Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Sebagian besar penyedia layanan eksploitasi SS7 di Dark Web adalah scammers

by

Kerentanan protokol telepon seluler Signaling System 7 (SS7) adalah sesuatu yang diperingatkan oleh para peneliti keamanan pada tahun 2016, dan hanya butuh satu tahun sebelum serangan pertama yang mengeksploitasinya diamati. Pemerintah mengeksploitasi kelemahan SS7 untuk melacak individu di luar negeri, dan peretas menggunakannya untuk membajak Telegram dan akun email.

Celah keamanan SS7 dapat dimanfaatkan untuk mencegat atau meneruskan panggilan, kode 2FA, mencari perangkat, SMS palsu, dan banyak lagi. Analis di SOS Intelligence telah mencari di web gelap untuk penyedia layanan eksploitasi SS7 dan menemukan 84 domain bawang unik yang mengklaim menawarkannya.

Setelah mempersempit hasil menjadi yang tampaknya masih aktif, mereka hanya mendapatkan empat berikut:

  • Penjelajah SS7
  • Penjelajah ONLINE SS7
  • Peretasan SS7
  • Pasar Rubah Gelap
Situs web Pasar Rubah Gelap
Sumber: Intelijen SOS

Dengan menganalisis data topologi jaringan untuk situs-situs ini, para peneliti menemukan bahwa beberapa di antaranya relatif terisolasi, tidak memiliki banyak tautan masuk.

Ini bukan indikasi yang baik tentang keandalan dan kredibilitas situs dan biasanya merupakan indikasi platform scamming yang baru saja disiapkan.

Apalagi, situs SS7 Hack tampaknya disalin dari situs clearnet yang dibuat pada tahun 2021, sehingga terlihat seperti scam.

Halaman pembelian layanan Dark Fox Market
Sumber: Intelijen SOS

Pada platform Dark Fox Market, yang mengenakan biaya $180 untuk setiap nomor telepon yang ditargetkan, para peneliti menemukan video demo yang sama yang diunggah oleh pengguna Rusia di YouTube pada tahun 2016.

Ini kemungkinan besar dicuri dari YouTube dan tidak memiliki relevansi dengan platform Dark Fox Market, yang bagaimanapun juga tidak menawarkan layanan eksploitasi SS7 yang berfungsi.

Terlepas dari semua itu, dengan menganalisis dompet cryptocurrency yang disediakan dari platform ini, SOS Intelligence menemukan bahwa para scammer menghasilkan banyak uang.

Layanan eksploitasi SS7 nyata disembunyikan, hal di atas tidak berarti bahwa tidak ada layanan eksploitasi SS7 di web gelap tetapi yang sebenarnya tersembunyi di balik forum peretasan khusus dan pasar seperti World Market.

Posting WorldMarket menawarkan layanan exploit SS7
Sumber: KELA

Pelaku ancaman yang canggih memiliki akses ke data ponsel melalui afiliasi atau operasi mereka sendiri, sehingga mereka tidak perlu mencari penyedia layanan exploit SS7.

Selengkapnya : Bleeping Computer

Geng ransomware Rusia mulai berkolaborasi dengan peretas China

by

Beberapa aktivitas tidak biasa muncul di forum cybercrime berbahasa Rusia, di mana peretas tampaknya menjangkau rekan-rekan China untuk berkolaborasi. Upaya untuk merekrut aktor ancaman Tiongkok ini terlihat di forum peretasan RAMP.

Menurut laporan Flashpoint, pengguna tingkat tinggi dan administrator RAMP sekarang secara aktif mencoba berkomunikasi dengan anggota forum baru dalam bahasa Mandarin. Forum tersebut memiliki sekitar 30 pendaftaran pengguna baru yang tampaknya berasal dari China

Para peneliti menyatakan penyebab yang paling mungkin adalah bahwa geng ransomware Rusia berusaha membangun aliansi dengan aktor China untuk meluncurkan serangan siber terhadap target AS, memperdagangkan kerentanan, atau bahkan merekrut bakat baru untuk operasi Ransomware-as-a-Service (RaaS) mereka. Inisiatif ini dimulai oleh admin RAMP yang dikenal sebagai Kajit, baru-baru ini mengaku menghabiskan beberapa waktu di China dan dapat berbicara bahasa tersebut.

Dalam RAMP versi sebelumnya, dia telah mengisyaratkan bahwa dia akan mengundang aktor ancaman China ke forum, yang tampaknya sedang berlangsung.

Namun, peretas Rusia yang mencoba berkolaborasi dengan aktor ancaman China tidak terbatas pada forum peretasan RAMP karena Flashpoint juga telah melihat kolaborasi serupa di forum peretasan XSS.

“Pada tangkapan layar di bawah, pengguna XSS “hoffman” menyapa dua anggota forum yang menyatakan diri mereka sebagai orang Cina,” jelas penelitian baru oleh Flashpoint.

Posting di forum peretasan XSS
Sumber: Flashpoint

Bulan lalu, seorang admin RAMP yang dikenal sebagai ‘Oranye’ atau ‘boriselcin’ dan yang menjalankan situs “Groove”, menerbitkan sebuah posting yang menyerukan para pelaku ancaman untuk menyerang AS.

