Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for FBI

FBI

FBI menghapus web shell dari Exchange Server yang diretas tanpa memberi tahu pemiliknya

by

Operasi FBI yang disetujui pengadilan dilakukan untuk menghapus web shell dari server Microsoft Exchange berbasis di AS yang disusupi tanpa memberi tahu pemilik server terlebih dahulu.

Dalam siaran pers Departemen Kehakiman yang diterbitkan hari ini, FBI menyatakan bahwa mereka menggunakan surat perintah penggeledahan untuk mengakses server Exchange yang masih dikompromikan, menyalin web shell sebagai bukti, dan kemudian menghapus web shell dari server.

FBI meminta surat perintah ini karena mereka yakin bahwa pemilik server web yang masih terinfeksi tidak memiliki kemampuan teknis untuk menghapusnya sendiri dan bahwa shell tersebut menimbulkan risiko yang signifikan bagi korban.

Karena ada kekhawatiran bahwa memberi tahu pemilik server ini dapat membahayakan operasi, FBI meminta agar surat perintah ditutup dan pemberitahuan surat perintah ditunda sampai operasi selesai.

Untuk membersihkan server Microsoft Exchange yang teridentifikasi, FBI mengakses web shell menggunakan sandi yang diketahui digunakan oleh pelaku ancaman, menyalin web shell sebagai bukti, dan kemudian menjalankan perintah untuk menghapus web shell dari server yang disusupi.

Selengkapnya: Bleeping Computer

Setelah serangan di Florida, FBI memperingatkan tentang penggunaan TeamViewer dan Windows 7

by

Setelah insiden di Oldsmar, Florida, di mana seorang penyerang tak dikenal memperoleh akses ke jaringan instalasi pengolahan air dan mengubah dosis kimiawi ke tingkat berbahaya, FBI telah mengirimkan peringatan (PIN) pada hari Selasa, meningkatkan perhatian pada tiga masalah keamanan yang telah terlihat di jaringan pabrik setelah peretasan minggu lalu.

Peringatan itu memperingatkan tentang penggunaan sistem Windows 7 yang kedaluwarsa, kata sandi yang buruk, dan perangkat lunak TeamViewer, mendesak perusahaan swasta dan organisasi federal dan pemerintah untuk meninjau jaringan internal dan mengakses kebijakan yang sesuai.

FBI secara khusus menyebut TeamViewer sebagai perangkat lunak desktop sharing yang harus diwaspadai setelah aplikasi tersebut dikonfirmasi sebagai titik masuk penyerang ke jaringan pabrik pengolahan air Oldsmar.

Meskipun peringatan PIN FBI tidak memberikan nada atau sikap kritis terhadap TeamViewer, FBI ingin organisasi sektor federal dan swasta memperhatikan aplikasi tersebut.

Selain itu, peringatan FBI juga memperingatkan tentang berlanjutnya penggunaan Windows 7, sistem operasi yang telah mencapai akhir masa pakainya, pada 14 Januari 2020, sebuah masalah yang juga diperingatkan oleh FBI kepada perusahaan-perusahaan AS tahun lalu.

Sumber: ZDNet

FBI memperingatkan Egregor ransomware yang memeras bisnis di seluruh dunia

by

Biro Investigasi Federal AS (FBI) telah mengirimkan peringatan peringatan keamanan kepada perusahaan sektor swasta bahwa operasi ransomware Egregor secara aktif menargetkan dan memeras bisnis di seluruh dunia.

FBI mengatakan dalam TLP: WHITE Private Industry Notification (PIN) yang dibagikan pada hari Rabu bahwa Egregor mengklaim telah menyerang dan membahayakan lebih dari 150 korban sejak agensi tersebut pertama kali mengamati aktivitas jahat ini pada September 2020.

Email phishing dengan lampiran berbahaya dan Remote Desktop Protocol (RDP) yang tidak aman atau Virtual Private Networks adalah beberapa vektor serangan yang digunakan oleh aktor Egregor untuk mendapatkan akses dan bergerak secara lateral dalam jaringan korban mereka.

Egregor menggunakan Cobalt Strike, Qakbot / Qbot, Advanced IP Scanner, dan AdFind untuk eskalasi hak istimewa dan pergerakan jaringan lateral.

