Cyber Crime

Penyedia Jasa Cloud Yang Sukses Menghentikan Serangan Ransomware, Tetap Harus Membayar Tebusan

July 18, 2020 by Winnie the Pooh

Blackbaud, penyedia solusi perangkat lunak dan cloud hosting, mengatakan telah menghentikan serangan ransomware dari mengenkripsi file mereka pada awal tahun ini, namun tetap membayar permintaan tebusan setelah peretas mencuri data pelanggan dan mengancam akan mempublikasikannya secara online.

Mei 2020, Blackbaud, Perusahaan penyedia jasa cloud hosting mengatakan para peretaas merusak jaringan dan berusaha menginstal ransomware untuk mengunic pelanggan dari data dan server mereka.

Blackbaud berkata, Setelah serangan terjadi, tim Keamanan Cyber mereka dengan dibantu oleh Penegakl hukum dan tim Forensik berhasil mencegah peretas memblokir serta mengekripsi seluruh file. usaha mereka juga sukses mengusir para peretas dari sistem perusahaan.

Namun para peretas berhasil mencuri sebagian internal dimana para pelanggan mereka menyimpan data dan file lainnya. Para peretas bahkan mengancam akan merilis data yang dicuri kecuali pihak Blackbaud membayar permintaaan tebusan (ransom), walaupun serangan diawal sudah berhasil dihentikan.

Untuk menjaga nama dan melindungi pelanggan mereka, pada akhirnya Blackbaud tetap membayarkan sejumlah uang kepada peretas dengan jaminan bahwa salinan data pelanggan mereka dihapus.

“Berdasarkan hasil insiden, penelitian, dan investigasi pihak ketiga (termasuk penegakan hukum), kami tidak memiliki alasan untuk percaya bahwa data apa pun yang akibat kejahatan cyber, telah atau akan disalahgunakan, atau akan disebarluaskan secara publik, “tambah Blackbaud.

Penyedia cloud, yang terutama bekerja dengan nirlaba, yayasan, pendidikan, dan perawatan kesehatan, mengatakan insiden itu hanya memengaruhi data hanya sebagian kecil dari pelanggannya, mereka juga telah memberi notifikasi pada pelanggan.

Source : ZDnet

KrebsOnSecurity: Siapa Di Balik Peretasan Epic Twitter Hari Rabu Kemarin?

July 17, 2020 by Winnie the Pooh

Pada hari Rabu (15/07), terjadi peretasan masal pada akun Twitter bercentang biru (high level profile).

Dimulai dari akun Twitter untuk pertukaran cryptocurrency Binance men-tweet pesan yang mengatakan mereka telah bermitra dengan “CryptoForHealth” untuk memberikan kembali 5.000 bitcoin kepada komunitas, dengan tautan di mana orang dapat menyumbang atau mengirim uang. Lalu beberapa menit setelah itu beberapa tokoh penting seperti Joe Biden, CEO Amazon Jeff Bezos, Presiden Barack Obama, CEO Tesla Elon Musk, mantan Walikota New York Michael Bloomberg dan Warren Buffett juga mengirim tweet yang sama.

Walaupun mungkin terdengar konyol bahwa siapa pun dapat tertipu dan mengirim bitcoin sebagai tanggapan terhadap tweet tersebut, analisis dompet BTC yang dipromosikan oleh banyak profil Twitter yang diretas menunjukkan bahwa pada 15 Juli akun tersebut memproses 383 transaksi dan menerima hampir 13 bitcoin pada Juli 15 – atau sekitar USD $ 117.000.

Dilansir dari KrebsOnSecurity, ada indikasi kuat bahwa serangan ini dilakukan oleh individu yang secara tradisional mengkhususkan diri dalam pembajakan akun media sosial melalui “pertukaran SIM,” bentuk kejahatan yang semakin merajalela yang melibatkan menyuap, meretas atau memaksa karyawan di telepon seluler dan perusahaan media sosial untuk menyediakan akses ke akun target.

Orang-orang dalam komunitas pertukaran SIM terobsesi dengan pembajakan yang disebut akun media sosial “OG”. Singkatan dari “gangster asli,” akun OG biasanya adalah mereka yang memiliki nama akun pendek (seperti @B atau @joe).

We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools.

— Twitter Support (@TwitterSupport) July 16, 2020

Twitter mengeluarkan statement bahwa insiden itu disebabkan oleh serangan social-engineering yang berakibat pada pengaksesan sistem internal oleh pihak yang tidak mempunyai hak.

Insiden ini dikemas dengan rinci oleh “Lucky225”, ia mengalami sendiri peristiwa pengambil alihan akun yang diduga disebabkan oleh serangan “SIM Swapping”, pada artikel Medium nya, ia bercerita pada Kamis pukul 2 PM EST , ia mendapatkan konfirmasi password reset melalui Google Voice pada akun twitter @6, padahal sebelumnya ia telah mematikan SMS notifikasi pada akun tersebut.

