Cyber Attack

Pelanggaran data mangatoon mengekspos data dari 23 juta akun

July 11, 2022 by Eevee

Platform membaca komik Mangatoon telah mengalami pelanggaran data yang mengekspos informasi milik 23 juta akun pengguna setelah seorang peretas mencurinya dari basis data Elasticsearch yang tidak aman.

Mangatoon juga merupakan aplikasi iOS dan Android yang sangat populer digunakan oleh jutaan pengguna untuk membaca komik Manga online.

Minggu ini, layanan pemberitahuan pelanggaran data Have I Been Pwned (HIBP) menambahkan 23 juta akun Mangatoon ke platform mereka.

“Mangatoon memiliki 23 juta akun yang dibobol pada bulan Mei. Pelanggaran itu mengekspos nama, alamat email, jenis kelamin, identitas akun media sosial, token auth dari login sosial dan hash kata sandi MD5 asin,” tweet akun HIBP.

Penambahan database Mangatoon dilakukan setelah pemilik HIBP, Troy Hunt, mencoba menghubungi perusahaan tentang pelanggaran data tanpa hasil.

Pengguna Mangatoon sekarang dapat mencari alamat email mereka di HIBP dan memeriksa apakah akun mereka merupakan bagian dari pelanggaran.

Pelanggaran data dilakukan oleh seorang hacker terkenal bernama “pompompurin,” yang mengatakan mereka mencuri database dari server Elasticsearch yang menggunakan kredensial lemah.

Folder yang berisi database Mangatoon yang dicuri
Sumber: pompompurin

pompompurin membagikan sampel database dengan BleepingComputer, yang kami konfirmasikan sebagai akun yang valid di platform Mangatoon.

Ketika ditanya apakah mereka akan merilis atau menjual database secara publik, mereka mengatakan bahwa mereka mungkin akan membocorkannya di beberapa titik.

pompompurin telah terlibat dalam pelanggaran profil tinggi lainnya, termasuk mengirim email serangan siber palsu melalui Portal Perusahaan Penegakan Hukum FBI (LEEP) dan mencuri data pelanggan dari Robinhood.

Setelah forum hacking RaidForums disita oleh penegak hukum, pompompurin meluncurkan forum serupa yang disebut Breached.

Sumber: Bleeping Computer

Ransomware 0mega baru menargetkan bisnis dalam serangan pemerasan ganda

July 11, 2022 by Eevee

Operasi ransomware baru bernama ‘0mega’ menargetkan organisasi di seluruh dunia dalam serangan pemerasan ganda dan menuntut uang tebusan jutaan dolar.

0mega adalah operasi ransomware baru yang diluncurkan pada Mei 2022 dan telah menyerang banyak korban sejak saat itu.

Sampel ransomware untuk operasi 0mega belum ditemukan, oleh karena itu tidak banyak informasi tentang bagaimana file dienkripsi.

Namun, kita tahu bahwa ransomware menambahkan ekstensi .0mega ke nama file terenkripsi dan membuat catatan tebusan bernama DECRYPT-FILES.txt.

Catatan tebusan ini disesuaikan per korban, biasanya berisi nama perusahaan dan menjelaskan berbagai jenis data yang dicuri dalam serangan. Selain itu, beberapa catatan termasuk ancaman tentang bagaimana geng 0mega akan mengungkapkan serangan kepada mitra bisnis dan asosiasi perdagangan jika uang tebusan tidak dibayarkan.

Catatan tebusan ini mencakup tautan ke situs negosiasi pembayaran Tor dengan obrolan “dukungan” yang dapat digunakan korban untuk menghubungi geng ransomware.

Untuk masuk ke situs ini, korban harus mengunggah catatan tebusan mereka yang menyertakan gumpalan unik yang disandikan Base64 yang digunakan oleh situs untuk mengidentifikasi korban.

Situs negosiasi tebusan 0mega
Sumber: BleepingComputer

Seperti hampir semua operasi ransomware penargetan perusahaan, 0mega menjalankan situs kebocoran data khusus yang digunakan pelaku ancaman untuk mempublikasikan data curian jika uang tebusan tidak dibayarkan.

