Cyber Attack

Ransomware Royal Mengklaim Menyerang Universitas Teknologi Queensland

January 4, 2023 by Flamango

Geng ransomware Royal telah mengaku bertanggung jawab atas serangan dunia maya baru-baru ini di Universitas Teknologi Queensland dan mulai membocorkan data yang diduga dicuri selama pelanggaran keamanan.

Queensland University of Technology (QUT) adalah salah satu universitas terbesar di Australia dengan jumlah mahasiswa (52.672). Berfokus pada studi ilmiah, teknologi, teknik, dan matematika ini telah menerima dana pemerintah yang signifikan untuk mendukung penelitiannya beberapa tahun terakhir.

Serangan ransomware diumumkan QUT pada 1 Januari 2023, memperingatkan mahasiswa dan staf akademik akan gangguan layanan yang tak terhindarkan akibat insiden keamanan.

QUT mengambil tindakan utama dengan mematikan semua sistem TI untuk mencegah penyebaran serangan, dan universitas bekerja sama dengan pakar eksternal terkait insiden keamanan tersebut.

Semua siswa dan personel telah diberitahu tentang situasi ini dan halaman status layanan telah dibuat untuk melaporkan kemajuan pemulihan dan ketersediaan layanan.

Geng Royal Merilis Data Yang Diduga Dicuri
Sementara universitas mengatakan tidak ada bukti data yang dicuri, operasi ransomware Royal mulai menerbitkan data yang mereka klaim telah dicuri dari QUT.

Dalam entri baru di situs kebocoran data mereka, grup ransomware membocorkan file SDM, email dan surat, kartu dan ID, dokumen keuangan dan administrasi yang mereka nyatakan mewakili 10% dari data yang dicuri selama serangan.

Operasi ransomware Royal dimulai pada September 2022 sebagai spin-off dari grup ransomware Conti yang terkenal, yang ditutup pada Mei 2022.

Geng tersebut dengan cepat mendapat perhatian para peneliti dan pemerintah setelah meluncurkan beberapa serangan terhadap organisasi kesehatan.

Selengkapnya: BleepingComputer

Ukraina Menutup Call Center Penipuan Yang Mengklaim 18.000 Korban

December 30, 2022 by Coffee Bean

Sekelompok penipu yang beroperasi dari pusat panggilan Ukraina menipu ribuan korban sambil berpura-pura menjadi karyawan keamanan TI di bank mereka.

Mereka menghubungi para korban, mengklaim bahwa rekening bank mereka telah diakses oleh penyerang, dan meminta informasi keuangan yang mengklaim bahwa itu diperlukan untuk mencegah penipuan tetapi malah mengosongkan rekening bank mereka.

Skema ini diungkap oleh Cyber Police Department, Main Investigative Department of the National Police, Kejaksaan Agung, dan aparat penegak hukum di Kazakhstan.

Setelah mendapatkan informasi tersebut, pelaku mentransfer uang korban ke rekening yang dikuasainya, mengeluarkan pinjaman cepat, dan mengirimkan sejumlah pinjaman ke rekening mereka.

Penipu menggunakan rekening bank luar negeri dan dompet mata uang kripto untuk mengumpulkan uang yang dihasilkan dari skema mereka dan, menurut perkiraan penyelidik, menipu sekitar 18.000 warga Republik Kazakhstan dengan jumlah uang yang belum diketahui.

Database info pribadi yang ditemukan selama penggerebekan polisi
Aparat penegak hukum juga telah menggeledah call center dan rumah tinggal para tersangka, menyita 45 buah perangkat komputer, ponsel, kartu SIM, dan catatan draft.

Setelah diperiksa, polisi dunia maya Ukraina juga menemukan database yang berisi informasi pribadi warga negara Republik Kazakhstan yang digunakan penipu untuk menggelapkan uang dari rekening mereka.

Pada bulan Agustus, Polisi Nasional Ukraina (NPU) membongkar jaringan pusat panggilan yang digunakan oleh penjahat dunia maya untuk menargetkan korban penipuan mata uang kripto dengan kedok membantu mereka memulihkan dana yang dicuri.

Setahun yang lalu, penegak hukum Ukraina menangkap 51 tersangka yang diyakini telah menjual data pribadi milik lebih dari 300 juta orang di seluruh dunia, termasuk Ukraina, AS, dan Eropa, di forum peretasan.

sumber : bleeping computer

BTC.com Kehilangan $3 Juta Uang Kripto Dalam Serangan Siber

December 28, 2022 by Flamango

BTC.com, salah satu kumpulan penambangan cryptocurrency terbesar di dunia, mengumumkan bahwa mereka adalah korban serangan dunia maya yang mengakibatkan pencurian aset crypto senilai sekitar $3 juta milik pelanggan dan perusahaan.

