ekstra untuk mendapatkan keuntungan dari kejahatan mereka.

Selengkapnya: Washington Times

Personel Militer Cina Dituntut atas Peretasan Equifax

by

Amerika telah mendakwa personel militer Cina atas tuduhan meretas sistem komputer Equifax dan mencuri rahasia dagang yang berharga dan data pribadi hampir 150 juta orang Amerika.

Dewan juri federal di Atlanta, Georgia, mengembalikan dakwaan minggu lalu terhadap empat anggota Tentara Pembebasan Rakyat China (PLA). Wu Zhiyong (吴志勇), Wang Qian (王 乾), Xu Ke (许可), dan Liu Lei (刘磊) dituduh berkonspirasi untuk melakukan pencurian data selama tiga bulan.

Menurut dakwaan nine-count, para terdakwa mengeksploitasi kerentanan dalam perangkat lunak Apache Struts Web Framework yang digunakan oleh portal sengketa online Equifax untuk mendapatkan akses tidak sah ke sistem komputer lembaga pelaporan kredit.

Begitu masuk, grup tersebut diduga menjalankan sekitar 9.000 kueri di sistem Equifax dari Mei hingga Juli 2017, mendapatkan nama, tanggal lahir, dan nomor Jaminan Sosial untuk hampir setengah dari warga Amerika.

Terdakwa didakwa dengan tiga dakwaan yaitu persekongkolan melakukan penipuan komputer, persekongkolan untuk melakukan spionase ekonomi, dan persekongkolan untuk melakukan wire fraud. Mereka selanjutnya didakwa dengan dua tuduhan akses tidak sah dan kerusakan yang disengaja pada komputer yang dilindungi, satu tuduhan spionase ekonomi, dan tiga tuduhan wire fraud.

Semua terdakwa adalah anggota Institut Penelitian ke-54 PLA, sebuah komponen dari militer China.

Selengkapnya: Info Security

Ransomware HelloKitty di balik serangan siber CD Projekt Red, pencurian data

by

Serangan ransomware terhadap CD Projekt Red dilakukan oleh grup ransomware yang bernama ‘HelloKitty,’ dan ya, itulah nama yang digunakan oleh pelaku ancaman.

Proyek CD mengungkapkan bahwa mereka adalah target serangan ransomware yang mengenkripsi perangkat di jaringan mereka dan menyebabkan pencurian file yang tidak terenkripsi.

Sebagai bagian dari pengumuman tersebut, CD Projekt juga merilis tangkapan layar dari catatan tebusan yang ditinggalkan oleh para penyerang.

Sumber: BleepingComputer

Menurut Fabian Wosar dari Emisoft, ransomware yang bertanggung jawab atas serangan siber ini disebut ‘HelloKitty’. Operasi ransomware ini telah aktif sejak November 2020 dan telah menargetkan perusahaan besar lainnya, seperti perusahaan listrik Brazil CEMIG tahun lalu.

Ransomware HelloKitty diberi nama setelah mutex bernama ‘HelloKittyMutex’ yang digunakan saat program jahat yang dapat dieksekusi diluncurkan.

Sumber: BleepingComputer

Setelah diluncurkan, HelloKitty akan berulang kali menjalankan taskkill.exe untuk menghentikan proses yang terkait dengan perangkat lunak keamanan, server email, server basis data, perangkat lunak cadangan, dan perangkat lunak akuntansi, seperti QuickBooks.

Setelah mematikan berbagai proses dan layanan yang ditargetkan, HelloKitty akan mulai mengenkripsi file di komputer. Saat mengenkripsi file, HelloKitty akan menambahkan ekstensi .crypted ke nama file terenkripsi, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Tidak diketahui seberapa besar permintaan tebusan untuk geng ransomware ini dan apakah para korban telah membayar di masa lalu. Saat ini, tidak ada kelemahan yang memungkinkan korban untuk mendekripsi file mereka secara gratis.

Sumber: Bleeping Computer

Bahaya Tersembunyi dari Power Automate dan eDiscovery Tools Microsoft 365

by

Ketika organisasi semakin merangkul lingkungan cloud hybrid, para aktor siber mengambil keuntungan dengan menggunakan akses istimewa dan aplikasi yang sah untuk melakukan serangan dan melakukan tindakan jahat.

Dengan tenaga kerja yang semakin tersebar dan adopsi cepat aplikasi berbasis cloud untuk mengakomodasi pekerja jarak jauh, Microsoft Office 365, sekarang disebut Microsoft 365, telah menjadi salah satu alat kolaborasi dan produktivitas yang paling kuat dan banyak digunakan di dunia, dengan lebih dari 250 juta pengguna.

Namun, Microsoft 365 terus menjadi salah satu lingkungan yang paling menantang dan kompleks untuk dipantau dan dikontrol, meskipun adopsi otentikasi multifaktor (MFA) dan kontrol keamanan lainnya ditingkatkan.

