Hacker

Rackspace Mengatakan Hacker Mengakses Data Pelanggan Selama Serangan Ransomware

January 7, 2023 by Coffee Bean

Cloud computing raksasa rackspace telah mengonfirmasi peretas mengakses data pelanggan selama serangan ransomware bulan lalu.

Serangan itu, memengaruhi lingkungan email Exchange yang dihosting perusahaan, memaksa raksasa web tersebut untuk menutup layanan email yang dihosting setelah insiden tersebut.

Rackspace mengatakan sekitar 30.000 pelanggan menggunakan layanan Exchange yang dihostingnya – yang sekarang akan dihentikan – pada saat serangan ransomware

Rackspace mengaitkan pelanggaran itu dengan grup ransomware Play, geng yang relatif baru yang baru-baru ini mengklaim serangan di kota pelabuhan Antwerp Belgia dan jaringan perhotelan H-Hotels. Data Rackspace yang dicuri saat ini tidak terdaftar di situs kebocoran grup ransomware, dan tidak jelas apakah Rackspace telah membayar permintaan uang tebusan.

Pelaku ancaman Play memperoleh akses ke jaringan Rackspace dengan mengeksploitasi CVE-2022-41080, cacat zero-day yang ditambal oleh Microsoft pada bulan November

sumber : techcrunch

Polandia Memperingatkan Serangan Oleh Kelompok Hacker Ghostwriter yang Terkait dengan Rusia

January 4, 2023 by Coffee Bean

Pemerintah Polandia memperingatkan lonjakan serangan dunia maya dari peretas yang terkait dengan Rusia, termasuk kelompok peretasan yang disponsori negara yang dikenal sebagai GhostWriter.

Polandia yakin peretas Rusia menargetkan negara mereka karena dukungan berkelanjutan yang mereka berikan kepada Ukraina dalam konflik militer yang sedang berlangsung dengan Rusia.

Cyberattack Terbaru
Kasus pertama yang disorot oleh pos pemerintah Polandia adalah serangan DDoS (distributed denial of service) terhadap situs web parlemen (‘sejm.gov.pl’), yang dikaitkan dengan NoName057(16) aktivis peretas pro-Rusia.’

Serangan itu terjadi sehari setelah parlemen mengadopsi resolusi yang mengakui Rusia sebagai negara sponsor terorisme, membuat situs web tidak dapat diakses oleh publik.

Menurut orang Polandia, para peretas Rusia membuat situs web yang menyamar sebagai domain pemerintah gov.pl, mempromosikan kompensasi keuangan palsu untuk penduduk Polandia yang diduga didukung oleh dana Eropa.

Mengklik tombol tersemat untuk mempelajari lebih lanjut tentang program membawa korban ke situs phishing di mana mereka diminta membayar sedikit biaya untuk verifikasi.

Kampanye ’22 Desember yang menyamar sebagai administrasi pajak Polandia (gov.pl)

GhostWriter telah aktif setidaknya sejak 2017, sebelumnya diamati meniru jurnalis dari Lituania, Latvia, dan Polandia, untuk menyebarkan informasi palsu dan narasi anti-NATO kepada khalayak lokal.

Menanggapi meningkatnya ancaman dunia maya, Perdana Menteri Polandia telah meningkatkan tingkat ancaman keamanan dunia maya menjadi ‘CHARLIE-CRP’, memperkenalkan berbagai langkah seperti mempertahankan daftar 24 jam di kantor yang ditunjuk dan organisasi administrasi publik.

sumber : BleepingComputBleepingComputer

Peretas Menyalahgunakan Google Ads Untuk Menyebarkan Malware Dalam Perangkat Lunak Resmi

December 30, 2022 by Flamango

Operator malware semakin sering menyalahgunakan platform Google Ads untuk menyebarkan malware ke pengguna yang tidak menaruh curiga yang menelusuri produk software populer.

Produk yang ditiru dalam kampanye ini termasuk Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird, dan Brave.

