Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Kode JavaScript berbahaya terlihat di situs yang disusupi (Avast)

by

Sistem arah lalu lintas baru (TDS) yang disebut Parrot mengandalkan server yang menampung 16.500 situs web universitas, pemerintah daerah, platform konten dewasa, dan blog pribadi.

Penggunaan Parrot adalah untuk kampanye jahat untuk mengarahkan calon korban yang cocok dengan profil tertentu (lokasi, bahasa, sistem operasi, browser) ke sumber daya online seperti situs phishing dan menjatuhkan malware.

Pelaku ancaman yang menjalankan kampanye jahat membeli layanan TDS untuk memfilter lalu lintas masuk dan mengirimkannya ke tujuan akhir yang menyajikan konten berbahaya.

Parrot TDS ditemukan oleh analis ancaman di Avast, yang melaporkan bahwa saat ini digunakan untuk kampanye yang disebut FakeUpdate, yang mengirimkan trojan akses jarak jauh (RAT) melalui pemberitahuan pembaruan browser palsu.

Situs yang menampilkan peringatan pembaruan browser palsu (Avast)

Kampanye tampaknya telah dimulai pada Februari 2022 tetapi tanda-tanda aktivitas Parrot telah dilacak hingga Oktober 2021.

Kode JavaScript berbahaya terlihat di situs yang disusupi (Avast)

Pelaku ancaman telah menanam web shell berbahaya di server yang disusupi dan menyalinnya ke berbagai lokasi dengan nama serupa yang mengikuti pola “parroting”.

Selain itu, musuh menggunakan skrip backdoor PHP yang mengekstrak informasi klien dan meneruskan permintaan ke server perintah dan kontrol (C2) Parrot TDS.

Dalam beberapa kasus, operator menggunakan pintasan tanpa skrip PHP, mengirimkan permintaan langsung ke infrastruktur Parrot.

Penerusan langsung dan proksi Parrot (Avast)

Avast mengatakan bahwa pada Maret 2022 saja layanannya melindungi lebih dari 600.000 kliennya dari mengunjungi situs yang terinfeksi ini, yang menunjukkan skala besar gerbang pengalihan Parrot.

Sebagian besar pengguna yang ditargetkan oleh pengalihan berbahaya ini berada di Brasil, India, Amerika Serikat, Singapura, dan Indonesia.

Pengalihan Parrot mencoba peta panas (Avast)

Seperti yang dijelaskan Avast dalam laporan, profil pengguna dan pemfilteran kampanye tertentu sangat disesuaikan sehingga pelaku jahat dapat menargetkan orang tertentu dari ribuan pengguna yang dialihkan.

Ini dicapai dengan mengirimkan target tersebut ke URL unik yang menjatuhkan muatan berdasarkan perangkat keras, perangkat lunak, dan profil jaringan yang ekstensif.

Payload yang dijatuhkan pada sistem target adalah NetSupport Client RAT yang diatur untuk berjalan dalam mode senyap, yang menyediakan akses langsung ke mesin yang disusupi.

Detail payload yang dijatuhkan (Avast)

Sementara kampanye RAT saat ini merupakan operasi utama yang dilayani oleh Parrot TDS, analis Avast juga memperhatikan beberapa server terinfeksi yang menghosting situs phishing.

Halaman arahan tersebut menyerupai halaman login Microsoft yang tampak sah yang meminta pengunjung untuk memasukkan kredensial akun mereka.

Salah satu situs phishing yang dilayani oleh Parrot TDS (Avast)

Untuk admin server web yang berpotensi disusupi, Avast merekomendasikan tindakan berikut:

  • Pindai semua file di server web dengan antivirus.
  • Ganti semua file JavaScript dan PHP di server web dengan yang asli.
  • Gunakan versi CMS dan versi plugin terbaru.
  • Periksa untuk menjalankan tugas secara otomatis di server web seperti tugas cron.
  • Selalu gunakan kredensial unik dan kuat untuk setiap layanan dan semua akun, dan tambahkan 2FA jika memungkinkan.
  • Gunakan beberapa plugin keamanan yang tersedia untuk WordPress dan Joomla

Sumber : Bleeping Computer

Google mengatakan telah menggagalkan serangan siber Korea Utara pada awal 2022

by

Grup Analisis Ancaman Google mengumumkan pada hari Kamis bahwa mereka telah menemukan sepasang kader peretasan Korea Utara dengan nama Operation Dream Job dan Operation AppleJeus pada bulan Februari yang memanfaatkan eksploitasi eksekusi kode jarak jauh di browser web Chrome.

