Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Crime

Cyber Crime

Pencuri iPhone menggunakan trik ini untuk menonaktifkan “Find My” di perangkat yang dicuri

by

Sayangnya, orang yang mencuri iPhone sama sekali bukan hal baru. Tetapi orang yang menggunakan “Find My” untuk menonaktifkan perangkat mereka biasanya merupakan port panggilan yang baik karena mencegah mereka diakses atau diatur lagi.

Trik baru yang dibagikan oleh salah satu pemilik iPhone yang malang menunjukkan bahwa pencuri menemukan cara baru untuk menyiasati hal-hal seperti “Find My” — dan itu semua terlalu mudah.

Sebuah laporan India Today menceritakan kisah Vedant, seseorang yang kehilangan iPhone 12-nya sebelum melalui semua langkah biasa — termasuk mencoba menggunakan “Find My” untuk menemukannya.

Korban diberitahu bahwa iPhone sedang offline, dan sistem tidak bisa mendapatkan lokasi perangkat yang tepat. Dia kemudian memasukkan iPhone-nya ke mode hilang, memberi tahu polisi, dan memblokir kartu SIM-nya.

Jika Anda mengubah status ponsel Anda menjadi “mode hilang”, ponsel Anda akan terkunci, sehingga tidak ada yang dapat mengakses informasi Anda bahkan setelah menyalakan iPhone.

Beberapa hari berlalu dan diasumsikan bahwa semua harapan hilang. Kemudian, Vedant menerima SMS yang menyarankan iPhone telah ditemukan dan mengetuk tautan akan menampilkan lokasi. Tautan tampak sah karena berisi ‘icloud’ dan ‘findmy’, tetapi ternyata tidak.

Setelah mengetuk tautan, Vedant diminta untuk masuk, yang mereka lakukan — memberi pemilik baru iPhone ID dan kata sandi Apple mereka.

Hanya satu menit setelah memasukkan detailnya, dia mendapat pemberitahuan email yang mengatakan bahwa ID Apple-nya diakses dari desktop Windows. Dia kemudian mengubah kata sandinya dan menghapus desktop windows dari ID Apple-nya, tetapi sudah terlambat saat itu. IPhone curiannya sudah dihapus dari ID Apple-nya dan ‘Temukan saya’ juga dimatikan.

Selengkapnya: iMore

PhoneSpy: Kampanye spyware Android yang menargetkan pengguna Korea Selatan

by

Kampanye spyware yang dijuluki ‘PhoneSpy’ menargetkan pengguna Korea Selatan melalui berbagai aplikasi gaya hidup yang bersarang di perangkat dan mengekstrak data secara diam-diam. Kampanye ini menyebarkan malware Android yang kuat yang mampu mencuri informasi sensitif dari pengguna dan mengambil alih mikrofon dan kamera perangkat.

Zimperium mengidentifikasi 23 aplikasi bertali yang muncul sebagai aplikasi gaya hidup yang tidak berbahaya, tetapi di latar belakang, aplikasi tersebut berjalan sepanjang waktu, diam-diam memata-matai pengguna.

Aplikasi meminta korban untuk memberikan banyak izin saat penginstalan, yang merupakan satu-satunya tahap di mana pengguna yang berhati-hati akan melihat tanda-tanda masalah.

Spyware yang bersembunyi tersebut dapat melakukan hal berikut :

  • Ambil daftar lengkap aplikasi yang diinstal
  • Copot pemasangan aplikasi apa pun di perangkat
  • Instal aplikasi dengan mengunduh APK dari tautan yang disediakan oleh C2
  • Curi kredensial menggunakan URL phishing yang dikirim oleh C2
  • Mencuri gambar (dari memori internal dan kartu SD)

    • untuk daftar selengkapnya klik sumber : Bleeping Computer

Spektrum data yang dicuri mendukung hampir semua aktivitas jahat, mulai dari memata-matai hingga melakukan spionase dunia maya perusahaan dan memeras orang.

Selain itu beberapa aplikasi juga secara aktif mencoba mencuri kredensial orang dengan menampilkan halaman login palsu untuk berbagai situs. Template phishing yang digunakan dalam kampanye PhoneSpy meniru portal masuk akun Facebook, Instagram, Kakao, dan akun Google.

Saluran distribusi awal untuk aplikasi yang dicampur tidak diketahui, dan pelaku ancaman tidak mengunggah aplikasi ke Google Play Store. Itu dapat didistribusikan melalui situs web, toko APK pihak yang tidak jelas, media sosial, forum, atau bahkan webhard dan torrent.

Menggunakan teks SMS meningkatkan kemungkinan penerima mengetuk tautan yang mengarah untuk mengunduh aplikasi yang dicampur karena berasal dari orang yang mereka kenal dan percayai.

Selengkpanya : Bleeping Computer

TrickBot bekerja sama dengan Phisher Shatak untuk serangan Ransomware Conti

by

Seorang aktor ancaman yang dilacak sebagai Shatak (TA551) baru-baru ini bermitra dengan geng ITG23 (alias TrickBot dan Wizard Spider) untuk menyebarkan Conti ransomware pada sistem yang ditargetkan. Operasi Shatak membuat kampanye phishing yang mengunduh dan menginfeksi korban dengan malware.

IBM X-Force menemukan bahwa Shatak dan TrickBot mulai bekerja sama pada Juli 2021 hingga hari ini. Serangan dimulai dengan email phishing yang dikirim oleh Shatak, kemudian mereka membawa arsip yang dilindungi kata sandi yang berisi dokumen berbahaya.

Menurut IBM X-Force, Shatak menggunakan email berantai balasan yang dicuri dari korban sebelumnya dan menambahkan lampiran arsip yang dilindungi kata sandi.

Lampiran ini berisi skrip kode yang disandikan base-64 untuk mengunduh dan menginstal malware TrickBot atau BazarBackdoor dari situs jarak jauh. Kemudian ITG23 mengambil alih dengan menerapkan suar Cobalt Strike pada sistem yang disusupi, menambahkannya ke tugas terjadwal untuk ketekunan.

Aktor Conti menggunakan BazarBackdoor untuk pengintaian jaringan, menghitung pengguna, admin domain, komputer bersama, dan sumber daya bersama. Mereka mencuri kredensial pengguna, hash kata sandi, dan data Active Directory, dan menyalahgunakan apa yang mereka bisa untuk menyebar secara lateral melalui jaringan.

Fitur pemantauan real-time Windows Defender juga dinonaktifkan untuk mencegah peringatan atau intervensi selama proses enkripsi. setelah itu mereka melakukan eksfiltrasi data, yang merupakan tahap terakhir sebelum enkripsi file, dengan menggunakan alat ‘Rclone’ untuk mengirim semuanya ke titik akhir jarak jauh di bawah kendali mereka. Conti menonaktifkan perlindungan real-time Defender.

Conti menonaktifkan perlindungan real-time Defender.
Sumber: Cybereason

Setelah mengumpulkan semua data berharga dari jaringan, pelaku ancaman menyebarkan ransomware untuk mengenkripsi perangkat.

Dalam laporan Computer Emergency Response Team (CERT) Prancis, TA551 muncul sebagai kolaborator ‘Lockean’, grup ransomware yang baru ditemukan dengan banyak afiliasi.

Shatak mengirim email phishing untuk mendistribusikan trojan perbankan Qbot/QakBot, yang digunakan untuk menyebarkan infeksi ransomware ProLock, Egregor, dan DoppelPaymer.

TA551 mungkin memiliki lebih banyak kolaborasi dengan geng ransomware lain selain yang ditemukan oleh para analis. Pelaku ancaman ini juga diidentifikasi dengan nama yang berbeda, seperti Shathak, UNC2420, dan Gold Cabin.

Pertahanan terbaik terhadap jenis serangan ini adalah dengan melatih karyawan tentang risiko email phishing. Admin juga harus menerapkan penggunaan otentikasi multi-faktor pada akun, menonaktifkan layanan RDP yang tidak digunakan, memantau log peristiwa yang relevan untuk perubahan konfigurasi yang tidak biasa, serta mencadangkan data penting secara teratur kemudian membuat cadangan tersebut offline sehingga tidak dapat ditargetkan oleh pelaku ancaman.

Selengkapnya : Bleeping Computer

Void Balaur hacker-for-hire menjual email curian dan data pribadi

by

Sebuah kelompok hacker-for-hire bernama Void Balaur telah mencuri email dan informasi yang sangat sensitif selama lebih dari lima tahun, menjualnya kepada pelanggan dengan tujuan keuangan dan spionase.

Dengan lebih dari 3.500 target yang tersebar di hampir semua benua, aktor ancaman yang produktif ini mengiklankan layanannya di forum bawah tanah Rusia.

Peneliti keamanan di Trend Micro yang membuat profil aktivitas Void Balaur mengatakan bahwa model bisnis aktor ini adalah mencuri “data bisnis dan individu yang paling pribadi” dan menjualnya kepada pelanggan yang tertarik.

Target mencakup individu maupun organisasi di berbagai sektor (telekomunikasi, ritel, keuangan, medis, bioteknologi), terutama jika mereka memiliki akses ke data pribadi.

Iklan berbayar dari Void Balaur mulai muncul pada 2018 di forum berbahasa Rusia Darkmoney (carding), Probiv, Tenec (credential curian), dan Dublikat.

Layanan tersebut termasuk akses ke webmail gratis (Gmail, Protonmail, Mail.ru, Yandex, VK), media sosial (Telegram), dan akun email perusahaan.

Pada tahun 2019, layanan grup terdiversifikasi ketika mereka mulai menjual data pribadi sensitif individu Rusia dengan harga mulai antara $21 dan $124.

Layanan baru ini juga menyediakan data dari layanan seluler, seperti nomor telepon, catatan panggilan telepon dan SMS (dengan atau tanpa lokasi menara seluler), pemetaan panggilan, lokasi telepon atau kartu SIM, printout pesan teks.

Dari bukti yang dikumpulkan Trend Micro, jelas bahwa Void Balaur berfokus pada penjualan data pribadi kepada siapa pun yang bersedia membayar uang yang tepat. Ini adalah kelompok tentara bayaran siber yang tidak peduli dengan apa yang dilakukan pelanggannya dengan data yang mereka beli.

Selengkapnya:
Bleeping Computer

Penangkapan Ransomware REvil, Penyitaan $6 juta dan Hadiah $10 juta

by

Departemen Kehakiman AS hari ini mengumumkan penangkapan pria Ukraina yang dituduh menyebarkan ransomware atas nama geng ransomware REvil, sebuah kolektif penjahat dunia maya berbahasa Rusia yang telah memeras ratusan juta dari organisasi korban. DOJ mengatakan telah menyita $6,1 juta dalam cryptocurrency yang dikirim ke afiliasi REvil lainnya, Departemen Luar Negeri AS sekarang menawarkan hingga $10 juta untuk nama atau lokasi setiap pemimpin REvil utama, dan hingga $5 juta untuk informasi tentang REvil afiliasi.

Yaroslav Vasinskyi, warga negara Ukraina berusia 22 tahun yang dituduh sebagai Afiliasi REvil #22. Vasinskyi ditangkap 8 Oktober di Polandia, Jaksa mengatakan Vasinskyi terlibat dalam sejumlah serangan ransomware REvil, termasuk serangan Juli 2021 terhadap Kaseya, sebuah perusahaan yang berbasis di Miami yang produknya membantu administrator sistem mengelola jaringan besar dari jarak jauh.

Vasinskyi menggunakan berbagai nama peretas, termasuk “Profcomserv” nama panggilan di balik layanan online yang membanjiri nomor telepon dengan panggilan sampah dengan biaya tertentu. Jaksa mengatakan Vasinskyi juga menggunakan moniker “Yarik45,” dan “Yaroslav2468.”

Dua nama panggilan terakhir ini sesuai dengan akun di beberapa forum kejahatan dunia maya teratas pada tahun 2013, di mana pengguna bernama “Yaroslav2468” mendaftar menggunakan alamat email yarik45@gmail.com.

Alamat email itu digunakan untuk mendaftarkan akun di Vkontakte (Facebook/Meta versi Rusia) dengan nama profil “Yaroslav ‘jual darah css’ Vasinskyi.” Profil Vkontakte Vasinskyi mengatakan kotanya saat ini pada 3 Oktober adalah Lublin, Polandia. Mungkin mengejek, halaman profil Vasinskyi juga mencantumkan nomor telepon 1-800 FBI sebagai nomor telepon kontaknya. Dia sekarang ditahan di Polandia, menunggu ekstradisi ke Amerika Serikat.

Bukti #2: Yevgeniy Igorevich Polyanin, warga negara Rusia berusia 28 tahun yang diduga sebagai Afiliasi REvil #23. DOJ mengatakan telah menyita $6,1 juta dana yang dapat dilacak ke dugaan pembayaran uang tebusan yang diterima oleh Polyanin, dan bahwa terdakwa telah terlibat dalam serangan ransomware REvil pada beberapa organisasi korban di AS.

The FBI’s wanted poster for Polyanin.

Surat dakwaan Polyanin (PDF) mengatakan dia juga menyukai banyak peretas, termasuk LK4D4, Damnating, Damn2life, Noolleds, dan Antunpitre. Beberapa nama panggilan ini sudah ada lebih dari satu dekade di forum kejahatan dunia maya Rusia, banyak di antaranya telah diretas dan dihapus dari basis data pengguna mereka selama bertahun-tahun.

Di antara mereka adalah carder[.]su, dan database forum itu mengatakan seorang pengguna dengan nama “Damnating” terdaftar di forum pada tahun 2008 menggunakan alamat email damnating@yandex.ru. Benar saja, ada profil Vkontakte yang terkait dengan alamat email itu dengan nama “Yevgeniy ‘sialan’ Polyanin” dari Barnaul, sebuah kota di wilayah Siberia selatan Rusia.

Departemen Luar Negeri AS mengatakan pihaknya menawarkan hadiah hingga $10 juta untuk informasi yang mengarah ke identifikasi atau lokasi setiap individu yang memegang posisi kepemimpinan kunci dalam grup ransomware REvil. Departemen tersebut mengatakan bahwa pihaknya juga menawarkan hadiah hingga $5 juta untuk informasi yang mengarah pada penangkapan dan/atau hukuman di negara mana pun dari individu mana pun yang berkonspirasi untuk berpartisipasi atau mencoba berpartisipasi dalam insiden ransomware REvil.

krebsonsecurity

Penipu mencuri lebih dari $500.000 menggunakan Google Ads untuk dompet kripto palsu

by

Analis keamanan di Check Point Research melaporkan bahwa scammers telah menipu lebih dari $500.000 dalam cryptocurrency hanya dalam beberapa hari selama akhir pekan.

Scammer merancang Google Ads agar terlihat layaknya situs web dompet resmi seperti Phantom App atau MetaMask. Para peneliti bahkan melihat penipuan yang meniru pertukaran crypto seperti Pancake Swap. Karena ini adalah iklan, mereka muncul di atas hasil pencarian yang sebenarnya, jadi mereka adalah hal pertama yang dilihat korban dan sangat meyakinkan dalam penampilan.

Mengklik iklan akan membawa pengguna ke laman web yang dirancang seperti situs web resmi. Pengguna diminta untuk masuk kemudian mereka mencuri kredensial untuk digunakan scammer nanti. Apa yang lebih berbahaya adalah korban disajikan dengan frasa sandi ke akun yang dikontrol penyerang saat membuat dompet baru. Dengan kata lain, titipan langsung masuk ke tangan pelaku tanpa harus berbuat apa-apa.

Sementara hasil pencarian dan halaman web mungkin terlihat cukup asli, URL memberikan penipuan. Misalnya, CPR mengatakan melihat beberapa varian untuk domain phantom.app, termasuk phanton.app, phantonn.app, dan bahkan phantonn.pw. URL jelas salah, tetapi beberapa orang mungkin tidak menyadarinya.

“Dalam hitungan hari, kami menyaksikan pencurian kripto senilai ratusan ribu dolar,” kata Kepala Riset Kerentanan Produk Check Point, Oded Vanunu. “Kami memperkirakan bahwa cyrpto senilai lebih dari $500 ribu telah dicuri akhir pekan lalu saja. Saya yakin kita sedang menghadapi tren kejahatan dunia maya baru, di mana scammer akan menggunakan Google Penelusuran sebagai vektor serangan utama untuk mencapai dompet kripto, alih-alih secara tradisional phishing melalui email.”

Beberapa grup scammer telah mengajukan bid dengan Google Ads untuk kata kunci yang terkait dengan cryptocurrency. Check Point yakin ini menunjukkan bahwa metode tersebut telah terbukti cukup efektif untuk investasi lebih lanjut.

Kuncinya di sini adalah sangat berhati-hati dan waspada ketika berhadapan dengan dompet kripto. Scammers sudah menempatkan iklan palsu untuk lembaga perbankan tradisional seperti Wells Fargo, jadi mengapa tidak untuk crypto.

Lewati Google Ads di hasil pencarian Anda. Gunakan pemblokir iklan seperti AdGuard atau gulir ke bawah ke tempat hasil sebenarnya dimulai. Perhatikan URL-nya, dan pastikan URL tersebut tidak dibuat dengan kesalahan ejaan yang cerdik seperti phantum.app, dan ketahui ekstensi Anda. Domain MetaMask adalah metamask.io. Pergi ke hasil seperti metamask.com kemungkinan akan membawa Anda ke scam.

Selengkapnya : Tech Spot

Usai Tutup: BlackMatter Ransomware Giring Korban ke Lockbit

by

Dengan ditutupnya operasi ransomware BlackMatter, afiliasi yang ada memindahkan korban mereka ke situs ransomware LockBit yang bersaing untuk pemerasan lanjutan.

Pagi ini, tersiar kabar bahwa geng ransomware BlackMatter ditutup setelah anggotanya hilang dan ditekan lebih kuat oleh penegak hukum.

Sebagai bagian dari penutupan ini, operator ransomware mengizinkan afiliasi menerima dekripsi untuk negosiasi yang ada sehingga mereka dapat terus memeras korban.

Sementara infrastruktur BlackMatter masih aktif, BleepingCompuer telah mengetahui bahwa afiliasi memindahkan korban yang ada ke situs negosiasi ransomware LockBit.

Dalam obrolan negosiasi BlackMatter yang ada, afiliasi menyediakan tautan korban ke situs Tor LockBit di mana halaman negosiasi baru telah disiapkan untuk mereka.

Sumber: Bleepingcomputer

Di halaman negosiasi LockBit ini, afiliasi BlackMatter terus bernegosiasi dengan korban untuk menerima pembayaran uang tebusan.

Adapun BlackMatter, mereka melanjutkan penutupan mereka. Agenda hari ini adalah menghapus kehadiran mereka dari forum peretasan berbahasa Rusia.

Peneliti keamanan pancak3lullz telah mengikuti aktivitas pembersihan BlackMatter, menunjukkan bahwa geng tersebut menarik 4 Bitcoin (~$250.000) hari ini dari forum peretasan Exploit dan menonaktifkan akun mereka.