Menurut pelacak kumpulan penambangannya, BTC.com adalah kumpulan penambangan cryptocurrency terbesar ketujuh, dengan 2,66% dari total hashrate jaringan.

Beberapa Aset Dicuri Sudah Ditemukan Kembali
Setelah mendeteksi serangan pada 3 Desember 2022, dimana sejumlah $700.000 milik klien dan $2,3 juta aset digital perusahaan dicuri, BTC.com segera melaporkan kejadian tersebut ke otoritas penegak hukum China di Shenzen. Sejak itu perusahaan telah memulihkan beberapa cryptocurrency yang dicuri.

Tidak Ada Info Tentang Data Yang Dicuri
BTC.com telah mengambil tindakan untuk memblokir serangan serupa di masa mendatang dan operasinya tidak terpengaruh.

Perusahaan saat ini menjalankan bisnis seperti biasa, dan selain dari layanan aset digitalnya, layanan dana kliennya tidak terpengaruh.
Hingga saat ini, belum ada informasi lebih lanjut mengenai bagaimana penyerang dapat mencuri cryptocurrency atau jika ada data atau informasi pribadi yang dicuri selama insiden tersebut.

Selengkapnya: BLEEPING COMPUTER

Facebook Membayar $725 Juta untuk Menyelesaikan Gugatan atas Kebocoran Data Cambridge Analytica

December 28, 2022 by Coffee Bean

Meta Platforms, perusahaan induk dari Facebook, Instagram, dan WhatsApp, telah setuju untuk membayar $725 juta untuk menyelesaikan gugatan class action yang diajukan pada tahun 2018.

Penyelesaian yang diusulkan, pertama kali dilaporkan oleh Reuters minggu lalu, adalah hukuman terbaru yang dibayarkan oleh perusahaan setelah sejumlah kesalahan privasi selama bertahun-tahun. Itu masih membutuhkan persetujuan dari hakim federal di Pengadilan Distrik AS divisi San Francisco.

Skandal pengambilan data, yang terungkap pada Maret 2018, melibatkan aplikasi kuis kepribadian bernama “thisisyourdigitallife” yang memungkinkan profil publik pengguna, suka halaman, tanggal lahir, jenis kelamin, lokasi, dan bahkan pesan (dalam beberapa kasus) menjadi dikumpulkan untuk membangun profil psikografis.

Dibuat oleh seorang dosen Universitas Cambridge bernama Aleksandr Kogan pada tahun 2013, aplikasi tersebut mengklaim dapat mengungkapkan ciri-ciri kepribadian pengguna berdasarkan apa yang mereka sukai di Facebook dengan mengorek informasi profil mereka dengan imbalan pembayaran kecil.

Sementara sekitar 300.000 pengguna dikatakan telah mengikuti tes psikologis, aplikasi tersebut mengumpulkan data pribadi dari mereka yang menginstal aplikasi serta teman Facebook mereka tanpa meminta izin eksplisit, yang mengarah ke kumpulan data yang mencakup 87 juta profil.

Meta – yang tidak mengakui kesalahan apa pun sehubungan dengan praktik berbagi data yang bermasalah – telah mengambil langkah-langkah untuk membatasi akses pihak ketiga ke informasi pengguna.

Raksasa teknologi selanjutnya meluncurkan alat yang disebut Aktivitas di Luar Facebook bagi pengguna untuk “melihat ringkasan aplikasi dan situs web yang mengirimkan informasi kepada kami tentang aktivitas Anda, dan menghapus informasi ini dari akun Anda jika Anda mau.”

sumber : TheHackerNews

Departemen Kehakiman (DOJ) Merebut Puluhan Situs Web sebagai Bagian dari Skema Penyewaan Siber Global

December 16, 2022 by Flamango

FBI mendakwa enam orang yang diduga terlibat dalam serangan siber skala besar pada hari Rabu.

Departemen Kehakiman mencabut 48 domain internet dan mendakwa enam orang yang diduga menawarkan layanan serangan siber yang disewa, yaitu menawarkan layanan booter dan mengoperasikan setidaknya satu situs web yang menawarkan layanan denial-of-service (DDoS) terdistribusi serta langganan dengan durasi dan volume serangan yang bervariasi.

FBI saat ini sedang dalam proses menyita situs yang mengizinkan pengguna membayar untuk meluncurkan serangan DDoS yang membanjiri komputer target dengan derau putih untuk mencegah pengaksesan internet. Berbagai institusi seperti pendidikan, lembaga pemerintah, dan lainnya termasuk dalam serangan di seluruh dunia.

Dirilis dalam sebuah berita bahwa serangan ini dapat menurunkan layanan internet secara signifikan dan dapat sepenuhnya mengganggu koneksi internet.