Aktor Groove mengklaim bahwa operasi itu palsu sejak awal dan dibuat untuk menjebak dan memanipulasi media dan peneliti keamanan. Peneliti keamanan dari McAfee dan Intel 471 percaya bahwa ini kemungkinan hanya pelaku ancaman yang mencoba menutupi fakta bahwa upaya pelaku ransomware-as-a-service tidak berjalan sesuai rencana.

Namun, operasi ransomware Conti baru-baru ini diposting ke forum RAMP untuk merekrut afiliasi dan membeli akses awal ke jaringan. Geng tersebut mengatakan bahwa mereka biasanya hanya bekerja dengan peretas yang berbahasa Rusia, tetapi membuat pengecualian untuk pelaku ancaman yang berbahasa China untuk menghormati admin RAMP.

“Iklan ini dalam bahasa Rusia, karena kami hanya bekerja dengan penutur bahasa Rusia. TAPI, untuk menghormati admin, kami akan membuat pengecualian untuk pengguna berbahasa Sino dan bahkan menerjemahkan pesan ini dalam bahasa Mandarin (Anda bahkan dapat menggandakannya dalam bahasa Mandarin dan Canotonese!)”- Operasi ransomware Conti.

Conti bersedia bekerja dengan aktor ancaman berbahasa Mandarin
Sumber: BleepingComputer melalui analis ancaman anonim

Dengan demikian, tampaknya forum RAMP secara aktif mengundang aktor ancaman berbahasa China untuk berpartisipasi dalam percakapan dan serangan.

RAMP didirikan musim panas lalu oleh anggota inti geng ransomware Babuk asli, yang bertujuan untuk berfungsi sebagai tempat baru untuk membocorkan data berharga yang dicuri dari serangan siber dan merekrut afiliasi ransomware.

Kasus penting dari kebocoran semacam itu terjadi pada bulan September ketika admin RAMP memposting 498.908 kredensial Fortinet VPN untuk mengakses 12.856 perangkat di berbagai jaringan perusahaan.

Meskipun banyak dari kredensial ini sudah tua, peneliti keamanan menyatakan bahwa banyak kredensial yang masih valid dan memungkinkan forum RAMP membangun reputasi di lapangan.

Flashpoint melaporkan bahwa RAMP telah mencapai iterasi ketiga, menggunakan domain .onion baru dan mengharuskan semua pengguna sebelumnya untuk mendaftar ulang.

Selengkapnya : Bleeping Computer

Web Server Polri Diretas oleh Peretas Brasil

by

Dilansir dari CyberThreat.id, seorang peretas asal Brasil bernama son1x mengklaim bahwa ia telah meretas web server dari subdomain milik Polri. Tidak hanya satu web server namun 3 web server yang berhasil ia retas. Lebih buruknya lagi, basis data yang diduga berasal dari salah satu server, ia bagikan secara gratis di akun Twitter nya.

Peretas ini adalah peretas yang sama yang melakukan deface pada situs web Pusat Malware Nasional milik Badan Siber dan Sandi Negara pada akhir Oktober kemarin. Ia mengklaim sebetulnya bisa masuk lebih dalam lagi ke server BSSN, tapi dirinya takut dipenjara.

Baru-baru ini, ia kembali berulah dengan merusak empat subdomain Badan Pengkajian dan Penerapan Teknologi (BPPT) dan satu subdomain Goverment Certification Authority (GovCA), yaitu otoritas yang mengotentikasi pihak yang akan bertransaksi khususnya di pemerintahan. GovCa dibentuk oleh BPPT.

Ia mengatakan bahwa semenjak ia meretas BSSN, ada beberapa upaya Polri untuk mencari tahu tentang dirinya.

Basis data yang ia bocorkan berisi informasi pribadi dan kredensial pegawai Polri dan orang-orang yang terlibat di dalamnya.

Dari pengamatan CyberThreat.id, basis data tersebut berisi:

  • Nama
  • Tempat tanggal lahir
  • Satker
  • Pangkat
  • Status pernikahan
  • Jabatan
  • Alamat
  • Pangkat terakhir
  • Agama
  • Golongan darah
  • Suku
  • pen_umum_terakhir
  • pen_polri_terakhir
  • pen_jurusan_terakhir
  • pen_jenjang_terakhir
  • rehab_no_putusan
  • rehab_tanggal_putusan_sidang
  • rehab_id_jenis_pelanggaran
  • id_propam
  • s_tgl_hukuman_selesai
  • s_tgl_hukuman_mulai
  • s_tgl_rehab_mulai
  • s_tgl_rehab_selesai
  • s_tgl_binlu_mulai
  • s_tgl_binlu_selesai
  • email
  • no_hp.[]

Sumber: Cyberthreat.id

Situs WordPress diretas dalam serangan ransomware palsu

by

Gelombang serangan baru mulai akhir pekan lalu telah meretas hampir 300 situs WordPress untuk menampilkan pemberitahuan enkripsi palsu, mencoba mengelabui pemilik situs agar membayar 0,1 bitcoin untuk pemulihan.

