Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Crime

Cyber Crime

AvosLocker Ransomware Group Memberikan Decryptor Setelah Melanggar Polisi AS

by

Grup Ransomware AvosLocker telah memberikan decryptor gratis setelah secara tidak sengaja mengenkripsi agen pemerintah AS. Kelompok ransomware AvosLocker menyerang departemen kepolisian AS dan perangkat terenkripsi.

Kelompok ini juga mencuri data dari perangkat terenkripsi tersebut.

AvosLocker Ransomware Group dan niatnya

Menurut seorang peneliti keamanan pancak3, kelompok ransomware AvosLocker menyerahkan decryptor setelah menyadari bahwa korban adalah lembaga pemerintah.

Perlu dicatat bahwa para aktor hanya menyediakan decryptor dan bukan daftar file yang dicuri dan proses di mana mereka melanggar jaringan agensi. Menurut aktor AvosLocker, mereka biasanya tidak menargetkan badan pemerintah dan lembaga kesehatan.

AvosLocker juga menyebutkan bahwa mereka sengaja menghindari badan pemerintah karena uang pembayar pajak umumnya sulit didapat. Namun, penegak hukum telah menangkap beberapa anggota ransomware dalam beberapa waktu terakhir, yang mencakup kelompok ransomware Netwalker, REvil, Egregor dan Clop.

Tindakan penegakan hukum terhadap aktor ransomware

Tindakan ini telah membuat kelompok ransomware tertentu untuk menutup operasi mereka termasuk avaddon, REvil, BlackMatter dan kelompok DarkSide. Sementara kita tahu bahwa sebagian besar kelompok-kelompok ini mengubah citra diri mereka untuk melompat lagi untuk operasi lain, tekanan dari penegakan hukum harus dihargai.

Sumber: The Cyber Security Times

T-Mobile Mengatakan Pelanggaran Data Baru yang Disebabkan oleh Serangan Swap SIM

by Leave a Comment

T-Mobile mengkonfirmasi bahwa laporan terbaru tentang pelanggaran data baru terkait dengan pemberitahuan yang dikirim ke “sejumlah kecil pelanggan” yang menjadi korban serangan pertukaran SIM.

“Kami memberi tahu sejumlah kecil pelanggan bahwa kartu SIM yang ditugaskan ke nomor ponsel di akun mereka mungkin telah dipindahkan secara ilegal atau informasi akun terbatas dilihat,” kata juru bicara T-Mobile kepada BleepingComputer.

“Pertukaran SIM yang tidak sah sayangnya merupakan kejadian umum di seluruh industri, namun masalah ini dengan cepat diperbaiki oleh tim kami, menggunakan perlindungan di tempat kami, dan kami secara proaktif mengambil langkah-langkah perlindungan tambahan atas nama mereka.”

T-Mobile menolak untuk memberikan rincian tambahan ketika diminta untuk info lebih lanjut tentang jumlah total pelanggan yang terkena dampak dan metode yang digunakan oleh penyerang untuk melakukan serangan swap SIM berhasil.

“Kami tidak memberikan informasi tambahan saat ini. Terima kasih!,” kata seorang juru bicara perusahaan kepada BleepingComputer.

Pertukaran SIM (juga dikenal sebagai pembajakan SIM) memungkinkan penyerang untuk mengendalikan nomor ponsel target dengan menipu atau menyuap karyawan operator untuk menetapkan kembali nomor tersebut ke kartu SIM yang dikendalikan penyerang.

Hal ini memungkinkan aktor ancaman untuk mengendalikan nomor telepon korban mereka dan menggunakannya untuk memotong otentikasi multi-faktor berbasis SMS (MFA), mencuri kredensial mereka, masuk ke rekening bank korban untuk mencuri uang, atau membajak akun online mereka dengan mengubah kata sandi.

Semua pelanggan T-Mobile mencari pesan teks atau email yang mencurigakan yang berpura-pura berasal dari T-Mobile. Jangan mengklik tautan apa pun jika Anda menerimanya, karena penyerang dapat menggunakannya untuk memanen kredensial Anda.

Sumber: Bleepingcomputer

Perusahaan Fintech yang terkena peretasan Log4j menolak untuk membayar uang tebusan $ 5 juta

by

Salah satu platform perdagangan crypto Vietnam terbesar, ONUS, baru-baru ini mengalami serangan cyber pada sistem pembayarannya yang menjalankan versi Log4j yang rentan.

Pelaku ancaman mendekati ONUS untuk memeras sejumlah $5 juta dan mengancam akan mempublikasikan data pelanggan jika ONUS menolak untuk mematuhinya. Setelah penolakan tersebut, pelaku memasang data hampir 2 juta pelanggan ONUS untuk dijual di forum.

Pada tanggal 9 Desember, eksploitasi PoC untuk kerentanan Log4Shell yang terkenal (CVE-2021-44228) bocor di GitHub. Dan, itu mendapat perhatian penyerang oportunistik yang mulai memindai internet secara massal untuk server yang rentan.

Antara 11 dan 13 Desember, pelaku ancaman berhasil mengeksploitasi kerentanan Log4Shell pada server Cyclos dari ONUS dan menanam pintu belakang untuk akses berkelanjutan.

Meskipun ONUS telah menambal instance Cyclos mereka, jendela eksposur memberikan waktu yang cukup bagi pelaku ancaman untuk mengekstrak database sensitif. Basis data ini berisi hampir 2 juta catatan pelanggan termasuk data E-KYC (Know Your Customer), informasi pribadi, dan kata sandi hash.

Alur kerja E-KYC yang digunakan oleh bank dan perusahaan FinTech biasanya melibatkan pengadaan beberapa bentuk dokumen identifikasi dan bukti dari pelanggan, bersama dengan ‘video selfie’ untuk verifikasi otomatis.

Menariknya, kerentanan Log4Shell ada di server kotak pasir yang digunakan “hanya untuk tujuan pemrograman” tetapi memungkinkan penyerang mengakses lebih lanjut ke lokasi penyimpanan data sensitif (ember Amazon S3) dengan data produksi, karena kesalahan konfigurasi sistem.

ONUS kemudian dilaporkan ditampar dengan permintaan pemerasan senilai $ 5 juta yang mereka tolak. Sebagai gantinya, perusahaan memilih untuk mengungkapkan serangan itu kepada pelanggan mereka melalui grup Facebook pribadi.

“Sebagai perusahaan yang mengutamakan keselamatan, kami berkomitmen untuk memberikan transparansi dan integritas kepada pelanggan kami dalam operasi bisnis,” kata CEO ONUS Chien Tran.

“Itulah sebabnya, setelah mempertimbangkan dengan cermat, hal yang benar yang perlu kita lakukan sekarang adalah memberi tahu seluruh komunitas ONUS tentang kejadian ini.”

Peretasan itu sendiri sedikit lebih dari sekadar masalah Log4j saja. Eksploitasi Log4j mungkin merupakan titik masuk bagi penyerang, tetapi kontrol akses yang tidak tepat pada bucket Amazon S3 ONUS memungkinkan penyerang mengakses secara tidak semestinya.

Pada 25 Desember, setelah gagal mengamankan jumlah pemerasan dari ONUS, pelaku ancaman memasang data pelanggan untuk dijual di pasar pelanggaran data,pelaku mengklaim memiliki salinan 395 tabel database ONUS dengan informasi pribadi pelanggan dan kata sandi hash yang mereka miliki.

Hampir 2 juta data pelanggan ONUS disiapkan untuk dijual di forum

Sampel juga termasuk gambar yang tidak diedit dari kartu ID pelanggan, paspor, dan klip video selfie yang dikirimkan pelanggan yang diperoleh selama proses KYC.

Rekomendasi CyStack untuk ONUS termasuk menambal kerentanan Log4Shell di Cyclos–seperti yang diinstruksikan oleh vendor, menonaktifkan kredensial AWS yang bocor, mengonfigurasi izin akses AWS dengan benar, memblokir akses publik ke semua bucket S3 yang sensitif, dan memberlakukan batasan tambahan.

Sekarang kerentanan log4j telah dieksploitasi oleh semua jenis pelaku ancaman dari peretas yang didukung negara hingga geng ransomware dan beberapa lainnya untuk menyuntikkan penambang kripto pada sistem yang rentan.

Geng ransomware Conti juga terlihat mengincar server VMWare vCenter yang rentan untuk dieksploitasi.

Pengguna Log4j harus segera meningkatkan ke versi terbaru 2.17.1 (untuk Java 8) yang dirilis kemarin. Versi yang di-backport 2.12.4 (Java 7) dan 2.3.2 (Java 6) yang berisi perbaikan diharapkan akan segera dirilis.

Selengkapnya : Bleeping Computer

Pengguna LastPass Memperingatkan Kata Sandi Utama Mereka Dikompromikan

by

Banyak pengguna LastPass melaporkan bahwa kata sandi utama mereka telah dikompromikan setelah menerima peringatan email bahwa seseorang mencoba menggunakannya untuk masuk ke akun mereka dari lokasi yang tidak dikenal.

Pemberitahuan email juga menyebutkan bahwa upaya login telah diblokir karena dibuat dari lokasi yang tidak dikenal di seluruh dunia.

“Seseorang baru saja menggunakan kata sandi utama Anda untuk mencoba masuk ke akun Anda dari perangkat atau lokasi yang tidak kami kenali,” peringatan login memperingatkan.

“LastPass memblokir upaya ini, tetapi Anda harus melihat lebih dekat. Apakah ini kamu?”

Laporan kata sandi master LastPass yang dikompromikan mengalir melalui beberapa situs media sosial dan platform online, termasuk Twitter, Reddit, dan Hacker News (laporan asli dari Greg Sadetsky).

Notifikasi LastPass

Namun, pengguna yang menerima peringatan ini telah menyatakan bahwa kata sandi mereka unik untuk LastPass dan tidak digunakan di tempat lain. BleepingComputer telah bertanya kepada LastPass tentang masalah ini tetapi belum menerima jawaban.

Sementara LastPass tidak berbagi rincian mengenai bagaimana aktor ancaman di balik upaya isian kredensial ini, peneliti keamanan Bob Diachenko mengatakan dia baru-baru ini menemukan ribuan kredensial LastPass saat melalui log malware Redline Stealer.

Pengguna LastPass disarankan untuk mengaktifkan autentikasi multifaktor untuk melindungi akun mereka bahkan jika kata sandi utama mereka dikompromikan.

Dua tahun lalu, pada September 2019, LastPass memperbaiki kerentanan keamanan dalam ekstensi Chrome pengelola kata sandi yang dapat memungkinkan aktor ancaman mencuri kredensial yang terakhir digunakan untuk masuk ke situs.

Selengkapnya: Bleepingcomputer

Malware RedLine Menunjukkan Mengapa Kata Sandi Tidak Boleh Disimpan di Browser

by Leave a Comment

Malware pencuri informasi RedLine menargetkan browser web populer seperti Chrome, Edge, dan Opera, menunjukkan mengapa menyimpan kata sandi Anda di browser adalah ide yang buruk.

Malware ini adalah komoditas pencuri informasi yang dapat dibeli dengan harga sekitar $ 200 di forum kejahatan cyber dan digunakan tanpa memerlukan banyak pengetahuan atau usaha.

Namun, sebuah laporan baru oleh AhnLab ASEC memperingatkan bahwa kenyamanan menggunakan fitur auto-login pada browser web menjadi masalah keamanan besar yang mempengaruhi organisasi dan individu.

Dalam contoh yang disajikan oleh para analis, seorang karyawan jarak jauh kehilangan kredensial akun VPN kepada aktor RedLine Stealer yang menggunakan informasi tersebut untuk meretas jaringan perusahaan tiga bulan kemudian.

Meskipun komputer yang terinfeksi memiliki solusi anti-malware yang diinstal, ia gagal mendeteksi dan menghapus RedLine Stealer.

Malware ini menargetkan file ‘Login Data’ yang ditemukan di semua browser web berbasis Chromium dan merupakan database SQLite di mana nama pengguna dan kata sandi disimpan.

Kredensial yang tersimpan di dalam sebuah file database

Ketika pengguna menolak untuk menyimpan kredensial mereka di browser, sistem manajemen kata sandi masih akan menambahkan entri untuk menunjukkan bahwa situs web tertentu “masuk daftar hitam.”

