Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Data Breach

Data Breach

Marriott terkena data breach baru dan upaya pemerasan yang gagal

by

Raksasa hotel Marriott International mengonfirmasi bahwa mereka terkena pelanggaran data lain setelah aktor ancaman yang tidak dikenal melanggar salah satu propertinya dan mencuri 20GB file.

Para penyerang hanya dapat menembus salah satu properti rantai, BWI Airport Marriott, dan hanya memiliki akses ke jaringannya untuk waktu yang terbatas.

Meskipun perusahaan tidak membagikan informasi apa pun tentang data yang dicuri dengan BleepingComputer, ia mengatakan kepada DataBreaches (yang pertama kali melaporkan insiden tersebut) bahwa dokumen senilai 20GB yang dicuri selama pelanggaran berisi file bisnis internal yang tidak sensitif dan beberapa informasi kartu kredit.

Namun, pihak Marriott belum mau membeberkan apakah pelaku pembobolan informasi milik tamu hotel, karyawannya, atau keduanya.

Para penyerang juga berusaha memeras Marriot di bawah ancaman membocorkan file yang dicuri secara online. Namun, grup hotel mengatakan kepada BleepingComputer bahwa mereka “tidak melakukan pembayaran atau memberikan apa pun kepada pelaku ancaman.”

Marriott mengatakan bahwa mereka memberi tahu FBI dan menyewa perusahaan keamanan pihak ketiga untuk menyelidiki insiden tersebut.

Raksasa hotel menambahkan bahwa mereka akan memberi tahu regulator data yang relevan dan sekitar 300-400 orang yang terkena dampak pelanggaran data ini.

Ini adalah pelanggaran data ketiga yang dikonfirmasi Marriott sejak 2018 setelah mengungkap informasi pribadi 5,2 juta tamu hotel (termasuk kontak dan detail pribadi) dalam pelanggaran data yang diungkapkan pada 2020.

Perusahaan juga mengumumkan pada November 2018 bahwa database reservasi tamu Starwood Hotels yang berisi info tentang ratusan juta tamu telah diretas.

Marriott menemukan insiden tersebut dua tahun setelah akuisisi Starwood dan mengatakan informasi yang dicuri dalam insiden tersebut termasuk nama tamu, info pribadi, alamat, nomor paspor tak terenkripsi, dan informasi pembayaran terenkripsi AES-128.

Seperti yang ditambahkan Marriott pada saat itu, tanda-tanda akses tidak sah terdeteksi sejak tahun 2014, mengorbankan informasi pribadi sekitar 339 juta catatan tamu secara global.

Kantor Komisaris Informasi Inggris (ICO) mendenda Marriott International £14,4 juta (sekitar $24 juta) karena melanggar Peraturan Perlindungan Data Umum (GDPR).

Sumber: Bleeping Computer

Peretas mengklaim kebocoran besar Samsung, termasuk kunci enkripsi dan kode sumber

by

Kelompok peretas Lapsus$ baru-baru ini menargetkan Nvidia, menuntut pembuat chip menghilangkan fitur di beberapa GPU yang membatasi tingkat hash saat menambang cryptocurrency Ethereum. Lapsus$ tidak berhenti di situ — sekarang Samsung berada di bawah kendali, dan kode sumber yang berharga sekali lagi dipertaruhkan.

Kebocoran baru dirinci dalam laporan dari Bleeping Computer, yang menyebut Lapsus$ sebagai “geng pemerasan” dan mengatakan kelompok itu awalnya memposting tangkapan layar kode untuk perangkat lunak Samsung, kemudian merinci apa yang telah dieksfiltrasi dari server raksasa elektronik Korea Selatan tersebut.

Info yang dicuri tampaknya mencakup informasi penting, termasuk algoritme untuk semua operasi pembukaan kunci biometrik, kode sumber untuk bootloader untuk produk Samsung yang lebih baru, dan semua kode sumber di balik proses otorisasi dan otentikasi akun Samsung.

Ini adalah pelanggaran yang buruk jika semua klaim itu benar. Data tersebut diduga tersedia untuk torrent, dengan Lapsus$ mengemasnya ke dalam file terkompresi yang totalnya hampir 190GB.

Menurut Bleeping Computer, peretasan tersebut bukanlah penculikan seperti halnya Nvidia, karena pada hari Sabtu tidak ada bukti permintaan tebusan.

Sumber: Android Police

Raksasa KP Snacks terkena ransomware Conti, pengiriman terganggu

by

KP Snacks, produsen utama makanan ringan Inggris yang populer telah terpukul oleh kelompok ransomware Conti yang mempengaruhi distribusi ke supermarket terkemuka.

