Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Data Breach

Data Breach

Telstra Menyalahkan Pelanggaran Privasi pada ‘Ketidaksejajaran Basisdata’

by

Telstra telah mengungkapkan pelanggaran privasi, yang dilaporkan melibatkan lebih dari 130.000 pelanggan yang detailnya salah dipublikasikan secara online melalui Directory Assistance dan White Pages padahal seharusnya tidak dicantumkan.

Kepala keuangan perusahaan telekomunikasi, Michael Ackland, mengatakan sedang dalam proses memberitahu pelanggan yang terpengaruh dan menghapus mereka. Pelanggaran tersebut merupakan insiden kedua dalam satu tahun untuk Telstra yang melibatkan detail pelanggan yang tidak terdaftar. Beliau memohon maaf dan menyebutkan bahwa perusahaan telekomunikasi itu sedang melakukan penyelidikan internal untuk lebih memahami bagaimana hal itu terjadi dan untuk melindunginya agar tidak terjadi lagi.

Menurut Ackland, ketidaksejajaran basis data yang digunakan untuk menyediakan Directory Assistance dan the White Pages menyebabkan detail pelanggan yang memilih tidak terdaftar menjadi terdaftar secara tidak benar.

Selengkapnya: itnews

GoTo mengatakan peretas melanggar lingkungan pengembangnya, penyimpanan cloud

by

Perusahaan kolaborasi dan akses jarak jauh GoTo mengungkapkan hari ini bahwa mereka mengalami pelanggaran keamanan di mana pelaku ancaman memperoleh akses ke lingkungan pengembangan dan layanan penyimpanan cloud pihak ketiga mereka.

GoTo (sebelumnya LogMeIn) mulai mengirim email kepada pelanggan pada Rabu sore, memperingatkan bahwa mereka telah mulai menyelidiki serangan siber dengan bantuan Mandiant dan telah memberi tahu penegak hukum.

“Setelah mengetahui insiden tersebut, kami segera meluncurkan penyelidikan, melibatkan Mandiant, firma keamanan terkemuka, dan memberi tahu penegak hukum,” demikian bunyi email dari CEO GoTo Paddy Srinivasan.

Insiden ini juga memengaruhi anak perusahaan GoTo, LastPass, yang mengungkapkan hari ini bahwa pelaku ancaman mengakses informasi pelanggan melalui pelanggaran penyimpanan cloud yang sama.

GoTo mengatakan insiden tersebut tidak memengaruhi produk dan layanan mereka, dan mereka tetap berfungsi penuh.

Namun, mereka mengatakan telah mengerahkan “langkah-langkah keamanan yang ditingkatkan dan kemampuan pemantauan” setelah serangan itu.

BleepingComputer telah meminta informasi lebih lanjut kepada GoTo, seperti kapan serangan terjadi atau jika kode sumber dicuri, tetapi belum mendapat kabar.

sumber : bleeping computer

Peretas Dapat Menyebabkan Bencana pada Deepwater Horizon

by

Jaringan fasilitas minyak dan gas lepas pantai di A.S. berada pada risiko yang serius dan semakin meningkat dari serangan siber yang berpotensi sangat membahayakan. jika serangan dunia maya berhasil mengenai infrastruktur lepas pantai negara tersebut, hal itu dapat menyebabkan bencana dengan dampak yang serupa dengan bencana Deepwater Horizon.

Saat ini terdapat lebih dari 1.600 bangunan di landas kontinen luar yang terlibat dalam produksi minyak dan gas yang tersebar di pesisir Atlantik, Pasifik, dan Alaska, serta Teluk Meksiko. Struktur tersebut sangat bergantung pada teknologi operasional yang dikendalikan dari jarak jauh. Peretasan itu sangat memalukan mengingat bahwa kebocoran itu adalah hasil dari satu kata sandi yang disusupi, dan audit teknologi yang dilakukan tiga tahun sebelum pelanggaran tersebut menemukan bahwa sistem Kolonial dapat diretas oleh “anak kelas delapan,” kata salah satu auditor kemudian.

