Cybersecurity

Peretas Crypto Mencuri $36 Juta dari Akun Pensiun

February 17, 2022 by Eevee

Peretas Crypto mencuri hampir $36 juta dari akun pensiun IRA Financial Trust. Menurut Bloomberg, para peretas berhasil menguras $21 juta dalam bentuk bitcoin dan mengumpulkan $15 juta dalam Ethereum dari pelanggan IRA Financial Trust.

IRA Financial menemukan peretasan pada 9 Februari ketika itu memengaruhi beberapa pelanggan yang mengandalkan pertukaran crypto Gemini Trust Co. Menurut Chainalysis, platform data blockchain, dana tersebut terkait dengan aktivitas pencucian uang dan operasi dilakukan melalui layanan “mixer” Tornado.

Juru bicara IRA Financial mengatakan kepada Bloomberg, perusahaan sedang fokus menyelidiki kontrol keamanan terkait klaim tersebut. Adam Bergman, Pendiri IRA Financial Trust mentweet sebuah surat pada hari Sabtu yang mengatakan, perusahaan “telah mendeteksi aktivitas mencurigakan yang secara khusus melibatkan jumlah pelanggan yang sangat terbatas di bursa cryptocurrency Gemini. Saya sangat kecewa dengan apa yang terjadi, dan saya ingin meyakinkan Anda bahwa kami mengambil semua langkah yang tepat untuk mengatasi situasi ini termasuk keterlibatan ahli forensik pihak ketiga dan penegak hukum negara bagian dan federal.”

Pertukaran cryptocurrency Gemini menawarkan layanan ke akun IRA Finacial di Reddit mengatakan tidak mengelola keamanan sistem IRA Financial.

Sementara seseorang yang menjadi korban insiden peretasan mengatakan, “Saya diberitahu bahwa IRA Financial telah diretas pada 8 Februari. Akun saya ditautkan ke Gemini dan juga telah diretas,”

Namun yang lain menulis di Reddit. “Uang ditransfer dari akun Gemini saya ke seseorang secara acak. Saya telah menindaklanjuti dengan Gemini dan IRA Financial dan mereka mengatakan sedang mengerjakannya. Saya belum pernah mendengar ada orang lain yang terpengaruh oleh peretasan ini.”

Sumber : TechnoidHost

Serangan Malware ShadowPad Menunjukkan Tautan dengan Kementerian China dan PLA

February 16, 2022 by Eevee

ShadowPad Malware Attacks, menurut peneliti keamanan siber, memiliki hubungan dengan kementerian China dan PLA. Pintu belakang yang canggih dan modular ini telah diadopsi oleh banyak kelompok ancaman China baru-baru ini dan memiliki hubungan dengan badan intelijen sipil dan militer negara itu.

Peneliti Secureworks mengatakan, “ShadowPad didekripsi dalam memori menggunakan algoritma dekripsi khusus. ShadowPad mengekstrak informasi tentang host, menjalankan perintah, berinteraksi dengan sistem file dan registri, dan menyebarkan modul baru untuk memperluas fungsionalitas.”

Platform malware modular ini memiliki kesamaan yang mencolok dengan malware PlugX. Plugx digunakan dalam serangan profil tinggi terhadap NetSarang, CCleaner, dan ASUS. Pelaku ancaman tidak mengubah taktik dan memperbarui tindakan defensif mereka.

Kampanye ShadowPad sebelumnya dikaitkan dengan kluster ancaman yang dilacak sebagai Atlas Perunggu alias Barium. Mereka adalah warga negara Tiongkok yang bekerja untuk perusahaan keamanan jaringan bernama Chengdu 404.

SentinelOne mengatakan ShadowPad adalah “karya malware yang dijual secara pribadi dalam spionase China.” Seperti PwC dalam analisis Desember 2021 mengungkapkan mekanisme pengemasan yang dipesan lebih dahulu bernama ScatterBee yang digunakan untuk mengaburkan muatan 32-bit dan 64-bit berbahaya untuk binari ShadowPad.

Muatan malware disebarkan ke host baik dengan mengenkripsinya dengan pemuat DLL atau menyematkannya di dalam file terpisah bersama dengan pemuat DLL. Kemudian ia mendekripsi dan mengeksekusi muatan ShadowPad yang tertanam di memori menggunakan algoritme dekripsi khusus yang disesuaikan dengan versi malware.

Malware dijalankan oleh pemuat DLL ini setelah mereka dipindahkan oleh executable sah yang rentan terhadap pembajakan perintah pencarian DLL. Ini adalah teknik yang digunakan untuk mengeksekusi malware dengan membajak metode yang digunakan untuk mencari DLL yang diperlukan untuk dimuat ke dalam program.

