Data Breach

Thales mengonfirmasi peretas telah merilis datanya di DarkWeb

November 13, 2022 by Søren

11 November (Reuters) – Kelompok pertahanan dan teknologi Prancis Thales (TCFP.PA) mengatakan pada hari Jumat data yang berkaitan dengan kelompok tersebut telah dirilis pada “platform publikasi” dari kelompok peretas LockBit 3.0, membenarkan laporan media.

Data tersebut dirilis pada 10 November, kata Thales, yang menyediakan teknologi canggih dalam pertahanan, aeronautika, luar angkasa, transportasi, dan keamanan digital.

“Pada tahap ini, Thales dapat memastikan bahwa tidak ada gangguan pada sistem TI-nya,” tambahnya.

Dikatakan saat ini tidak ada dampak pada operasinya.

Pakar kelompok telah mengidentifikasi satu dari dua kemungkinan sumber pencurian data dan terus menyelidiki yang kedua, katanya. Hal ini juga bekerja untuk meminimalkan dampak potensial.

Perusahaan itu mengatakan pada hari Selasa bahwa pihaknya telah membuka penyelidikan internal dan memberi tahu badan keamanan siber nasional ANSSI

Thales mengatakan minggu ini bahwa kelompok pemerasan dan ransomware berbahasa Rusia telah mengklaim telah mencuri beberapa datanya, dengan rencana untuk mempublikasikannya pada 7 November.

Sahamnya, yang turun sebanyak 8,5%, adalah yang berkinerja terburuk pada indeks SBF 120 berkapitalisasi besar dan menengah Prancis (.SBF120).

Selengkapnya: Reuters

Malware StrelaStealer baru Mencuri Outlook, Akun Thunderbird Anda

November 10, 2022 by Coffee Bean

Malware pencuri informasi baru bernama ‘StrelaStealer’ secara aktif mencuri kredensial akun email dari Outlook dan Thunderbird, dua klien email yang banyak digunakan.

Perilaku ini menyimpang dari sebagian besar pencuri info, yang mencoba mencuri data dari berbagai sumber data, termasuk browser, aplikasi dompet cryptocurrency, aplikasi game cloud, clipboard, dll.

Malware yang sebelumnya tidak dikenal ditemukan oleh analis di DCSO CyTec, yang melaporkan bahwa mereka pertama kali melihatnya di alam liar pada awal November 2022, menargetkan pengguna berbahasa Spanyol.

Infeksi file poliglot
StrelaStealer tiba di sistem korban melalui lampiran email, saat ini file ISO dengan konten yang bervariasi.

ISO berisi file LNK (‘Factura.lnk’) dan file HTML (‘x.html’). File x.html sangat menarik karena merupakan file polyglot, yaitu file yang dapat diperlakukan sebagai format file yang berbeda tergantung pada aplikasi yang membukanya.

Diagram proses infeksi

Dalam hal ini, x.html adalah file HTML dan program DLL yang dapat memuat malware StrelaStealer atau menampilkan dokumen umpan di browser web default.

Setelah malware dimuat di memori, browser default dibuka untuk menunjukkan umpan agar serangan tidak terlalu mencurigakan.

Detail StrelaStealer
dalam dieksekusi, StrelaStealer mencari direktori ‘%APPDATA%\Thunderbird\Profiles\’ untuk ‘logins.json’ (akun dan kata sandi) dan ‘key4.db’ (database kata sandi) dan mengekstrak isinya ke server C2.

Untuk Outlook, StrelaStealer membaca Windows Registry untuk mengambil kunci perangkat lunak dan kemudian menemukan nilai ‘IMAP User’, ‘IMAP Server’, dan ‘IMAP Password’.

Kata Sandi IMAP berisi kata sandi pengguna dalam bentuk terenkripsi, sehingga malware menggunakan fungsi Windows CryptUnprotectData untuk mendekripsi sebelum dieksfiltrasi ke C2 bersama dengan server dan detail pengguna.

Terakhir, StrelaStealer memvalidasi bahwa C2 menerima data dengan memeriksa respons tertentu dan berhenti saat menerimanya. Jika tidak, ia memasuki mode tidur 1 detik dan mencoba lagi rutinitas pencurian data ini.

sumber : bleeping computer

Peretas OPERA1ER Mencuri Lebih dari $11 Juta dari Bank dan Perusahaan Telekomunikasi

November 4, 2022 by Coffee Bean

Sebuah kelompok ancaman yang peneliti sebut OPERA1ER telah mencuri setidaknya $ 11 juta dari bank dan penyedia layanan telekomunikasi di Afrika menggunakan alat peretasan yang tersedia.

