Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Crime

Cyber Crime

Hive ransomware memeras $100 juta dari lebih dari 1.300 korban

by

Biro Investigasi Federal (FBI) mengatakan bahwa geng ransomware Hive yang terkenal telah berhasil memeras sekitar $100 juta dari lebih dari seribu perusahaan sejak Juni 2021.

FBI juga mengatakan bahwa geng Hive akan menyebarkan muatan ransomware tambahan pada jaringan korban yang menolak membayar uang tebusan.

“Hive November 2022, aktor ransomware Hive telah menjadi korban lebih dari 1.300 perusahaan di seluruh dunia, menerima sekitar US$100 juta sebagai pembayaran uang tebusan, menurut informasi FBI,” ungkap FBI.

Daftar korban termasuk organisasi dari berbagai industri dan sektor infrastruktur penting seperti fasilitas pemerintah, komunikasi, dan teknologi informasi, dengan fokus pada entitas Kesehatan dan Kesehatan Masyarakat (HPH).

Ini terungkap dalam penasehat bersama yang diterbitkan hari ini dengan Cybersecurity and Infrastructure Security Agency (CISA) dan Departemen Kesehatan dan Layanan Kemanusiaan (HHS).

Penasihat hari ini dikeluarkan untuk membagikan indikator kompromi Hive (IOC) dan taktik, teknik, dan prosedur (TTP) yang ditemukan oleh FBI saat menyelidiki serangan ransomware Hive.

Meskipun pengiriman ke platform ID Ransomware tidak menyertakan semua serangan ransomware Hive, para korban telah mengirimkan lebih dari 850 sampel sejak awal tahun, banyak di antaranya didorong menyusul lonjakan besar aktivitas antara akhir Maret dan pertengahan April.

Sementara tiga agen federal di belakang penasehat tidak mendorong pembayaran uang tebusan karena kemungkinan besar akan mendorong pelaku ancaman lain untuk bergabung dengan serangan ransomware, para korban didesak untuk melaporkan serangan Hive ke kantor lapangan FBI lokal mereka atau ke CISA di report@cisa. gov terlepas dari apakah mereka membayar uang tebusan atau tidak.

Ini akan membantu penegak hukum mengumpulkan informasi penting yang diperlukan untuk melacak aktivitas operasi ransomware, mencegah serangan tambahan, atau meminta pertanggungjawaban penyerang atas tindakan mereka.

FBI juga merilis indikator tambahan kompromi dan detail teknis yang terkait dengan serangan ransomware Hive pada Agustus 2021.

Hive adalah operasi Ransomware-as-a-Service (RaaS) yang aktif setidaknya sejak Juni 2021, dengan beberapa anggotanya diketahui telah bekerja untuk Hive dan geng kejahatan dunia maya Conti secara bersamaan setidaknya selama enam bulan, mulai November 2021.

Sumber: Bleeping Computer

Peretas yang Didukung Negara China Melanggar Otoritas Sertifikat Digital

by

Aktor yang disponsori negara China melanggar otoritas sertifikat digital serta lembaga pemerintah dan pertahanan yang berlokasi di berbagai negara di Asia sebagai bagian dari kampanye yang sedang berlangsung setidaknya sejak Maret 2022.

Symantec, oleh Broadcom Software, mengaitkan serangan tersebut dengan kelompok yang dilacaknya dengan nama Billbug, berdasarkan alat dalam kampanye ini yang sebelumnya diatribusikan ke grup ini.

Billbug, juga disebut Bronze Elgin, Lotus Blossom, Lotus Panda, Spring Dragon, dan Thrip, adalah grup ancaman persisten (APT) tingkat lanjut yang diyakini beroperasi atas nama kepentingan Tiongkok. Target utama termasuk organisasi pemerintah dan militer di Asia Tenggara.

Dalam serangan yang dilakukan pada tahun 2019, grup tersebut menggunakan pintu belakang seperti Hannotog dan Sagerunex, dengan intrusi diamati di Hong Kong, Makau, Indonesia, Malaysia, Filipina, dan Vietnam.

