Cyber Crime

Hive ransomware memeras $100 juta dari lebih dari 1.300 korban

November 18, 2022 by Mally

Biro Investigasi Federal (FBI) mengatakan bahwa geng ransomware Hive yang terkenal telah berhasil memeras sekitar $100 juta dari lebih dari seribu perusahaan sejak Juni 2021.

FBI juga mengatakan bahwa geng Hive akan menyebarkan muatan ransomware tambahan pada jaringan korban yang menolak membayar uang tebusan.

“Hive November 2022, aktor ransomware Hive telah menjadi korban lebih dari 1.300 perusahaan di seluruh dunia, menerima sekitar US$100 juta sebagai pembayaran uang tebusan, menurut informasi FBI,” ungkap FBI.

Daftar korban termasuk organisasi dari berbagai industri dan sektor infrastruktur penting seperti fasilitas pemerintah, komunikasi, dan teknologi informasi, dengan fokus pada entitas Kesehatan dan Kesehatan Masyarakat (HPH).

Ini terungkap dalam penasehat bersama yang diterbitkan hari ini dengan Cybersecurity and Infrastructure Security Agency (CISA) dan Departemen Kesehatan dan Layanan Kemanusiaan (HHS).

Penasihat hari ini dikeluarkan untuk membagikan indikator kompromi Hive (IOC) dan taktik, teknik, dan prosedur (TTP) yang ditemukan oleh FBI saat menyelidiki serangan ransomware Hive.

Meskipun pengiriman ke platform ID Ransomware tidak menyertakan semua serangan ransomware Hive, para korban telah mengirimkan lebih dari 850 sampel sejak awal tahun, banyak di antaranya didorong menyusul lonjakan besar aktivitas antara akhir Maret dan pertengahan April.

Sementara tiga agen federal di belakang penasehat tidak mendorong pembayaran uang tebusan karena kemungkinan besar akan mendorong pelaku ancaman lain untuk bergabung dengan serangan ransomware, para korban didesak untuk melaporkan serangan Hive ke kantor lapangan FBI lokal mereka atau ke CISA di report@cisa. gov terlepas dari apakah mereka membayar uang tebusan atau tidak.

Ini akan membantu penegak hukum mengumpulkan informasi penting yang diperlukan untuk melacak aktivitas operasi ransomware, mencegah serangan tambahan, atau meminta pertanggungjawaban penyerang atas tindakan mereka.

FBI juga merilis indikator tambahan kompromi dan detail teknis yang terkait dengan serangan ransomware Hive pada Agustus 2021.

Hive adalah operasi Ransomware-as-a-Service (RaaS) yang aktif setidaknya sejak Juni 2021, dengan beberapa anggotanya diketahui telah bekerja untuk Hive dan geng kejahatan dunia maya Conti secara bersamaan setidaknya selama enam bulan, mulai November 2021.

Sumber: Bleeping Computer

Peretas yang Didukung Negara China Melanggar Otoritas Sertifikat Digital

November 16, 2022 by Mally

Aktor yang disponsori negara China melanggar otoritas sertifikat digital serta lembaga pemerintah dan pertahanan yang berlokasi di berbagai negara di Asia sebagai bagian dari kampanye yang sedang berlangsung setidaknya sejak Maret 2022.

Symantec, oleh Broadcom Software, mengaitkan serangan tersebut dengan kelompok yang dilacaknya dengan nama Billbug, berdasarkan alat dalam kampanye ini yang sebelumnya diatribusikan ke grup ini.

Billbug, juga disebut Bronze Elgin, Lotus Blossom, Lotus Panda, Spring Dragon, dan Thrip, adalah grup ancaman persisten (APT) tingkat lanjut yang diyakini beroperasi atas nama kepentingan Tiongkok. Target utama termasuk organisasi pemerintah dan militer di Asia Tenggara.

Dalam serangan yang dilakukan pada tahun 2019, grup tersebut menggunakan pintu belakang seperti Hannotog dan Sagerunex, dengan intrusi diamati di Hong Kong, Makau, Indonesia, Malaysia, Filipina, dan Vietnam.

Kedua implan tersebut dirancang untuk memberikan akses jarak jauh yang persisten ke jaringan korban, bahkan ketika aktor ancaman diketahui menyebarkan pencuri informasi yang dikenal sebagai Catchamas dalam kasus tertentu untuk mengekstraksi informasi sensitif.

“Penargetan otoritas sertifikat sangat penting, seolah-olah penyerang berhasil mengkompromikannya untuk mengakses sertifikat, mereka berpotensi menggunakannya untuk menandatangani malware dengan sertifikat yang valid, dan membantunya menghindari deteksi pada mesin korban,” kata peneliti Symantec.