Pelaku ancaman mengkloning situs web resmi dari proyek di atas dan mendistribusikan versi trojan dari perangkat lunak saat pengguna mengklik tombol unduh. Situs web berbahaya tersebut dipromosikan ke audiens melalui kampanye Google Ads.

Penyalahgunaan Google Ads
Google Ads membantu pengiklan mempromosikan halaman di Google Search. Pengguna yang mencari perangkat lunak resmi tanpa pemblokir iklan aktif akan melihat promosi yang disajikan dan cenderung mengkliknya tanpa berpikir panjang karena tampilan yang sangat mirip dengan hasil pencarian yang sebenarnya.

Menurut Guardio dan Trend Micro, triknya adalah mengarahkan korban yang mengklik iklan ke situs yang tidak relevan namun aman yang dibuat oleh pelaku ancaman, lalu mengarahkan mereka ke situs berbahaya yang meniru proyek perangkat lunak.

Situs landing dan tipuan yang digunakan dalam kampanye (Guardio Labs)

Muatan, yang datang dalam bentuk ZIP atau MSI, diunduh dari layanan file sharing dan hosting kode terkemuka untuk memastikan bahwa program anti-virus apa pun yang berjalan di mesin korban tidak akan menolak pengunduhan.

Hindari Unduhan Berbahaya
FBI baru-baru ini mengeluarkan peringatan tentang jenis kampanye iklan ini, mendesak pengguna internet untuk sangat berhati-hati.

Salah satu cara memblokir kampanye ini adalah tindakan pencegahan dengan mengaktifkan pemblokir iklan di browser web, yang memfilter hasil yang dipromosikan dari Google Penelusuran.

Pencegahan bisa juga dilakukan dengan scroll ke bawah hingga terlihat domain resmi dari proyek perangkat lunak yang dicari. Jika tidak yakin, domain resmi terdaftar di halaman Wikipedia perangkat lunak.

Tanda file mencurigakan lainnya adalah ukuran file yang tidak normal. Bukti lain yang jelas dari kecurangan adalah domain situs unduhan yang mungkin mirip dengan yang resmi tetapi telah menukar karakter dalam nama atau satu huruf yang salah, yang dikenal sebagai “typosquatting”.

Selengkapnya: BLEEPINGCOMPUTER

Peretas Mencuri Data Dari Beberapa Utilitas Listrik Dalam Serangan Ransomware Baru

December 28, 2022 by Flamango

Peretas mencuri data milik beberapa utilitas listrik dalam serangan ransomware Oktober terhadap kontraktor pemerintah AS yang menangani proyek infrastruktur penting di seluruh negeri, menurut memo yang menjelaskan peretasan yang diperoleh CNN.

Menurut memo yang dikirim kepada eksekutif perusahaan listrik oleh pusat berbagi ancaman siber regulator jaringan Amerika Utara, pejabat federal memantau insiden tersebut untuk mengetahui potensi dampak yang lebih luas pada sektor listrik AS, sementara penyelidik swasta menyisir web gelap untuk data yang dicuri.

Serangan ransomware yang menghantam Sargent & Lundy berbasis di Chicago, sebuah perusahaan teknik yang telah merancang lebih dari 900 pembangkit listrik dan ribuan mil sistem tenaga, menyimpan data sensitif proyek, dan menangani masalah keamanan nuklir.

Menurut anonim, insiden itu telah diatasi. Tampaknya tidak berdampak lebih luas pada perusahaan sektor listrik lainnya.

Pakar keamanan sudah lama khawatir bahwa skema yang dipegang oleh kontraktor listrik dan tenaga nuklir dapat dibuang secara online dan digunakan untuk serangan fisik atau siber lanjutan pada fasilitas tersebut.

Kekhawatiran itu menyusul rentetan serangan fisik dan vandalisme pada utilitas listrik di berbagai negara bagian. Pada hari Natal, ribuan orang kehilangan aliran listrik di wilayah Washington setelah seseorang merusak beberapa gardu induk di sana.

