Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cyberattack

Cyberattack

Cyberattack Mematikan Layanan Pengangguran Di Seluruh AS

by

Serangan siber yang menargetkan vendor pihak ketiga telah menutup layanan pengangguran online di beberapa negara bagian AS.

Insiden tersebut melibatkan sebuah perusahaan yang berbasis di Florida bernama Geographic Solutions Inc. (GSI), yang memasarkan dirinya sebagai penyedia terkemuka perangkat lunak ketenagakerjaan untuk instansi pemerintah.

Mulai hari Selasa, banyak departemen tenaga kerja negara bagian termasuk di California(Buka di jendela baru), Louisiana(Buka di jendela baru) dan Tennessee(Buka di jendela baru) melaporkan bahwa pemadaman di Geographic Solutions telah memaksa mereka untuk mengambil layanan pengangguran online offline.

Dalam sebuah pernyataan (Buka di jendela baru) kepada pejabat Tennessee, Geographic Solutions mengatakan baru-baru ini “mengidentifikasi aktivitas anomali” di jaringan perusahaan. Namun, departemen tenaga kerja Louisiana menawarkan lebih spesifik dan mengatakan perusahaan itu benar-benar menemukan “usaha serangan malware”, yang mengharuskan Geographic Solutions untuk mematikan sistemnya.

“​Pemadaman akibat serangan itu juga berdampak pada 40 negara bagian lain dan Washington, D.C., yang menggunakan GSI,” tambah departemen tenaga kerja Louisiana.

Akibatnya, serangan siber berisiko mencegah ribuan orang Amerika mengklaim tunjangan pengangguran mereka tepat waktu. Departemen tenaga kerja Louisiana mencatat bahwa 11.000 orang saat ini mengandalkan sistem online untuk mengajukan klaim pengangguran, tetapi berencana mengeluarkan pembayaran hanya setelah sistem pengarsipan pengangguran departemen kembali online.

Masih belum jelas jenis malware apa yang menyerang jaringan TI Geographic Solutions, dan apakah ransomware terlibat. Tetapi departemen tenaga kerja Nebraska mengatakan: “GSI telah mengindikasikan serangan ini hanya mempengaruhi akses ke sistem online GSI dan tidak ada bukti data pengguna dikompromikan.”

Sumber: Bleeping Computer

Nvidia mengonfirmasi sedang menyelidiki ‘insiden’, yang dilaporkan merupakan serangan siber

by

Nvidia mengonfirmasi kepada The Verge, Bloomberg, Reuters, dan lainnya bahwa mereka sedang menyelidiki sebuah “insiden” — beberapa jam setelah The Telegraph melaporkan bahwa raksasa pembuat chip grafis itu mengalami serangan siber yang menghancurkan yang “benar-benar membahayakan” sistem internal perusahaan selama dua hari terakhir. .

“Kami sedang menyelidiki sebuah insiden. Kegiatan bisnis dan komersial kami terus berlanjut tanpa gangguan. Kami masih bekerja untuk mengevaluasi sifat dan ruang lingkup acara tersebut dan tidak memiliki informasi tambahan untuk dibagikan saat ini,” bunyi pernyataan melalui juru bicara Nvidia Hector Marinez.

Bahkan sumber The Telegraph tidak menyarankan bahwa Nvidia memiliki data yang dicuri atau dihapus, dan tidak ada saran saat ini bahwa “insiden” itu mungkin terkait dengan invasi Rusia ke Ukraina, meskipun serangan siber telah menjadi bagian dari ofensif, dan infrastruktur internet juga menjadi sasaran di sana.

Bloomberg sekarang melaporkan itu adalah serangan ransomware kecil, mengutip “orang yang akrab dengan insiden itu.”

Namun, jika perusahaan yang berbasis di AS seperti Nvidia menjadi sasaran, hal itu dapat memicu pembalasan dari Amerika Serikat. “Jika Rusia mengejar serangan siber terhadap perusahaan kami, infrastruktur penting kami, kami siap untuk meresponsnya,” kata Presiden Biden dalam pidatonya pada hari Kamis.