Situs kebocoran 0mega saat ini menampung 152 GB data yang dicuri dari perusahaan perbaikan elektronik dalam serangan Mei.

Situs kebocoran data 0mega
Situs: BleepingComputer

Namun, minggu lalu ada korban tambahan yang telah dihapus, menunjukkan bahwa perusahaan mungkin telah membayar uang tebusan.

Sumber: Bleeping Computer

Halaman Instagram dan Facebook Disneyland Diambil Alih oleh ‘Peretas Super’

July 9, 2022 by Eevee

Akun media sosial Disneyland telah diretas oleh ‘peretas super’ yang memproklamirkan diri yang membuat posting rasis dalam upaya untuk mencari ‘balas dendam’ di taman hiburan.

Peretas, yang mengidentifikasi dirinya sebagai David Do, mengambil alih akun Instagram dan Facebook taman itu pada Kamis pagi, membuat banyak postingan menghina yang mengancam orang kulit hitam.

Dia membuat beberapa posting yang menampilkan kata-n, mengklaim telah menemukan COVID-19 dan sedang mengerjakan virus COVID20 baru.

Dia juga mengungkapkan serangan itu sebagai balas dendam staf Disney yang mengejeknya ‘karena memiliki penis kecil.’

Disney menghapus posting dari akunnya – yang memiliki lebih dari 8,4 juta pengikut – dalam waktu satu jam.

Seorang juru bicara Disneyland mengatakan kepada DailyMail.com, “(Kami) bekerja cepat untuk menghapus konten tercela, mengamankan akun kami, dan tim keamanan kami sedang melakukan penyelidikan.”

Do membuat postingan pertamanya pada hari Kamis sekitar pukul 03.50 PST dengan tuduhan bahwa dia adalah seorang peretas super ‘di sini untuk membalas dendam kepada Disneyland.’

“Saya sangat lelah dengan semua karyawan Disney yang mengejek saya karena memiliki penis kecil,” tulisnya. ‘SIAPA ORANG Tangguh SEKARANG JEROME? HACKED ANDA F****ING F******.’

Di pos lain dia mengatakan dia ‘menciptakan covid dan menyalahkan wuhan,’ menambahkan: ‘Cuz f*** yall.’

“Saya sedang mengerjakan Covid20 – Anda lebih baik bersembunyi sebelum saya merilis virus baru yang mematikan ini,” tulisnya di posting lain, dengan keterangan foto pengusung jenazah hitam membawa peti mati. ‘Dengan bantuan kru DramaAlert saya @akademiks.’

Dia juga membagikan gambar dua pria yang diberi judul ‘u n***** sedang menonton Disney Channel,’ sebuah pernyataan rasis yang tampak pada promosi pertengahan 2000-an yang digunakan oleh stasiun televisi Disney.

‘Bintang Disney akan mengatakan slogannya yang populer ‘Anda sedang menonton Disney Channel’ dan menggambar telinga tikus yang ikonik menggunakan tongkat ajaib.

‘Disney land memberikan diskon besar-besaran,’ tambahnya. Dia berbagi dua selfie di cerita akun itu, dengan judul satu: ‘BUNUH SEMUA N******S. DAVID DO ADA DI SINI.’

Peretas juga mendorong pengguna media sosial untuk mengikuti akun Instagram pribadinya @chi11estpanda.

Akun tersebut diyakini milik David Do, namun DailyMail.com belum mengonfirmasi apakah Do yang terkait dengan @chi11estpanda bertanggung jawab atas peretasan tersebut.

Peretasan media sosial menandai kontroversi terbaru untuk The Walt Disney Company yang baru-baru ini berdebat dengan Gubernur Florida Ron DeSantis setelah aksi protes karyawan atas apa yang disebut RUU Don’t Say Gay di negara bagian itu.