Namun karena attacker dapat mengganti alamat email pada akun @6 dan mematikan fitur 2 FA, maka email reset password tersebut terkirim ke Google Voice dan Alamat email yang telah diganti oleh attacker.

Pada akun Twitter yang lain, @shinji memposting screenshot yang dicurigai adalah panel akun internal Twitter dengan caption “Follow @6, yang telah di ambil alih sebelumnya”

KrebsOnSecurity mendapatkan informasi bahwa akun Twitter @shinji dikatikan dengan pelaku kriminal “SIM Swapper” yang telah eksis selama beberapa tahun terakhir.

shinji juga diketahui adalah seorang mahasiswa berumur 21 tahun yang tinggal di Liverpool, U.K bernama Joseph James Connor , hal ini diketahui setelah informan mengirimkan investigator wanita untuk merayu shinji berkomunikasi via Video Call.

Dari hasil Video Call tersebut menunjukan adanya kesamaan kolam renang pada saat sesi video call dengan postingan sosisal media shinji yang lain.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source : KrebsOnSecurity

APT34 (AKA OILRIG, AKA HELIX KITTEN) Menyerang Entitas Pemerintah Lebanon Dengan Implan MAILDROPPER

March 5, 2020 by Winnie the Pooh

Telsy TRT [Threat Recon Team], tim peneliti dari perusahaan keamanan siber yang berbasis di Italia, telah membahas tentang APT34 (aka OilRig) pada postingan blog terbarunya. Mereka menjelaskan bagaimana grup peretas itu menyerang entitas pemerintah lebanon dengan menggunakan implan MailDropper.

“Pada kasus ini, kelompok APT34 mungkin mengkompromikan akun Microsoft Exchange dari entitas sensitif yang berhubungan dengan pemerintah Lebanon, dan menggunakan mail server sebagai perintah dan kendali implan,” ungkap tim peneliti Telsy.

Sejak 2014, tahun di mana FireEye menemukan kelompok peretas ini, APT34 dikenal sebagai grup yang melakukan operasi dunia maya terutama di Timur Tengah yang sebagian besar targetnya ada pada sektor keuangan, pemerintahan, energi, kimia, dan telekomunikasi. Seiring waktu, banyak keluarga malware juga telah dikaitkan dengan grup ini termasuk ISMAgent, ISMDoor, ISMInjector, TwoFace dan, yang paling terbaru ini MailDropper.

Blog selengkapnya dapat diakses melalui tautan di bawah ini;

Source: Telsy Blog

FBI diperingatkan atas Surga nya para Penipu: Lebih dari 130.000 router Asus diretas dan dijual dengan harga murah

March 3, 2020 by Winnie the Pooh

FBI telah diberi tahu tentang operasi cybercriminal baru di mana seorang hacker berhasil tidak hanya melanggar sebanyak 130.000 router Asus, tetapi juga menilai mereka seberapa berguna nya mereka untuk para penipu.

Peretas ini menjual akses ke masing-masing perangkat Asus — sebagian besar berada di AS — hanya dengan beberapa dolar, sehingga penipu dapat menjalankan lalu lintas mereka melalui router tersebut. Peretas tersebut juga diduga “memperkaya” penawarannya dengan database terpisah, yang berisi informasi pribadi 500.000 orang Amerika, yang lainnya penuh dengan rincian kartu kredit curian, menurut peneliti keamanan yang memberi tahu Forbes mengenai tip-off yang mereka berikan kepada FBI.

Data dijual di situs web avatools[.]Ru, yang mulai beroperasi dengan sungguh-sungguh pada Agustus tahun lalu dan saat ini memiliki sekitar 100 pengguna aktif, kata Dina Haines dan Cory Kujawski, yang mengungkap operasi gelap tersebut.

Baca berita selengkapnya pada tautan di bawah ini;

Source: Forbes

Pembaruan Chrome 80 melumpuhkan pasar cybercrime teratas

February 27, 2020 by Winnie the Pooh

Perubahan kecil pada browser Google Chrome versi 80 memiliki efek yang sangat efektif pada salah satu pasar cybercrime top saat ini.

Perusahaan Intelijen ancaman, KELA, mengatakan kepada ZDNet bahwa Genesis Store saat ini sedang melalui masa sulit, terlihat penurunan 35% dalam jumlah curian kredensial yang dijual di situs mereka.

Diluncurkan pada November 2018, Genesis Store menjual kredensial browser curian. Mereka menjual “Sidik jari”, yaitu gambar virtual dari identitas pengguna di situs web online termasuk username, password, IP address yang pernah digunakan, cookie browser dan detail teknikal OS lainnya.