Jaringan fasilitas dan infrastruktur minyak dan gas lepas pantai nasional diatur oleh Bureau of Safety and Environmental Enforcement (BSEE). The Government Accountability Office (GAO) menemukan bahwa operasi minyak dan gas semakin berpindah ke pekerjaan jarak jauh dan “produksi minyak dan gas tak berawak menjadi semakin umum.” Pada saat yang sama, banyak sistem teknologi operasional yang sudah ketinggalan zaman atau terhubung ke bisnis yang lebih besar dan sistem TI dalam perusahaan yang dapat diakses dari jarak jauh.

Kegagalan sistem keamanan otomatis adalah bagian dari rangkaian masalah yang menyebabkan ledakan Deepwater Horizon 2010, tumpahan minyak terbesar dalam sejarah AS yang menewaskan 11 orang.

“Aktor ancaman semakin mampu melakukan serangan terhadap infrastruktur penting, termasuk infrastruktur minyak dan gas lepas pantai,” laporan itu menemukan. “Pada saat yang sama, infrastruktur menjadi lebih rentan terhadap serangan.

sumber : gizmodo

Whoosh Mengonfirmasi Pelanggaran Data Setelah Peretas Menjual 7,2 Juta Catatan Pengguna

by Leave a Comment

Layanan berbagi skuter Rusia Whoosh telah mengonfirmasi pelanggaran data setelah peretas mulai menjual basis data yang berisi rincian 7,2 juta pelanggan di forum peretasan.

Perusahaan mengkonfirmasi serangan siber melalui pernyataan di media Rusia awal bulan ini tetapi mengklaim bahwa para ahli TI telah berhasil menggagalkannya dengan sukses.

Penjualan Hari Ini

Pada hari Jumat, seorang pengguna di forum peretasan ‘Breached’ memposting database yang berisi rincian tentang 7,2 juta pelanggan Whoosh, termasuk alamat email, nomor telepon, dan nama depan.

Penjualan data Woosh di forum Pelanggaran (BleepingComputer)

Penjual juga mengakui bahwa data yang dicuri termasuk 3.000.000 kode promo yang dapat digunakan orang untuk menyewa skuter Whoosh tanpa membayar.

Penjual mengatakan mereka menjual data hanya kepada lima pembeli masing-masing seharga $4.200, atau 0,21490980 bitcoin, dan menurut platform SatoshiDisk yang digunakan untuk transaksi, belum ada yang membeli database.

Kebocoran Database Rusia

Menurut laporan Agustus 2022 dari Roskomnadzor, pengawas internet Rusia, ada 40 pelanggaran data perusahaan Rusia yang dikonfirmasi sejak awal tahun.

Pada September 2022, Group-IB menerbitkan laporan yang mengklaim telah mengamati 140 penjualan database yang dicuri dari perusahaan Rusia musim panas ini saja, dengan jumlah total catatan yang terpapar mencapai 304 juta.

sumber : bleeping computer

Malware StrelaStealer baru Mencuri Outlook, Akun Thunderbird Anda

by

Malware pencuri informasi baru bernama ‘StrelaStealer’ secara aktif mencuri kredensial akun email dari Outlook dan Thunderbird, dua klien email yang banyak digunakan.

Perilaku ini menyimpang dari sebagian besar pencuri info, yang mencoba mencuri data dari berbagai sumber data, termasuk browser, aplikasi dompet cryptocurrency, aplikasi game cloud, clipboard, dll.

Malware yang sebelumnya tidak dikenal ditemukan oleh analis di DCSO CyTec, yang melaporkan bahwa mereka pertama kali melihatnya di alam liar pada awal November 2022, menargetkan pengguna berbahasa Spanyol.

Infeksi file poliglot
StrelaStealer tiba di sistem korban melalui lampiran email, saat ini file ISO dengan konten yang bervariasi.

ISO berisi file LNK (‘Factura.lnk’) dan file HTML (‘x.html’). File x.html sangat menarik karena merupakan file polyglot, yaitu file yang dapat diperlakukan sebagai format file yang berbeda tergantung pada aplikasi yang membukanya.


Diagram proses infeksi

Dalam hal ini, x.html adalah file HTML dan program DLL yang dapat memuat malware StrelaStealer atau menampilkan dokumen umpan di browser web default.