Kedua implan tersebut dirancang untuk memberikan akses jarak jauh yang persisten ke jaringan korban, bahkan ketika aktor ancaman diketahui menyebarkan pencuri informasi yang dikenal sebagai Catchamas dalam kasus tertentu untuk mengekstraksi informasi sensitif.

“Penargetan otoritas sertifikat sangat penting, seolah-olah penyerang berhasil mengkompromikannya untuk mengakses sertifikat, mereka berpotensi menggunakannya untuk menandatangani malware dengan sertifikat yang valid, dan membantunya menghindari deteksi pada mesin korban,” kata peneliti Symantec.

Symantec mencatat bahwa tidak ada bukti yang menunjukkan bahwa Billbug berhasil mengkompromikan sertifikat digital.

Analisis dari gelombang serangan terbaru menunjukkan bahwa akses awal kemungkinan diperoleh melalui eksploitasi aplikasi yang terhubung ke internet, setelah itu kombinasi alat yang dipesan lebih dahulu dan alat hidup dari tanah digunakan untuk memenuhi tujuan operasionalnya.

Ini terdiri dari utilitas seperti WinRAR, Ping, Traceroute, NBTscan, Certutil, selain backdoor yang mampu mengunduh file sewenang-wenang, mengumpulkan informasi sistem, dan mengunggah data terenkripsi.

Dalam serangan tersebut juga terdeteksi alat proksi multi-hop open source yang disebut Stowaway dan malware Sagerunex, yang dijatuhkan di mesin melalui Hannotog. Backdoor, dilengkapi untuk menjalankan perintah sewenang-wenang, menjatuhkan muatan tambahan, dan menyedot file yang menarik.

Sumber: The Hackernews

Departemen Kesehatan AS memperingatkan tentang ransomware Venus yang menargetkan organisasi perawatan kesehatan

by

Departemen Kesehatan dan Layanan Kemanusiaan AS (HHS) hari ini memperingatkan bahwa serangan ransomware Venus juga menargetkan organisasi perawatan kesehatan negara itu.

Dalam catatan analis yang dikeluarkan oleh Pusat Koordinasi Keamanan Siber Sektor Kesehatan (HC3), tim keamanan HHS juga menyebutkan bahwa mereka mengetahui setidaknya satu insiden di mana ransomware Venus dikerahkan pada jaringan organisasi perawatan kesehatan AS.

Namun, tidak ada situs kebocoran data yang diketahui bahwa aktor ancaman yang menyebarkan ransomware Venus diketahui digunakan untuk menerbitkan data curian secara online, menurut laporan HC3.

“HC3 mengetahui setidaknya satu entitas perawatan kesehatan di Amerika Serikat yang menjadi korban ransomware Venus baru-baru ini,” laporan itu memperingatkan.

“Operator Venus ransomware tidak diyakini beroperasi sebagai model ransomware-as-a-service (RaaS) dan tidak ada situs kebocoran data (DLS) terkait saat ini.”

Otoritas federal AS telah memperingatkan tentang operasi ransomware lain yang menargetkan organisasi perawatan kesehatan di seluruh Amerika Serikat tahun ini.

Peringatan sebelumnya termasuk peringatan aktor ancaman yang menyebarkan muatan ransomware Maui dan Zeppelin dalam serangan terhadap organisasi Kesehatan dan Kesehatan Masyarakat (HPH).

CISA, FBI, dan HHS juga memperingatkan bulan lalu bahwa kelompok kejahatan dunia maya yang dikenal sebagai Tim Daixin menargetkan sektor HPH dalam serangan ransomware yang sedang berlangsung.

Last but not least, perusahaan manajemen piutang layanan lengkap Professional Finance Company Inc (PFC) mengungkapkan dalam pemberitahuan pelanggaran data bahwa serangan ransomware Quantum dari akhir Februari menyebabkan pelanggaran data yang berdampak pada 657 organisasi perawatan kesehatan.

Namun, serangan itu bisa memiliki dampak yang jauh lebih signifikan karena PFC membantu ribuan organisasi layanan kesehatan, pemerintah, dan utilitas AS untuk memastikan bahwa pelanggan mereka membayar tagihan tepat waktu.