Secureworks juga mengamati rantai infeksi tertentu yang menyertakan file ketiga, yang berisi payload ShadowPad terenkripsi. Ini membantu untuk mengeksekusi biner yang sah (misalnya, BDReinit.exe atau Oleview.exe) untuk melakukan sideload DLL yang, pada gilirannya, memuat dan mendekripsi file ketiga.

Pelaku ancaman juga menempatkan file DLL di direktori Windows System32. Ini memungkinkannya untuk dimuat oleh Layanan Konfigurasi Desktop Jarak Jauh (SessionEnv), yang mengarah ke penyebaran Cobalt Strike pada sistem yang disusupi.

ShadowPad dalam insiden tertentu membuka jalan untuk meluncurkan serangan hands-on-keyboard. Dalam jenis serangan seperti itu, peretas secara manual masuk ke sistem yang terinfeksi untuk menjalankan perintah sendiri daripada menggunakan skrip otomatis.

Sumber: TechnoidHost

Peretas bisa saja mencetak ‘Ether’ tanpa batas tetapi memilih hadiah bug $ 2 juta sebagai gantinya

February 16, 2022 by Eevee

Peretas “grey hat” gadungan menemukan cara untuk mengelabui solusi penskalaan Ethereum Optimism agar secara efektif mencetak Ether tanpa batas awal bulan ini.

Insinyur perangkat lunak Jay Freeman (yang menggunakan Saurik online) tidak memanfaatkan eksploitasi. Sebagai gantinya, dia melaporkan masalah tersebut ke tim pengembang Optimism, yang memberinya hadiah bug $2 juta.

Freeman mungkin paling dikenal karena karyanya di Cydia, toko aplikasi untuk iPhone yang sudah di-jailbreak. Namun, baru-baru ini dia mencari bug di blockchain.

Menurut perincian di situs web Freemans, ia menemukan kesalahan itu saat melihat apa yang disebut “protokol pembayaran nano.”

Mereka memungkinkan pengguna untuk mengirim sejumlah kecil crypto dengan sedikit biaya transaksi, meskipun dengan pengorbanan keamanan.

Mirip dengan jembatan blockchain seperti Wormhole, platform ini mencetak token Eter alternatif yang hanya ada di jaringan Optimism.

Pengguna pertama-tama mengunci ETH mereka di dalam kontrak pintar sebagai jaminan untuk menerima token mereka, yang berfungsi ganda sebagai IOU.

Token ini kemudian dapat ditransaksikan lebih cepat dan lebih murah dibandingkan dengan transaksi on-chain (hampir seketika), yang menjadikan Optimisme sebagai solusi “lapisan 2” (L2) potensial untuk menskalakan Ethereum.

Ketika pengguna Optimism ingin menguangkan IOU mereka, mereka harus menunggu satu minggu terlebih dahulu sebelum token Ether “asli” mereka dirilis.

Freeman menemukan kesalahan di bagian kode Optimism yang memaksa kontrak pintar untuk menghapus dirinya sendiri dan mengembalikan Eter terkait ke pengirim.

Fungsi “SELFDESTRUCT” Optimisme mengembalikan kripto ke pengirim tetapi tetap mempertahankan IOU Eter off-chain terkait. Ini dapat dieksploitasi untuk mengelabui kontrak pintar agar mengulang kesalahan — sehingga menghasilkan kripto “lapisan 2” yang tak terbatas.

Menariknya, Freeman mengatakan seseorang dari penjelajah blockchain Ethereum Etherscan telah menemukan bug sebelumnya, pada Malam Natal tahun lalu, tetapi mungkin tidak menyadari potensinya.

Freeman percaya bahwa sifat “taruhan tinggi” dari crypto berarti bug yang merusak keamanan tidak boleh disebarkan di tempat pertama.

Freeman mencatat bahwa dia terkadang “menolak” untuk membantu proyek-proyek blockchain dengan “masalah dasar desentralisasi atau keamanan,” sebagai prinsip inti dari teknologi yang “tidak dapat diabaikan.”

Sumber : Protos

Peretas GiveSendGo Bocorkan Nama Bocor, Data Pribadi Donatur untuk Protes ‘Freedom Convoy’

February 16, 2022 by Eevee

Peretas meretas situs penggalangan dana GiveSendGo semalam dan membocorkan nama dan detail pribadi donor untuk protes Konvoi Kebebasan Pengemudi Truk Ottawa.