Romero menolak untuk menjawab pertanyaan lebih lanjut tentang serangan ransomware, termasuk apakah peretas telah mencoba memeras Sargent & Lundy, mengutip penyelidikan yang sedang berlangsung.

Pemerintahan Biden telah mendesak perusahaan untuk berbagi data tentang peretasan seperti itu karena pejabat AS telah mencoba untuk mengatasi epidemi ransomware, yang telah merugikan perusahaan infrastruktur penting jutaan dolar.

Peretas yang menyerang Sargent & Lundy menggunakan jenis ransomware yang dikenal sebagai Black Basta. Peretas mencuri data dari korbannya untuk memberi mereka pengaruh tambahan dalam negosiasi tebusan.

Peraturan federal mewajibkan utilitas listrik untuk mempertahankan standar keamanan siber melindungi sistem mereka dari peretasan. Perusahaan yang membuat kontrak dengan utilitas tersebut, seperti Sargent & Lundy, belum tentu memiliki standar yang sama dan malah terikat oleh persyaratan keamanan dalam kontrak.

Selengkapnya: CNN politics

Peretas APT BlueNoroff Menggunakan Cara Baru Untuk Memotong Perlindungan MotW Windows

December 28, 2022 by Flamango

BlueNoroff, subcluster dari Grup Lazarus yang terkenal kejam, telah diamati mengadopsi teknik baru ke dalam buku pedomannya yang memungkinkannya melewati perlindungan Windows Mark of the Web (MotW).

Kapersky mengungkapkan bahwa ini termasuk penggunaan format file image disk optik (ekstensi .ISO) dan hard disk virtual (ekstensi .VHD) sebagai bagian dari rantai infeksi baru.

Penemuan domain palsu meniru ABF Capital, Angel Bridge, ANOBAKA, Bank of America, dan Mitsubishi UFJ Financial Group, menandakan adanya minat di wilayah tersebut.

Sejak 2018, BlueNoroff tampaknya telah mengalami perubahan taktis. Dari bank yang mencolok beralih fokus pada entitas mata uang kripto untuk menghasilkan pendapatan ilegal.

Kaspersky awal tahun ini mengungkapkan detail kampanye SnatchCrypto yang diatur oleh kolektif musuh untuk menguras dana digital dari dompet cryptocurrency korban.

Aktivitas utama lainnya adalah AppleJeus.Perusahaan cryptocurrency palsu dibentuk untuk memikat korban tanpa disadari agar memasang aplikasi yang tampak jinak yang pada akhirnya menerima pembaruan dari belakang.

Aktivitas terbaru diidentifikasi oleh perusahaan cybersecurity Rusia, memperkenalkan sedikit modifikasi untuk menyampaikan muatan terakhirnya, menukar lampiran dokumen Microsoft Word dengan file ISO di email spear-phishing untuk memicu infeksi.

Penggunaan nama file Jepang untuk salah satu dokumen dan pembuatan domain tipuan yang disamarkan sebagai perusahaan modal ventura Jepang yang sah menunjukkan bahwa perusahaan keuangan di negara kepulauan tersebut kemungkinan besar menjadi target BlueNoroff.

Perang dunia maya telah menjadi fokus utama Korea Utara dalam menanggapi sanksi ekonomi. Menurut National Intelligence Service (NIS) Korea Selatan, peretas Korea Utara yang disponsori negara diperkirakan telah mencuri $1,2 miliar dalam cryptocurrency dan aset digital lainnya dari target di seluruh dunia selama lima tahun terakhir.

Selengkapnya: The Hacker News

Kilang Minyak Besar di Negara NATO, Target Peretas yang Didukung Kremlin

December 23, 2022 by Flamango

Saat invasi Rusia ke Ukraina berlanjut, peretas negara itu memperluas target mereka.

Salah satu kelompok peretas paling aktif di Kremlin yang menargetkan Ukraina, baru-baru ini mencoba meretas perusahaan penyulingan minyak besar yang berlokasi di negara NATO.

