Kaseya

Hacks Terburuk tahun 2021

January 19, 2022 by Eevee

2021 adalah musim terbuka bagi penyerang di seluruh dunia. Geng Ransomware sangat agresif, menargetkan fasilitas perawatan kesehatan, sekolah, dan infrastruktur penting pada tingkat yang mengkhawatirkan. Dengan pandemi yang masih berkobar di latar belakang, administrator sistem, penanggap insiden, penegak hukum global, dan semua jenis praktisi keamanan bekerja tanpa lelah untuk melawan rentetan serangan.

Inilah retrospektif tentang pelanggaran terburuk tahun ini, kebocoran, paparan data, serangan ransomware, kampanye peretasan yang disponsori negara, dan kekacauan digital.

Colonial Pipeline
Pada awal Mei, ransomware menghantam Colonial Pipeline, yang mengoperasikan pipa sepanjang 5.500 mil yang membawa hampir setengah dari bahan bakar Pantai Timur—bensin, solar, dan gas alam—dari Texas hingga New Jersey. Sebagai akibat dari serangan tersebut, perusahaan menutup sebagian jalur pipa baik untuk menampung malware maupun karena serangan tersebut membuat sistem penagihannya offline. Colonial Pipelines membayar tebusan 75 bitcoin—bernilai lebih dari $4 juta pada saat itu—dalam upaya untuk menyelesaikan insiden tersebut.

Kaseya
Pada awal Juli, peretas yang terkait dengan geng ransomware REvil yang berbasis di Rusia mengeksploitasi kelemahan pada alat Administrator Sistem Virtual Kaseya. REvil menetapkan uang tebusan sekitar $45.000 untuk banyak korban hilir dan sebanyak $5 juta untuk penyedia layanan terkelola itu sendiri. Geng juga menawarkan untuk merilis alat dekripsi universal untuk sekitar $70 juta. Tapi pada akhir Juli, Kaseya memperoleh decryptor universal dan mulai mendistribusikannya ke target. Pada awal November, Departemen Kehakiman AS mengumumkan bahwa mereka telah menangkap salah satu pelaku utama serangan Kaseya, seorang warga negara Ukraina yang ditangkap pada bulan Oktober.

Twitch
Layanan streaming langsung Twitch mengkonfirmasi bahwa entitas yang tidak dikenal merilis 128 GB data kepemilikan yang dicuri dari perusahaan. Pelanggaran itu termasuk kode sumber lengkap Twitch. Perusahaan mengatakan pada saat itu bahwa insiden itu adalah hasil dari “perubahan konfigurasi server yang memungkinkan akses yang tidak tepat oleh pihak ketiga yang tidak sah.” Twitch membantah bahwa kata sandi terungkap dalam pelanggaran tersebut, tetapi mengakui bahwa informasi tentang pendapatan masing-masing streamer telah dicuri. Selain kode sumber itu sendiri dan data pembayaran streamer sejak 2019, harta karun itu juga berisi informasi tentang sistem internal Twitch Amazon Web Services dan SDK berpemilik.

Peretasan Microsoft Exchange
Kelompok peretas yang didukung negara China yang dikenal sebagai Hafnium menangis mengeksploitasi sekelompok kerentanan dalam perangkat lunak Microsoft Exchange Server. Peretasan itu mengenai berbagai korban, termasuk usaha kecil dan pemerintah daerah. Dan kampanye tersebut juga mempengaruhi sejumlah besar organisasi di luar AS, seperti Parlemen Norwegia dan Otoritas Perbankan Eropa. Microsoft mengeluarkan tambalan darurat pada 2 Maret untuk mengatasi kerentanan, tetapi peretasan sudah berjalan dan banyak organisasi membutuhkan waktu berhari-hari atau berminggu-minggu untuk menginstal perbaikan, jika mereka melakukannya sama sekali.

Meretas Dengan Alat Grup NSO
Platform komunikasi WhatsApp dan Apple menggugat NSO pada 2019 setelah serangkaian pengungkapan bahwa NSO menciptakan alat untuk menginfeksi target iOS dengan spyware Pegasus andalannya dengan mengeksploitasi kelemahan pada platform komunikasi iMessage Apple. Para peneliti mempelajari daftar bocoran 50.000 nomor telepon yang terkait dengan aktivis, jurnalis, eksekutif, dan politisi yang semuanya merupakan target pengawasan potensial. NSO Group telah membantah klaim tersebut. Pada bulan Desember, peneliti Google menyimpulkan bahwa kecanggihan malware NSO setara dengan peretas elit negara bangsa.

JBS USA
JBS SA mengalami serangan ransomware besar-besaran pada akhir Mei. Anak perusahaannya JBS USA mengatakan “itu adalah target serangan keamanan siber terorganisir, yang memengaruhi beberapa server yang mendukung sistem TI Amerika Utara dan Australia.”. Fasilitas JBS di Australia, AS, dan Kanada menghadapi gangguan, dan serangan tersebut menyebabkan serangkaian dampak di seluruh industri daging yang menyebabkan penutupan pabrik, karyawan yang dipulangkan, dan ternak yang harus dikembalikan ke petani. Insiden itu terjadi hanya beberapa minggu setelah serangan Colonial Pipeline, yang menggarisbawahi kerapuhan infrastruktur kritis dan rantai pasokan global yang vital.

