Serangan Siber

Singtel mengkonfirmasi pencurian digital di anak perusahaan, Dialog

October 11, 2022 by Winnie the Pooh

Singtel telah mengkonfirmasi bahwa bisnis Australia lainnya yang dimilikinya, unit konsultan Dialog, telah menjadi korban perampokan dunia maya hanya beberapa minggu setelah kebocoran data raksasa di telco Optus terungkap.

Dalam sebuah pernyataan kepada bursa saham Singapura, Singtel mengatakan penyusup mungkin telah mengakses data perusahaan “berpotensi mempengaruhi kurang dari 20 klien dan 1.000 karyawan Dialog saat ini serta mantan karyawan”.

Akses tidak sah ke servernya pertama kali terdeteksi pada 10 September. Sistem ini ditutup sebagai “tindakan pencegahan” tetapi dipulihkan dan beroperasi penuh kembali dua hari kemudian.

Singtel telah memberi tahu pihak berwenang terkait dan menawarkan dukungan kepada mereka yang terjebak dalam kekacauan ini. Saat ini “tidak ada bukti” bahwa “insiden keamanan siber” di Dialog memiliki kaitan dengan insiden di Optus.

Singtel telah menyewa Deloitte untuk membantunya menginvestigasi insiden itu, dan Polisi Federal Australia (AFP) telah meminta FBI untuk membantu mereka menyisir jaring untuk menemukan para pelaku.

Selengkapnya: The Register

Serangan siber InterContinental Hotels Group mengganggu sistem pemesanan

September 7, 2022 by Eevee

Perusahaan perhotelan terkemuka InterContinental Hotels Group PLC (juga dikenal sebagai IHG Hotels & Resorts) mengatakan sistem teknologi informasi (TI) telah terganggu sejak kemarin setelah jaringannya dibobol.

IHG adalah perusahaan multinasional Inggris yang saat ini mengoperasikan 6.028 hotel di lebih dari 100 negara dan memiliki lebih dari 1.800 dalam jalur pengembangan.

Meskipun perusahaan tidak mengungkapkan rincian apa pun mengenai sifat serangan itu, perusahaan itu menyebutkan dalam pengungkapannya bahwa mereka sedang berupaya memulihkan sistem yang terkena dampak.

Ini mengisyaratkan kemungkinan serangan ransomware di mana pelaku ancaman telah menyebarkan muatan ransomware dan sistem terenkripsi di jaringan IHG.

Dalam sebagian besar insiden ransomware, penyerang juga akan mencuri informasi sensitif dari jaringan target mereka sebelum enkripsi.

Ini kemudian digunakan dalam skema pemerasan ganda di mana para korban ditekan untuk membayar uang tebusan di bawah ancaman kebocoran data yang dicuri.

Bulan lalu, geng ransomware Lockbit mengklaim serangan terhadap Holiday Inn Istanbul Kadıköy, salah satu hotel yang dioperasikan oleh IHG.

Klaim serangan Lockbit Holiday Inn Istanbul Kadıköy (BleepingComputer)

Dari pengujian BleepingComputer, API grup hotel juga turun dan menunjukkan kesalahan HTTP 502 dan 503.

Pelanggan juga tidak dapat masuk saat ini, dengan aplikasi IHG menampilkan “Ada yang tidak beres. Kredensial yang Anda masukkan tidak valid. Harap setel ulang kata sandi Anda atau hubungi Layanan Pelanggan.” kesalahan.

Perusahaan intelijen kejahatan dunia maya Hudson Rock mengatakan bahwa IHG memiliki setidaknya 15 karyawan yang disusupi dan lebih dari 4.000 pengguna yang disusupi, menurut data yang ditautkan ke domain ihg[.]com.

Raksasa jaringan hotel itu juga menjadi sasaran pelanggaran keamanan selama tiga bulan pada tahun 2017—antara 29 September hingga 29 Desember—ketika lebih dari 1.200 hotel waralaba InterContinental di Amerika Serikat terkena dampaknya.

Sumber: Bleeping Computer

Serangan Siber di Pelabuhan Los Angeles Telah Berlipat Ganda Sejak Pandemi

July 24, 2022 by Eevee

Jumlah serangan bulanan yang menargetkan Pelabuhan Los Angeles sekarang sekitar 40 juta, direktur eksekutif pelabuhan Gene Seroka mengatakan kepada BBC.

Los Angeles adalah pelabuhan tersibuk di belahan bumi barat, menangani lebih dari $250 miliar (£210bn) kargo setiap tahun.

Ancaman diyakini datang terutama dari Eropa dan Rusia, dan bertujuan untuk mengganggu ekonomi AS, kata Seroka.

“Intelijen kami menunjukkan ancaman datang dari Rusia dan sebagian Eropa. Kami harus tetap selangkah di depan mereka yang ingin merusak perdagangan internasional,” katanya kepada BBC World Service.

Mereka menghadapi serangan ransomware, malware, spear phishing, dan pengumpulan kredensial setiap hari, dengan tujuan menyebabkan gangguan sebanyak mungkin dan memperlambat ekonomi.

Pelabuhan tersebut telah menginvestasikan jutaan dolar dalam perlindungan siber, mengembangkan salah satu Pusat Ketahanan Siber pertama di dunia, yang merupakan bagian dari FBI.

“Kita harus mengambil setiap tindakan pencegahan terhadap potensi insiden siber, terutama yang dapat mengancam atau mengganggu arus kargo,” kata Seroka.

Pusat Ketahanan Siber menyediakan pengumpulan intelijen yang ditingkatkan dan perlindungan yang ditingkatkan terhadap ancaman siber dalam rantai pasokan maritim.

Ini adalah hub bagi pelabuhan untuk menerima, menganalisis, dan berbagi informasi dengan mereka yang beroperasi di dermaga, seperti penangan kargo dan jalur pelayaran.

Ketegangan pada rantai pasokan telah mereda, kata Seroka. Pada Januari 2022 ada 109 kapal kontainer yang antri selama lebih dari dua hari untuk masuk ke Pelabuhan Los Angeles. Saat ini ada sekitar 20 orang yang menunggu untuk berlabuh.

Tapi Seroka yakin penyumbatan tidak akan hilang sepenuhnya sampai 2023. “Ada begitu banyak kargo masuk dan tidak cukup ruang,” katanya.

“Dua tahun terakhir telah membuktikan peran vital yang dimiliki pelabuhan terhadap infrastruktur kritis, rantai pasokan, dan ekonomi negara kita. Sangat penting bagi kita untuk menjaga sistem seaman mungkin,” tambahnya.

Sumber: BBC

Jerman mengumumkan rencana untuk mengatasi serangan siber pada satelit

July 7, 2022 by Eevee

Kantor Federal Jerman untuk Keamanan Informasi (BSI) telah mengeluarkan profil perlindungan dasar TI untuk infrastruktur ruang angkasa di tengah kekhawatiran bahwa penyerang dapat mengalihkan pandangan mereka ke angkasa.

Dokumen tersebut, yang diterbitkan minggu lalu, adalah hasil kerja selama setahun antara Airbus Defence and Space, Badan Antariksa Jerman di German Aerospace Center (DLR), dan BSI.

Ini difokuskan untuk menentukan persyaratan minimum untuk keamanan dunia maya untuk satelit dan, mungkin dikatakan sinis, sedikit terlambat untuk pesta mengingat seberapa cepat perusahaan seperti SpaceX mengayunkan pesawat ruang angkasa ke orbit.

Panduan ini mengkategorikan persyaratan perlindungan berbagai misi satelit dari “Normal” hingga “Sangat Tinggi” dengan tujuan mencakup misi sebanyak mungkin. Hal ini juga dimaksudkan untuk mencakup keamanan informasi dari pembuatan hingga pengoperasian satelit.

Kategori “Normal” berkorelasi dengan kerusakan yang terbatas dan dapat dikelola. “Tinggi” adalah kerusakan akibat tinggi yang “dapat secara signifikan membatasi pengoperasian sistem satelit.” Adapun “Sangat Tinggi”, serangan itu dapat mengakibatkan penghentian dan “mencapai tingkat yang mengancam secara eksistensial, bencana bagi operator atau pabrikan.”

Detailnya mengesankan, meskipun dokumen ini lebih merupakan dasar dari apa yang memerlukan perhatian (melalui daftar periksa) daripada serangkaian instruksi langsung. Fase siklus hidup satelit termasuk desain, pengujian, transportasi, operasi commissioning, dan akhirnya dekomisioning. Lalu ada jaringan dan aplikasi yang digunakan untuk mendukung pesawat ruang angkasa itu sendiri, sampai ke tingkat subnet atau ruang server.