DOJ mengatakan secara historis telah menerima peningkatan yang signifikan dalam jumlah serangan siber di dunia game sebelum periode Natal. Operasi serupa dilakukan sebelum liburan tahun 2018 ketika FBI menyita 15 situs DDoS dan mendakwa tiga orang.

FBI bekerja sama dengan Badan Kejahatan Nasional Inggris Raya dan Polisi Belanda untuk menggunakan iklan penempatan di berbagai browser dengan menyamar sebagai pelanggan dan melakukan serangan uji coba untuk mengonfirmasi bahwa situs DDoS berfungsi seperti yang diiklankan.

Beberapa pejabat publik pemerintah menyatakan bahwa penjahat menargetkan layanan penting dan infrastruktur pemerintahan menggunakan serangan DDoS dengan berbagai cara. Korban kejahatan dianjurkan untuk menghubungi kantor lapangan FBI lokal atau dapat mengajukan keluhan ke Pusat Pengaduan Kejahatan Internet FBI di ic3.gov.

Selengkapnya: GIZMODO

‘Vulnerabilities’ Ditemukan di Sebagian Besar Pengontrol Industri

December 16, 2022 by Coffee Bean

Tiga perempat perangkat yang menjaga fasilitas seperti instalasi pengelolahan air dan listrik tetap aman dan beroperasi memiliki kerentanan keamanan siber yang parah dan belum diperbaiki.

Ini adalah poin data terbaru tentang ancaman yang, ketika memanfaatkannya, dapat menyebabkan banyak malapetaka:

The Student worm memusnahkan sekitar seperlima sentrifugal nuklir Iran lebih dari satu dekade lalu dengan menargetkan pengontrol industri.
Industroyer malware menyerang sistem kontrol industri pada tahun 2016 untuk mematikan listrik ke beberapa bagian Kyiv, Ukraina, selama satu jam
Seorang peretas secara singkat mampu meningkatkan tingkat alkali di pabrik pengelolahan air di Oldsmar, Florida, tahun lalu ke tingkat yang berbahaya bagi manusia. Untungnya, seorang operator pabrik memperhatikan peretas tersebut dan dapat dengan cepat menggagalkannya.

Mengapa begitu rentan?
Usia sistem ini berarti mereka kadang-kadang berjalan pada perangkat lunak yang tidak lagi diperbarui dan didukung oleh produsen, Bort, pendiri perusahaan keamanan siber SCYTHE, memberi tahu saya. Perangkat dirancang dengan mempertimbangkan ketersediaan dan keamanan, bukan keamanan.

Namun, tidak semua angka microsodt begitu suram.

Perusahaan menemukan bahwa pengungkapan kerentanan paling parah pada peralatan kontrol industri yang diproduksi oleh vendor populer melonjak 78 persen dari tahun 2020 ke 2022.
Itu tidak berarti ada lebih banyak kerentanan — hanya saja lebih banyak yang ditemukan dan diungkapkan.
“Itu sangat positif,” kata Vasu Jakkal, wakil presiden korporat untuk keamanan, kepatuhan, identitas, manajemen, dan privasi di Microsoft kepada saya.

Apa yang orang lain lakukan tentang hal itu
Banyak upaya pemerintah untuk mengamankan perangkat dan sistem ini digabungkan ke dalam inisiatif lain.

Misalnya, Badan keamanan siber dan infrastruktur telah mengundang pakar industri sistem kontrol industri untuk bergabung dalam program untuk berkolaborasi guna mengurangi ancaman siber.

Satu program khusus sistem kontrol industri yang mendapatkan hasil yang baik dari Energy Department’s Office of Cybersecurity, Energy Security and Emergency Response adalah inisiatif yang secara sukarela menghubungkan vendor dengan Laboratorium Nasional unutk mengirimkan peralatan untuk pengujian keamanan, kata Bort

Sementara itu, di Eropa, peraturan keamanan siber yang diusulkan yang dikenal sebagai Undang-Undang Ketahanan Siber akan mewajibkan produk perangkat lunak dan perangkat keras untuk memenuhi tolok ukur keamanan tertentu berdasarkan seberapa “kritis” mereka dianggao.

sumber : The Washington Post

Driver Perangkat Keras yang Disetujui oleh Microsoft Digunakan Dalam Serangan Ransomware

December 15, 2022 by Flamango

Apakah Anda bisa mempercayai driver yang disetujui Microsoft? Coba pikirkan kembali.

Para peneliti di Sophos mengidentifikasi bahwa kerentanan pada driver perangkat keras yang disetujui Microsoft telah dieksploitasi dalam serangan ransomware oleh kelompok yang dikenal sebagai Cuba.

Berawal dari ditemukannya sepasang file di mesin yang dikompromikan yang menurut Sophos bekerja sama untuk menghentikan proses atau layanan yang digunakan oleh berbagai vendor produk keamanan endpoint.

Mengaku telah menendang penyerang dari sistem, perusahaan tidak dapat memastikan jenis serangan apa yang mungkin terjadi, meskipun beberapa bukti menunjukkan varian malware yang dikenal sebagai ‘BURNTCIGAR’.

Ransomware dengan Driver Microsoft
Microsoft mendesak pelanggannya untuk menginstal pembaruan di mana pun, termasuk ke sistem operasi dan menginstal antivirus dan perangkat lunak perlindungan endpoint. Menyerang perangkat lunak keamanan target biasanya merupakan awal dari langkah-langkah yang lebih berdampak, seperti menyebarkan ransomware.

Selengkapnya: tech.co

Microsoft Menemukan Ransomware didalam Driver Windows

December 14, 2022 by Coffee Bean

Microsoft telah mencabut beberapa akun pengembang perangkat keras Microsoft setelah driver yang masuk melalui profil mereka digunakan dalam serangan siber, termasuk insiden ransomware.

Berita tersebut datang dalam pengungkapan terkoordinasi antara Microsoft, Mandiant, Sophos, dan SentinelOne. Para peneliti menjelaskan bahwa pelaku ancaman menggunakan driver perangkat keras mode kernel berbahaya yang kepercayaannya telah diverifikasi dengan tanda tangan Authenticode dari Program Pengembang Perangkat Keras Windows Microsoft.

“Penyelidikan mengungkapkan bahwa beberapa akun pengembang untuk Pusat Mitra Microsoft terlibat dalam mengirimkan driver jahat untuk mendapatkan tanda tangan Microsoft.”

“Upaya baru untuk mengirimkan driver jahat untuk ditandatangani pada 29 September 2022, menyebabkan penangguhan akun penjual pada awal Oktober.”

Driver mode kernel

Hak istimewa dapat memungkinkan pengemudi untuk melakukan berbagai tugas jahat yang biasanya tidak diizinkan untuk aplikasi mode pengguna. Tindakannya termasuk menghentikan perangkat lunak keamanan, menghapus file yang dilindungi, dan bertindak sebagai rootkit untuk menyembunyikan proses lainnya.

Sejak Windows 10, Microsoft telah meminta driver perangkat keras mode kernel untuk ditandatangani melalui Program Pengembang Perangkat Keras Windows Microsoft.

Untuk alasan ini, kemampuan untuk menandatangani driver kernel-mode oleh Microsoft untuk digunakan dalam kampanye jahat adalah komoditas yang berharga.

Signing a driver via the Windows Hardware Compatibility Program
sumber: Mandiant

Toolkit digunakan untuk menghentikan perangkat lunak keamanan

Dalam laporan yang dirilis hari ini, para peneliti menjelaskan bagaimana mereka menemukan toolkit baru yang terdiri dari dua komponen bernama STONSTOP (loader) dan POORTRY (driver mode-kernel) yang digunakan dalam serangan “bawa driver rentan Anda sendiri” (BYOVD).

Karena proses perangkat lunak keamanan biasanya dilindungi dari gangguan oleh aplikasi biasa, STONESTOP memuat driver mode kernel POORTRY yang ditandatangani oleh Microsoft untuk menghentikan proses yang dilindungi terkait atau layanan Windows.

Pengemudi MISKIN ditandatangani oleh Microsoft
Sumber: BleepingComputer

Ditautkan ke ransomware dan penukar SIM
Ketiga perusahaan tersebut telah melihat perangkat yang digunakan oleh pelaku ancaman yang berbeda.

Namun, Sophos mengaitkan serangan ini dengan ‘kepercayaan tinggi’ dengan operasi ransomware Kuba, yang sebelumnya menggunakan varian malware ini.

Mandiant, di sisi lain, melihat aktor ancaman yang diidentifikasi sebagai UNC3944 menggunakan toolkit dalam serangan pada awal Agustus 2022, yang dikenal dengan serangan pertukaran SIM.

Baik Mandiant maupun SentinelOne percaya bahwa perangkat tersebut, atau setidaknya penandatanganan kode, berasal dari pemasok atau layanan yang dibayar oleh pelaku ancaman lain untuk mengaksesnya.

Tanggapan Microsoft
Microsoft telah meluncurkan pembaruan keamanan untuk mencabut sertifikat yang digunakan oleh file berbahaya dan telah menangguhkan akun yang digunakan untuk mengirimkan driver untuk ditandatangani.

Namun, Microsoft belum membagikan bagaimana driver jahat tersebut lolos dari proses peninjauan.

BleepingComputer telah menghubungi Microsoft dengan pertanyaan lebih lanjut tentang proses penasehat dan peninjauan tetapi Microsoft mengatakan mereka tidak memiliki apa-apa lagi untuk dibagikan.

sumber : bleeping computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attack

Cookies Settings