Sementara dugaan serangan dilaporkan melumpuhkan email Nvidia, kami menerima pernyataan Nvidia hari ini dari alamat email Nvidia.

Nvidia juga secara misterius meminta pers Rabu malam untuk mendorong kembali pengumuman kecil yang akan tiba pada hari Kamis, tanpa memberikan penjelasan. Waktu itu sejalan dengan ketika The Telegraph melaporkan bahwa sistem Nvidia telah disusupi.

Selengkapnya: The Verge

IBM Security X-Force Research Advisory: Malware Destruktif Baru yang Digunakan Dalam Serangan Cyber di Ukraina

by

Pada 23 Februari 2022, sumber intelijen open-source mulai melaporkan deteksi malware penghapus — keluarga malware perusak yang dirancang untuk menghancurkan data target secara permanen — yang dijalankan pada sistem milik organisasi Ukraina.

IBM Security X-Force memperoleh sampel penghapus bernama HermeticWiper. Ini menggunakan driver manajer partisi jinak (salinan empntdrv.sys) untuk melakukan kemampuan menghapusnya merusak semua drive fisik yang tersedia Master Boot Record (MBR), partisi, dan sistem file (FAT atau NTFS).

Ini bukan malware penghapus pertama yang menargetkan organisasi Ukraina yang dianalisis X-Force. Pada Januari 2022, X-Force menganalisis malware WhisperGate dan tidak mengidentifikasi kode yang tumpang tindih antara WhisperGate dan HermeticWiper.

Pada Januari 2022, X-Force menganalisis malware WhisperGate. HermeticWIper adalah keluarga malware destruktif kedua yang baru terlihat yang diamati dalam dua bulan terakhir yang menargetkan organisasi di Ukraina, dan dilaporkan negara-negara lain di Eropa Timur. Tidak ada kode yang tumpang tindih yang diidentifikasi antara WhisperGate dan HermeticWiper.

Kecepatan penyebaran dan penemuan keluarga malware baru yang merusak ini belum pernah terjadi sebelumnya, dan selanjutnya menyoroti kebutuhan organisasi untuk memiliki strategi pertahanan yang aktif dan terinformasi yang melampaui pertahanan berbasis tanda tangan.

Karena konflik di kawasan terus berkembang dan mengingat kemampuan destruktif dari WhisperGate dan HermeticWiper, IBM Security X-Force merekomendasikan organisasi infrastruktur penting dalam kawasan yang ditargetkan untuk membentengi pertahanan. Organisasi tersebut harus fokus pada persiapan untuk serangan potensial yang dapat menghancurkan atau mengenkripsi data atau berdampak signifikan pada operasi.

Selengkapnya: Security Intelligence

Jaringan hotel mengubah PC Windows ke Chrome OS menggunakan CloudReady setelah serangan ransomware

by

Pada akhir tahun 2020, Google mengakuisisi perusahaan yang menawarkan perangkat lunak untuk mengubah PC lama menjadi perangkat seperti Chrome OS.

Dalam satu contoh terkenal, jaringan hotel Norwegia beralih ke CloudReady untuk mengubah beberapa ribu laptop Windows yang dikunci dari ransomware menjadi Chromebook.

Nordic Choice Hotels adalah jaringan besar di Skandinavia, Finlandia, dan Baltik dengan 200 properti. Nordic Choice Hotels mengalami serangan ransomware pada bulan Desember, seperti yang dilaporkan E24, yang mengenkripsi file perangkat dan mengharuskan staf TI untuk menghapus internet/jaringan mereka.

Peretasan langsung ini menuntut grup hotel membayar uang tebusan untuk mendapatkan kembali file (catatan karyawan tetapi bukan informasi tamu) dan mencegah kebocoran.

Dalam hal dampak, staf harus menggunakan pena dan kertas (atau lebih tepatnya, spidol dan papan tulis), sementara sistem kartu kunci yang jatuh mengharuskan karyawan untuk “mengunci semua tamu dengan kartu kunci utama.”

Alih-alih menghabiskan beberapa jam untuk menghapus virus dari setiap perangkat, Nordic Choice memutuskan untuk mempercepat proyek migrasi Chrome yang sebelumnya sudah berlangsung.