Menurut situs web GiveSendGo, situs tersebut diretas beberapa jam setelah “dalam pemeliharaan,” dan dialihkan ke halaman yang dikendalikan oleh peretas. Halaman itu tidak dimuat sekarang, meskipun mengutuk para pengemudi truk yang turun ke ibu kota Kanada untuk menentang vaksinasi wajib COVID-19. Menyebabkan gangguan yang meluas pada lalu lintas dan perdagangan selama lebih dari seminggu.

Ada juga tautan yang ada di halaman yang ditautkan ke file yang berisi puluhan ribu catatan. Dilabeli sebagai “data donasi mentah” yang berisi rincian orang yang menyumbang ke Freedom Convoy.

Menurut Distributed Denial of Secrets, situs kebocoran nirlaba, menerima 30 megabyte informasi donor dari GiveSendGo. Ini termasuk nama yang dilaporkan sendiri, alamat email, kode ZIP, dan alamat IP. Situs ini terkenal karena menampung kumpulan data yang bocor yang melibatkan kelompok sayap kanan dan mengatakan akan memberikan data hanya kepada peneliti dan jurnalis.

Jacob Wells, pendiri GiveSendGo tidak dapat memberikan komentar atas insiden tersebut.

Ini bukan pertama kalinya GiveSendGo diretas, sebelumnya organisasi tersebut terpapar ke internet karena ember S3 yang dihosting Amazon menyimpan lebih dari seribu dokumen identitas,

GiveSendGo, yang berbasis di Boston, Massachusetts adalah layanan donasi utama untuk “Konvoi Kebebasan”. GoFundMe awal bulan lalu menghentikan kampanye crowdsourcing dan membekukan jutaan dolar dalam donasi, mengutip laporan polisi tentang kekerasan di Ottawa. Sementara pengadilan Kanada mengeluarkan perintah untuk menghentikan akses ke dana yang dikumpulkan oleh GiveSendGo, yang menurut perusahaan akan ditentang.

Sumber : TechnoidHost

Keamanan siber: Negara-negara ini adalah ancaman peretasan baru yang harus ditakuti saat kampanye ofensif meningkat

February 16, 2022 by Eevee

Jumlah operasi peretasan negara-bangsa yang bermusuhan meningkat karena negara-negara baru berinvestasi dalam kampanye penyusupan dunia maya dan kelompok penyerang yang didukung negara mengambil keuntungan dari peningkatan organisasi yang mengadopsi aplikasi cloud.

Laporan Ancaman Global 2022 Crowdstrike merinci bagaimana lanskap ancaman dunia maya telah berkembang selama setahun terakhir. Salah satu perkembangan itu adalah munculnya negara-negara baru yang terlibat dalam operasi siber ofensif, termasuk Turki dan Kolombia.

Serangan oleh kelompok terkait Turki dirinci sebagai serangan oleh ‘Serigala’ sementara serangan oleh operasi Kolombia telah Dijuluki ‘Ocelot’ dengan cara yang mirip dengan cara peneliti keamanan siber menyebut aktivitas yang didukung pemerintah Rusia ‘Beruang’ atau kelompok peretas Cina ‘Panda’.

Kegiatan oleh salah satu kelompok baru ini dirinci dalam laporan; kelompok peretasan yang berbasis di Turki, dijuluki Cosmic Wolf oleh para peneliti, menargetkan data korban yang tidak ditentukan yang disimpan dalam lingkungan cloud Amazon Web Services (AWS) pada April 2021.

Penyerang dapat membobol lingkungan cloud AWS menggunakan nama pengguna dan kata sandi yang dicuri, yang juga memberi penyerang hak istimewa yang diperlukan untuk mengubah baris perintah. Itu berarti mereka dapat mengubah pengaturan keamanan untuk mengizinkan akses langsung Secure Shell Protocol (SSH) ke AWS dari infrastruktur mereka sendiri, memungkinkan pencurian data.

Salah satu alasan negara meningkatkan kemampuan siber ofensif mereka adalah karena dampak pandemi global. Penguncian dan pemeriksaan perjalanan yang ketat mempersulit teknik spionase tradisional untuk menjadi efektif, yang mengarah pada investasi dalam operasi dunia maya.

Pergeseran menuju aplikasi cloud dan layanan cloud IT juga telah memainkan peran tanpa disadari dalam membuat serangan siber menjadi lebih mudah. Munculnya pekerjaan hibrida berarti banyak karyawan tidak berbasis di kantor, alih-alih terhubung dari jarak jauh melalui aplikasi kolaboratif, VPN, dan layanan lainnya menggunakan nama pengguna dan kata sandi.