Sumber: Daily Mail

IDE pemrograman online yang dapat digunakan untuk meluncurkan serangan siber jarak jauh

July 8, 2022 by Eevee

Peneliti keamanan memperingatkan bahwa peretas dapat menyalahgunakan platform pembelajaran pemrograman online untuk meluncurkan serangan siber dari jarak jauh, mencuri data, dan memindai perangkat yang rentan, hanya dengan menggunakan browser web.

Setidaknya satu platform tersebut, yang dikenal sebagai DataCamp, memungkinkan pelaku ancaman untuk mengkompilasi alat berbahaya, menghosting atau mendistribusikan malware, dan terhubung ke layanan eksternal.

DataCamp menyediakan lingkungan pengembangan terintegrasi (IDE) untuk hampir 10 juta pengguna yang ingin mempelajari ilmu data menggunakan berbagai bahasa dan teknologi pemrograman (R, Python, Shell, Excel, Git, SQL).

Sebagai bagian dari platform, pengguna DataCamp mendapatkan akses ke ruang kerja pribadi mereka sendiri yang mencakup IDE untuk berlatih dan mengeksekusi kode kustom, mengunggah file, dan menghubungkan ke database.

IDE juga memungkinkan pengguna untuk mengimpor perpustakaan Python, mengunduh dan mengkompilasi repositori, dan kemudian menjalankan program yang dikompilasi. Dengan kata lain, apa pun yang dibutuhkan oleh aktor ancaman yang rajin untuk meluncurkan serangan jarak jauh langsung dari dalam platform DataCamp.

Setelah menanggapi insiden di mana aktor ancaman mungkin menggunakan sumber daya DataCamp untuk menyembunyikan asal serangan, para peneliti di perusahaan keamanan siber Profero memutuskan untuk menyelidiki skenario ini.

Mereka menemukan bahwa Python IDE online lanjutan DataCamp menawarkan kepada pengguna kemampuan untuk menginstal modul pihak ketiga yang memungkinkan koneksi ke bucket penyimpanan Amazon S3.

Omri Segev Moyal, CEO di Profero, mengatakan dalam sebuah laporan yang dibagikan dengan BleepingComputer bahwa mereka mencoba skenario ini pada platform DataCamp dan dapat mengakses bucket S3 dan mengekstrak semua file ke lingkungan ruang kerja di situs web platform.

Importing files from S3 bucket through DataCamp – source: Profero

Peneliti mengatakan bahwa aktivitas yang berasal dari DataCamp kemungkinan akan lewat tanpa terdeteksi dan “bahkan mereka yang memeriksa koneksi lebih lanjut akan menemui jalan buntu karena tidak ada sumber pasti yang diketahui yang mencantumkan rentang IP Datacamp.”

Penyelidikan terhadap skenario serangan ini berjalan lebih jauh dan para peneliti mencoba mengimpor atau menginstal alat yang biasanya digunakan dalam serangan siber, seperti alat pemetaan jaringan Nmap.

Tidak mungkin untuk menginstal Nmap secara langsung tetapi DataCamp mengizinkan kompilasi dan mengeksekusi biner dari direktori kompilasi.

Nmap berjalan di DataCamp – sumber: Profero

Tim Tanggap Insiden Profero juga menguji apakah mereka dapat mengunggah file menggunakan terminal dan mendapatkan tautan untuk membagikannya. Mereka dapat mengunggah EICAR – file standar untuk menguji deteksi dari solusi antivirus, dan mendapatkan tautan untuk mendistribusikannya.

File EICAR diunggah ke DataCamp – sumber: Profero

Laporan Profero hari ini mencatat bahwa tautan unduhan dapat digunakan untuk mengunduh malware tambahan ke sistem yang terinfeksi dengan menggunakan permintaan web sederhana.

Selain itu, tautan unduhan ini dapat disalahgunakan dalam jenis serangan lain, seperti hosting malware untuk serangan phishing, atau oleh malware untuk mengunduh muatan tambahan.

DataCamp menyatakan dalam Ketentuan Layanan mereka bahwa menyalahgunakan platform dilarang tetapi pelaku ancaman bukanlah pengguna untuk menghormati aturan.