Kenyon Produce (KP) Snacks termasuk merek populer seperti PopChips, Skips, Hula Hoops, Penn State pretzels, McCoy’s, Wheat Crunchies, dll.

KP Snacks memiliki lebih dari 2.000 karyawan dan memperkirakan pendapatan tahunan perusahaan lebih dari $ 600 juta, menjadikannya target yang menarik bagi aktor ancaman.

Conti berencana untuk membocorkan dokumen sensitif

Serangan cyber terhadap raksasa makanan ringan Inggris, KP Snacks kini telah meningkat menjadi gangguan rantai pasokan di seluruh Inggris.

Karena serangan itu, pengiriman dari perusahaan ke superstore terkemuka dilaporkan tertunda atau dibatalkan sama sekali. Menurut pemberitahuan yang dikirim ke supermarket oleh KP Snacks, masalah kekurangan pasokan dapat berlangsung hingga akhir Maret.

Sebuah sumber memberi tahu BleepingComputer bahwa jaringan internal perusahaan telah dilanggar dengan aktor ancaman yang mendapatkan akses ke dan mengenkripsi file sensitif, termasuk catatan karyawan dan dokumen keuangan.

Halaman kebocoran pribadi yang dilihat oleh BleepingComputer menunjukkan kelompok ransomware Conti mengaku bertanggung jawab atas serangan itu:

Pada halaman kebocoran pribadi, Conti berbagi sampel laporan kartu kredit, akta kelahiran, spreadsheet dengan alamat karyawan dan nomor telepon, perjanjian rahasia, dan dokumen sensitif lainnya.

Penyedia intel Darknet DarkFeed juga telah memposting kemarin tentang conti ransomware op memberikan perusahaan lima hari sebelum membocorkan lebih banyak data kepemilikan di blog publik mereka.

Tidak jelas apakah KP Snacks saat ini sedang bernegosiasi dengan Conti atau apakah akan membayar uang tebusan.

“Pada hari Jumat, 28 Januari kami menyadari bahwa kami sayangnya menjadi korban insiden ransomware,” kata juru bicara KP Snacks kepada BleepingComputer.

“Segera setelah kami menyadari insiden itu, kami memberlakukan rencana respons cybersecurity kami dan melibatkan perusahaan teknologi informasi forensik terkemuka dan penasihat hukum untuk membantu kami dalam penyelidikan kami.”

Tim TI internal perusahaan bekerja dengan pakar keamanan pihak ketiga untuk menilai situasi.

“Kami terus menjaga rekan kerja, pelanggan, dan pemasok kami menginformasikan perkembangan apa pun dan meminta maaf atas gangguan yang mungkin disebabkannya,” kata perusahaan itu dalam pernyataan mereka kepada kami.

Sumber: Bleepingcomputer

Serangan siber di Mitsubishi Electric merupakan ancaman keamanan

by

Serangan siber Juni 2019 pada Mitsubishi Electric Corp. mengkompromikan data yang merupakan kebocoran informasi keamanan nasional sensitif yang pertama kali diakui secara publik di Jepang, Kementerian Pertahanan mengakui.

Kementerian, yang merilis temuannya pada 24 Desember dalam penyelidikannya terhadap 59 kasus, mengatakan hampir 20.000 file diakses. Ia menambahkan bahwa sejak itu telah mengambil langkah-langkah untuk mengatasi sabotase seperti ini dan mengeluarkan peringatan lisan pada 22 Desember kepada Mitsubishi Electric, pembuat peralatan elektronik terkemuka yang sangat terlibat dalam proyek-proyek pertahanan, infrastruktur dan transportasi.

Asahi Shimbun memecahkan laporan serangan siber yang menakjubkan pada Januari 2020 dan pejabat Mitsubishi Electric mencurigai kelompok peretasan China. Bulan berikutnya, Kementerian Pertahanan mengakui bahwa insiden itu melibatkan tiga kasus yang bersifat sensitif terkait dengan peralatan pertahanan.

Namun dalam pengungkapan terbarunya, kementerian mengungkapkan bahwa hampir 20.000 file data yang bocor berisi informasi terkait pertahanan.

Diakui bahwa kebocoran 59 file data tersebut berdampak serius pada keamanan nasional. Namun, menolak untuk membocorkan isi spesifik dari file data dengan alasan mereka berisi informasi sensitif.

Selengkapnya: Asahi

Pemerintah Inggris membagikan 585 juta kata sandi dengan Have I Been Pwned

by

Badan Kejahatan Nasional Inggris telah menyumbangkan lebih dari 585 juta kata sandi ke layanan Have I Been Pwned yang memungkinkan pengguna memeriksa apakah informasi login mereka telah bocor secara online.