Power Automate dan eDiscovery Compliance Search, alat aplikasi yang disematkan di Microsoft 365, telah muncul sebagai target berharga bagi penyerang. Studi Vectra mengungkapkan bahwa 71% akun yang dipantau telah memperhatikan aktivitas mencurigakan menggunakan Power Automate, dan 56% akun mengungkapkan perilaku mencurigakan yang serupa menggunakan alat eDiscovery.

Di bawah ini adalah data yang ditampilkan dari waktu ke waktu dan relatif terhadap penerapan total Microsoft 365.

Sumber: Vectra AI

Penggunaan jahat Power Automate baru-baru ini menjadi yang terdepan ketika Microsoft mengumumkan menemukan pelaku ancaman tingkat lanjut dalam organisasi multinasional besar yang menggunakan alat tersebut untuk mengotomatiskan eksfiltrasi data. Insiden ini tidak terdeteksi selama lebih dari 200 hari.

Yang tidak kalah penting adalah eDiscovery Compliance Search, yang merupakan alat penemuan elektronik yang memungkinkan pengguna mencari informasi di semua konten dan aplikasi Microsoft 365 menggunakan satu perintah sederhana. Penyerang dapat menggunakan eDiscovery sebagai alat eksfiltrasi data. Misalnya, pencarian sederhana untuk “kata sandi” akan memunculkan hasil dari Microsoft Outlook, Teams, SharePoint, OneDrive, dan OneNote.

Power Automate dan eDiscovery secara aktif digunakan bersama di seluruh siklus hidup serangan. Setelah pelaku ancaman mendapatkan akses menggunakan Power Automate dan eDiscovery, mereka dapat mengonfigurasi ulang pengaturan email, membahayakan penyimpanan file SharePoint dan OneDrive, serta menyiapkan kemampuan pengintaian dan eksfiltrasi persisten dalam hitungan menit.

Selengkapnya: Dark Reading

Serangan ransomware menargetkan perusahaan IT Ness di Israel, AS, India

by

Serangan ransomware telah menargetkan perusahaan Ness Digital Engineering yang beroperasi di Israel, AS, dan India, menurut konsultan keamanan siber Einat Meyron.

Rincian serangan siber masih belum jelas, tetapi laporan awal menunjukkan bahwa serangan itu mungkin telah dimulai di Israel dan kemudian menyebar ke cabang Ness lainnya di seluruh dunia.

Shachar Efal, CEO Ness Technologies, mengatakan kepada Ynet bahwa semua sistem mereka telah diuji dan tidak ada gangguan ke dalam perusahaan atau pelanggannya, termasuk ratusan pelanggan di Israel.

Menurut Direktorat Siber Nasional, insiden itu tidak ada hubungannya dengan Israel.

Menurut Meyron, lebih dari 150 server di Israel dan sekitar 1.000 server di luar Israel sedang dipindai oleh McAfee sehubungan dengan serangan itu. Manajer perusahaan cabang India dilaporkan telah mulai mengelola insiden tersebut dan telah melibatkan perusahaan asuransi mereka, AIG.

Tangkapan layar dari pesan yang ditampilkan sebagai bagian dari serangan tersebut berbunyi “Halo ness-digital-engineering! Jika Anda membaca pesan ini, artinya jaringan Anda DITETRASI dan semua file serta data Anda telah DIENKRIPSI oleh RAGNAR LOCKER!” Pesan tersebut menginstruksikan perusahaan untuk menghubungi obrolan langsung yang disediakan dalam pesan untuk menyelesaikan kasus dan “membuat kesepakatan.”

Selengkapnya: Jpost

Peretas memodifikasi level kimia air minum di Florida

by

Seorang peretas tak dikenal telah mengakses sistem komputer untuk fasilitas pengolahan air di kota Oldsmar, Florida, dan telah memodifikasi tingkat kimiawi menjadi parameter berbahaya.

Intrusi terjadi pada hari Jumat, 5 Februari, ketika peretas mengakses sistem komputer yang diatur untuk memungkinkan kendali jarak jauh operasi pengolahan air.

Peretas pertama kali mengakses sistem ini pada jam 8 pagi, di pagi hari, dan kemudian lagi untuk gangguan kedua yang lebih lama pada jam 1:30 siang, di sore hari.

Gangguan kedua ini berlangsung selama sekitar lima menit dan langsung terdeteksi oleh operator yang memantau sistem dan melihat peretas menggerakkan kursor mouse di layar dan mengakses perangkat lunak yang bertanggung jawab untuk pengolahan air.

Staf kota Oldsmar mengatakan bahwa tidak ada air tercemar yang dikirim ke penduduk setempat karena serangan itu terjadi tepat waktu sebelum level alkali dapat digunakan.

Menurut Sheriff Gualtieri, peretas memutuskan sambungan segera setelah mereka memodifikasi tingkat alkali, dan seorang operator manusia mengatur tingkat bahan kimia kembali ke normal segera.

Pejabat tidak mengaitkan serangan itu dengan kelompok atau entitas peretas tertentu. Waktu serangan juga diperhatikan karena kota Oldsmar terletak di dekat pusat kota Tampa, yang menjadi tuan rumah pertandingan Super Bowl LV pada hari Minggu.

Selengkapnya: ZDNet