Sementara aktor ancaman mungkin tidak memiliki kata sandi untuk akun “daftar hitam” ini, tapi hal itu mengindikasi bahwa akun tersebut ada, memungkinkan mereka untuk melakukan isian kredensial atau serangan rekayasa sosial / phishing.

Fitur-fitur RedLine Stealer

Setelah mengumpulkan kredensial yang dicuri, aktor ancaman menggunakannya dalam serangan lebih lanjut atau mencoba memonetisasinya dengan menjualnya di pasar web gelap.

Contoh betapa populernya RedLine bagi peretas adalah munculnya pasar web gelap ‘2easy’, di mana setengah dari semua data yang dijual dicuri menggunakan malware ini.

Kasus lain baru-baru ini dari distribusi RedLine adalah kampanye spamming formulir kontak situs web yang menggunakan file Excel XLL yang mengunduh dan menginstal malware pencurian kata sandi.

Sepertinya RedLine ada di mana-mana sekarang, dan alasan utama di balik ini adalah efektivitasnya dalam mengeksploitasi celah keamanan yang tersedia secara luas yang ditolak oleh browser web modern.

Apa yang harus dilakukan sebagai gantinya

Menggunakan browser web Anda untuk menyimpan kredensial login Anda menggoda dan nyaman, tetapi hal itu berisiko bahkan tanpa infeksi malware.

Dengan demikian, aktor lokal atau jarak jauh dengan akses ke mesin Anda dapat mencuri semua kata sandi Anda dalam hitungan menit.

Sebaliknya, akan lebih baik menggunakan pengelola kata sandi khusus yang menyimpan semuanya di lemari besi terenkripsi dan meminta kata sandi utama untuk membukanya.

Selain itu, Anda harus mengonfigurasi aturan khusus untuk situs web sensitif seperti portal e-banking atau halaman web aset perusahaan, yang memerlukan input kredensial manual.

Akhirnya, aktifkan autentikasi multi-faktor di mana pun ini tersedia, karena langkah tambahan ini dapat menyelamatkan Anda dari insiden pengambilalihan akun bahkan jika kredensial Anda telah dikompromikan.

Sumber: Bleepingcomputer

Akun Twitter resmi Perdana Menteri India Narendra Modi Diretas

by

Akun Twitter resmi Perdana Menteri India Narendra Modi (@narendramodi) sempat diretas oleh peretas yang belum teridentifikasi. Peretasan terjadi Minggu dini hari.

Hampir menggelikan bahwa peretasan Twitter Inc. lainnya — kali ini di akun Perdana Menteri Narendra Modi — sekali lagi menjadi kendaraan untuk mengumpulkan Bitcoin.

“India telah secara resmi mengadopsi bitcoin sebagai alat pembayaran yang sah,” tweet yang dikirim oleh peretas dari akunnya berbunyi. “Pemerintah telah secara resmi membeli 500 BTC dan mendistribusikannya ke semua penduduk negara itu.”

Meskipun pesan itu terdengar tidak masuk akal, seluruh insiden — dari eksploitasi hingga hasil — memberi tahu kita banyak tentang budaya peretasan dan berbagai aktor di luar sana yang mencoba membobol sistem komputer.

Ini bukan pertama kalinya.

Pada Juli 2020, lebih dari 100 akun terkenal diretas termasuk milik Barack Obama, Joe Biden, Bill Gates, Elon Musk, Kanye West, dan Apple Inc. Setelah mereka mendapatkan akses, para penyerang melanjutkan untuk mempromosikan penipuan Bitcoin kepada jutaan korban ini. ‘ pengikut.

Detail dari insiden itu meneteskan ironi yang lezat. Pertama, penggunaan Bitcoin oleh peretas sebenarnya adalah kehancuran mereka — petugas penegak hukum AS melacak akun cryptocurrency dan menemukan bahwa mereka telah menggunakan SIM mereka untuk otentikasi.

Dan, pelanggaran dilakukan melalui rekayasa sosial kuno — menipu staf Twitter untuk memberikan kredensial login, yang memungkinkan akses ke akun target.

Jadi meskipun ini adalah lelucon, ada sisi seriusnya. Harus menjadi perhatian serius bahwa salah satu outlet paling kuat di dunia sekali lagi diretas, memungkinkan akses tidak sah ke media yang setara dengan kode nuklir.