Sumber: pancak3lullz

Mereka juga telah mengedit postingan-postingan sebelumnya dan meminta moderator untuk menghapusnya.

Sumber: pancak3lullz

Dengan REvil dan BlackMatter sekarang ditutup, LockBit telah menjadi salah satu operasi ransomware terbesar dan tersukses yang berjalan saat ini.

Perwakilan LockBit yang dikenal sebagai ‘LockbitSupp’ terbukti sebagai aktor yang cerdas yang terus-menerus menyesuaikan taktik untuk merekrut afiliasi baru, terutama saat operasi yang sudah mapan ditutup.

Sementara BlackMatter kemungkinan akan mengubah citra dan kembali sebagai operasi ransomware baru, kemitraan mereka dengan LockBit dapat merugikan mereka dalam jangka panjang karena mereka kehilangan afiliasi yang berpengalaman.

Sumber: Bleepingcomputer

BlackMatter Ransomware Diduga Tutup karena Desakan Polisi

by

Ransomware BlackMatter diduga menghentikan operasinya karena tekanan dari pihak berwenang dan operasi penegakan hukum baru-baru ini.

BlackMatter mengoperasikan situs web ransomware-as-a-service (RaaS) pribadi yang dapat digunakan afiliasi untuk berkomunikasi dengan operator inti, membuka tiket dukungan, dan menerima ransomware baru.

Hari ini, tim riset keamanan VX-Underground mengirim screenshot pesan yang diduga diposting oleh operator BlackMatter pada 1 November di situs webnya. Postingan ini mengingatkan para afiliasi bahwa operasi ransomware ditutup dalam 48 jam.

Source: VX-Underground

Kasarnya, artinya sebagai berikut:

Karena keadaan tertentu yang tidak dapat diselesaikan terkait dengan tekanan dari pihak berwenang (sebagian dari tim tidak lagi tersedia, setelah berita terbaru) – proyek ditutup.

Setelah 48 jam, seluruh infrastruktur akan dimatikan, sehingga:

  • Kirim surat ke perusahaan untuk informasi lebih lanjut.
  • Kasih decryptor di roomchat perusahaan, jika perlu.

Sukses selalu. Senang bekerja dengan kalian.

Jika postingan ini resmi dan BlackMatter berhenti beroperasi, bukan berarti oknum-oknum berhenti memeras korban yang ada.

Berdasarkan postingan tersebut, situs RaaS mengijinkan afiliasi untuk menerima decryptor untuk korban yang ada sehingga mereka dapat terus memeras korban.

Kemungkinan kembali sebagai ransomeware baru

Namun, kalau pun BlackMatter menghentikan operasinya, kemungkinan kita akan melihat mereka kembali sebagai grup yang berbeda di masa mendatang.

Ketika geng ransomware dapat tekanan dari penegak hukum, biasanya mereka menutup operasi dan balik lagi dengan nama baru.

BlackMatter sebenarnya adalah citra baru dari operasi DarkSide, yang ditutup setelah menyerang Colonial Pipeline dan ditekan penuh dari penegakan hukum internasional.

Operasi ransomware lain yang telah berganti nama di masa lalu meliputi:

  • REvil ke GandCrab
  • Labirin ke Egregor
  • Bitpaymer ke DoppelPaymer ke Duka
  • Nemty ke Nefilim ke Karma

Ini tinggal masalah waktu saja sampai operator BlackMatter rilis kembali dengan nama yang berbeda.

CyberDict

Afiliasi: Metode pemasaran/bisnis di mana seseorang mendapatkan sejumlah komisi karena berhasil menjual produk perusahaan. Dalam konteks RaaS, oknum memakai jasa BlackMatter sebagai sumber malware untuk disebar, lalu mendapatkan komisi dari korban yang menebus decryptor.

Decyrptor: Kunci untuk membuka data yang telah dienkripsi sehingga bisa diakses si pemilik data.

Sumber: Bleepingcomputer, Hostinger