Itu membuat menjadi produktif saat bekerja dari jarak jauh lebih mudah bagi karyawan tetapi juga membuat segalanya lebih sederhana untuk kelompok peretas, yang secara diam-diam dapat mengakses jaringan dengan nama pengguna dan kata sandi yang dicuri atau ditebak.

Beberapa insiden keamanan siber terbesar dalam beberapa tahun terakhir, seperti serangan SolarWinds dan Microsoft Exchange, telah menunjukkan bagaimana serangan yang menargetkan layanan cloud dan rantai pasokan cloud bisa menjadi kuat, terutama jika cloud salah dikonfigurasi atau dipantau dengan buruk.

Namun, ada langkah-langkah yang dapat diambil organisasi untuk membantu membuat jaringan dan infrastruktur cloud mereka lebih tahan terhadap serangan siber, termasuk penerapan strategi tanpa kepercayaan untuk tidak memercayai perangkat yang terhubung ke jaringan secara default.

Makalah penelitian juga merekomendasikan bahwa organisasi bekerja untuk menghilangkan kesalahan konfigurasi dalam aplikasi dan layanan cloud mereka dengan mengatur pola default untuk menyiapkan cloud, jadi ketika akun baru disiapkan, itu dilakukan dengan cara yang dapat diprediksi, meminimalkan kemungkinan kesalahan manusia tidak terdeteksi.

Sumber : ZDnet

Pembaruan darurat Google Chrome memperbaiki serangan zero-day yang dieksploitasi

February 16, 2022 by Eevee

Google telah merilis Chrome 98.0.4758.102 untuk Windows, Mac, dan Linux, untuk memperbaiki kerentanan zero-day dengan tingkat keparahan tinggi yang digunakan oleh pelaku ancaman dalam serangan.

“Google mengetahui laporan bahwa eksploitasi untuk CVE-2022-0609 ada di alam liar,” kata Google dalam penasihat keamanan yang dirilis hari ini.

Google menyatakan bahwa pembaruan Chrome akan diluncurkan dalam beberapa minggu mendatang. Namun, dimungkinkan untuk segera menginstal pembaruan hanya dengan masuk ke menu Chrome > Bantuan > Tentang Google Chrome.

Peramban juga akan secara otomatis memeriksa pembaruan baru dan memasangnya saat berikutnya Anda menutup dan meluncurkan kembali Google Chrome.

Bug zero-day diperbaiki hari ini, dilacak sebagai CVE-2022-0609, digambarkan sebagai “Gunakan setelah gratis di Animasi” dan diberi tingkat keparahan tinggi.

Kerentanan ini ditemukan oleh Clément Lecigne dari Grup Analisis Ancaman Google.

Penyerang biasanya mengeksploitasi penggunaan setelah bug gratis untuk mengeksekusi kode arbitrer pada komputer yang menjalankan versi Chrome yang belum ditambal atau keluar dari kotak pasir keamanan browser.

Sementara Google mengatakan mereka telah mendeteksi serangan yang mengeksploitasi zero-day ini, itu tidak membagikan info tambahan apa pun mengenai insiden ini atau detail teknis tentang kerentanan.

Selain zero-day, pembaruan Google Chrome ini memperbaiki tujuh kerentanan keamanan lainnya, semuanya kecuali satu yang diklasifikasikan sebagai tingkat keparahan ‘Tinggi’.

Karena zero-day ini diketahui telah digunakan oleh penyerang di alam liar, sangat disarankan agar semua orang menginstal pembaruan Google Chrome hari ini sesegera mungkin.

Selengkapnya : Bleeping Computer

Mod Dituduh Menambang Bitcoin, Virus Dihapus dari Steam

February 15, 2022 by Eevee

Selama beberapa hari terakhir, serangkaian mod untuk game strategi PC Cities: Skylines telah dihapus dari Steam setelah pengguna mulai khawatir bahwa mod tersebut berisi segala macam hal buruk, mulai dari keylogger hingga virus hingga perangkat lunak penambangan bitcoin.

Alarm dibunyikan oleh cerita NME ini dan posting Reddit berikutnya, menunjukkan bahwa pengunggah mod telah dilarang dan ada risiko serius bagi komputer pengguna. Seperti yang dijelaskan oleh cerita NME:

Pada tahun 2021, seorang modder dengan nama Chaos meluncurkan versi “desain ulang” dari mod yang disebut Harmony, sebuah proyek kerangka kerja vital yang diandalkan oleh sebagian besar mod di Cities: Skylines untuk berfungsi.

Chaos juga kemudian “mendesain ulang” beberapa mod populer untuk game tersebut, dan mencantumkan versi Harmony yang dimodifikasi sebagai unduhan inti – yang berarti bahwa pemain harus pergi dan mengunduhnya agar mod yang bergantung dapat berfungsi.