FBI juga membagikan daftar langkah-langkah mitigasi yang direkomendasikan yang akan membantu mempertahankan diri dari serangan Egregor:

  • Cadangkan data penting secara offline.
  • Pastikan salinan data penting ada di cloud atau di hard drive eksternal atau perangkat penyimpanan.
  • Amankan cadangan Anda dan pastikan data tidak dapat diakses untuk modifikasi atau penghapusan dari sistem tempat data berada.
  • Instal dan perbarui perangkat lunak anti-virus atau anti-malware secara teratur di semua host.
  • Hanya gunakan jaringan yang aman dan hindari menggunakan jaringan Wi-Fi publik.
  • Gunakan otentikasi dua faktor dan jangan klik pada lampiran atau tautan yang tidak diminta dalam email.
  • Prioritaskan penambalan produk dan aplikasi akses jarak jauh yang dapat diakses publik, termasuk kerentanan RDP terbaru (CVE-2020-0609, CVE-2020-0610, CVE-2020-16896, CVE-2019-1489, CVE-2019-1225, CVE-2019 -1224, CVE-2019-1108).
  • Tinjau file .bat dan .dll yang mencurigakan, file dengan data pengintaian (seperti file .log), dan alat eksfiltrasi.
  • Konfigurasikan RDP secara aman dengan membatasi akses, menggunakan otentikasi multi-faktor atau kata sandi yang kuat.

Sumber: Bleeping Computer

FBI mengatakan geng ransomware DoppelPaymer melecehkan korban yang menolak membayar

by

Biro Investigasi Federal AS mengatakan mereka mengetahui insiden di mana geng ransomware DoppelPaymer telah menggunakan cold-calling untuk mengintimidasi dan memaksa korban untuk membayar permintaan tebusan.

Peringatan PIN FBI, dikirim pada 10 Desember, mengonfirmasi laporan ZDNet dari 5 Desember yang merinci taktik cold-calling serupa yang digunakan oleh empat grup ransomware lainnya: Sekhmet (sekarang tidak berfungsi), Maze (sekarang tidak berfungsi), Conti, dan Ryuk. FBI mengatakan taktik ini sebenarnya pertama kali terlihat pada geng DoppelPaymer beberapa bulan sebelumnya.

“Doppelpaymer adalah salah satu varian ransomware pertama di mana para pelaku memanggil para korban untuk meminta pembayaran,” kata FBI.

“Pada Februari 2020, dalam banyak kasus, para pelaku DoppelPaymer telah mengikuti infeksi ransomware dengan menelepon para korban untuk memeras pembayaran melalui intimidasi atau mengancam akan merilis data yang dieksfiltrasi,” tambahnya.

Geng DoppelPaymer adalah satu dari 20 geng ransomware lebih yang mengoperasikan situs kebocoran tempat mereka mempublikasikan data dari perusahaan yang menolak membayar tebusan – sebagai bentuk balas dendam.

Dalam peringatan PIN DoppelPaymer, FBI merekomendasikan agar korban mengamankan jaringan mereka untuk mencegah gangguan sejak awal, dan dalam kasus serangan, merekomendasikan agar korban memberi tahu pihak berwenang dan mencoba untuk menghindari pembayaran tebusan karena ini memberikan penyerang semangat baru untuk melakukan serangan intrusi baru, tertarik dengan keuntungan mudah yang mereka hasilkan.

Sumber: ZDNet

FBI: Peretas mencuri kode sumber dari lembaga pemerintah AS dan perusahaan swasta

by

Biro Investigasi Federal telah mengirimkan peringatan peringatan keamanan bahwa pelaku ancaman menyalahgunakan aplikasi SonarQube yang salah dikonfigurasi untuk mengakses dan mencuri repositori kode sumber dari lembaga pemerintah AS dan bisnis swasta.

Gangguan telah terjadi setidaknya sejak April 2020, kata FBI dalam peringatan yang dikirim bulan lalu dan dipublikasikan minggu ini di situs webnya.

Peringatan tersebut secara khusus memperingatkan pemilik SonarQube, aplikasi berbasis web yang diintegrasikan oleh perusahaan ke dalam rantai pembuatan perangkat lunak mereka untuk menguji kode sumber dan menemukan kelemahan keamanan sebelum meluncurkan kode dan aplikasi ke dalam lingkungan produksi.

Aplikasi SonarQube diinstal di server web dan terhubung ke sistem hosting kode sumber seperti akun BitBucket, GitHub, atau GitLab, atau sistem Azure DevOps.

Tetapi FBI mengatakan bahwa beberapa perusahaan telah membiarkan sistem ini tidak terlindungi, berjalan pada konfigurasi default mereka (pada port 9000) dengan kredensial admin default (admin/admin).

Pejabat FBI mengatakan bahwa pelaku ancaman telah menyalahgunakan kesalahan konfigurasi ini untuk mengakses instance SonarQube, lalu beralih ke repositori kode sumber yang terhubung, dan kemudian mengakses dan mencuri aplikasi yang telah dipatenkan atau pribadi/sensitif.