Para blackhatter dilaporkan menargetkan media berita AS, TI, kripto dan industri fintech, dengan bukti serangan mereka kembali sejauh 4 Januari 2022, meskipun Grup Analisis Ancaman mencatat bahwa organisasi di luar AS bisa menjadi target juga.

“Kami menduga bahwa kelompok-kelompok ini bekerja untuk entitas yang sama dengan rantai pasokan bersama, oleh karena itu menggunakan kit eksploit yang sama, tetapi masing-masing beroperasi dengan rangkaian misi yang berbeda dan menerapkan teknik yang berbeda,” tulis tim Google pada hari Kamis. “Ada kemungkinan penyerang lain yang didukung pemerintah Korea Utara memiliki akses ke perangkat eksploitasi yang sama.”

Operation Dream Job menargetkan 250 orang di 10 perusahaan dengan tawaran pekerjaan palsu seperti Disney dan Oracle yang dikirim dari akun palsu agar terlihat seperti berasal dari Memang atau ZipRecruiter. Mengklik tautan akan meluncurkan iframe tersembunyi yang akan memicu eksploitasi.

Operasi AppleJeus, di sisi lain, menargetkan lebih dari 85 pengguna di industri cryptocurrency dan fintech menggunakan kit eksploit yang sama.

Upaya itu melibatkan “mengkompromikan setidaknya dua situs web perusahaan fintech yang sah dan menghosting iframe tersembunyi untuk menyajikan kit eksploit kepada pengunjung,”

“Dalam kasus lain, kami mengamati situs web palsu sudah disiapkan untuk mendistribusikan aplikasi cryptocurrency yang di-trojan menghosting iframe dan mengarahkan pengunjung mereka ke kit eksploit.”

“Kit awalnya melayani beberapa javascript yang sangat dikaburkan yang digunakan untuk sidik jari sistem target,” kata tim. “Skrip ini mengumpulkan semua informasi klien yang tersedia seperti agen pengguna, resolusi, dll., lalu mengirimkannya kembali ke server eksploitasi.

Jika serangkaian persyaratan yang tidak diketahui terpenuhi, klien akan disajikan eksploitasi Chrome RCE dan beberapa tambahan javascript. Jika RCE berhasil, javascript akan meminta tahap berikutnya yang dirujuk dalam skrip sebagai ‘SBX,’ akronim umum untuk Sandbox Escape.”

Grup keamanan Google menemukan aktivitas tersebut pada 10 Februari dan telah menambalnya pada 14 Februari. Perusahaan telah menambahkan semua situs web dan domain yang teridentifikasi ke database Penjelajahan Aman serta memberi tahu semua pengguna Gmail dan Workspace yang ditargetkan tentang upaya tersebut.

Sumber : Engadget

Tujuh remaja ditangkap sehubungan dengan kelompok peretasan Lapsus$

by

Polisi Kota London telah menangkap tujuh remaja karena dicurigai memiliki hubungan dengan kelompok peretas yang diyakini sebagai kelompok Lapsus$ yang baru-baru ini berkembang biak, lapor BBC News.

“Kepolisian Kota London telah melakukan penyelidikan dengan mitranya terhadap anggota kelompok peretasan,” kata Inspektur Detektif Michael O’Sullivan dari Kepolisian Kota London dalam sebuah pernyataan kepada The Verge. “Tujuh orang berusia antara 16 dan 21 telah ditangkap sehubungan dengan penyelidikan ini dan semuanya telah dibebaskan untuk diselidiki. Penyelidikan kami tetap berlangsung.”

Lapsus$ telah bertanggung jawab atas beberapa pelanggaran keamanan besar di perusahaan teknologi, termasuk Nvidia, Samsung, Ubisoft, Okta, dan Microsoft. Pada hari Rabu, muncul laporan yang menunjukkan seorang remaja yang berbasis di Oxford adalah dalang dari kelompok tersebut. Polisi Kota London tidak mengatakan apakah remaja ini termasuk di antara mereka yang ditangkap.

Setidaknya satu anggota Lapsus$ juga tampaknya terlibat dengan pelanggaran data di EA, pakar keamanan siber Brian Krebs melaporkan pada hari Rabu dalam sebuah artikel ekstensif tentang grup tersebut. Vice menguatkan keterlibatan kelompok dalam pelanggaran itu dalam artikelnya sendiri pada hari Kamis, mencatat bahwa itu adalah “lambang dari peretasan Lapsus$ berikutnya dan besar-besaran.”

Identitas tersangka dalang itu rupanya terungkap oleh pelanggan yang marah dan memarahinya. Menurut laporan Krebs, pemimpin kelompok tersebut membeli Doxbin, sebuah situs di mana orang dapat berbagi atau menemukan informasi pribadi tentang orang lain, tahun lalu, tetapi pemilik situs tersebut adalah pemilik yang buruk. Dia tampaknya menyerahkan kendali pada Januari tetapi membocorkan “seluruh kumpulan data Doxbin” ke Telegram, dan komunitas Doxbin membalas dengan membocorkannya.

BBC News mengatakan telah berbicara dengan ayah remaja itu, yang tampaknya tidak menyadari keterlibatannya dengan kelompok itu.

“Saya belum pernah mendengar tentang semua ini sampai baru-baru ini. Dia tidak pernah berbicara tentang peretasan apa pun, tetapi dia sangat mahir menggunakan komputer dan menghabiskan banyak waktu di depan komputer,” kata sang ayah, menurut BBC News. “Saya selalu berpikir dia sedang bermain game. Kami akan mencoba menghentikannya menggunakan komputer.”

Sumber : The Verge

Anonymous merilis database 10GB Nestlé

by

Anonymous meretas dan merilis database 10GB dari raksasa makanan dan minuman Swiss Nestlé.

Di akun twitternya, Anonymous pada hari Selasa, merilis database Nestlé. Anonymous telah menyerukan boikot total produk Nestle setelah konglomerat makanan Swiss terus memasok barang-barang penting ke Rusia meskipun ada tekanan dari pesaing untuk memutuskan hubungan.

Menanggapi tekanan publik yang kuat untuk memutuskan hubungan dengan Rusia sebagai protes atas serangan militernya di Ukraina, lebih dari 400 perusahaan multinasional telah keluar sebagian atau seluruhnya dari negara itu.

Nestlé mengumumkan awal bulan ini bahwa mereka akan menangguhkan semua ekspor produknya dari Rusia kecuali untuk barang-barang penting seperti susu formula bayi.

Nestlé juga menyatakan tidak akan mengimpor Nespresso atau produk lainnya ke Rusia, kecuali susu formula bayi, sereal, dan makanan hewan terapeutik.

Nestlé telah mempertahankan keputusannya untuk tetap berada di Rusia dengan mengklaim bahwa mereka tidak akan mendapat untung dari operasinya di sana, karena Ukraina meningkatkan tekanan pada perusahaan makanan terbesar di dunia untuk pergi saat perang meningkat dan korban meningkat.

Perdana Menteri Ukraina Denys Shmyhal mengungkapkan bahwa dia berbicara dengan CEO Nestle Mark Schneider “tentang efek samping dari tetap berada di pasar Rusia.”

Shmyhal menyatakan, “Sayangnya, dia memekakkan telinga sangat memekakkan telinga

Membayar pajak untuk anggaran negara teroris berarti membunuh anak-anak & ibu yang tak berdaya. Saya harap Nestle segera berubah pikiran.”

Sumber : The Tech Outlook

Bank yang Menggunakan AI Sudah Matang untuk Sabotase Rusia

by

Bank dan lembaga keuangan lainnya yang memanfaatkan kecerdasan buatan mungkin secara unik rentan terhadap serangan siber Rusia sebagai pembalasan karena sanksi internasional yang semakin berat, para ahli memperingatkan.

Ketakutan itu, yang disorot dalam laporan Wall Street Journal baru-baru ini, muncul saat perang Rusia di Ukraina memasuki bulan kedua dan saat rentetan sanksi internasional yang belum pernah terjadi sebelumnya terus menggerogoti ekonomi Rusia.

Lembaga keuangan global telah memainkan peran integral dalam rezim sanksi sejak awal, memblokir aliran uang dari bank-bank Rusia tertentu, menolak akses mereka ke pasar internasional, dan bahkan membekukan aset Presiden Vladimir Putin dan oligarki Rusia terkemuka.

Namun, para ahli khawatir ketergantungan cepat institusi yang sama pada model pembelajaran mesin untuk mengotomatisasi lebih banyak dan lebih banyak sistem mereka atas nama efisiensi dapat kembali menggigit mereka. Andrew Burt, mantan penasihat kebijakan kepala divisi siber di FBI, menggambarkan kerentanan AI sebagai “signifikan dan sangat diabaikan” di banyak lembaga keuangan yang mengandalkannya. “Ini adalah risiko besar yang tidak terhitung,” kata Burt.

Jadi mengapa sebenarnya algoritma pembelajaran mesin lebih rentan terhadap serangan? Secara umum, sebagian besar masalah berasal dari kebutuhan pembelajaran mesin untuk memanfaatkan data dalam jumlah besar untuk meningkatkan perhitungan. Kenyataan itu membuat mereka sangat rentan terhadap serangan manipulasi data. Di masa lalu, para peneliti telah menunjukkan bahwa penyerang dapat dengan sengaja “meracuni” data pelatihan algoritme untuk merusak atau memengaruhi hasil apa pun yang mungkin dimuntahkannya.

Sementara isu-isu ras, gender, dan bias lainnya dalam algoritme AI yang berasal dari data terbatas telah menjadi terkenal, beberapa peneliti khawatir pelaku jahat yang menargetkan lembaga keuangan dapat menyebarkan data bias tingkat besar untuk menyerang algoritme sistem keuangan yang ingin menyaring sentimen pasar. Pikirkan meme disinformasi Rusia tetapi diterapkan pada sektor keuangan.

Lebih buruk lagi, menurut laporan Georgetown Center for Security and Emerging Technology 2020, kerentanan pembelajaran mesin tidak dapat ditambal dengan cara yang sama seperti perangkat lunak lain yang berarti potensi serangan apa pun dapat bertahan lebih lama.

Algoritme ini juga dapat ditipu secara real-time tanpa kumpulan data yang besar. Para peneliti dari Keen Security Lab Tencent, misalnya, mendemonstrasikan beberapa teknik yang relatif sederhana yang digunakan untuk mengelabui kemampuan pembelajaran mesin Tesla pada tahun 2019, pertama-tama menipu wiper kaca depan untuk bekerja ketika mereka tidak seharusnya dan kemudian menggunakan stiker terang di jalan menuju meyakinkan Tesla yang terlibat dalam Autopilot untuk melayang ke jalur yang berlawanan.

Sementara kelemahan keamanan itu menimbulkan kekhawatiran bahkan di saat-saat terbaik, para pemimpin pemerintah termasuk Presiden Biden khawatir Rusia dapat menggunakan serangan siber untuk menyerang lembaga-lembaga ini karena sanksi terus berlanjut. Dalam sebuah pernyataan yang dirilis awal pekan ini, Biden menyarankan perusahaan-perusahaan swasta di AS untuk meningkatkan praktik keamanan mereka, dengan mengutip “kecerdasan yang berkembang bahwa Pemerintah Rusia sedang menjajaki opsi untuk potensi serangan siber.”

Sementara itu, bank-bank global dilaporkan telah meningkatkan pemantauan jaringan dan meningkatkan pengeboran untuk skenario serangan siber potensial dalam beberapa minggu sejak militer Rusia memulai invasinya.

Sumber : GIZMODO

Peretasan Okta membuat ribuan bisnis waspada

by

Okta, perusahaan autentikasi yang digunakan oleh ribuan organisasi di seluruh dunia, kini telah mengonfirmasi bahwa penyerang memiliki akses ke salah satu laptop karyawannya selama lima hari pada Januari 2022 dan sekitar 2,5 persen pelanggannya mungkin telah terpengaruh tetapi tetap mempertahankannya. layanan “belum dilanggar dan tetap beroperasi penuh.”

Pengungkapan itu muncul ketika grup peretas Lapsus$ telah memposting tangkapan layar ke saluran Telegramnya yang mengklaim sebagai sistem internal Okta, termasuk yang tampaknya menunjukkan saluran Slack Okta, dan lainnya dengan antarmuka Cloudflare.

Setiap peretasan Okta dapat memiliki konsekuensi besar bagi perusahaan, universitas, dan lembaga pemerintah yang bergantung pada Okta untuk mengotentikasi akses pengguna ke sistem internal.

Okta mengatakan bahwa penyerang hanya akan memiliki akses terbatas selama periode lima hari itu – cukup terbatas sehingga perusahaan mengklaim “tidak ada tindakan korektif yang perlu diambil oleh pelanggan kami.”

Inilah yang dikatakan Bradbury dan tidak dipertaruhkan saat salah satu teknisi pendukungnya disusupi:

Dampak potensial bagi pelanggan Okta terbatas pada akses yang dimiliki teknisi pendukung. Teknisi ini tidak dapat membuat atau menghapus pengguna, atau mengunduh database pelanggan. Insinyur dukungan memiliki akses ke data terbatas misalnya, tiket Jira dan daftar pengguna yang terlihat di tangkapan layar. Insinyur dukungan juga dapat memfasilitasi pengaturan ulang kata sandi dan faktor MFA untuk pengguna, tetapi tidak dapat memperoleh kata sandi tersebut.

Menulis di saluran Telegramnya, kelompok peretas Lapsus$ mengklaim telah memiliki akses “Pengguna Super/Admin” ke sistem Okta selama dua bulan, bukan hanya lima hari, bahwa ia memiliki akses ke klien tipis daripada laptop, dan mengklaim bahwa itu menemukan Okta menyimpan kunci AWS di saluran Slack. Grup tersebut juga menyarankan untuk menggunakan aksesnya untuk membidik pelanggan Okta.

The Wall Street Journal mencatat bahwa dalam pengajuan baru-baru ini Okta mengatakan memiliki lebih dari 15.000 pelanggan di seluruh dunia. Ini mencantumkan orang-orang seperti Peloton, Sonos, T-Mobile, dan FCC sebagai pelanggan di situs webnya. Berdasarkan angka “sekitar 2,5 persen” yang diberikan, jumlah pelanggan yang terkena dampak ini dapat mendekati 400.

Juru bicara Okta Chris Hollis mengatakan perusahaan belum menemukan bukti serangan yang sedang berlangsung. “Pada akhir Januari 2022, Okta mendeteksi upaya untuk menyusupi akun teknisi dukungan pelanggan pihak ketiga yang bekerja untuk salah satu subprosesor kami. Masalah itu diselidiki dan ditampung oleh subprosesor.” kata Hollis. “Kami yakin tangkapan layar yang dibagikan secara online terhubung ke acara Januari ini.”

Lapsus$ adalah grup peretas yang mengaku bertanggung jawab atas sejumlah insiden tingkat tinggi yang memengaruhi Nvidia, Samsung, Microsoft, dan Ubisoft, dalam beberapa kasus mencuri ratusan gigabyte data rahasia.

Okta mengatakan telah menghentikan sesi Okta teknisi dukungannya dan menangguhkan akun itu kembali pada bulan Januari, tetapi mengklaim hanya menerima laporan akhir dari perusahaan forensiknya minggu ini.

Pembaruan, 14:38 ET: Menambahkan pernyataan Okta dan mengklaim bahwa peretasan sangat terbatas, tanpa tindakan korektif yang perlu diambil.

Pembaruan, 14:58 ET: Menambahkan klaim grup peretas Lapsus$ bahwa mereka memiliki akses ke thin client daripada laptop, bahwa ia menemukan Okta menyimpan kunci AWS di saluran Slack.

Pembaruan, 11:30 ET: Menambahkan detail dari pernyataan Okta yang diperbarui.

The Verge

Malware pencuri kata sandi Android menginfeksi 100.000 pengguna Google Play

by

Aplikasi Android berbahaya yang mencuri kredensial Facebook telah diinstal lebih dari 100.000 kali melalui Google Play Store, dengan aplikasi masih tersedia untuk diunduh.

Malware Android menyamar sebagai aplikasi pembuat kartun yang disebut ‘Craftsart Cartoon Photo Tools,’ yang memungkinkan pengguna mengunggah gambar dan mengubahnya menjadi rendering kartun.

Selama seminggu terakhir, peneliti keamanan dan firma keamanan seluler Pradeo menemukan bahwa aplikasi Android menyertakan trojan bernama ‘FaceStealer,’ yang menampilkan layar masuk Facebook yang mengharuskan pengguna untuk masuk sebelum menggunakan aplikasi.

Aplikasi yang meminta pengguna untuk login di Facebook (Pradeo)

Menurut peneliti keamanan Jamf Michal Rajčan, ketika pengguna memasukkan kredensial mereka, aplikasi akan mengirim mereka ke server perintah dan kontrol di zutuu[.]info [VirusTotal], yang kemudian dapat dikumpulkan oleh penyerang.

Selain server C2, aplikasi Android berbahaya akan terhubung ke www.dozenorms[.]club URL [VirusTotal] tempat data lebih lanjut dikirim, dan yang telah digunakan di masa lalu untuk mempromosikan aplikasi Android FaceStealer berbahaya lainnya.

Mengirim data ke lusinorms[.]server klub
Sumber: BleepingComputer

Pembuat dan distributor aplikasi ini tampaknya telah mengotomatiskan proses pengemasan ulang dan menyuntikkan sepotong kecil kode berbahaya ke dalam aplikasi yang sebenarnya sah.

Ini membantu aplikasi melewati prosedur pemeriksaan Play Store tanpa menimbulkan tanda bahaya. Segera setelah pengguna membukanya, mereka tidak diberikan fungsionalitas yang sebenarnya kecuali mereka masuk ke akun Facebook mereka.

Namun, begitu mereka masuk, aplikasi akan menyediakan fungsionalitas terbatas dengan mengunggah gambar tertentu ke editor online, http://color.photofuneditor.com/, yang akan menerapkan filter grafis ke gambar.

Aplikasi ini melakukan perubahan gambar dan menerapkan filter pada server jarak jauh, bukan secara lokal pada perangkat, sehingga data Anda diunggah ke lokasi yang jauh dan berisiko disimpan tanpa batas waktu, dibagikan dengan orang lain, dijual kembali, dll.

Karena aplikasi tertentu masih ada di Play Store, orang dapat secara otomatis berasumsi bahwa aplikasi Android dapat dipercaya. Namun sayangnya, aplikasi Android berbahaya terkadang menyelinap ke Google Play Store dan tetap ada hingga terdeteksi dari ulasan buruk atau ditemukan oleh perusahaan keamanan.

Namun, ada kemungkinan untuk menemukan aplikasi scam dan berbahaya dalam banyak kasus dengan melihat ulasan mereka di Google Play.

Seperti yang Anda lihat di bawah, ulasan pengguna untuk ‘Craftsart Cartoon Photo Tools’ sangat negatif, dengan total skor hanya 1,7 bintang dari kemungkinan lima. Selain itu, banyak dari ulasan ini memperingatkan bahwa aplikasi memiliki fungsionalitas terbatas dan mengharuskan Anda untuk masuk ke Facebook terlebih dahulu.

Ulasan pengguna di Play Store

Kedua, nama pengembangnya adalah ‘Google Commerce Ltd’, yang menunjukkan bahwa itu dikembangkan oleh Google. Juga, rincian kontak yang terdaftar termasuk alamat email Gmail orang acak, yang merupakan bendera merah besar.

Detail aplikasi di Play Store

Ini mungkin tampak seperti pengawasan yang berlebihan untuk setiap aplikasi yang Anda instal di ponsel cerdas Anda, tetapi ini harus menjadi prosedur pemeriksaan standar untuk aplikasi yang secara inheren berisiko.

Pembaruan 22/05 – Juru bicara Google telah memberi tahu Bleeping Computer bahwa aplikasi berbahaya telah dihapus dari Play Store sekarang.

Sumber : Bleeping Computer

Microsoft Menyelidiki Klaim Pelanggaran oleh Geng Pemerasan

by

Microsoft sedang menyelidiki klaim bahwa kelompok peretasan yang berfokus pada pemerasan yang sebelumnya membahayakan perusahaan besar seperti Ubisoft dan Nvidia telah memperoleh akses ke sistem internal Microsoft, menurut sebuah pernyataan dari perusahaan.

Kelompok peretas, yang menggunakan nama sendiri LAPSUS$, telah berhasil menembus gelombang perusahaan baru-baru ini. LAPSUS$ terkadang membuat permintaan tebusan yang tidak biasa dari para korbannya, termasuk meminta Nvidia untuk membuka kunci aspek kartu grafisnya agar lebih cocok untuk menambang cryptocurrency. Kelompok tersebut sejauh ini tidak membuat tuntutan publik terhadap Microsoft.

Pada hari Minggu, LAPSUS$ memposting tangkapan layar yang tampaknya merupakan akun pengembang internal Microsoft ke saluran Telegram mereka. Tangkapan layar tampaknya berasal dari akun Azure DevOps, produk yang ditawarkan Microsoft yang memungkinkan pengembang berkolaborasi dalam proyek.

Proyek khusus yang ditampilkan di tangkapan layar termasuk “Bing_UX,” yang berpotensi merujuk pada pengalaman pengguna mesin pencari Bing Microsoft; “Bing-Source,” menunjukkan akses ke kode sumber mesin pencari; dan “Cortana,” asisten cerdas Microsoft. Bagian lain termasuk “mscomdev,” “microsoft,” dan “msblox,” menunjukkan siapa pun yang mengambil tangkapan layar mungkin memiliki akses ke repositori kode lain juga.

Apakah Anda tahu hal lain tentang pelanggaran ini atau yang lainnya? Kami akan senang mendengar dari Anda. Menggunakan telepon atau komputer non-kerja, Anda dapat menghubungi Joseph Cox dengan aman di Signal di +44 20 8133 5190, Wickr di josephcox, atau mengirim email ke joseph.cox@vice.com.

Tak lama setelah memposting tangkapan layar, administrator saluran Telegram LAPSUS$ menghapus gambar tersebut.

Awal bulan ini, grup tersebut mengatakan di saluran Telegramnya bahwa mereka sedang mencari karyawan di dalam perusahaan yang bersedia bekerja dengan mereka, termasuk Microsoft.

SCREENSHOT YANG DIUPLOAD OLEH LAPSUS$. GAMBAR: TELEGRAM.

Sejak Desember, kelompok tersebut telah melanggar Kementerian Kesehatan Brasil, sejumlah perusahaan Brasil dan Portugis, dan kemudian Nvidia dan Samsung masing-masing pada bulan Februari dan Maret, menurut garis waktu serangan LAPSUS yang diterbitkan oleh perusahaan keamanan siber Silent Push. Kelompok itu juga tampaknya mengambil pujian karena melanggar Ubisoft bulan ini.

Selama beberapa serangannya, kelompok tersebut meminta pembayaran sebagai imbalan untuk tidak membocorkan data internal yang telah dicuri dari para korban. Dalam kasus NVIDIA, para peretas menuntut agar perusahaan membuka sumber driver GPU-nya dan menghapus batasan pada kartu 30-seri di sekitar penambangan Ethereum, The Verge melaporkan pada saat itu. Di grup Telegramnya, LAPSUS$ juga mengklaim bahwa NVIDIA, atau seseorang yang bekerja atas namanya, meretas serangan dan mencoba mengenkripsi materi yang dicuri. Kelompok tersebut akhirnya membocorkan beberapa data NVIDIA serta data yang dicuri dari Samsung.

LAPSUS$ mungkin juga bertanggung jawab atas peretasan raksasa game Electronic Arts, meskipun peretas tidak menggunakan nama LUPSUS$ sampai setelah Motherboard mengungkapkan pelanggaran itu Juni lalu. Dalam posting selanjutnya di forum bawah tanah, seorang pengguna menulis “kredit sebenarnya adalah untuk LAPSUS$, kami akan membocorkan lebih banyak barang.”

Dalam email ke Motherboard, Stefano De Blasi, analis riset ancaman siber di perusahaan keamanan siber Digital Shadows, menunjukkan dua hal yang membuat LAPSUS$ berbeda dari geng pemerasan biasa. Pertama, kelompok tersebut tidak pernah benar-benar menyebarkan ransomware, melainkan mengekstrak data dan menggunakannya untuk memeras target. Ini memungkinkan grup untuk bergerak lebih diam-diam, kata De Blasi. De Blasi juga menunjuk pada kehadiran interaktif LAPSUS$ di Telegram, dan khususnya pesan grup dengan pengikutnya.

Sumber : Vice