Namun, ditemukan bahwa pembaruan otomatis terkubur dalam versi Harmony ini, yang memungkinkan Chaos mengirimkan malware ke perangkat siapa pun yang mengunduhnya. Kode berbahaya lainnya digunakan untuk melumpuhkan kinerja mod lain, yang pada gilirannya menyebabkan pemain mengunduh lebih banyak mod Chaos karena diiklankan sebagai solusi untuk masalah ini. Ini ditemukan ketika beberapa modder yang terpengaruh yang, setelah menerima laporan kinerja yang lambat dari penggemar, menemukan kode berbahaya.

Sementara prospek yang menakutkan bagi setiap pengguna yang telah mengunduh mod individual, penyelidikan oleh Cities: Skylines developer Colossal Order menemukan bahwa meskipun mod itu sendiri tidak mengandung sesuatu yang serius seperti yang ditakutkan pertama kali, mereka masih dihapus dari Steam. Satu karena, seperti yang diklaim, itu bisa membiarkan pintu terbuka untuk mengunduh “perangkat lunak berbahaya”:

Kami baru-baru ini melarang beberapa mod dari Cities: Skylines Workshop dan ingin menjernihkan beberapa informasi yang salah seputar mod ini. Mod yang dimaksud, yang telah dilarang, adalah “Ekstensi Jaringan 3” dan “Pembaruan dari Github.”

Tidak ada keylogger, virus, perangkat lunak penambangan bitcoin, atau sejenisnya yang ditemukan di mod di Steam Workshop.

“Ekstensi Jaringan 3”, mod yang diduga mengandung malware, dilarang karena mendiskriminasi pengguna Steam tertentu. Pertama, itu memblokir daftar pendek pengguna Steam dari menggunakan mod, tetapi ini kemudian diubah untuk menyebabkan gameplay yang tampaknya bermasalah. Memblokir pengguna atau membuat batasan khusus untuk mereka melanggar Perjanjian Pelanggan Steam dan mengakibatkan mod dilarang.

Sumber : Kotaku

Pemasang Windows 11 palsu datang setelah kata sandi, kartu kredit, dan dompet kripto

February 15, 2022 by Eevee

Lebih dari satu miliar mesin menjalankan beberapa versi Microsoft Windows. Jangkauan sistem operasi diperluas lebih jauh ketika Windows 11 memasuki pasar.

Tetapi tidak semua orang mampu meningkatkan ke versi baru. Itu karena beberapa komputer lama tidak memiliki persyaratan sistem minimum untuk menangani Windows 11. Hal tersebut menyebabkan beberapa orang mencari salinan OS yang tidak resmi.

Jika sistem Anda terlalu tua untuk menjalankan Windows 11, yang terbaik adalah mendapatkan PC baru. Mencoba menghindari proses penginstalan dan mencari penginstal tidak resmi dapat mengarahkan Anda ke situs web palsu.

Tim Riset Ancaman HP menemukan domain yang menyerupai situs web Microsoft yang sah, situs tersebut berdomain windows-upgraded.com dan file tersebut mengandung malware berbahaya yang disebut RedLine yang biasa digunakan oleh penjahat dunia maya untuk mencuri kredensial, cookie browser, informasi perbankan, dan data dompet cryptocurrency.

“Ini mengumpulkan berbagai informasi tentang lingkungan saat ini, seperti nama pengguna, nama komputer, perangkat lunak yang diinstal, dan informasi perangkat keras. Malware ini juga mencuri kata sandi yang tersimpan dari browser web, melengkapi data secara otomatis seperti informasi kartu kredit, serta file dan dompet cryptocurrency,” jelas HP’s Threat Research dalam sebuah posting blog.

Penjahat dunia maya sangat pandai memalsukan situs web dan komunikasi resmi. Itu sebabnya Anda harus berhati-hati dan menghindari situs atau toko aplikasi pihak ketiga. Dan selalu waspada terhadap email dan teks phishing dan hindari mengklik tautan dalam pesan yang tidak diminta.

Salah satu cara korban menemukan situs web palsu yang mengklaim menawarkan salinan Windows 11 adalah melalui iklan yang ditemukan di media sosial. Jangan pernah percaya iklan media sosial! Sebagian besar waktu, Anda akan berakhir dengan perangkat yang terinfeksi malware, atau Anda akan membeli item dan menerima produk palsu jika Anda menerima apa pun.

Jika Anda ingin memutakhirkan ke Windows 11, lakukan hanya melalui pembaru di PC Anda atau dari situs resmi Microsoft.

Sumber : KOMANDO

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings