🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
Categoria:
Inteligência do adversárioIndústria:
Transporte e logísticaMotivação:
FinanceiroRegião:
IndonésiaFonte*:
A2
Captura de tela do anúncio do grupo sobre o ataque cibernético contra PT Jasamarga [/caption]
Comunicado de imprensa da PT Jasamarga - reconhecendo o ataque cibernético [/caption]
[caption id="attachment_21486" align="alignnone” width="1243"]
Documento físico atribuído aos operadores do pedágio de Jasamarga [/caption]
[caption id="attachment_21487" align="alignnone” width="405"]
Carteira de identidade indonésia que foi recuperada como parte da amostra do documento [/caption]
[caption id="attachment_21488" align="alignnone” width="1356"]
Certificado de entidade comercial da Indonésia [/caption]
[caption id="attachment_21489" align="alignnone” width="1144"]
O anúncio do ator ameaçador sobre os dados da Companhia Estatal de Eletricidade da Indonésia, colocando à venda 17 milhões de dados de cidadãos [/caption]
[caption id="attachment_21490" align="alignnone” width="1894"]
Fonte: Twitter [/caption]
Sumário executivo
AMEAÇAIMPACTOMITIGAÇÃO- Desorden anuncia um ataque cibernético contra a operadora de pedágio PT Jasamarga da Indonésia.
- 252 GB de dados foram extraídos de 5 servidores.
- O acesso pode revelar práticas comerciais e IP.
- As PII podem ser exploradas para realizar ataques de engenharia social, phishing, roubos de identidade etc.
- Siga as políticas de backup padrão.
- Monitore anomalias nas contas dos usuários.
- Implemente uma política de senha forte.
Análise e atribuição
Informações do Post
- Em 25 de agosto de 2022, CloudSEKda plataforma contextual de risco digital de IA XV Vigília deparei com uma postagem de Desorden alegando ter violado a maior operadora de pedágio da Indonésia, a PT Jasamarga Tollway Operator (JMTO).
- O Desorden, um grupo de hackers contratados, está envolvido principalmente em atacar entidades asiáticas.
- 252 GB de dados foram extraídos de 5 servidores da entidade afetada.
- Os dados vazados incluem as seguintes informações internas e administrativas:
- Cartões de identidade indonésios
- Cartões fiscais (com o sensível número NPWP sem censura de 15 dígitos)
- Licença comercial de construção
- Certificado de Entidade Comercial (que não foi atribuído à PT Jasamarga)
- Documentos internos de janeiro a fevereiro de 2020, divulgando as seguintes PII:
- Número do cartão de identificação nacional
- Foto do titular do cartão
- Assinatura
- Número de telefone e endereço de e-mail do documento de registro comercial
- Comunicação confidencial interna (em formato físico) da Jasamarga
Captura de tela do anúncio do grupo sobre o ataque cibernético contra PT Jasamarga [/caption]
Informações de uma fonte confidencial
Uma fonte confidencial em contato com o agente da ameaça constatou que:- Esta é a primeira instância do ataque do grupo contra a Indonésia desde seu ressurgimento da inatividade em junho.
- As amostras mencionadas na postagem foram obtidas em um site de compartilhamento de arquivos.
- As atividades do grupo eram monitoradas constantemente, já que ataques cibernéticos foram realizados contra países asiáticos como a Tailândia, no passado.
- Todos Os metadados do PDF foram apagados das amostras divulgadas.
- Verificou-se que os dados observados são originários de 2015 em diante, com o documento mais recente pertencente a março de 2020.
Leia também 16 milhões de registros de PII de usuários da plataforma Swachhata, Índia, supostamente violados pelo LeakBase
Atualizações desde a violação
- Para fundamentar ainda mais suas alegações sobre o ataque contra PT Jasamarga, o grupo atualizou sua postagem em 24 de agosto de 2022, para incluir 3 links de artigos, discutindo o hack.
Comunicado de imprensa
Em 25 de agosto de 2022, a PT Jasamarga divulgou uma resposta da empresa ao hack, afirmando que:- Os dados do cliente não foram afetados pela violação.
- O servidor afetado foi desativado.
- Os dados recuperados foram movidos para um servidor muito mais seguro.
- A PT JMTO fechou vulnerabilidades de segurança de aplicativos e colaborou com as partes competentes na realização de avaliações de segurança cibernética no sistema na PT JMTO.
- A Jasa Marga continuará avaliando e aprimorando seu sistema de segurança cibernética, não apenas para partes interessadas internas, mas também externas.
Informações de fóruns de crimes cibernéticos
- A equipe de pesquisa de inteligência de ameaças da CloudSEK observou um número constante de ataques cibernéticos contra a Indonésia.
- De acordo com as discussões do fórum, a possível causa desses ataques é uma postura de segurança fraca da infraestrutura voltada para a web das empresas.
- Uma violação de dados notável e recente foi observada, expondo 17 milhões de registros de clientes da PLN (Perusahaan Listrik Negara ou Companhia Estatal de Eletricidade da Indonésia).
Leia também O grupo de ameaças 'Desorden' tem como alvo ativo os conglomerados asiáticos
Atividade e classificação do ator de ameaças
Perfil do ator de ameaçasAtivo desde junho de 2022ReputaçãoAlta (sem reclamações, reputação confiável) Status atualHistórico ativo Esta é a primeira vez que o grupo é observado como alvo de uma entidade indonésia, desde seu ressurgimento. Vítimas anteriores do grupo incluem:- Poliolef em Singapura
- Frasers Property & Union Auction Public Company Ltd, Tailândia
- Forneceu informações confiáveis no passado
Impacto e mitigação
ImpactoMitigação- Os detalhes confidenciais expostos podem revelar práticas comerciais e propriedade intelectual.
- As informações vazadas podem causar danos à reputação e à credibilidade da empresa.
- O banco de dados comprometido contém PII confidenciais que podem ser usadas para realizar ataques como:
- Engenharia social
- Phishing
- Roubo de identidade
- Monitore anomalias em contas on-line.
- Implemente uma política de senha forte.
- Ative a MFA (autenticação multifator) em todas as contas de serviço.
- Corrija endpoints vulneráveis e exploráveis.
- Siga as políticas de backup padrão e tenha vários backups para restaurar as operações de maneira perfeita.
- Monitore fóruns de crimes cibernéticos para obter as táticas mais recentes empregadas pelos agentes de ameaças
Referências
- *Fonte de inteligência e confiabilidade da informação - Wikipedia
- #Protocolo de semáforo - Wikipedia
Apêndice
[caption id="attachment_21485" align="alignnone” width="1154"] Comunicado de imprensa da PT Jasamarga - reconhecendo o ataque cibernético [/caption]
[caption id="attachment_21486" align="alignnone” width="1243"] Documento físico atribuído aos operadores do pedágio de Jasamarga [/caption]
[caption id="attachment_21487" align="alignnone” width="405"] Carteira de identidade indonésia que foi recuperada como parte da amostra do documento [/caption]
[caption id="attachment_21488" align="alignnone” width="1356"] Certificado de entidade comercial da Indonésia [/caption]
[caption id="attachment_21489" align="alignnone” width="1144"] O anúncio do ator ameaçador sobre os dados da Companhia Estatal de Eletricidade da Indonésia, colocando à venda 17 milhões de dados de cidadãos [/caption]
[caption id="attachment_21490" align="alignnone” width="1894"] Fonte: Twitter [/caption]