Symantec mencatat bahwa tidak ada bukti yang menunjukkan bahwa Billbug berhasil mengkompromikan sertifikat digital.

Analisis dari gelombang serangan terbaru menunjukkan bahwa akses awal kemungkinan diperoleh melalui eksploitasi aplikasi yang terhubung ke internet, setelah itu kombinasi alat yang dipesan lebih dahulu dan alat hidup dari tanah digunakan untuk memenuhi tujuan operasionalnya.

Ini terdiri dari utilitas seperti WinRAR, Ping, Traceroute, NBTscan, Certutil, selain backdoor yang mampu mengunduh file sewenang-wenang, mengumpulkan informasi sistem, dan mengunggah data terenkripsi.

Dalam serangan tersebut juga terdeteksi alat proksi multi-hop open source yang disebut Stowaway dan malware Sagerunex, yang dijatuhkan di mesin melalui Hannotog. Backdoor, dilengkapi untuk menjalankan perintah sewenang-wenang, menjatuhkan muatan tambahan, dan menyedot file yang menarik.

Sumber: The Hackernews

Peretas Worok Menyembunyikan Malware Baru di PNG Menggunakan Steganografi

November 11, 2022 by Mally

Kelompok ancaman yang dilacak sebagai ‘Worok’ menyembunyikan malware di dalam gambar PNG untuk menginfeksi mesin korban dengan malware pencuri informasi tanpa membunyikan alarm.

ESET memperingatkan bahwa Worok menargetkan korban terkenal, termasuk kesatuan pemerintah di Timur Tengah, Asia Tenggara, dan Afrika Selatan, tetapi transparasi mereka ke dalam rantai serangan kelompok itu terbatas.

mengkonfirmasi asumsi ESET tentang sifat file PNG dan menambahkan informasi baru tentang jenis muatan malware dan metode eksfiltrasi data.

Menyembunyikan Malware di File PNG
Peneliti Avast menemukan empat DLL yang berisi kode CLRLoader.

CLRLoader memuat DLL tahap kedua (PNGLoader), yang mengekstrak byte yang disematkan dalam file PNG dan menggunakannya untuk merakit dua executable.

Menyembunyikan muatan dalam PNG

Muatan pertama yang diekstraksi dari bit tersebut oleh PNGLoader adalah skrip PowerShell yang tidak dapat diambil oleh ESET maupun Avast.

Muatan kedua yang bersembunyi di file PNG adalah pencuri info .NET C# khusus (DropBoxControl) yang menyalahgunakan layanan hosting file DropBox untuk komunikasi C2, eksfiltrasi file, dan banyak lagi.

Penyalahgunaan DropBox

Malware ‘DropBoxControl’ menggunakan akun DropBox yang dikendalikan aktor untuk menerima data dan perintah atau mengunggah file dari mesin yang disusupi.

Perintah disimpan dalam file terenkripsi di DropBox aktor ancaman

Bentuk file DropBox, TaskType adalah perintah

Perintah yang didukung adalah sebagai berikut:

Jalankan “cmd /c” dengan parameter yang diberikan
Luncurkan yang dapat dieksekusi dengan parameter yang diberikan
Unduh data dari DropBox ke perangkat
Unggah data dari perangkat ke DropBox
Hapus data di sistem korban
Ganti nama data pada sistem korbaN
Exfiltrate info file dari direktori yang ditentukan
Tetapkan direktori baru untuk pintu belakang
Exfiltrat informasi sistem
Perbarui konfigurasi pintu belakang

Fungsi-fungsi ini menunjukkan bahwa Worok adalah kelompok spionase siber yang tertarik dengan eksfiltrasi data sembunyi-sembunyi, gerakan lateral, dan mata-mata pada perangkat yang terinfeksi.

sumber : bleeping computer

Operator ransomware LockBit Rusia ditangkap di Canada

November 11, 2022 by Mally

Europol hari ini mengumumkan penangkapan seorang warga negara Rusia yang terkait dengan serangan ransomware LockBit yang menargetkan organisasi infrastruktur penting dan perusahaan terkenal di seluruh dunia.

Tersangka ditangkap di Ontario, Kanada, bulan lalu menyusul penyelidikan yang dipimpin oleh Gendarmerie Nasional Prancis dengan bantuan European Cybercrime Center (EC3) Europol, FBI, dan Canadian Royal Canadian Mounted Police (RCMP).

Penegak hukum juga menyita delapan komputer dan 32 hard drive eksternal, dua senjata api, dan cryptocurrency senilai €400.000 dari rumah tersangka.

Europol menambahkan bahwa operator LockBit ini “adalah salah satu target bernilai tinggi Europol karena keterlibatannya dalam banyak kasus ransomware tingkat tinggi,” dan ia dikenal karena mencoba memeras korban dengan tuntutan tebusan antara €5 hingga €70 juta.

Sementara Europol menggambarkan tersangka sebagai ‘operator’ ransomware LockBit, ia kemungkinan adalah afiliasi daripada manajer operasi kejahatan dunia maya.

Selanjutnya, perwakilan LockBit yang dikenal publik yang dikenal sebagai ‘LockBitSupp’ memposting di forum peretas baru-baru ini kemarin.

Departemen Kehakiman AS (DOJ) mengatakan dalam siaran pers yang diterbitkan hari ini bahwa nama tersangka berusia 33 tahun adalah Mikhail Vasiliev, warga negara ganda Rusia dan Kanada dari Bradford, Ontario, Kanada.

Menurut pengaduan pidana, dalam penggeledahan di rumahnya pada Agustus 2022, penegak hukum Kanada juga menemukan tangkapan layar pertukaran Tox dengan ‘LockBitSupp,’ instruksi tentang cara menyebarkan loker LockBit Linux/ESXi dan kode sumber malware, serta ” foto-foto layar komputer yang menunjukkan nama pengguna dan kata sandi untuk berbagai platform milik karyawan korban LockBit di Kanada, yang menderita serangan LockBit yang dikonfirmasi pada atau sekitar Januari 2022.”

Vasiliev didakwa dengan konspirasi untuk mengirimkan permintaan tebusan dan dengan sengaja merusak komputer yang dilindungi. Dia menghadapi hukuman maksimal lima tahun penjara jika terbukti bersalah.

Penangkapan ini mengikuti tindakan serupa di Ukraina pada Oktober 2021 ketika operasi penegakan hukum internasional gabungan yang melibatkan FBI, polisi Prancis, dan Polisi Nasional Ukraina menyebabkan penangkapan dua kaki tangannya.

Kedua tersangka ditangkap di Kyiv, Ukraina, dengan salah satu dari mereka digambarkan sebagai “peretas” pria berusia 25 tahun.

Tahun lalu, polisi Ukraina juga menangkap tersangka lain yang diyakini sebagai anggota operasi ransomware Clop and Egregor.

Europol juga mengumumkan pada Oktober 2021 bahwa lembaga penegak hukum menangkap 12 tersangka di Ukraina dan Swiss yang diyakini terkait dengan serangan ransomware LockerGoga, MegaCortex, dan Dharma yang memengaruhi lebih dari 1.800 korban di 71 negara.

Sumber: Bleeping Computer

Peretas OPERA1ER Mencuri Lebih dari $11 Juta dari Bank dan Perusahaan Telekomunikasi

November 4, 2022 by Mally

Sebuah kelompok ancaman yang peneliti sebut OPERA1ER telah mencuri setidaknya $ 11 juta dari bank dan penyedia layanan telekomunikasi di Afrika menggunakan alat peretasan yang tersedia.

Antara 2018 dan 2022, para peretas meluncurkan lebih dari 35 serangan yang berhasil,

Kelompok peretas ini terdiri dari anggota berbahasa Prancis yang diyakini beroperasi dari Afrika. Selain menargetkan perusahaan di Afrika, geng itu juga menyerang organisasi di Argentina, Paraguay, dan Bangladesh.

OPERA1ER bergantung pada alat sumber terbuka, malware komoditas, dan kerangka kerja seperti Metasploit dan Cobalt Strike untuk mengkompromikan server perusahaan.

Mereka mendapatkan akses awal melalui email spear-phishing yang memanfaatkan topik populer seperti faktur atau pemberitahuan pengiriman pos.

OPERA1ER dapat menghabiskan antara tiga hingga dua belas bulan di dalam jaringan yang disusupi, dan terkadang mereka menyerang perusahaan yang sama dua kali.

peretas menargetkan akun operator yang mengendalikan sejumlah besar uang dan menggunakan kredensial curian untuk mentransfer dana ke akun Pengguna Saluran, yang akhirnya memindahkannya ke akun pelanggan di bawah kendali mereka.

OPERA1ER’s cashing out procedure (Group-IB)

Biasanya, acara pencairan uang terjadi pada hari libur atau selama akhir pekan untuk meminimalkan kemungkinan organisasi yang dikompromikan merespons situasi tepat waktu.

sumber : bleeping computer

Bank U.S. Memproses sekitar 18,7 Miliar Rupiah dalam Pembayaran Ransomware pada 2021, menururt laporan federal

November 2, 2022 by Mally

Bank dan lembaga keuangan AS memproses sekitar $1,2 miliar kemungkinan pembayaran ransomware pada tahun 2021, rekor baru dan hampir tiga kali lipat jumlah tahun sebelumnya.

Lebih dari setengah serangan ransomware dikaitkan dengan tersangka peretas siber Rusia, menurut laporan baru yang dirilis Selasa dari Jaringan Penegakan Kejahatan Keuangan Departemen Keuangan, atau FinCEN, yang menganalisis data.

CEO Perusahaan Joseph Blount Jr. membayar penjahat siber yang berbasis di Rusia sebesar $5 juta. Departemen Kehakiman kemudian memulihkan sekitar setengah dari uang tebusan

36 pemimpin negara dan EU bertemu pada selasa di Washington. untuk membahas penanggulangan yang efektif terhadap ancaman ransomware. Serangan Ransomware adalah jenis serangan siber di mana peretas memasang perangkat lunak berbahaya di komputer atau server yang mengancam akan merilis data atau memblokir akses ke sana hingga uang tebusan dibayarkan.

FinCEN mengatakan terdapat 1.489 insiden ransomware yang menelan biaya hampir $1,2 miliar tahun lalu, peningkatan substansial dari $416 juta dalam kerusakan yang tercatat pada tahun 2020, menurut laporan tersebut.

Analisis FinCEN mencakup tahun 2021, dengan fokus pada paruh kedua tahun ini. Badan tersebut mengatakan empat dari lima serangan ransomware teratas yang dilaporkan selama periode ini terkait dengan Rusia. Sekitar 75% insiden terkait ransomware juga terkait dengan negara.

Bulan Maret, Biden menandatangani tindakan yang mengharuskan beberapa bisnis untuk melaporkan insiden siber tertentu dan pembayaran ransomware ke Badan Keamanan, Infrastruktur, dan Keamanan Siber. CISA juga meluncurkan kampanye untuk mengurangi risiko ransomware pada Januari 2021.

sumber : cnbc

Afiliasi ransomware Netwalker dijatuhi hukuman 20 tahun penjara

October 7, 2022 by Mally

Mantan afiliasi Netwalker ransomware Sebastien Vachon-Desjardins telah dijatuhi hukuman 20 tahun penjara dan dituntut untuk kehilangan $ 21,5 juta untuk serangannya terhadap perusahaan Tampa dan entitas lainnya.

Vachon-Desjardins, seorang pria Kanada 34 yang diekstradisi dari Quebec dijatuhi hukuman di pengadilan Florida setelah mengaku bersalah atas ‘Konspirasi untuk melakukan Penipuan Komputer’, ‘Konspirasi untuk Melakukan Penipuan Kawat’, ‘Kerusakan yang Disengaja pada Komputer yang Dilindungi,’ dan ‘Mentransmisikan Permintaan Terkait dengan Merusak Komputer yang Dilindungi.’

Selain hukuman tersebut, Vachon-Desjardins juga diharuskan menjalani tiga tahun pembebasan yang diawasi setelah dia keluar dari penjara. Selama jangka waktu ini, Vachon-Desjardins tidak akan diizinkan untuk memiliki pekerjaan di bidang teknologi informasi atau menggunakan komputer yang dapat terhubung ke Internet, termasuk smartphone, perangkat game, atau perangkat elektronik lainnya.

Hakim memerintahkan penyitaan terhadap terdakwa sebesar $ 21,5 juta, di mana 27,65 Bitcoin, yang sudah dipegang oleh penegak hukum, akan dikreditkan ke jumlah tersebut.

Pada 27 Januari 2021, ketika DOJ AS mendakwa Desjardins, operasi penegakan hukum internasional menyita situs web Netwalker, termasuk situs pembayaran Tor dan kebocoran data mereka.

Netwalker adalah operasi Ransomware-as-a-Service (RaaS) yang diluncurkan pada 2019, merekrut afiliasi untuk menyebarkan ransomware dengan imbalan 60-75% bagian dari semua pembayaran tebusan.

Vachon-Desjardins beroperasi sebagai afiliasi untuk operasi ransomware, di mana diyakini dia melakukan serangan terhadap perusahaan di seluruh dunia, termasuk perusahaan AS dan setidaknya 17 entitas Kanada.

Selama serangan ini, operasi ransomware akan mencuri data dari sistem perusahaan dan pada akhirnya mengenkripsi perangkat. Untuk memulihkan file dan mencegah rilis data, pelaku ancaman memeras para korban untuk membayar permintaan tebusan mulai dari ratusan ribu hingga jutaan dolar.

Mantan situs kebocoran data ransomware Netwalker
Sumber: BleepingComputer

Vachon-Desjardins sebelumnya ditangkap di Gatineau, Quebec, pada 27 Januari 2021, ketika penegak hukum menyita 719 Bitcoin dan $790.000 dalam mata uang Kanada saat menggeledah rumahnya. Dia kemudian dijatuhi hukuman 6 tahun delapan bulan penjara setelah mengaku bersalah di depan hakim Ontario. Vachon-Desjardins diekstradisi ke Amerika Serikat pada Maret 2022.

Peretas berbahasa Rusia membuat situs web pemerintah negara bagian AS offline

October 6, 2022 by Mally

Peretas berbahasa Rusia pada hari Rabu mengklaim bertanggung jawab untuk membobol situs web pemerintah negara bagian di Colorado, Kentucky dan Mississippi, di antara negara-negara lain.

Situs web Dewan Pemilihan Kentucky, yang memposting informasi tentang cara mendaftar untuk memilih, juga offline sementara pada hari Rabu. Situs web dewan pemilihan juga dikelola oleh pemerintah Kentucky, meskipun para peretas tidak secara khusus mencantumkan dewan tersebut sebagai target.

Situs web di Colorado, Kentucky, dan Mississippi tersedia secara sporadis pada Rabu pagi dan sore karena para administrator tampaknya mencoba menghadirkannya secara online.

Kelompok peretasan China yang menargetkan agensi dan perusahaan AS telah meningkatkan aktivitasnya, analisis menemukan
Ini adalah contoh jenis gangguan atau gangguan digital yang sedang dipersiapkan oleh pejabat AS dan pejabat pemilu menjelang pemilihan paruh waktu November.

Situs web seperti Kentucky Board of Elections tidak secara langsung terlibat dalam pemberian atau penghitungan suara, tetapi mereka dapat memberikan informasi yang berguna bagi pemilih.

Kelompok peretas yang mengklaim bertanggung jawab atas penghentian situs web hari Rabu dikenal sebagai Killnet dan meningkatkan aktivitas mereka setelah invasi Rusia ke Ukraina pada Februari untuk menargetkan organisasi di negara-negara NATO. Mereka adalah kelompok lepas dari apa yang disebut “peretas” peretas bermotivasi politik yang mendukung Kremlin tetapi hubungannya dengan pemerintah itu tidak diketahui.

Kelompok itu juga mengaku bertanggung jawab karena secara singkat membobol situs web Kongres AS pada Juli, dan atas serangan siber terhadap organisasi di Lithuania setelah negara Baltik itu memblokir pengiriman beberapa barang ke daerah kantong Rusia Kaliningrad pada Juni.

Beberapa negara bagian telah mengkonfirmasi masalah koneksi intermiten ke situs web mereka menyusul dugaan serangan siber, menurut pemberitahuan dari EI-ISAC, yang bekerja sama dengan pemerintah federal untuk keamanan pemilu.

Pada Rabu sore, situs web Mississippi dan Kentucky, termasuk Dewan Pemilihan Kentucky, kembali online. Situs web negara bagian Colorado masih kesulitan memuat.

Kantor Teknologi Informasi Gubernur Colorado mengatakan portal web negara bagian itu offline “karena serangan siber yang diklaim oleh tersangka aktor asing anonim.”

Pejabat di FBI dan CISA mengulangi minggu ini bahwa setiap upaya peretas untuk melanggar infrastruktur pemilihan “tidak mungkin mengakibatkan gangguan skala besar atau mencegah pemungutan suara.”

Para pemilih di Quincy, Massachusetts, memberikan suara utama mereka di Fore River Clubhouse pada Selasa, 6 September.

Kelompok peretas mendaftarkan situs web negara bagian AS yang digunakan pemerintah negara bagian untuk mempromosikan pariwisata dan menawarkan layanan penduduk – sebagai salah satu daftar target mereka untuk serangan siber pada aplikasi media sosial Telegram di bawah gambar yang bertuliskan “F – NATO.” Mereka biasanya melakukan peretasan kasar yang membuat situs web offline sementara tetapi tidak merusak infrastruktur lebih lanjut.

Killnet berkembang pesat karena perhatian dan keberanian publik, dan pakar keamanan siber harus menyeimbangkan antara memperhatikan kejenakaan online Killnet dan tidak menghipnotis ancaman tingkat rendah.

Sumber: CNN

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Crime

Cookies Settings