Untuk mencegah kebocoran seperti ini, peringatan FBI mencantumkan serangkaian langkah yang dapat diambil perusahaan untuk melindungi server SonarQube mereka, dimulai dengan mengubah konfigurasi default dan kredensial aplikasi dan kemudian menggunakan firewall untuk mencegah akses tidak sah ke aplikasi dari pengguna yang tidak sah.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Badan Intelijen Asing Menggunakan Situs Media Sosial untuk Menargetkan Orang-orang dengan Izin Keamanan

by

FBI merilis sebuah peringatan mengenai ancaman dari China.

China dan pemerintah asing lainnya menggunakan situs media sosial jejaring profesional untuk menargetkan orang-orang dengan izin keamanan pemerintah AS.

Badan intelijen asing mungkin menggunakan profil palsu, permintaan yang tampaknya ramah, janji pembayaran yang menguntungkan, dan taktik lain untuk mencoba mendapatkan informasi non-publik dan rahasia untuk keuntungan mereka.

FBI mendesak semua orang — terutama mereka yang memegang (atau pernah memegang) izin keamanan — untuk berhati-hati saat didekati oleh individu secara online mengenai peluang karier.

Apa yang Harus Anda Lakukan?

  • Tinjau pengaturan akun Anda di jejaring sosial dan profesional untuk mengontrol informasi yang tersedia untuk umum, terutama yang berkaitan dengan izin keamanan.
  • Hanya bentuk kontak online dengan orang yang Anda kenal atau setelah Anda memverifikasi sah dengan cara lain.
  • Beri tahu petugas keamanan Anda jika ada kontak dari perusahaan atau individu yang Anda curigai.
  • Jika Anda adalah mantan pemegang izin pemerintah A.S., hubungi kantor FBI terdekat untuk melaporkan penargetan jahat di situs media sosial jejaring profesional atau kirimkan tip secara daring di tips.fbi.gov.

Selengkapnya: FBI

Elon Musk Mengonfirmasi Pabrik Tesla Menjadi Target Serangan Siber Yang Berhasil Digagalkan

by

Elon Musk mengonfirmasi pada hari Kamis bahwa pabrik Tesla Inc. di Nevada telah menjadi target serangan dunia maya yang digagalkan oleh FBI.

Sebelumnya telah diberitakan juga bahwa FBI telah menggagalkan sebuah plot serangan siber di sebuah perusahaan, namun tidak disebutkan nama perusahaan tersebut.

Blog Teslarati melaporkan bahwa seorang pria Rusia mendekati seorang pekerja di pabrik pada bulan Juli melalui aplikasi obrolan WhatsApp, dan menawarkan $1 juta untuk menginstal malware ke jaringan internal Tesla yang akan menyebabkan serangan denial-of-service.

Sementara tim keamanan siber Tesla terganggu oleh serangan DDoS, malware akan mengakses rahasia perusahaan yang dapat disimpan peretas untuk mendapatkan uang tebusan. Sebaliknya, pekerja tersebut melaporkannya ke pejabat di Tesla, yang kemudian memberi tahu FBI.

Dalam tweet yang membalas laporan Teslarati, Musk mengonfirmasi “Ini adalah serangan serius.”

 
Baca berita selengkapnya pada tautan di bawah ini;
Source: Market Watch

FBI Menangkap Pria Rusia yang Menawarkan $1 Juta kepada Karyawan Perusahaan Nevada Untuk Menanam Malware

by

Biro Investigasi Federal (FBI) Amerika menggagalkan plot serangan siber setelah menangkap seorang warga negara Rusia, Egor Igorevich Kriuchkov. Terdakwa menawarkan suap $ 1 juta kepada seorang karyawan sebuah perusahaan Nevada dengan imbalan menanam malware.

Kriuchkov bertemu dengan karyawan tersebut dan kemudian bermalam dari Reno ke Los Angeles untuk terbang ke luar negeri. Tetapi FBI menangkap pria berusia 27 tahun itu dan mengajukannya ke pengadilan federal di Los Angeles pada hari Senin, menuduhnya dengan satu tuduhan konspirasi yang dengan sengaja menyebabkan kerusakan pada komputer yang dilindungi. Kriuchkov dikirim ke tahanan menunggu persidangan.

Menurut FBI, Kriuchkov ingin membayar karyawan itu $500.000 melalui Bitcoin atau uang tunai tetapi ketika dia tidak setuju, orang Rusia itu menggandakan jumlahnya menjadi $1 juta.

Meskipun tidak terungkap apakah Kriuchkov memiliki hubungan dengan pemerintah Rusia, tetapi menurut FBI, dia bekerja dengan seorang peretas yang merupakan “pegawai tingkat tinggi dari bank pemerintah di Rusia.”

Berita selengkapnya dapat dibaca pada tautan di bawah;
IBTimes