Setelah malware dimuat di memori, browser default dibuka untuk menunjukkan umpan agar serangan tidak terlalu mencurigakan.

Detail StrelaStealer
dalam dieksekusi, StrelaStealer mencari direktori ‘%APPDATA%\Thunderbird\Profiles\’ untuk ‘logins.json’ (akun dan kata sandi) dan ‘key4.db’ (database kata sandi) dan mengekstrak isinya ke server C2.

Untuk Outlook, StrelaStealer membaca Windows Registry untuk mengambil kunci perangkat lunak dan kemudian menemukan nilai ‘IMAP User’, ‘IMAP Server’, dan ‘IMAP Password’.

Kata Sandi IMAP berisi kata sandi pengguna dalam bentuk terenkripsi, sehingga malware menggunakan fungsi Windows CryptUnprotectData untuk mendekripsi sebelum dieksfiltrasi ke C2 bersama dengan server dan detail pengguna.

Terakhir, StrelaStealer memvalidasi bahwa C2 menerima data dengan memeriksa respons tertentu dan berhenti saat menerimanya. Jika tidak, ia memasuki mode tidur 1 detik dan mencoba lagi rutinitas pencurian data ini.

sumber : bleeping computer

Peretas OPERA1ER Mencuri Lebih dari $11 Juta dari Bank dan Perusahaan Telekomunikasi

by

Sebuah kelompok ancaman yang peneliti sebut OPERA1ER telah mencuri setidaknya $ 11 juta dari bank dan penyedia layanan telekomunikasi di Afrika menggunakan alat peretasan yang tersedia.

Antara 2018 dan 2022, para peretas meluncurkan lebih dari 35 serangan yang berhasil,

Kelompok peretas ini terdiri dari anggota berbahasa Prancis yang diyakini beroperasi dari Afrika. Selain menargetkan perusahaan di Afrika, geng itu juga menyerang organisasi di Argentina, Paraguay, dan Bangladesh.

OPERA1ER bergantung pada alat sumber terbuka, malware komoditas, dan kerangka kerja seperti Metasploit dan Cobalt Strike untuk mengkompromikan server perusahaan.

Mereka mendapatkan akses awal melalui email spear-phishing yang memanfaatkan topik populer seperti faktur atau pemberitahuan pengiriman pos.

OPERA1ER dapat menghabiskan antara tiga hingga dua belas bulan di dalam jaringan yang disusupi, dan terkadang mereka menyerang perusahaan yang sama dua kali.

peretas menargetkan akun operator yang mengendalikan sejumlah besar uang dan menggunakan kredensial curian untuk mentransfer dana ke akun Pengguna Saluran, yang akhirnya memindahkannya ke akun pelanggan di bawah kendali mereka.


OPERA1ER’s cashing out procedure (Group-IB)

Biasanya, acara pencairan uang terjadi pada hari libur atau selama akhir pekan untuk meminimalkan kemungkinan organisasi yang dikompromikan merespons situasi tepat waktu.

sumber : bleeping computer

Peretas Menjual Akses ke 576 Jaringan Perusahaan Seharga $4 Juta

by

Sebuah laporan baru menunjukkan bahwa peretas menjual akses ke 576 jaringan perusahaan di seluruh dunia dengan total harga penjualan kumulatif $4.000.000, memicu serangan terhadap perusahaan.

Meskipun jumlah penjualan untuk akses jaringan tetap sama seperti pada dua kuartal sebelumnya, harga permintaan kumulatif kini telah mencapai $4.000.000.

Jalan manuju ransomware

Pialang akses awal (IAB) adalah peretas yang menjual akses ke jaringan perusahaan, biasanya dicapai melalui pencurian kredensial, webshell, atau mengeksploitasi kerentanan dalam perangkat keras yang terbuka untuk umum.

Alasan IAB memilih untuk tidak memanfaatkan akses jaringan bervariasi, mulai dari kurangnya keterampilan intrusi yang beragam hingga memilih untuk tidak mengambil risiko peningkatan masalah hukum.

statistik babak 3 2022

Pada babak ketiga tahun 2022, analis KELA mengamati 110 pelaku ancaman memposting 576 penawaran akses awal dengan total nilai kumulatif $4.000.000.