Antara 2018 dan 2022, para peretas meluncurkan lebih dari 35 serangan yang berhasil,

Kelompok peretas ini terdiri dari anggota berbahasa Prancis yang diyakini beroperasi dari Afrika. Selain menargetkan perusahaan di Afrika, geng itu juga menyerang organisasi di Argentina, Paraguay, dan Bangladesh.

OPERA1ER bergantung pada alat sumber terbuka, malware komoditas, dan kerangka kerja seperti Metasploit dan Cobalt Strike untuk mengkompromikan server perusahaan.

Mereka mendapatkan akses awal melalui email spear-phishing yang memanfaatkan topik populer seperti faktur atau pemberitahuan pengiriman pos.

OPERA1ER dapat menghabiskan antara tiga hingga dua belas bulan di dalam jaringan yang disusupi, dan terkadang mereka menyerang perusahaan yang sama dua kali.

peretas menargetkan akun operator yang mengendalikan sejumlah besar uang dan menggunakan kredensial curian untuk mentransfer dana ke akun Pengguna Saluran, yang akhirnya memindahkannya ke akun pelanggan di bawah kendali mereka.

OPERA1ER’s cashing out procedure (Group-IB)

Biasanya, acara pencairan uang terjadi pada hari libur atau selama akhir pekan untuk meminimalkan kemungkinan organisasi yang dikompromikan merespons situasi tepat waktu.

sumber : bleeping computer

Peretas Menjual Akses ke 576 Jaringan Perusahaan Seharga $4 Juta

November 3, 2022 by Coffee Bean

Sebuah laporan baru menunjukkan bahwa peretas menjual akses ke 576 jaringan perusahaan di seluruh dunia dengan total harga penjualan kumulatif $4.000.000, memicu serangan terhadap perusahaan.

Meskipun jumlah penjualan untuk akses jaringan tetap sama seperti pada dua kuartal sebelumnya, harga permintaan kumulatif kini telah mencapai $4.000.000.

Jalan manuju ransomware

Pialang akses awal (IAB) adalah peretas yang menjual akses ke jaringan perusahaan, biasanya dicapai melalui pencurian kredensial, webshell, atau mengeksploitasi kerentanan dalam perangkat keras yang terbuka untuk umum.

Alasan IAB memilih untuk tidak memanfaatkan akses jaringan bervariasi, mulai dari kurangnya keterampilan intrusi yang beragam hingga memilih untuk tidak mengambil risiko peningkatan masalah hukum.

statistik babak 3 2022

Pada babak ketiga tahun 2022, analis KELA mengamati 110 pelaku ancaman memposting 576 penawaran akses awal dengan total nilai kumulatif $4.000.000.

Volume bulanan penjualan akses awal (KELA)

Harga jual rata-rata listing ini adalah $2.800, sedangkan harga jual rata-rata mencapai rekor $1.350.

Harga jual akses awal (KELA)

KELA juga melihat kasus akses tunggal yang ditawarkan untuk pembelian dengan harga astronomi $3.000.000. Namun, daftar ini tidak termasuk dalam statistik dan total Q3 ’22 karena keraguan tentang keasliannya.

Negara yang paling banyak ditargetkan oleh IAB di Q3 (KELA)

Ketika melihat sektor yang ditargetkan, layanan profesional, manufaktur, dan teknologi menempati urutan teratas dengan masing-masing 13,4%, 10,8%, dan 9,4%. Sekali lagi, serangan ransomware memiliki peringkat yang sama, menekankan hubungan antara keduanya.

IAB sektor yang paling banyak ditargetkan di Q3 (KELA)

Karena broker akses awal telah menjadi bagian integral dari rantai serangan ransomware, mengamankan jaringan Anda dengan benar dari gangguan sangat penting.

130 Github Repositori Dicuri dari Dropbox oleh Hacker

November 2, 2022 by Coffee Bean

Dropbox mengungkapkan pelanggaran keamanan setelah pelaku ancaman mencuri 130 repositori kode setelah mendapatkan akses ke salah satu akun GitHub-nya menggunakan kredensial karyawan yang dicuri dalam serangan phishing.

Perusahaan menemukan penyerangan akun pada 14 Oktober ketika GitHub memberi tahunya tentang aktivitas mencurigakan yang dimulai sehari sebelum peringatan dikirim.