DataCamp mengatakan bahwa mereka “telah mengambil langkah-langkah yang wajar” untuk mencegah penyalahgunaan berdampak pada pengguna lain di platform dan bahwa mereka memantau sistem mereka untuk perilaku buruk.

Meskipun Profero tidak memperluas penelitian mereka ke platform pembelajaran lain, para peneliti percaya bahwa DataCamp bukan satu-satunya yang dapat disalahgunakan oleh peretas.

Platform lain yang menyediakan terminal adalah Binder, sebuah proyek yang berjalan pada infrastruktur terbuka yang dikelola oleh sukarelawan. Layanan ini membuat repositori yang dihosting di infrastruktur lain (GitHub, GitLab) tersedia bagi pengguna melalui browser mereka.

Perwakilan Binder mengatakan bahwa mereka bersedia untuk menambahkan lebih banyak perlindungan dalam kode sumber BinderHub jika laporan Profero menunjukkan bahwa langkah lebih lanjut diperlukan.

Profero mendorong penyedia platform pembelajaran kode online untuk menyimpan daftar gerbang lalu lintas pelanggan keluar dan membuatnya dapat diakses publik sehingga pembela dapat menemukan asal serangan, jika memang demikian.

Sumber: Bleeping Computer

Malware yang hampir tidak terdeteksi terkait dengan Cozy Bear Rusia

July 8, 2022 by Eevee

Tim intelijen ancaman Unit 42 Palo Alto Networks mengklaim bahwa sepotong malware yang tidak dapat dideteksi oleh 56 produk antivirus adalah bukti bahwa penyerang yang didukung negara telah menemukan cara baru untuk menjalankan bisnis jahat.

Analis Unit 42 menegaskan bahwa malware itu terlihat pada Mei 2022 dan berisi muatan berbahaya yang menunjukkan bahwa itu dibuat menggunakan alat yang disebut Brute Rate (BRC4).

Di situs webnya, BRC4 digambarkan sebagai “Pusat Komando dan Kontrol Khusus untuk Tim Merah dan Simulasi Musuh”. Pembuat alat ini bahkan mengklaim bahwa mereka merekayasa balik perangkat lunak antivirus untuk membuat BRC4 lebih sulit dideteksi.

Malware Unit 42 yang diamati mulai hidup sebagai file yang berpura-pura menjadi curriculum vitae seorang pria bernama Roshan Bandara. Luar biasa, CV Bandara ditawarkan sebagai file ISO format file gambar disk. Jika pengguna mengklik ISO, itu dipasang sebagai drive Windows dan menampilkan jendela File Manager dengan satu-satunya file: “Roshan-Bandara_CV_Dialog”.

File tersebut terlihat seperti file Microsoft Word tetapi yang mengejutkan sebenarnya bukan CV. Ketika diklik dua kali, CMD.EXE akan terbuka dan menjalankan OneDrive Updater, yang mengambil dan menginstal BRC4.

Setelah malware berjalan, banyak hal buruk dapat terjadi pada mesin yang terinfeksi.

Tapi Unit 42 tidak peduli dengan hal-hal buruk itu. Teknik yang digunakan untuk menjalankan BRC4 inilah yang menarik perhatian tim, karena sangat licik sehingga menunjukkan bahwa aktor negara-bangsa berada di balik pengembangannya.

Bahkan mungkin APT29 geng yang terkait dengan Moskow juga dikenal sebagai Cozy Bear dan diduga terlibat dalam serangan terhadap Solar Winds dan banyak serangan lainnya. APT29 telah menggunakan ISO beracun di masa lalu.

Unit 42 juga mencatat bahwa ISO yang digunakan dalam serangan ini dibuat pada hari yang sama saat versi baru BRC4 muncul, menunjukkan bahwa aktor yang didukung negara dapat mengawasi dunia yang suram dari malware komersial dan dengan cepat menjalankannya sementara dunia mencoba untuk mengejar.