Sama seperti kata sandi yang berasal dari FBI, kumpulan besar password ini telah ditambahkan ke data Kata Sandi Pwned yang dapat dicari jika kata sandi telah disusupi.

Pengumpulan kata sandi NCA berasal dari Unit Kejahatan Siber Nasional (NCCU), yang dikumpulkan selama investigasi insiden keamanan siber.

Troy Hunt, pencipta layanan Have I Been Pwned (HIBP), hari ini mengumumkan bahwa setelah mengimpor dan menguraikan data dari NCA, satu set 225.665.425 kata sandi ditemukan benar-benar baru.

Proyek Kata Sandi Pwned HIBP memungkinkan lembaga penegak hukum di banyak negara menambahkan kata sandi yang ditemukan selama penyelidikan. Dengan demikian, layanan lain yang menggunakan Pwned Passwords API dapat melindungi penggunanya dari serangan pengambilalihan akun.

NCA memberi tahu Hunt bahwa sumber kata sandi adalah lokasi penyimpanan cloud milik perusahaan Inggris yang digunakan aktor tak dikenal untuk menyimpan data login yang disusupi.

Para penyelidik menyadari bahwa kredensial berasal dari beberapa pelanggaran data dan bahwa pihak ketiga dapat mengaksesnya “untuk melakukan penipuan lebih lanjut atau pelanggaran dunia maya.”

Selengkapnya: Bleeping Computer

Pelanggaran data GoDaddy menghantam reseller layanan hosting WordPress

by

GoDaddy mengatakan pelanggaran data yang baru-baru ini diungkapkan yang memengaruhi sekitar 1,2 juta pelanggan juga telah menghantam beberapa reseller layanan WordPress Terkelola.

Menurut Dan Rice, VP of Corporate Communications di GoDaddy, enam reseller yang juga terkena dampak pelanggaran besar-besaran ini adalah tsoHost, Media Temple, 123Reg, Domain Factory, Heart Internet, dan Host Europe.

GoDaddy mengakuisisi merek-merek ini setelah membeli perusahaan hosting web dan layanan cloud Host Europe Group pada 2017 dan Media Temple pada 2013.

“Tidak ada merek lain yang terpengaruh. Merek-merek itu telah menghubungi pelanggan masing-masing dengan detail spesifik dan tindakan yang direkomendasikan.” Rice memberi tahu perusahaan keamanan WordPress Wordfence.

Pelanggaran data ditemukan oleh GoDaddy hari Rabu lalu, pada 17 November, tetapi, sebagaimana diungkapkan secara terpisah dalam pengajuan Senin dengan Komisi Sekuritas dan Bursa AS, data pelanggan terungkap setidaknya sejak 6 September 2021, setelah pelaku ancaman yang tidak dikenal mengakses ke lingkungan hosting WordPress Terkelola perusahaan tersebut.

Ini bukan pelanggaran data atau insiden keamanan siber pertama yang diungkapkan raksasa web hosting dalam beberapa tahun terakhir.

Pelanggaran lain terungkap tahun lalu, pada bulan Mei, ketika GoDaddy memberi tahu pelanggan bahwa peretas menggunakan kredensial akun hosting web mereka untuk terhubung ke akun hosting mereka melalui SSH.

Pada tahun 2019, GoDaddy menyuntikkan JavaScript ke situs pelanggan AS tanpa sepengetahuan mereka, yang berpotensi membuat mereka tidak dapat dioperasikan atau memengaruhi kinerja situs web secara keseluruhan.

Selengkapnya: Bleeping Computer

Web Server Polri Diretas oleh Peretas Brasil

by

Dilansir dari CyberThreat.id, seorang peretas asal Brasil bernama son1x mengklaim bahwa ia telah meretas web server dari subdomain milik Polri. Tidak hanya satu web server namun 3 web server yang berhasil ia retas. Lebih buruknya lagi, basis data yang diduga berasal dari salah satu server, ia bagikan secara gratis di akun Twitter nya.

Peretas ini adalah peretas yang sama yang melakukan deface pada situs web Pusat Malware Nasional milik Badan Siber dan Sandi Negara pada akhir Oktober kemarin. Ia mengklaim sebetulnya bisa masuk lebih dalam lagi ke server BSSN, tapi dirinya takut dipenjara.

Baru-baru ini, ia kembali berulah dengan merusak empat subdomain Badan Pengkajian dan Penerapan Teknologi (BPPT) dan satu subdomain Goverment Certification Authority (GovCA), yaitu otoritas yang mengotentikasi pihak yang akan bertransaksi khususnya di pemerintahan. GovCa dibentuk oleh BPPT.