Accelion
Vendor firewall Accellion merilis patch pada akhir Desember untuk mengatasi sekelompok kerentanan di salah satu penawaran peralatan jaringannya. Namun, tambalan tidak datang atau diinstal dengan cukup cepat untuk lusinan organisasi di seluruh dunia. Banyak yang mengalami pelanggaran data dan menghadapi upaya pemerasan sebagai akibat dari kerentanan. Para korban termasuk Reserve Bank of New Zealand, negara bagian Washington, Australian Securities and Investments Commission, firma keamanan siber Qualys, telekomunikasi Singapura Singtel, firma hukum terkenal Jones Day, jaringan toko grosir Kroger, dan University of Colorado. .

Honorable Mention: T-Mobile dan Neiman Marcus
Operator nirkabel T-Mobile mengakui pada bulan Agustus bahwa data dari lebih dari 48 juta orang telah dibobol dalam pelanggaran bulan itu. Para korban dicuri nama, tanggal lahir, nomor jaminan sosial, dan detail SIM mereka. Selain itu, 850.000 pelanggan dengan paket prabayar memiliki nama, nomor telepon, dan PIN yang diambil dalam pelanggaran tersebut.

Pelanggar berulang lainnya adalah jaringan department store Neiman Marcus. Perusahaan mengungkapkan insiden pada bulan Oktober, yang mengungkap nama korban, alamat, dan informasi kontak lainnya, ditambah kredensial login dan pertanyaan/jawaban keamanan dari akun Neiman Marcus online, nomor kartu kredit dan tanggal kedaluwarsa, dan nomor kartu hadiah.

Selengkapnya : WIRED

Serangan ransomware Kaseya memicu perlombaan untuk meretas penyedia layanan -peneliti

August 5, 2021 by Winnie the Pooh

Serangan ransomware pada bulan Juli yang melumpuhkan sebanyak 1.500 organisasi dengan mengkompromikan perangkat lunak manajemen teknologi dari sebuah perusahaan bernama Kaseya telah memicu perlombaan di antara para penjahat yang mencari kerentanan serupa, kata pakar keamanan siber.

Afiliasi dari geng ransomware top berbahasa Rusia yang dikenal sebagai REvil menggunakan dua kelemahan dalam perangkat lunak dari Kaseya yang berbasis di Florida untuk membobol sekitar 50 penyedia layanan terkelola (MSP) yang menggunakan produknya, kata penyelidik.

Sekarang para penjahat melihat betapa kuatnya serangan MSP, “mereka sudah sibuk, mereka sudah pindah dan kita tidak tahu di mana,” kata Victor Gevers, kepala Institut Pengungkapan Kerentanan Belanda nirlaba, yang memperingatkan Kaseya atas kelemahan sebelum serangan.

Gevers mengatakan para penelitinya telah menemukan kerentanan serupa di lebih banyak MSP. Dia menolak menyebutkan nama perusahaan karena mereka belum memperbaiki semua masalah.

Bisnis MSP telah berkembang pesat selama pandemi coronavirus di samping peningkatan pesat dalam pekerjaan jarak jauh.

“Di situlah Anda menemukan akses tepercaya ke sistem pelanggan,” kata Chris Krebs, pemimpin pertama Badan Keamanan Siber dan Keamanan Infrastruktur (CISA) Departemen Keamanan Dalam Negeri AS, yang telah menjadikan ransomware sebagai prioritas utama. “Ini adalah pendekatan yang jauh lebih ekonomis untuk meluncurkan serangan breakout. Dan sulit bagi pelanggan untuk mempertahankannya.”

Selengkapnya: Reuters

Kaseya memperbaiki kerentanan VSA yang digunakan dalam serangan ransomware REvil

July 12, 2021 by Winnie the Pooh

Kaseya telah merilis pembaruan keamanan untuk kerentanan zero-day VSA yang digunakan oleh geng ransomware REvil untuk menyerang MSP dan pelanggan mereka.

Kaseya VSA adalah solusi manajemen dan pemantauan jarak jauh yang biasa digunakan oleh penyedia layanan terkelola untuk mendukung pelanggan mereka. MSP dapat menerapkan VSA di lokasi menggunakan server mereka atau memanfaatkan solusi SaaS berbasis cloud Kaseya.

Pada bulan April, Dutch Institute for Vulnerability Disclosure (DIVD) mengungkapkan tujuh kerentanan pada Kaseya VSA.

Kaseya telah mengimplementasikan patch untuk sebagian besar kerentanan pada layanan VSA SaaS mereka tetapi belum menyelesaikan patch untuk versi lokal VSA.

Sayangnya, geng ransomware REvil mendahului Kaseya dan memanfaatkan kerentanan ini untuk meluncurkan serangan besar-besaran pada 2 Juli terhadap sekitar 60 MSP menggunakan server VSA lokal dan 1.500 pelanggan bisnis.