Volume bulanan penjualan akses awal (KELA)

Harga jual rata-rata listing ini adalah $2.800, sedangkan harga jual rata-rata mencapai rekor $1.350.


Harga jual akses awal (KELA)

KELA juga melihat kasus akses tunggal yang ditawarkan untuk pembelian dengan harga astronomi $3.000.000. Namun, daftar ini tidak termasuk dalam statistik dan total Q3 ’22 karena keraguan tentang keasliannya.


Negara yang paling banyak ditargetkan oleh IAB di Q3 (KELA)

Ketika melihat sektor yang ditargetkan, layanan profesional, manufaktur, dan teknologi menempati urutan teratas dengan masing-masing 13,4%, 10,8%, dan 9,4%. Sekali lagi, serangan ransomware memiliki peringkat yang sama, menekankan hubungan antara keduanya.


IAB sektor yang paling banyak ditargetkan di Q3 (KELA)

Karena broker akses awal telah menjadi bagian integral dari rantai serangan ransomware, mengamankan jaringan Anda dengan benar dari gangguan sangat penting.

130 Github Repositori Dicuri dari Dropbox oleh Hacker

by

Dropbox mengungkapkan pelanggaran keamanan setelah pelaku ancaman mencuri 130 repositori kode setelah mendapatkan akses ke salah satu akun GitHub-nya menggunakan kredensial karyawan yang dicuri dalam serangan phishing.

Perusahaan menemukan penyerangan akun pada 14 Oktober ketika GitHub memberi tahunya tentang aktivitas mencurigakan yang dimulai sehari sebelum peringatan dikirim.

“Kode dan data di sekitarnya juga mencakup beberapa ribu nama dan alamat email milik karyawan Dropbox, pelanggan saat ini dan sebelumnya, prospek penjualan, dan vendor (untuk konteksnya, Dropbox memiliki lebih dari 700 juta pengguna terdaftar).”

serangan phishing yang menargetkan beberapa karyawan Dropbox menggunakan email yang meniru platform integrasi dan pengiriman berkelanjutan CircleCI dan mengarahkan mereka ke halaman arahan phishing di mana mereka diminta untuk memasukkan nama pengguna dan kata sandi GitHub mereka.

karyawan juga diminta untuk “menggunakan kunci otentikasi perangkat keras mereka untuk memberikan One Time Password (OTP).”


Email phishing yang meniru CircleCI (BleepingComputer)

130 kode repositori telah dicuri saat pemberantasan

penyerang memperoleh akses ke salah satu organisasi GitHub Dropbox dan mencuri 130 repositori kodenya.

“Yang penting, mereka tidak menyertakan kode untuk aplikasi atau infrastruktur inti kami. Akses ke repositori itu bahkan lebih terbatas dan dikontrol dengan ketat.”

Dropbox menambahkan bahwa penyerang tidak pernah memiliki akses ke akun pelanggan, kata sandi, atau informasi pembayaran, dan aplikasi serta infrastruktur intinya tidak terpengaruh akibat pelanggaran ini.

Menanggapi insiden tersebut, Dropbox berupaya mengamankan seluruh lingkungannya menggunakan WebAuthn dan token perangkat keras atau faktor biometrik.

Pada bulan September, pengguna GitHub lainnya juga menjadi sasaran dalam serangan serupa yang meniru platform CircleCI dan meminta mereka untuk masuk ke akun GitHub mereka untuk menerima persyaratan pengguna dan pembaruan kebijakan privasi untuk tetap menggunakan layanan.

“Sementara GitHub sendiri tidak terpengaruh, kampanye tersebut telah berdampak pada banyak organisasi korban,” kata GitHub dalam sebuah nasihat saat itu.

GitHub mengatakan mendeteksi eksfiltrasi konten dari repositori pribadi segera setelah kompromi, dengan pelaku ancaman menggunakan VPN atau layanan proxy untuk membuat pelacakan lebih sulit.

sumber : bleeping computer