Product Manager di KELA, Raveed Laeb, mengatakan bahwa AZORult (info-stealing malware) adalah titik kelemahan utama pada Genesis. Mereka menggunakan malware tersebut untuk mendapatkan sebagian besar data curian yang selama ini mereka jual.

Ketika Google Chrome merilis pembaruan versi 80 pada awal Februari kemarin, Google beralih menggunakan algoritma AES-256 untuk hash kata sandi yang disimpan secara lokal di dalam basis data SQLite internal Chrome. Itu mengakibatkan kata sandi yang disimpan Chrome memiliki format berbeda dari sebelumnya dan membuat AZORult yang sudah tidak mendapatkan update sejak akhir tahun 2018 tidak dapat mengambil kredensial dari Chrome 80.

Jika Anda belum memperbarui versi Google Chrome Anda ke versi 80, lakukan update sesegera mungkin.

Source: ZDNet

Operator gas alam AS tidak beroperasi selama 2 hari setelah terinfeksi oleh ransomware

February 20, 2020 by Winnie the Pooh

Departemen Keamanan Dalam Negeri mengatakan pada hari Selasa bahwa sebuah fasilitas gas alam yang berbasis di AS menutup operasi selama dua hari setelah mengalami infeksi ransomware yang menghalangi karyawannya menerima data operasional real-time yang penting dari peralatan kontrol dan komunikasi.

Serangan dimulai dengan tautan jahat dalam email phishing yang memungkinkan penyerang untuk mendapatkan akses awal ke jaringan teknologi informasi (TI) organisasi sebelum berputar ke jaringan operasionalnya (OT).

Jaringan OT berbeda dari jaringan TI. Ini adalah jaringan dengan workstation untuk mengelola peralatan pabrik yang kritis dan operasi pabrik lainnya. Jaringan TI biasanya didedikasikan untuk pekerjaan kantor dan administrasi lainnya.

CISA mengatakan bahwa setelah mendapatkan akses ke jaringan OT, penyerang kemudian menggunakan ransomware komoditas yang mengenkripsi data perusahaan pada jaringan TI dan OT pada saat yang bersamaan, untuk kerusakan maksimum, sebelum meminta pembayaran tebusan. Pada laporan yang diterbitkan pada hari Selasa, tidak disebutkan nama/jenis ransomware tersebut.

Klik pada tautan di bawah ini untuk membaca berita lebih lanjut:

Source: Ars Technica | ZDNet | Advisory

Laporan FBI mengungkapkan bahwa kejahatan dunia maya tidak menunjukkan tanda-tanda pelambatan

February 14, 2020 by Winnie the Pooh

Biro Investigasi Federal (FBI) telah merilis Internet Crime Complaint Center (IC3) “2019 Internet Crime Report.” Sepanjang 2019, jumlah pengaduan kejahatan dunia maya dari individu dan organisasi bisnis mencapai 467.361. Total biaya kejahatan yang dilaporkan itu bahkan lebih dari $ 3,5 miliar (£ 2,7 miliar).

IC3 adalah sumber daya FBI yang menyediakan mekanisme pelaporan untuk dugaan aktivitas cybercrime dan dibuat pada tahun 2000. IC3 telah menerima total 4.883.231 keluhan ketika laporan 2019 ditulis. 2019 adalah tahun dimana kejahatan cyber paling banyak dilaporkan hingga saat ini, rata-rata hampir 1.300 insiden setiap hari, dan kerugian terbesar yang ditimbulkan oleh para korban terjadi pada tahun 2019 juga.

Klik link dibawah ini untuk membaca berita selengkapnya!

Source: Forbes

3 Orang Pertama Anggota Magecart Tertangkap di Indonesia

January 28, 2020 by Winnie the Pooh

Interpol dan polisi Indonesia telah menangkap tiga orang dengan tuduhan menjadi bagian dari kelompok cybercrime yang terlibat dalam serangan Magecart. Telah ditahan pada 20 Desember namun baru diumumkan minggu lalu pada sebuah konferensi pers dan menjadi tahanan pertama dari kelompok Magecart.

Magecart, yang juga terkenal dengan web-skimming atau e-skimming, adalah suatu bentuk kejahatan dunia maya dimana grup peretas menanamkan kode Javascript berbahaya pada toko online yang dimaksudkan untuk mencuri data kartu pembayaran saat pengguna memasukkan data kartu pada form pembayaran.

Tiga tersangka tersebut adalah ANF (27 th), K (35 th) dan N (23 th) dan mereka berasal dari Jakarta dan Yogyakarta.

Menurut Sanguine Security, grup ini aktif sejak 2017, dan kodenya ditemukan di 571 situs web, 17 diantaranya masih terinfeksi hingga hari ini, setelah pemilik toko gagal membersihkan situs mereka.

Klik link dibawah ini untuk membaca berita selengkapnya!

Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Crime

Cookies Settings