Secara keseluruhan, 2.000 laptop Windows, yang terlihat seperti Lenovo ThinkPads, diubah dengan CloudReady menjadi pengalaman seperti Chromebook dalam 48 jam.

Google tampaknya telah membantu ini dengan membiarkan mereka “melompat dalam antrian untuk menjalankan dan menjalankan proyek.”

Selengkapnya: 9to5 Google

Peretas APT China Menggunakan Eksploitasi Log4Shell untuk Menargetkan Institusi Akademik

by

Kelompok intrusi bertarget berbasis di China yang belum pernah dilihat sebelumnya yang dijuluki Aquatic Panda telah diamati memanfaatkan kelemahan kritis di perpustakaan logging Apache Log4j sebagai vektor akses untuk melakukan berbagai operasi pasca-eksploitasi, termasuk pengintaian dan pengambilan kredensial pada sistem yang ditargetkan.

Perusahaan keamanan siber CrowdStrike mengatakan penyusupan itu, yang akhirnya berhasil digagalkan, ditujukan pada “lembaga akademis besar” yang tidak disebutkan namanya. Kelompok yang disponsori negara diyakini telah beroperasi sejak pertengahan 2020 dalam mengejar pengumpulan intelijen dan spionase industri, dengan serangannya terutama ditujukan terhadap perusahaan di sektor telekomunikasi, teknologi, dan pemerintah.

Upaya intrusi mengeksploitasi kelemahan Log4Shell yang baru ditemukan (CVE-2021-44228, skor CVSS: 10.0) untuk mendapatkan akses ke instance rentan dari desktop VMware Horizon dan produk virtualisasi aplikasi, diikuti dengan menjalankan serangkaian perintah jahat yang diatur untuk mengambil ancaman muatan aktor yang dihosting di server jauh.

“Versi modifikasi dari eksploitasi Log4j kemungkinan digunakan selama operasi aktor ancaman,” catat para peneliti, menambahkan itu melibatkan penggunaan eksploitasi yang diterbitkan di GitHub pada 13 Desember 2021.

Perilaku jahat Aquatic Panda lebih dari sekadar melakukan pengintaian terhadap host yang disusupi, dimulai dengan berupaya menghentikan layanan deteksi dan respons titik akhir (EDR) pihak ketiga, sebelum melanjutkan untuk mengambil muatan tahap berikutnya yang dirancang untuk mendapatkan shell terbalik dan pencurian kredensial.

Selengkapnya: The Hacker News

1,6 Juta Situs WordPress Di Bawah Serangan Cyber ​​Dari Lebih dari 16.000 Alamat IP

by

Sebanyak 1,6 juta situs WordPress telah menjadi sasaran kampanye serangan aktif berskala besar yang berasal dari 16.000 alamat IP dengan memanfaatkan kelemahan pada empat plugin dan 15 tema Epsilon Framework.

Perusahaan keamanan WordPress, “Wordfence”, yang mengungkapkan rincian serangan, mengatakan pada hari Kamis bahwa pihaknya telah mendeteksi dan memblokir lebih dari 13,7 juta serangan yang ditujukan pada plugin dan tema dalam periode 36 jam dengan tujuan mengambil alih situs web dan melakukan tindakan jahat.

Plugin yang dimaksud adalah Kiwi Social Share (<= 2.0.10), WordPress Automatic (<= 3.53.2), Pinterest Automatic (<= 4.14.3), dan PublishPress Capabilities (<= 2.3), beberapa di antaranya telah ditambal berkencan sepanjang perjalanan kembali ke November 2018. Sebagian besar serangan yang diamati oleh Wordfence melibatkan musuh yang memperbarui opsi "users_can_register" (yaitu, siapa pun dapat mendaftar) untuk diaktifkan dan mengatur pengaturan "default_role" (yaitu, peran default pengguna yang mendaftar di blog) menjadi administrator, dengan demikian memungkinkan musuh untuk mendaftar di situs yang rentan sebagai pengguna istimewa dan mengambil kendali. Terlebih lagi, intrusi dikatakan telah melonjak hanya setelah 8 Desember, menunjukkan bahwa "kerentanan yang baru-baru ini ditambal di PublishPress Capabilities mungkin telah memicu penyerang untuk menargetkan berbagai kerentanan Pembaruan Opsi Sewenang-wenang sebagai bagian dari kampanye besar-besaran," kata Chloe Chamberland dari Wordfence. Mengingat eksploitasi aktif, pemilik situs WordPress yang menjalankan salah satu plugin atau tema yang disebutkan di atas disarankan untuk menerapkan perbaikan terbaru untuk mengurangi ancaman. Selengkapnya: The Hacker News