Meskipun gagal, serangan pada 30 Agustus ini menandakan bahwa kelompok tersebut berusaha memperluas pengumpulan intelijennya seiring dengan berlanjutnya invasi Rusia ke negara tetangganya. Grup peretasan telah dikaitkan oleh Dinas Keamanan Ukraina dengan Dinas Keamanan Federal Rusia.

Menatap Industri Energi
Dalam 10 bulan terakhir, Unit 42 memetakan lebih dari 500 domain baru dan 200 sampel serta remah roti lain yang ditinggalkan Trident Ursa dalam kampanye phishing tombak yang mencoba menginfeksi target dengan malware pencuri informasi.
Peneliti perusahaan menilai bahwa sampel menunjukkan Trident Ursa sedang berusaha meningkatkan pengumpulan intelijen dan akses jaringan mereka terhadap sekutu Ukraina dan NATO.

Beberapa nama file yang digunakan dalam serangan yang gagal adalah MilitaryassistanceofUkraine.htm, Necessary_military_assistance.rar, dan daftar hal-hal yang diperlukan untuk penyediaan bantuan kemanusiaan militer ke Ukraina.lnk.

Direktur Siber Badan Keamanan Nasional, Rob Joyce, mengatakan prihatin dengan serangan siber yang signifikan dari Rusia, khususnya pada sektor energi global, menurut CyberScoop.

Tinjauan tahunan NSA mencatat bahwa Rusia telah mengeluarkan setidaknya tujuh malware penghapus berbeda yang dirancang untuk menghancurkan data secara permanen.

Perdana Menteri Norwegia, Jonas Gahr Støre, memperingatkan bahwa Rusia merupakan ancaman yang nyata dan serius terhadap industri minyak dan gas di Eropa Barat karena negara tersebut berusaha untuk mematahkan keinginan sekutu Ukraina.

Meski sederhana, teknik peretasan yang Trident Ursa cukup efektif. Berbagai cara digunakan untuk menyembunyikan alamat IP dan tanda tangan lain dari infrastrukturnya, dokumen phishing dengan tingkat deteksi rendah di antara layanan anti-phishing, dan dokumen HTML dan Word yang berbahaya.

Salah satu pernyataan peneliti Unit 42 yaitu untuk semua alasan yang ada, Rusia tetap menjadi ancaman signifikan bagi Ukraina, yang harus dilawan secara aktif oleh Ukraina dan sekutunya.

Selengkapnya: arsTECHNICA

Akun Comcast Xfinity Diretas Dalam Serangan Bypass 2FA yang Meluas

December 23, 2022 by Coffee Bean

Pelanggan Comcast Xfinity melaporkan akun mereka diretas dalam serangan luas yang melewati autentikasi dua faktor. Akun yang dikompromikan ini kemudian digunakan untuk mengatur ulang kata sandi untuk layanan lain, seperti pertukaran crypto Coinbase dan Gemini.

many Xfinity email users began receiving notifications that their account information had been changed. However, when attempting to access the accounts, they could not log in as the passwords had been changed.

Mirip dengan Gmail, Xfinity memungkinkan pelanggan untuk mengonfigurasi alamat email sekunder yang akan digunakan untuk pemberitahuan akun dan pengaturan ulang kata sandi jika mereka kehilangan akses ke akun Xfinity mereka.

Email verifikasi Xfinity di kotak masuk Yopmail sekali pakai
Sumber: BleepingComputer

BleepingComputer first learned of these account hacks after numerous Xfinity customers reached out to us to share their experiences. In addition, other customers shared similar reports on Reddit [1, 2], Twitter [1, 2, 3], and Xfinity’s own support forum.

Bypass 2FA diduga beredar secara pribadi
Seorang peneliti telah memberi tahu BleepingComputer bahwa serangan dilakukan melalui serangan isian kredensial untuk menentukan kredensial masuk untuk serangan Xfinity.

Begitu mereka mendapatkan akses ke akun dan diminta untuk memasukkan kode 2FA mereka, penyerang diduga menggunakan bypass OTP yang diedarkan secara pribadi untuk situs Xfinity yang memungkinkan mereka memalsukan permintaan verifikasi 2FA yang berhasil.