Selengkapnya: Economic Times

Pria Rusia Dihukum 60 Bulan Penjara karena Menjalankan Hosting ‘Bulleproof’ untuk Kejahatan Dunia Maya

by

Seorang warga negara Rusia yang dituduh menyediakan apa yang disebut layanan hosting antipeluru untuk penjahat dunia maya yang digunakan untuk menyebarkan malware dan menyerang organisasi dan lembaga keuangan AS telah menerima hukuman penjara 60 bulan.

Aleksandr Grichishkin, 34, menawarkan layanan infrastruktur teknologi, termasuk alamat IP, server, dan domain, bagi penjahat dunia maya untuk membuat botnet, menginfeksi organisasi yang ditargetkan dengan malware, dan mencuri kredensial perbankan. Organisasinya mendukung penjahat siber yang menargetkan organisasi AS dalam kampanye serangan siber antara 2009 dan 2015.

Di antara galeri malware jahat yang dihosting di sistem: Zeus, SpyEye, Citadel, dan Blackhole Exploit Kit. Dua komplotan Grichishkin telah dijatuhi hukuman penjara: Pavel Stassi, 30, dari Estonia (24 bulan), dan Aleksandr Skorodumov, 33, dari Lithuania, (48 bulan).

Menurut dokumen pengadilan, Grichishkin adalah pendiri dan pemimpin organisasi hosting antipeluru yang menyewakan alamat internet protocol (IP), server, dan domain kepada klien penjahat dunia maya yang menggunakan infrastruktur teknis ini untuk menyebarkan malware yang memungkinkan mereka mendapatkan akses ke komputer korban, membentuk botnet, dan mencuri kredensial perbankan untuk digunakan dalam penipuan.

Grichishkin juga membantu klien menghindari deteksi oleh penegak hukum dan melanjutkan kejahatan mereka tanpa gangguan dengan memantau situs yang digunakan untuk memblokir infrastruktur teknis yang digunakan untuk kejahatan, memindahkan konten yang “ditandai” ke infrastruktur baru, dan mendaftarkan semua infrastruktur tersebut dengan identitas palsu atau dicuri.

Selengkapnya: Justice

Bot Twitter Berpose Sebagai Staf Pendukung untuk Mencuri Cryptocurrency Anda

by

Scammers memantau setiap tweet yang berisi permintaan dukungan pada MetaMask, TrustWallet, dan dompet crypto populer lainnya, dan menanggapinya dengan tautan penipuan hanya dalam hitungan detik.

Untuk melakukan serangan phishing yang ditargetkan ini, scammers menyalahgunakan API Twitter yang memungkinkan mereka memantau semua tweet publik untuk kata kunci atau frasa tertentu.

Jika frasa tersebut hadir, program yang sama ini akan mengarahkan bot Twitter di bawah kendali scammer untuk secara otomatis membalas tweet sebagai agen dukungan palsu dengan tautan ke penipuan yang mencuri dompet cryptocurrency.

Saya butuh kepercayaan CS dompet metamask phantom yoroi!
Saya kehilangan semua frase pemulihan crypto dan password saya.
Ayo maju semua bot Anda!
— @LawrencAbrams

Serangan ini bukan hal baru, dan kami melaporkannya pada bulan Mei. Namun, serangan ini telah berkembang ke cryptocurrency lainnya, dan penipuan terus merajalela.

Oleh karena itu, kami merasa sangat penting bagi pembaca kami untuk meninjau kembali serangan ini dan menggambarkan cara kerjanya, sehingga Anda tidak secara tidak sengaja menjadi korban.
Anatomi penipuan crypto Twitter

Tes pertama kami dari bot penipuan cryptocurrency ini adalah mengemas tweet dengan banyak kata kunci dan melihat apa yang akan terjadi.

Dalam tes yang dilakukan oleh BleepingComputer, tweet yang berisi kata-kata ‘dukungan,’ ‘bantuan,’ atau ‘bantuan’ bersama dengan kata kunci seperti ‘MetaMask,’ ‘Phantom,’ ‘Yoroi,’ dan ‘Trust Wallet’ akan menghasilkan balasan yang hampir seketika dari bot Twitter dengan formulir atau akun dukungan palsu.

Kata kunci lain memiliki hasil yang beragam, seperti nama dompet dan kata ‘dicuri.’
————————————————————–

Kami kemudian melakukan tes lebih lanjut untuk mencoba dan mempersempit kata kunci apa yang akan memicu balasan bot.

Dalam beberapa detik setelah memposting tes kami, kami menerima balasan dari banyak akun penipuan yang berpura-pura menjadi akun dukungan MetaMask dan TrustWallet, “korban sebelumnya,” atau pengguna yang membantu.

Semua balasan scammer berbagi tujuan yang sama – untuk mencuri frasa pemulihan untuk dompet korban, yang kemudian dapat digunakan penyerang untuk mengimpor dompet ke perangkat mereka sendiri.

Ketika memandu untuk mengisi frase pemulihan, mereka memakai bahasa konyol kalau itu sedang diproses oleh mereka “bot cloud terenkripsi,” mencoba meyakinkan pengguna untuk memposting informasi sensitif.

Setelah frase pemulihan dikirim ke penyerang, pupus sudah harapan. Mereka sekarang memiliki akses penuh ke cryptocurrency dalam dompet Anda dan dapat mentransfernya ke dompet lain di bawah kendali mereka.

Sebelum Anda mengatakan bahwa tidak ada yang “kena” penipuan ini, sayangnya, itu tidak benar. Sudah banyak pengguna Twitter yang dompet, cryptocurrency, dan NFT-nya dicuri.

@merchant_token saya tidak dapat mengubah alamat penarikan saya dari Binance ke metamask, jadi saya menghubungi dan telah tertipu oleh dukungan metamask palsu @MetaMasko yang mencuri token saya dari Dompet Metamask saya.
— @fc_sebastien

Terima kasih Kenzie. Saya mendapatkan apa yang saya pikir adalah dukungan pelanggan untuk dana yang hilang sejak minggu lalu. Dukungan pelanggan palsu berbagi tautan, dan melalui itu mereka mengekstrak Metamask saya. Saya sudah sepanjang hari mencoba untuk setidaknya memulihkan seni yang tidak dijual.
— @NightversionHQ

————————————————————–

Twitter mengatakan kepada BleepingComputer bahwa menggunakan API Twitter untuk spam bertentangan dengan aturan dan bahwa mereka secara aktif bekerja pada metode baru untuk mencegah serangan ini.

“Ini melanggar aturan kami untuk menggunakan taktik penipuan di Twitter untuk mendapatkan uang atau informasi keuangan pribadi, termasuk melalui aktivitas otomatis. Kebijakan Pengembang kami juga secara ketat melarang penggunaan API Twitter dan produk pengembang untuk mengirim spam kepada orang-orang,” jelas juru bicara Twitter.

“Ketika kami mengidentifikasi aplikasi atau akun yang melanggar kebijakan ini, kami mengambil tindakan penegakan hukum yang tepat. Kami terus beradaptasi dengan metode yang berkembang dari aktor jahat dan kami akan terus bergerak cepat untuk mengatasi penipuan cryptocurrency di platform saat mereka berevolusi.”

Jangan pernah berbagi frasa pemulihan!

Sebagai aturan umum, Anda tidak boleh membagikan frasa pemulihan dompet Anda dengan siapa pun. Frasa pemulihan hanya untuk Anda, dan tidak ada orang pendukung yang sah dari MetaMask, TrustWallet, atau di tempat lain yang akan memintanya.

Penting juga untuk diingat untuk tidak membagikan layar Anda dengan pengguna yang tidak tepercaya yang kemudian meminta Anda menampilkan frasa pemulihan Anda. Pada saat itu, mereka dapat dengan mudah mengambil tangkapan layar dan menuliskannya secara manual.

Pada akhirnya, serangan ini akan berlanjut kecuali Twitter mencari cara untuk mencegah bot ini merajalela, membatasi penggunaan kata kunci tertentu, atau menempatkan kontrol yang lebih ketat pada siapa yang dapat bergabung dengan platform pengembang mereka.

Pembaruan 12/7/21: Menambahkan pernyataan dari Twitter.

Sumber: Bleepingcomputer