Sumber: The Register

Pemerintah AS peringatkan serangan ransomware Maui terhadap organisasi Health Services

July 8, 2022 by Eevee

FBI, CISA, dan Departemen Keuangan A.S. hari ini mengeluarkan peringatan bersama tentang aktor ancaman yang didukung Korea Utara yang menggunakan ransomware Maui dalam serangan terhadap organisasi Kesehatan dan Kesehatan Masyarakat (HPH).

Mulai Mei 2021, FBI telah menanggapi dan mendeteksi beberapa serangan ransomware Maui yang berdampak pada organisasi Sektor HPH di seluruh AS.

Menurut laporan ancaman yang ditulis oleh reverse engineer utama Stairwell Silas Cutler, ransomware Maui disebarkan secara manual di seluruh jaringan korban yang disusupi, dengan operator jarak jauh menargetkan file tertentu yang ingin mereka enkripsi.

Sementara Stairwell mengumpulkan sampel Maui pertama pada awal April 2022, semua sampel ransomware Maui memiliki stempel waktu kompilasi yang sama pada 15 April 2021.

Maui juga menonjol dibandingkan dengan jenis ransomware lainnya dengan tidak menjatuhkan catatan tebusan pada sistem terenkripsi untuk memberikan instruksi pemulihan data kepada korban.

File enkripsi ransomware Maui (BleepingComputer)

Tiga agen federal AS juga memberikan indikator kompromi (IOC) yang diperoleh FBI saat menanggapi serangan ransomware Maui sejak Mei 2021.

Mereka juga mendesak organisasi Sektor HPH untuk menerapkan mitigasi dan menerapkan serangkaian tindakan yang dibagikan dalam penasihat bersama untuk mempersiapkan, mencegah, dan menanggapi insiden ransomware.

Paling tidak, pembela jaringan disarankan untuk melatih pengguna untuk menemukan dan melaporkan upaya phishing, mengaktifkan dan menerapkan otentikasi multi-faktor di seluruh organisasi mereka, dan selalu memperbarui perangkat lunak antivirus dan antimalware di semua host.

Agen federal juga “sangat tidak menganjurkan” korban untuk membayar tuntutan tebusan dari pelaku ancaman di balik serangan ransomware Maui dan mengingatkan organisasi HPH tentang nasihat yang dikeluarkan oleh Departemen Keuangan mengenai risiko sanksi yang terkait dengan pembayaran ransomware.

Aktivitas ransomware Maui (ID-Ransomware)

Cyberattack Mematikan Layanan Pengangguran Di Seluruh AS

July 4, 2022 by Eevee

Serangan siber yang menargetkan vendor pihak ketiga telah menutup layanan pengangguran online di beberapa negara bagian AS.

Insiden tersebut melibatkan sebuah perusahaan yang berbasis di Florida bernama Geographic Solutions Inc. (GSI), yang memasarkan dirinya sebagai penyedia terkemuka perangkat lunak ketenagakerjaan untuk instansi pemerintah.

Mulai hari Selasa, banyak departemen tenaga kerja negara bagian termasuk di California(Buka di jendela baru), Louisiana(Buka di jendela baru) dan Tennessee(Buka di jendela baru) melaporkan bahwa pemadaman di Geographic Solutions telah memaksa mereka untuk mengambil layanan pengangguran online offline.

Dalam sebuah pernyataan (Buka di jendela baru) kepada pejabat Tennessee, Geographic Solutions mengatakan baru-baru ini “mengidentifikasi aktivitas anomali” di jaringan perusahaan. Namun, departemen tenaga kerja Louisiana menawarkan lebih spesifik dan mengatakan perusahaan itu benar-benar menemukan “usaha serangan malware”, yang mengharuskan Geographic Solutions untuk mematikan sistemnya.

“Pemadaman akibat serangan itu juga berdampak pada 40 negara bagian lain dan Washington, D.C., yang menggunakan GSI,” tambah departemen tenaga kerja Louisiana.

Akibatnya, serangan siber berisiko mencegah ribuan orang Amerika mengklaim tunjangan pengangguran mereka tepat waktu. Departemen tenaga kerja Louisiana mencatat bahwa 11.000 orang saat ini mengandalkan sistem online untuk mengajukan klaim pengangguran, tetapi berencana mengeluarkan pembayaran hanya setelah sistem pengarsipan pengangguran departemen kembali online.

Masih belum jelas jenis malware apa yang menyerang jaringan TI Geographic Solutions, dan apakah ransomware terlibat. Tetapi departemen tenaga kerja Nebraska mengatakan: “GSI telah mengindikasikan serangan ini hanya mempengaruhi akses ke sistem online GSI dan tidak ada bukti data pengguna dikompromikan.”

Sumber: Bleeping Computer

Google memblokir lusinan domain yang digunakan oleh grup hack-for-hire

July 1, 2022 by Eevee

Grup Analisis Ancaman (TAG) Google telah memblokir lusinan domain dan situs web berbahaya yang digunakan oleh grup peretasan dalam serangan yang menargetkan target berisiko tinggi di seluruh dunia.

Tidak seperti vendor pengawasan komersial yang alatnya digunakan dalam serangan oleh klien, operator hack-for-hire terlibat langsung dalam serangan dan biasanya dipekerjakan oleh perusahaan yang menawarkan layanan tersebut. Dalam beberapa kasus, mereka juga bisa menjadi aktor ancaman “bebas”.

Mereka dipekerjakan karena keterampilan meretas mereka oleh klien yang tidak memilikinya atau yang ingin menyembunyikan identitas mereka jika serangan terdeteksi dan diselidiki.

Kelompok hack-for-hire menargetkan individu dan organisasi dalam pencurian data dan kampanye spionase perusahaan, dengan korban masa lalu termasuk politisi, jurnalis, aktivis hak asasi manusia dan politik, dan berbagai pengguna berisiko tinggi lainnya dari seluruh dunia.

Saat ini, Google TAG melacak beberapa perusahaan hack-for-hire dari beberapa negara dan kampanye mereka, termasuk India, Rusia, dan Uni Emirat Arab.

Misalnya, satu kelompok mata-mata sewaan dari India yang terkait dengan penyedia keamanan ofensif Appin dan Belltrox dan dilacak selama dekade terakhir telah mengatur kampanye phishing kredensial terhadap organisasi di sektor pemerintah, perawatan kesehatan, dan telekomunikasi di Arab Saudi, Uni Emirat Arab (UEA). ), dan Bahrain.

Reuters juga melaporkan hari ini bahwa tentara bayaran dunia maya India juga telah mencoba meretas “setidaknya 75 perusahaan AS dan Eropa, tiga lusin kelompok advokasi dan media dan banyak eksekutif bisnis Barat,” serta ke kotak masuk email milik pengacara target, ” sekitar 1.000 pengacara di 108 firma hukum yang berbeda.”

Aktor ancaman hack-for-hire lainnya dari Rusia (dikenal sebagai Void Balaur) dikaitkan dengan serangan phishing kredensial terhadap jurnalis, politisi, dan berbagai LSM dan organisasi nirlaba di seluruh Eropa (termasuk Rusia).

Last but not least, kelompok hack-for-hire berbasis di UEA yang terkait dengan pengembang H-Worm dan yang aktivitasnya juga terlihat oleh Amnesty International, terutama memfokuskan serangannya pada pemerintah, pendidikan, dan organisasi politik di Timur Tengah dan Utara. Afrika.

Huntley juga membagikan daftar lengkap domain berbahaya yang diblokir oleh Google saat menyelidiki aktivitas kelompok peretasan dari India, Rusia, dan UEA.

Tim pakar keamanan Google TAG juga melacak daftar panjang pelaku ancaman yang didukung negara dan bermotivasi finansial, termasuk lusinan vendor pengawasan yang menjual spyware mereka kepada pemerintah di seluruh dunia.

“TAG secara aktif melacak lebih dari 30 vendor dengan berbagai tingkat kecanggihan dan eksposur publik yang menjual eksploitasi atau kemampuan pengawasan kepada aktor yang didukung pemerintah,” kata anggota Google TAG Clement Lecigne dan Christian Resell baru-baru ini.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attack

Cookies Settings