Email utama Xfinity juga akan menerima pemberitahuan bahwa informasi mereka telah diubah, tetapi karena kata sandi juga telah diubah, tidak akan dapat mengaksesnya.

Email ke akun utama memperingatkan bahwa informasi telah diubah
Sumber: BleepingComputer

Begitu mereka mendapatkan akses penuh ke akun email Xfinity, pelaku ancaman mencoba untuk melanggar layanan online lebih lanjut yang digunakan oleh pelanggan, memverifikasi permintaan pengaturan ulang kata sandi ke akun email yang sekarang disusupi.

Sementara BleepingComputer tidak dapat memverifikasi keabsahan bypass OTP ini secara independen dan apakah itu telah digunakan dalam peretasan yang dilaporkan, ini akan menjelaskan bagaimana pelaku ancaman dapat memperoleh akses ke akun dengan 2FA diaktifkan.

sumber : bleeping computer

Peretas FIN7 Membuat Platform Serangan Otomatis Untuk Menembus Server Exchange

December 23, 2022 by Coffee Bean

Grup peretasan FIN7 yang terkenal menggunakan sistem serangan otomatis yang mengeksploitasi Microsoft Exchange dan kerentanan injeksi SQL untuk menembus jaringan perusahaan, mencuri data, dan memilih target untuk serangan ransomware berdasarkan ukuran finansial.

Sistem ini ditemukan oleh tim intelijen ancaman Prodaft, yang telah mengikuti operasi FIN7 dengan cermat selama bertahun-tahun.

Menyerang otomatis Microsoft Exchange
Sistem serangan otomatis yang ditemukan oleh Prodaft disebut ‘Tanda centang’, dan ini adalah pemindai untuk beberapa eksekusi kode jarak jauh Microsoft Exchange dan kerentanan elevasi hak istimewa seperti CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207.

FIN7 menggunakan berbagai eksploit untuk mendapatkan akses ke jaringan target, termasuk kode kustom mereka sendiri dan PoC yang tersedia untuk umum.

Selain kelemahan MS Exchange, platform serangan Checkmarks juga dilengkapi modul injeksi SQL menggunakan SQLMap untuk memindai potensi kelemahan yang dapat dieksploitasi di situs web target.

Setelah tahap serangan awal, Tanda centang secara otomatis melakukan langkah pascaeksploitasi, seperti ekstraksi email dari Active Directory dan pengumpulan informasi server Exchange.

Korban baru ditambahkan secara otomatis ke panel pusat tempat operator FIN7 dapat melihat detail tambahan tentang titik akhir yang disusupi.

Uji tuntas yang dilakukan untuk mengevaluasi ukuran perusahaan dan status keuangan patut diperhatikan, dengan tim pemasaran FIN7 mengumpulkan informasi dari berbagai sumber, termasuk Owler, Crunchbase, DNB, Zoominfo, Mustat, dan Similarweb.

Ransomware dan pintu belakang SSH
Investigasi Prodaft menemukan bukti lebih lanjut dari koneksi DarkSide setelah mereka menemukan apa yang tampak seperti catatan tebusan dan file terenkripsi dari operasi ransomware.

Selain itu, para peneliti menemukan banyak bukti komunikasi dengan beberapa geng ransomware, termasuk Darkside, REvil, dan LockBit, dari log Jabber yang diambil.

penyelidikan menunjukkan bahwa alih-alih secara khusus menargetkan perusahaan yang berharga, FIN7 menargetkan semua orang dan mengevaluasi seberapa berharganya mereka di fase kedua.

Prodaft telah memberikan indikator kompromi (IOCs) dalam laporan mereka untuk backdoor berbasis SSH dan malware lain yang digunakan dalam serangan mereka. Sangat disarankan agar semua admin meninjau laporan untuk mempelajari bagaimana FIN7 menargetkan jaringan mereka.

sumber : bleeping computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Hacker

Cookies Settings