Selengkapnya: Bleeping Computer

Thales mengonfirmasi peretas telah merilis datanya di DarkWeb

by

11 November (Reuters) – Kelompok pertahanan dan teknologi Prancis Thales (TCFP.PA) mengatakan pada hari Jumat data yang berkaitan dengan kelompok tersebut telah dirilis pada “platform publikasi” dari kelompok peretas LockBit 3.0, membenarkan laporan media.

Data tersebut dirilis pada 10 November, kata Thales, yang menyediakan teknologi canggih dalam pertahanan, aeronautika, luar angkasa, transportasi, dan keamanan digital.

“Pada tahap ini, Thales dapat memastikan bahwa tidak ada gangguan pada sistem TI-nya,” tambahnya.

Dikatakan saat ini tidak ada dampak pada operasinya.

Pakar kelompok telah mengidentifikasi satu dari dua kemungkinan sumber pencurian data dan terus menyelidiki yang kedua, katanya. Hal ini juga bekerja untuk meminimalkan dampak potensial.

Perusahaan itu mengatakan pada hari Selasa bahwa pihaknya telah membuka penyelidikan internal dan memberi tahu badan keamanan siber nasional ANSSI

Thales mengatakan minggu ini bahwa kelompok pemerasan dan ransomware berbahasa Rusia telah mengklaim telah mencuri beberapa datanya, dengan rencana untuk mempublikasikannya pada 7 November.

Sahamnya, yang turun sebanyak 8,5%, adalah yang berkinerja terburuk pada indeks SBF 120 berkapitalisasi besar dan menengah Prancis (.SBF120).

Selengkapnya: Reuters

Peretas Worok Menyembunyikan Malware Baru di PNG Menggunakan Steganografi

by

Kelompok ancaman yang dilacak sebagai ‘Worok’ menyembunyikan malware di dalam gambar PNG untuk menginfeksi mesin korban dengan malware pencuri informasi tanpa membunyikan alarm.

ESET memperingatkan bahwa Worok menargetkan korban terkenal, termasuk kesatuan pemerintah di Timur Tengah, Asia Tenggara, dan Afrika Selatan, tetapi transparasi mereka ke dalam rantai serangan kelompok itu terbatas.

mengkonfirmasi asumsi ESET tentang sifat file PNG dan menambahkan informasi baru tentang jenis muatan malware dan metode eksfiltrasi data.

Menyembunyikan Malware di File PNG
Peneliti Avast menemukan empat DLL yang berisi kode CLRLoader.

CLRLoader memuat DLL tahap kedua (PNGLoader), yang mengekstrak byte yang disematkan dalam file PNG dan menggunakannya untuk merakit dua executable.

Rantai infeksi lengkap Worok

Menyembunyikan muatan dalam PNG

LSB pada piksel gambar

Muatan pertama yang diekstraksi dari bit tersebut oleh PNGLoader adalah skrip PowerShell yang tidak dapat diambil oleh ESET maupun Avast.

Muatan kedua yang bersembunyi di file PNG adalah pencuri info .NET C# khusus (DropBoxControl) yang menyalahgunakan layanan hosting file DropBox untuk komunikasi C2, eksfiltrasi file, dan banyak lagi.

Penyalahgunaan DropBox

Malware ‘DropBoxControl’ menggunakan akun DropBox yang dikendalikan aktor untuk menerima data dan perintah atau mengunggah file dari mesin yang disusupi.

Perintah disimpan dalam file terenkripsi di DropBox aktor ancaman

Bentuk file DropBox, TaskType adalah perintah

Perintah yang didukung adalah sebagai berikut:

  • Jalankan “cmd /c” dengan parameter yang diberikan
  • Luncurkan yang dapat dieksekusi dengan parameter yang diberikan
  • Unduh data dari DropBox ke perangkat
  • Unggah data dari perangkat ke DropBox
  • Hapus data di sistem korban
  • Ganti nama data pada sistem korbaN
  • Exfiltrate info file dari direktori yang ditentukan
  • Tetapkan direktori baru untuk pintu belakang
  • Exfiltrat informasi sistem
  • Perbarui konfigurasi pintu belakang

    • Fungsi-fungsi ini menunjukkan bahwa Worok adalah kelompok spionase siber yang tertarik dengan eksfiltrasi data sembunyi-sembunyi, gerakan lateral, dan mata-mata pada perangkat yang terinfeksi.

    sumber : bleeping computer

Operator ransomware LockBit Rusia ditangkap di Canada

by

Europol hari ini mengumumkan penangkapan seorang warga negara Rusia yang terkait dengan serangan ransomware LockBit yang menargetkan organisasi infrastruktur penting dan perusahaan terkenal di seluruh dunia.

Tersangka ditangkap di Ontario, Kanada, bulan lalu menyusul penyelidikan yang dipimpin oleh Gendarmerie Nasional Prancis dengan bantuan European Cybercrime Center (EC3) Europol, FBI, dan Canadian Royal Canadian Mounted Police (RCMP).

Penegak hukum juga menyita delapan komputer dan 32 hard drive eksternal, dua senjata api, dan cryptocurrency senilai €400.000 dari rumah tersangka.

Europol menambahkan bahwa operator LockBit ini “adalah salah satu target bernilai tinggi Europol karena keterlibatannya dalam banyak kasus ransomware tingkat tinggi,” dan ia dikenal karena mencoba memeras korban dengan tuntutan tebusan antara €5 hingga €70 juta.

Sementara Europol menggambarkan tersangka sebagai ‘operator’ ransomware LockBit, ia kemungkinan adalah afiliasi daripada manajer operasi kejahatan dunia maya.

Selanjutnya, perwakilan LockBit yang dikenal publik yang dikenal sebagai ‘LockBitSupp’ memposting di forum peretas baru-baru ini kemarin.

Departemen Kehakiman AS (DOJ) mengatakan dalam siaran pers yang diterbitkan hari ini bahwa nama tersangka berusia 33 tahun adalah Mikhail Vasiliev, warga negara ganda Rusia dan Kanada dari Bradford, Ontario, Kanada.

Menurut pengaduan pidana, dalam penggeledahan di rumahnya pada Agustus 2022, penegak hukum Kanada juga menemukan tangkapan layar pertukaran Tox dengan ‘LockBitSupp,’ instruksi tentang cara menyebarkan loker LockBit Linux/ESXi dan kode sumber malware, serta ” foto-foto layar komputer yang menunjukkan nama pengguna dan kata sandi untuk berbagai platform milik karyawan korban LockBit di Kanada, yang menderita serangan LockBit yang dikonfirmasi pada atau sekitar Januari 2022.”

Vasiliev didakwa dengan konspirasi untuk mengirimkan permintaan tebusan dan dengan sengaja merusak komputer yang dilindungi. Dia menghadapi hukuman maksimal lima tahun penjara jika terbukti bersalah.

Penangkapan ini mengikuti tindakan serupa di Ukraina pada Oktober 2021 ketika operasi penegakan hukum internasional gabungan yang melibatkan FBI, polisi Prancis, dan Polisi Nasional Ukraina menyebabkan penangkapan dua kaki tangannya.

Kedua tersangka ditangkap di Kyiv, Ukraina, dengan salah satu dari mereka digambarkan sebagai “peretas” pria berusia 25 tahun.

Tahun lalu, polisi Ukraina juga menangkap tersangka lain yang diyakini sebagai anggota operasi ransomware Clop and Egregor.

Europol juga mengumumkan pada Oktober 2021 bahwa lembaga penegak hukum menangkap 12 tersangka di Ukraina dan Swiss yang diyakini terkait dengan serangan ransomware LockerGoga, MegaCortex, dan Dharma yang memengaruhi lebih dari 1.800 korban di 71 negara.

Sumber: Bleeping Computer

Geng kejahatan dunia maya merekrut tidak seperti sebelumnya

by

Sejumlah kelompok penjahat dunia maya terkemuka telah diamati merekrut anggota baru pada tingkat yang mengkhawatirkan, laporan baru telah memperingatkan.