“Kode dan data di sekitarnya juga mencakup beberapa ribu nama dan alamat email milik karyawan Dropbox, pelanggan saat ini dan sebelumnya, prospek penjualan, dan vendor (untuk konteksnya, Dropbox memiliki lebih dari 700 juta pengguna terdaftar).”

serangan phishing yang menargetkan beberapa karyawan Dropbox menggunakan email yang meniru platform integrasi dan pengiriman berkelanjutan CircleCI dan mengarahkan mereka ke halaman arahan phishing di mana mereka diminta untuk memasukkan nama pengguna dan kata sandi GitHub mereka.

karyawan juga diminta untuk “menggunakan kunci otentikasi perangkat keras mereka untuk memberikan One Time Password (OTP).”

Email phishing yang meniru CircleCI (BleepingComputer)

130 kode repositori telah dicuri saat pemberantasan

penyerang memperoleh akses ke salah satu organisasi GitHub Dropbox dan mencuri 130 repositori kodenya.

“Yang penting, mereka tidak menyertakan kode untuk aplikasi atau infrastruktur inti kami. Akses ke repositori itu bahkan lebih terbatas dan dikontrol dengan ketat.”

Dropbox menambahkan bahwa penyerang tidak pernah memiliki akses ke akun pelanggan, kata sandi, atau informasi pembayaran, dan aplikasi serta infrastruktur intinya tidak terpengaruh akibat pelanggaran ini.

Menanggapi insiden tersebut, Dropbox berupaya mengamankan seluruh lingkungannya menggunakan WebAuthn dan token perangkat keras atau faktor biometrik.

Pada bulan September, pengguna GitHub lainnya juga menjadi sasaran dalam serangan serupa yang meniru platform CircleCI dan meminta mereka untuk masuk ke akun GitHub mereka untuk menerima persyaratan pengguna dan pembaruan kebijakan privasi untuk tetap menggunakan layanan.

“Sementara GitHub sendiri tidak terpengaruh, kampanye tersebut telah berdampak pada banyak organisasi korban,” kata GitHub dalam sebuah nasihat saat itu.

GitHub mengatakan mendeteksi eksfiltrasi konten dari repositori pribadi segera setelah kompromi, dengan pelaku ancaman menggunakan VPN atau layanan proxy untuk membuat pelacakan lebih sulit.

sumber : bleeping computer

Marriott terkena data breach baru dan upaya pemerasan yang gagal

July 7, 2022 by Eevee

Raksasa hotel Marriott International mengonfirmasi bahwa mereka terkena pelanggaran data lain setelah aktor ancaman yang tidak dikenal melanggar salah satu propertinya dan mencuri 20GB file.

Para penyerang hanya dapat menembus salah satu properti rantai, BWI Airport Marriott, dan hanya memiliki akses ke jaringannya untuk waktu yang terbatas.

Meskipun perusahaan tidak membagikan informasi apa pun tentang data yang dicuri dengan BleepingComputer, ia mengatakan kepada DataBreaches (yang pertama kali melaporkan insiden tersebut) bahwa dokumen senilai 20GB yang dicuri selama pelanggaran berisi file bisnis internal yang tidak sensitif dan beberapa informasi kartu kredit.

Namun, pihak Marriott belum mau membeberkan apakah pelaku pembobolan informasi milik tamu hotel, karyawannya, atau keduanya.

Para penyerang juga berusaha memeras Marriot di bawah ancaman membocorkan file yang dicuri secara online. Namun, grup hotel mengatakan kepada BleepingComputer bahwa mereka “tidak melakukan pembayaran atau memberikan apa pun kepada pelaku ancaman.”

Marriott mengatakan bahwa mereka memberi tahu FBI dan menyewa perusahaan keamanan pihak ketiga untuk menyelidiki insiden tersebut.

Raksasa hotel menambahkan bahwa mereka akan memberi tahu regulator data yang relevan dan sekitar 300-400 orang yang terkena dampak pelanggaran data ini.

Ini adalah pelanggaran data ketiga yang dikonfirmasi Marriott sejak 2018 setelah mengungkap informasi pribadi 5,2 juta tamu hotel (termasuk kontak dan detail pribadi) dalam pelanggaran data yang diungkapkan pada 2020.

Perusahaan juga mengumumkan pada November 2018 bahwa database reservasi tamu Starwood Hotels yang berisi info tentang ratusan juta tamu telah diretas.