Sejak serangan itu, Kaseya telah mendesak pelanggan VSA lokal untuk mematikan server mereka sampai patch rilis.

Hampir sepuluh hari setelah serangan, Kaseya akhirnya merilis pembaruan VSA 9.5.7a (9.5.7.2994) untuk memperbaiki kerentanan yang digunakan dalam serangan ransomware REvil.

Namun, Kaseya mendesak pelanggan untuk mengikuti langkah-langkah ‘Panduan Kesiapan Startup VSA Lokal‘ sebelum menginstal pembaruan untuk mencegah pelanggaran lebih lanjut dan memastikan perangkat belum dikompromikan.

Setelah menginstal tambalan, semua pengguna akan diminta untuk mengubah kata sandi mereka menjadi kata sandi yang menggunakan persyaratan kata sandi baru.

Selengkapnya: Bleeping Computer

Hingga 1.500 bisnis terkena serangan ransomware, kata CEO perusahaan AS

July 6, 2021 by Winnie the Pooh

Antara 800 sampai 1.500 bisnis di seluruh dunia telah terpengaruh oleh serangan ransomware yang berpusat pada perusahaan teknologi informasi AS Kaseya, kata kepala eksekutifnya pada hari Senin.

Fred Voccola, CEO perusahaan yang berbasis di Florida, mengatakan dalam sebuah wawancara bahwa sulit untuk memperkirakan dampak yang tepat dari serangan hari Jumat karena yang terkena terutama adalah pelanggan dari pelanggan Kaseya.

Kaseya adalah perusahaan yang menyediakan alat perangkat lunak untuk toko outsourcing TI: perusahaan yang biasanya menangani pekerjaan back-office untuk perusahaan yang terlalu kecil atau sumber dayanya sederhana untuk memiliki departemen teknologi sendiri.

Salah satu alat itu ditumbangkan pada hari Jumat, memungkinkan para peretas melumpuhkan ratusan bisnis di lima benua.

Peretas yang mengaku bertanggung jawab atas pelanggaran tersebut telah menuntut $70 juta untuk memulihkan semua data bisnis yang terpengaruh, meskipun mereka telah menunjukkan kesediaan untuk mengurangi tuntutan mereka dalam percakapan pribadi dengan pakar keamanan siber dan dengan Reuters.

Topik pembayaran tebusan menjadi semakin penuh dengan serangan ransomware menjadi semakin mengganggu – dan menguntungkan.

Voccola mengatakan dia telah berbicara dengan para pejabat di Gedung Putih, Biro Investigasi Federal, dan Departemen Keamanan Dalam Negeri tentang pelanggaran itu tetapi menolak untuk mengatakan apa yang mereka katakan kepadanya tentang pembayaran atau negosiasi.

Selengkapnya: Reuters

Peretas Rusia REvil menuntut $70 JUTA untuk kunci dekripsi

July 6, 2021 by Winnie the Pooh

Serangan ransomware terbesar dalam sejarah telah menghantam sistem TI hingga 1 juta perusahaan di hampir setiap benua ketika peretas yang terkait dengan Rusia menuntut $70 juta dalam cryptocurrency untuk memperbaikinya.

Toko kelontong Swedia, sekolah di Selandia Baru, dan dua perusahaan IT besar Belanda termasuk di antara korban kelompok peretasan REvil yang meluncurkan serangannya pada hari Jumat setelah melanggar sistem perusahaan perangkat lunak yang berbasis di AS Kaseya.

REvi yang telah menuntut uang tebusan hingga $5 juta dari masing-masing perusahaan – namun sekarang mengatakan meminta $70 juta dan akan membuka kunci semua jaringan yang terpengaruh.

Analis mengatakan bukan kebetulan bahwa serangan terakhir bertepatan dengan akhir pekan 4 Juli, ketika perusahaan akan kekurangan staf dan kurang mampu merespons.

Di antara korban yang dilaporkan adalah dua perusahaan besar layanan TI Belanda – VelzArt dan Hoppenbrouwer Techniek.

Tetapi sebagian besar korban diyakini adalah usaha kecil hingga menengah dan layanan publik yang tidak mungkin mengumumkan bahwa mereka telah terinfeksi – seperti praktik gigi, firma arsitektur, pusat operasi plastik, dan perpustakaan.

Peretas berhasil menjatuhkan perusahaan dengan menyusup ke VSA, perangkat lunak Kaseya yang digunakan untuk mengelola jaringan TI yang jauh lebih besar. Peretasan semacam itu dikenal sebagai serangan ‘rantai pasokan’.

Para ahli mengatakan fakta bahwa REvil meminta uang tebusan sebesar $70 juta untuk mengembalikan semua jaringan yang terpengaruh menunjukkan bahwa peretasannya jauh lebih luas daripada yang diantisipasi oleh peretas itu sendiri.

Selengkapnya: Daily Mail UK

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Kaseya

Cookies Settings