Laporan Ancaman Q3/2022 Avast baru-baru ini menemukan bahwa beberapa aktor ancaman mulai merekrut karena tidak berhasil, yang lain karena ditembaki oleh peneliti keamanan siber.

Grup LockBit, misalnya, yang dikenal dengan varian ransomware dengan nama yang sama, “sangat aktif pada kuartal ini”, kata para peneliti.

Pada akhir Juni 2022, LockBit merilis versi baru penyandinya, dan untuk memastikannya kedap udara, menawarkan $50.000 kepada siapa pun yang menemukan kerentanan dalam enkripsi file basis data besar. Ada hadiah lain yang ditawarkan juga. Misalnya, siapa pun yang mengetahui nama bos afiliasi mendapat satu juta dolar.

Ada juga pembayaran tinggi untuk kelemahan yang ditemukan dalam proses enkripsi, kerentanan di situs web LockBit, atau kerentanan di messenger TOX atau jaringan TOR.

Selain itu, ia menawarkan $1.000 kepada siapa saja yang akan menato logo LockBit ke tubuh mereka.

Kelompok peretas NoName057(16), yang mengalami pukulan besar setelah server utama Bobik C2 dimatikan dan botnetnya berhenti bekerja, mulai merekrut untuk proyek baru pada pertengahan Agustus tahun ini, para peneliti mengungkap lebih lanjut. Mencurigai mereka membutuhkan darah segar untuk melanjutkan serangan DDoS aktif, para peneliti mengamati aktor ancaman membuka grup baru yang didedikasikan untuk proyek DDDOSIA. Akhir bulan lalu, grup ini memiliki lebih dari 700 anggota.

Selengkapnya: Tech Radar

Peretas OPERA1ER mencuri lebih dari $11 juta dari bank dan perusahaan telekomunikasi

by

Sebuah kelompok ancaman yang peneliti sebut OPERA1ER telah mencuri setidaknya $ 11 juta dari bank dan penyedia layanan telekomunikasi di Afrika menggunakan alat peretasan yang tersedia.

Antara 2018 dan 2022, para peretas meluncurkan lebih dari 35 serangan yang berhasil, sekitar sepertiganya dilakukan pada tahun 2020.

Analis di Group-IB, yang bekerja dengan departemen CERT-CC di Orange, telah melacak OPERA1ER sejak 2019 dan memperhatikan bahwa grup tersebut mengubah teknik, taktik, dan prosedur (TTP) tahun lalu.

Khawatir kehilangan jejak aktor ancaman, perusahaan keamanan siber menunggu kelompok itu muncul kembali untuk menerbitkan laporan terbaru. Tahun ini, Group-IB mengamati bahwa para peretas kembali aktif.

Mereka mendapatkan akses awal melalui email spear-phishing yang memanfaatkan topik populer seperti faktur atau pemberitahuan pengiriman pos.

Email tersebut memiliki lampiran yang mengirimkan malware tahap pertama, di antaranya Netwire, bitrat, venomRAT, AgentTesla, Remcos, Neutrino, BlackNET, dan Venom RAT. Group-IB juga mengatakan bahwa para peretas mendistribusikan sniffer dan dumper kata sandi.

Menurut para peneliti, OPERA1ER dapat menghabiskan antara tiga hingga dua belas bulan di dalam jaringan yang disusupi, dan terkadang mereka menyerang perusahaan yang sama dua kali.

Para peneliti mengatakan bahwa setelah mendapatkan akses ke jaringan korban, peretas juga dapat menggunakan infrastruktur sebagai titik pivot ke target lain.

Group-IB mengatakan bahwa pelaku ancaman membuat email spear-phishing “berkualitas tinggi” yang ditulis dalam bahasa Prancis. Sebagian besar waktu, pesan tersebut menyamar sebagai kantor pajak pemerintah atau agen perekrutan dari Bank Sentral Negara-negara Afrika Barat (BCEAO).

Selengkapnya: Bleeping Computer