Saat satelit menjadi lebih pintar, area permukaan serangannya meningkat. Selain itu, mengganggu konstelasi dan komunikasi bisa dibilang merupakan front lain untuk konflik. Badan Antariksa Eropa (ESA) mengundang para peretas untuk membobol pesawat ruang angkasa OPS-SAT (dalam lingkungan yang terkendali) awal tahun ini dengan maksud untuk memahami dan menangani kerentanan.

Keamanan siber di luar angkasa semakin penting. Lebih dari satu dekade yang lalu, sepasang satelit pemantau lingkungan yang dikelola AS mengalami “gangguan” dan sementara persenjataan anti-satelit dapat menyebabkan kerusakan yang tak terhitung, perang dunia maya terus menyebar. Lagi pula, mengapa mengarahkan rudal ke satelit jika penyerang bisa membengkokkannya sesuai keinginan mereka?

Adapun dokumen BSI, sejauh ini mempertimbangkan apa yang dilakukan dengan satelit yang melewati akhir masa pakainya. Pesawat ruang angkasa mungkin berisi segala macam rahasia kripto dan akan memerlukan pemantauan jika dikirim ke orbit kuburan.

Selengkapnya: The Register

Google mengatakan telah menggagalkan serangan siber Korea Utara pada awal 2022

March 25, 2022 by Eevee

Grup Analisis Ancaman Google mengumumkan pada hari Kamis bahwa mereka telah menemukan sepasang kader peretasan Korea Utara dengan nama Operation Dream Job dan Operation AppleJeus pada bulan Februari yang memanfaatkan eksploitasi eksekusi kode jarak jauh di browser web Chrome.

Para blackhatter dilaporkan menargetkan media berita AS, TI, kripto dan industri fintech, dengan bukti serangan mereka kembali sejauh 4 Januari 2022, meskipun Grup Analisis Ancaman mencatat bahwa organisasi di luar AS bisa menjadi target juga.

“Kami menduga bahwa kelompok-kelompok ini bekerja untuk entitas yang sama dengan rantai pasokan bersama, oleh karena itu menggunakan kit eksploit yang sama, tetapi masing-masing beroperasi dengan rangkaian misi yang berbeda dan menerapkan teknik yang berbeda,” tulis tim Google pada hari Kamis. “Ada kemungkinan penyerang lain yang didukung pemerintah Korea Utara memiliki akses ke perangkat eksploitasi yang sama.”

Operation Dream Job menargetkan 250 orang di 10 perusahaan dengan tawaran pekerjaan palsu seperti Disney dan Oracle yang dikirim dari akun palsu agar terlihat seperti berasal dari Memang atau ZipRecruiter. Mengklik tautan akan meluncurkan iframe tersembunyi yang akan memicu eksploitasi.

Operasi AppleJeus, di sisi lain, menargetkan lebih dari 85 pengguna di industri cryptocurrency dan fintech menggunakan kit eksploit yang sama.

Upaya itu melibatkan “mengkompromikan setidaknya dua situs web perusahaan fintech yang sah dan menghosting iframe tersembunyi untuk menyajikan kit eksploit kepada pengunjung,”

“Dalam kasus lain, kami mengamati situs web palsu sudah disiapkan untuk mendistribusikan aplikasi cryptocurrency yang di-trojan menghosting iframe dan mengarahkan pengunjung mereka ke kit eksploit.”

“Kit awalnya melayani beberapa javascript yang sangat dikaburkan yang digunakan untuk sidik jari sistem target,” kata tim. “Skrip ini mengumpulkan semua informasi klien yang tersedia seperti agen pengguna, resolusi, dll., lalu mengirimkannya kembali ke server eksploitasi.

Jika serangkaian persyaratan yang tidak diketahui terpenuhi, klien akan disajikan eksploitasi Chrome RCE dan beberapa tambahan javascript. Jika RCE berhasil, javascript akan meminta tahap berikutnya yang dirujuk dalam skrip sebagai ‘SBX,’ akronim umum untuk Sandbox Escape.”

Grup keamanan Google menemukan aktivitas tersebut pada 10 Februari dan telah menambalnya pada 14 Februari. Perusahaan telah menambahkan semua situs web dan domain yang teridentifikasi ke database Penjelajahan Aman serta memberi tahu semua pengguna Gmail dan Workspace yang ditargetkan tentang upaya tersebut.