Marriott menemukan insiden tersebut dua tahun setelah akuisisi Starwood dan mengatakan informasi yang dicuri dalam insiden tersebut termasuk nama tamu, info pribadi, alamat, nomor paspor tak terenkripsi, dan informasi pembayaran terenkripsi AES-128.

Seperti yang ditambahkan Marriott pada saat itu, tanda-tanda akses tidak sah terdeteksi sejak tahun 2014, mengorbankan informasi pribadi sekitar 339 juta catatan tamu secara global.

Kantor Komisaris Informasi Inggris (ICO) mendenda Marriott International £14,4 juta (sekitar $24 juta) karena melanggar Peraturan Perlindungan Data Umum (GDPR).

Sumber: Bleeping Computer

FBI memperingatkan, peretas menjual kredensial jaringan perguruan tinggi AS

May 29, 2022 by Søren

Penjahat dunia maya menawarkan untuk menjual kredensial akses jaringan seharga ribuan dolar AS untuk institusi pendidikan tinggi yang berbasis di Amerika Serikat.

Jenis iklan ini hadir di forum online penjahat dunia maya yang tersedia untuk umum serta pasar di web gelap.

Penjahat dunia maya menawarkan untuk menjual kredensial akses jaringan seharga ribuan dolar AS untuk institusi pendidikan tinggi yang berbasis di Amerika Serikat.

Jenis iklan ini hadir di forum online penjahat dunia maya yang tersedia untuk umum serta pasar di web gelap.

Informasi sensitif terdiri dari kredensial jaringan dan akses jaringan pribadi virtual (VPN) “ke banyak” organisasi pendidikan tinggi di AS.

Dalam beberapa kasus, penjual memposting tangkapan layar yang membuktikan bahwa kredensial memberikan akses yang diiklankan.

Harga untuk kredensial semacam itu bervariasi antara beberapa dolar AS hingga ribuan, kata badan tersebut dalam peringatan yang dirilis minggu ini.

Penjahat dunia maya memiliki beberapa metode untuk mengumpulkan nama pengguna dan kata sandi, salah satu yang paling umum adalah phishing.

Menguji kredensial dari email yang terkait dengan organisasi pendidikan tinggi, yang diperoleh dari pelanggaran di berbagai layanan online, juga merupakan praktik yang sering dilakukan.

Selengkapnya: Bleeping Computer

Anonim meretas Bank Komersial PSCB Rusia dan perusahaan di sektor energi

May 1, 2022 by Søren

Dilansir dari unggahan akun twitter @YourAnonTV pada 26 April 2022, Grup tertaut Anonymous ‘NB 65’ (@xxNB65) meretas 229.000 email dan 630.000 file dari Petersburg Social Commercial Bank (JSC Bank “PSCB”), salah satu dari 100 bank Rusia teratas dalam hal aset bersih. Dokumen hasil peretasan terebut kemudian diunggah dan tersedia di situs DDoSecrets.

“JSC Bank PSCB, Anda sekarang dikendalikan oleh Network Battalion 65. Kami sangat bersyukur bahwa Anda menyimpan begitu banyak kredensial di Chrome. Sudah selesai dilakukan dengan baik. Jelas bahwa respon insiden telah dimulai. Semoga berhasil mendapatkan data Anda kembali tanpa kami. Beritahu pemerintah Anda untuk meninggalkan Ukraina” tulis kelompok Network Battalion 65 atau NB 65. dalam unggahan asli di halaman twitter mereka pada 18 April 2022.

Kemudian, kelompok NB 65 membuat utas terkait aktivitas mereka di dalam jaringan bank yang terkompromi dengan nada seolah-olah mempermainkan.

Selain peretasan pada bank PSCB, pada 27 April 2022, kelompok Anonymous mengklaim bahwa mereka telah meretas 1,23 juta email (1.7TB data) dari Elektrocentromontazh (ECM), organisasi kekuatan utama Rusia. ECM merancang, membangun, memasang, dan memelihara peralatan listrik di fasilitas pembangkit listrik dan transmisi.

Mereka juga memberikan informasi klien domestik ECM terdiri dari pembangkit listrik tenaga nuklir Novovoronezh, Kursk dan Smolensk, Russian Railways JSC, perusahaan negara Direktorat Tenaga Moskow, departemen Energi Pemerintah Moskow, cabang JSC jaringan listrik Moskow bersatu, dan Baltic Oil Pipelines LLC.

Selengkapnya: Security Affairs

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Data Breach

Cookies Settings