Sorotan Dark Web: Serangan Ransomware Grup Eberspcher

by

Produsen suku cadang otomotif multinasional Eberspächer Group telah diserang oleh ransomware. Tidak diketahui sejauh mana serangan itu atau siapa yang bertanggung jawab.

Pada publikasi ini, infrastruktur TI mereka telah dinonaktifkan secara efektif.

Grup Eberspacher mempekerjakan lebih dari 10.000 pekerja dengan 80 pabrik yang tersebar di 28 negara.

Grup Eberspacher menyediakan suku cadang untuk banyak perusahaan otomotif Jerman terkemuka seperti Audi, Volkswagen, BMW, dan lainnya.

Dengan infrastruktur TI mereka yang lumpuh, Eberspacher Group terpaksa menghentikan produksi dan memulangkan karyawannya. Tidak diketahui kapan sistem akan kembali online.

Grup Eberspacher tidak dapat dihubungi melalui telepon atau email karena sistem tersebut juga dinonaktifkan.

Industri Otomotif, dari merek besar hingga pemasok seperti Eberspacher Group, sangat rentan terhadap serangan rantai pasokan dan gangguan kerja dari Ransomware.

CybelAngel baru-baru ini menerbitkan laporan “Perlombaan Melawan Ancaman Eksternal dalam Rantai Pasokan Otomotif” yang mencakup risiko unik yang dihadapi oleh industri dan rekomendasi tentang bagaimana mereka dapat melindungi diri mereka sendiri.

Selengkapnya: CybelAngel

Geng ransomware sekarang menjadi korban panggilan dingin jika mereka memulihkan dari cadangan tanpa membayar

by

Dalam upaya untuk menekan korban, beberapa geng ransomware sekarang menelepon korban di ponsel mereka jika mereka curiga bahwa perusahaan yang diretas mungkin mencoba memulihkan dari cadangan dan menghindari membayar tuntutan tebusan.

Kelompok ransomware yang telah terlihat memanggil korban di masa lalu termasuk Sekhmet (sekarang sudah tidak berfungsi), Maze (sekarang tidak berfungsi), Conti, dan Ryuk, juru bicara perusahaan keamanan cyber Emsisoft mengatakan kepada ZDNet pada hari Kamis. Arete IR dan Emsisoft mengatakan bahwa mereka juga telah melihat template dengan skrip dalam panggilan telepon yang diterima oleh pelanggan mereka. Menurut rekaman panggilan yang dilakukan atas nama geng ransomware Maze, dan dibagikan dengan ZDNet, penelepon tersebut memiliki aksen yang berat, menunjukkan bahwa mereka bukan penutur asli bahasa Inggris.

Di bawah ini adalah transkrip panggilan yang telah disunting, yang disediakan oleh salah satu firma keamanan sebagai contoh, dengan nama korban dihapus:

“Kami mengetahui adanya perusahaan IT pihak ketiga yang bekerja di jaringan Anda. Kami terus memantau dan mengetahui bahwa Anda menginstal antivirus SentinelOne di semua komputer Anda. Tetapi Anda harus tahu bahwa itu tidak akan membantu. Jika Anda ingin berhenti membuang-buang waktu dan memulihkan data Anda minggu ini, kami menganjurkan agar Anda mendiskusikan situasi ini dengan kami dalam obrolan atau masalah dengan jaringan Anda tidak akan pernah berakhir.”

sumber : ZDNET