Sumber : Engadget

Raksasa otomotif DENSO terkena geng ransomware Pandora baru

March 15, 2022 by Eevee

Produsen suku cadang otomotif DENSO telah mengkonfirmasi bahwa mereka mengalami serangan siber pada 10 Maret setelah operasi ransomware Pandora baru mulai membocorkan data yang diduga dicuri selama serangan tersebut.

DENSO adalah salah satu produsen komponen otomotif terbesar di dunia, memasok merek seperti Toyota, Mercedes-Benz, Ford, Honda, Volvo, Fiat, dan General Motors dengan berbagai macam kelistrikan, elektronik, kontrol powertrain, dan berbagai suku cadang khusus lainnya.

DENSO mengkonfirmasi akhir pekan ini bahwa jaringan perusahaan mereka di Jerman dibobol pada 10 Maret 2022. Perusahaan mengklaim telah mendeteksi akses ilegal dan segera merespon untuk memutuskan penyusup dari perangkat jaringan lainnya, membatasi dampaknya hanya pada divisi Jerman.

Gangguan dalam rantai pasokan DENSO akan menyebabkan efek domino dalam produksi mobil di berbagai fasilitas secara global, memukul industri yang sudah berjuang karena kekurangan chip dan penutupan pabrik yang berbasis di Ukraina.

Sementara DENSO menyatakan bahwa serangan siber tidak berdampak pada operasi mereka, geng ransomware Pandora baru mulai membocorkan 1,4 TB file yang diduga dicuri selama pelanggaran jaringan.

Pengumuman DENSO di portal kebocoran Pandora

Pandora ransomware adalah operasi baru yang diluncurkan pada Maret 2022 yang menargetkan jaringan perusahaan dan mencuri data untuk serangan pemerasan ganda.

Begitu mereka mendapatkan akses ke jaringan, pelaku ancaman akan menyebar secara lateral melalui jaringan sambil mencuri file tidak terenkripsi untuk digunakan dalam tuntutan pemerasan.

Saat mengenkripsi perangkat, ransomware akan menambahkan ekstensi .pandora ke nama file terenkripsi, seperti yang ditunjukkan di bawah ini.

File yang dienkripsi oleh ransomware Pandora
Sumber: BleepingComputer

Saat ransomware mengenkripsi file, Pandora akan membuat catatan tebusan di setiap folder bernama ‘Restore_My_Files.txt’. Catatan tebusan ini menjelaskan apa yang terjadi pada perangkat dan menyertakan alamat email yang dapat dihubungi korban untuk melakukan negosiasi tebusan.

Pandora ransom note example
Source: BleepingComputer

Catatan tebusan juga menyertakan tautan ke situs kebocoran data yang digunakan oleh geng ransomware untuk melakukan kampanye pemerasan ganda mereka.

Peneliti keamanan pancak3 percaya bahwa Pandora adalah rebrand dari ransomware Rook karena kesamaan kode dan paket yang digunakan oleh operasi tersebut.

Contoh ransomware Pandora terdeteksi di VirusTotal oleh Intezer sebagai Rook, yang menunjukkan kesamaan kode.

Lebih lanjut, peneliti keamanan Arkbird menemukan bahwa Pandora menggunakan paket yang dapat dieksekusi yang sama dengan ‘NightSky,’ yang merupakan rebranding sebelumnya dari operasi ransomware LockFile/AtomSilo.

Anehnya, Rook juga telah menerbitkan data pada Desember 2021 yang diduga milik DENSO, jadi tidak jelas apakah perusahaan tersebut terkena dua kali oleh operasi ransomware yang sama.

Operasi Ransomware biasanya mengganti nama diri mereka sendiri dengan apa yang oleh komunitas keamanan disebut sebagai ‘rebrand’ dengan harapan hal itu akan membantu mereka menghindari penegakan hukum dan kemungkinan sanksi dari pemerintah.

Namun, kecuali jika pelaku ancaman benar-benar mengubah kode, alat, dan taktik malware mereka, akan selalu ada cara untuk mendeteksi saat geng mengubah citra, membuatnya lebih mudah untuk menautkan ke operasi ransomware sebelumnya.

Jika Pandora adalah rebrand dari Rook, kita mungkin akan melihat operasi berjalan di bawah nama ini untuk beberapa waktu sebelum sekali lagi berganti nama menjadi nama lain, seperti yang telah kita lihat sebelumnya dengan versi lain dari keluarga ransomware ini.

Sumber : Bleeping Computer

Situs Ukraina mengalami peningkatan serangan 10x saat invasi dimulai

March 3, 2022 by Winnie the Pooh

Perusahaan keamanan internet telah mencatat gelombang serangan besar-besaran terhadap situs WordPress Ukraina sejak Rusia menginvasi Ukraina, yang bertujuan untuk menghapus situs web dan menyebabkan demoralisasi.

Firma keamanan siber Wordfence, yang melindungi 8.320 situs WordPress milik universitas, pemerintah, militer, dan entitas penegak hukum di Ukraina, melaporkan telah mencatat 144.000 serangan pada 25 Februari saja.

Fokus serangan tampaknya adalah bagian dari 376 situs web akademik yang menerima 209.624 serangan antara 25 dan 27 Februari.

Gelombang besar serangan terkoordinasi ini telah mengakibatkan kompromi dari 30 situs web universitas Ukraina, yang sebagian besar mengalami kerusakan total dan tidak tersedianya layanan.

Kelompok peretas di balik serangan ini adalah kelompok pro-Rusia yang disebut “theMx0nday,” yang telah memposting bukti peretasan pada agregator defacement Zone-H.

Wordfence telah menemukan bahwa pelaku ancaman berbasis di Brasil tetapi mengarahkan serangan mereka melalui alamat IP Finlandia menggunakan penyedia layanan internet anonim Njalla.

Kelompok aktor tertentu sebelumnya telah menyerang situs Brasil, Indonesia, Spanyol, Argentina, AS, dan Turki, sementara entri pertama mereka di Zone-H dimulai pada April 2019.

Untuk pertama kalinya dalam sejarahnya, Wordfence telah memutuskan untuk menyebarkan real-time threat intelligenc ke semua situs web Ukraina terlepas dari tingkat langganan mereka ke layanannya. Biasanya, fitur ini hanya tersedia untuk pelanggan Premium.

Sumber: Bleeping Computer

Regulator Eropa dan AS Memberi Tahu Bank Untuk Bersiap Menghadapi Ancaman Serangan Siber Rusia

February 10, 2022 by Winnie the Pooh

Dilansir dari Reuters, Bank Sentral Eropa (ECB) sedang mempersiapkan bank-bank untuk adanya kemungkinan serangan siber yang datang dari Rusia ketika ketegangan dengan Ukraina meningkat, dua orang yang mengetahui masalah tersebut mengatakan, saat kawasan itu bersiap menghadapi dampak finansial dari setiap konflik.

Kebuntuan antara Rusia dan Ukraina telah mengguncang para pemimpin politik dan bisnis Eropa, yang takut akan invasi yang akan menimbulkan kerusakan di seluruh wilayah.

Sementara regulator selama ini fokus pada penipuan biasa yang berkembang pesat selama pandemi, krisis Ukraina telah mengalihkan perhatiannya ke serangan siber yang diluncurkan dari Rusia, kata salah satu sumber, menambahkan bahwa ECB telah menanyai bank tentang pertahanan mereka.

Kekhawatiran ini tercermin di seluruh dunia.

Departemen Layanan Keuangan New York mengeluarkan peringatan kepada lembaga keuangan pada akhir Januari, peringatan serangan siber pembalasan jika Rusia menyerang Ukraina dan memicu sanksi AS, menurut Regulatory Intelligence Thomson Reuters.

Awal tahun ini, beberapa situs web Ukraina terkena serangan dunia maya yang meninggalkan peringatan untuk “takut dan mengharapkan yang terburuk”, karena Rusia telah mengumpulkan pasukan di dekat perbatasan Ukraina.

Para pejabat Rusia mengatakan Barat dicengkeram oleh Russophobia dan tidak memiliki hak untuk menceramahi Moskow untuk bertindak setelah negara itu memperluas aliansi militer NATO ke arah timur sejak jatuhnya Uni Soviet pada 1991.

Kremlin juga berulang kali membantah bahwa negara Rusia ada hubungannya dengan peretasan di seluruh dunia dan mengatakan siap bekerja sama dengan Amerika Serikat dan negara lain untuk menindak kejahatan dunia maya.

Meskipun demikian, regulator di Eropa sangat waspada akan adanya serangan siber dari Rusia.

Sumber: Reuters

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Serangan Siber

Cookies Settings