Ia mengatakan bahwa semenjak ia meretas BSSN, ada beberapa upaya Polri untuk mencari tahu tentang dirinya.

Basis data yang ia bocorkan berisi informasi pribadi dan kredensial pegawai Polri dan orang-orang yang terlibat di dalamnya.

Dari pengamatan CyberThreat.id, basis data tersebut berisi:

  • Nama
  • Tempat tanggal lahir
  • Satker
  • Pangkat
  • Status pernikahan
  • Jabatan
  • Alamat
  • Pangkat terakhir
  • Agama
  • Golongan darah
  • Suku
  • pen_umum_terakhir
  • pen_polri_terakhir
  • pen_jurusan_terakhir
  • pen_jenjang_terakhir
  • rehab_no_putusan
  • rehab_tanggal_putusan_sidang
  • rehab_id_jenis_pelanggaran
  • id_propam
  • s_tgl_hukuman_selesai
  • s_tgl_hukuman_mulai
  • s_tgl_rehab_mulai
  • s_tgl_rehab_selesai
  • s_tgl_binlu_mulai
  • s_tgl_binlu_selesai
  • email
  • no_hp.[]

Sumber: Cyberthreat.id

Hacker Iran Serang Layanan telekomunikasi di Timur Tengah dan Afrika

by

APT yang didukung negara Iran yang dikenal sebagai ‘Lyceum’ (Hexane, Spilrin) menargetkan ISP menggunakan malware dan penyedia layanan telekomunikasi di Timur Tengah dan Afrika antara Juli dan Oktober 2021.

Selain Israel, yang secara permanen menjadi sasaran para peretas Iran, para peneliti telah melihat serangan malware backdoor Lyceum di Maroko, Tunisia, dan Arab Saudi.

Dalam kampanye terbaru yang dianalisis dalam laporan bersama antara peneliti di Accenture dan Prevailion, Lyceum terlihat menggunakan dua keluarga malware yang berbeda, dijuluki Shark dan Milan.

Backdoor Shark adalah executable 32-bit yang ditulis dalam C# dan .NET yang digunakan untuk menjalankan perintah dan mengekstrak data dari sistem yang terinfeksi.

Milan adalah trojan akses jarak jauh (RAT) 32-bit yang dapat mengambil data dari sistem yang disusupi dan mengekstraknya ke host yang berasal dari algoritma pembuatan domain (DGA).

Kedua pintu belakang berkomunikasi melalui DNS dan HTTPS dengan server perintah dan kontrol (C2), dengan Shark juga menggunakan tunneling DNS.

Menurut analisis teknis, yang mengungkapkan penyegaran terus-menerus dari suar dan muatan, Lyceum tampaknya memantau peneliti yang menganalisis malware mereka untuk memperbarui kode mereka dan tetap berada di depan mekanisme pertahanan.

Tanggal pembuatan terbaru adalah dari Oktober 2021, dan para peneliti menunjukkan bahwa setidaknya dua dari kompromi yang diidentifikasi sedang berlangsung.

Para analis berhasil memetakan korban Lyceum dengan menganeksasi dua puluh domain aktor dan menganalisis data telemetri tanpa menghapusnya.

Laporan yang dihasilkan memberikan daftar baru dengan indicators of compromise (IoC) dan berbagai cara untuk mendeteksi dua backdoors, sehingga berpotensi mengganggu kampanye Lyceum yang sedang berlangsung.

Bermotif Politik
Kelompok peretas diyakini memiliki motif politik dan secara eksklusif tertarik pada spionase dunia maya daripada menyebabkan gangguan operasional terhadap target mereka.

Inilah sebabnya mengapa mereka fokus pada intrusi jaringan ISP, karena mengorbankan penyedia layanan tingkat tinggi adalah cara terbaik untuk mengumpulkan intelijen berharga di negara asing.

Prevailion menjelaskan belum diketahui sumber backdoor beacon Milan.

Secara historis Lyceum menargetkan penyedia telekomunikasi dan tim Kaspersky mengidentifikasi penargetan baru-baru ini terhadap operator telekomunikasi di Tunisia, maka Lyceum diperkirakan akan menargetkan perusahaan telekomunikasi Afrika utara lainnya.

Meskipun kampanye ‘GhostShell’ kemungkinan besar diatur oleh musuh baru APT, kampanye itu masih memiliki hubungan dengan kelompok APT Iran yang terkenal seperti Lyceum.

sumber: BLEEPING COMPUTER