Tuntutan tebusan ini datang dengan countdown timer untuk menimbulkan rasa urgensi dan mungkin membuat admin web panik untuk membayar uang tebusan.

Sementara permintaan tebusan 0,1 bitcoin (~$6.069.23) tidak terlalu signifikan dibandingkan dengan apa yang kita lihat pada serangan ransomware tingkat tinggi, itu masih bisa menjadi jumlah yang cukup besar bagi banyak pemilik situs web.

Serangan ini ditemukan oleh perusahaan keamanan siber Sucuri yang disewa oleh salah satu korban untuk melakukan insiden respons.

Para peneliti menemukan bahwa situs web tersebut tidak dienkripsi, melainkan pelaku ancaman memodifikasi plugin WordPress yang diinstal untuk menampilkan catatan tebusan dan countdown timer.

Selain menampilkan catatan tebusan, plugin akan memodifikasi semua posting blog WordPress dan menyetel ‘post_status’ ke ‘null’, yang menyebabkan status tidak dipublikasikan.

Dengan demikian, para aktor menciptakan ilusi sederhana namun kuat yang membuatnya tampak seolah-olah situs tersebut telah dienkripsi.

Dengan menghapus plugin dan menjalankan perintah untuk memublikasikan ulang postingan dan halaman, situs kembali ke status normalnya.

Setelah analisis lebih lanjut dari log lalu lintas jaringan, Sucuri menemukan bahwa titik pertama di mana alamat IP aktor muncul adalah panel wp-admin.

Ini berarti bahwa penyusup masuk sebagai admin di situs, baik dengan bruteforce kata sandi atau dengan sumber kredensial curian dari pasar dark web.

Selengkapnya: Bleeping Computer

Berikut adalah kampanye spam Emotet baru yang menghantam kotak surat di seluruh dunia

by

Malware Emotet mulai beraksi kemarin setelah jeda sepuluh bulan dengan beberapa kampanye spam yang mengirimkan dokumen berbahaya ke kotak surat di seluruh dunia.

Emotet adalah infeksi malware yang didistribusikan melalui kampanye spam dengan lampiran berbahaya. Jika pengguna membuka lampiran, makro atau JavaScript berbahaya akan mengunduh Emotet DLL dan memuatnya ke dalam memori menggunakan PowerShell.

Setelah dimuat, malware akan mencari dan mencuri email untuk digunakan dalam kampanye spam di masa mendatang dan menjatuhkan muatan tambahan seperti TrickBot atau Qbot yang biasanya menyebabkan infeksi ransomware.

Peneliti cybersecurity Brad Duncan menerbitkan SANS Handler Diary tentang bagaimana botnet Emotet mulai mengirim spam ke beberapa kampanye email untuk menginfeksi perangkat dengan malware Emotet.

Menurut Duncan, kampanye spam menggunakan email replay-chain untuk memikat penerima agar membuka file Word, Excel, dan file ZIP yang dilindungi kata sandi.

Email phishing rantai balasan adalah saat utas email yang sebelumnya dicuri digunakan dengan balasan palsu untuk mendistribusikan malware ke pengguna lain.

Saat Anda membuka lampiran Emotet, templat dokumen akan menyatakan bahwa pratinjau tidak tersedia dan Anda perlu mengeklik ‘Aktifkan Pengeditan’ dan ‘Aktifkan Konten’ untuk melihat konten dengan benar.

Namun, setelah Anda mengklik tombol-tombol ini, makro jahat akan diaktifkan yang meluncurkan perintah PowerShell untuk mengunduh DLL pemuat Emotet dari situs WordPress yang disusupi dan menyimpannya ke folder C:\ProgramData.

Organisasi pemantau malware dan botnet Abuse.ch telah merilis daftar 245 server perintah dan kontrol yang dapat diblokir oleh firewall perimeter untuk mencegah komunikasi dengan server perintah dan kontrol.

Memblokir komunikasi ke C2 juga akan mencegah Emotet menjatuhkan muatan lebih lanjut pada perangkat yang disusupi.

Selengkapnya: Bleeping Computer

Lubang keamanan baru di CPU Intel mengirimkan tambalan perusahaan (lagi)

by

Intel sedang memperbaiki kerentanan yang dapat dieksploitasi oleh orang yang tidak berwenang dengan akses fisik untuk menginstal firmware berbahaya pada chip untuk mengalahkan berbagai tindakan, termasuk perlindungan yang diberikan oleh Bitlocker, modul trusted platform, pembatasan anti-penyalinan, dan lainnya.

Kerentanan—ada di Pentium, Celeron, dan CPU Atom pada platform Apollo Lake, Gemini Lake, dan Gemini Lake Refresh—memungkinkan peretas terampil dengan kepemilikan chip yang terpengaruh untuk menjalankannya dalam mode debug dan pengujian yang digunakan oleh pengembang firmware. Intel dan pembuat chip lainnya berusaha keras untuk mencegah akses tersebut oleh orang yang tidak berwenang.

Setelah dalam mode pengembang, penyerang dapat mengekstrak kunci yang digunakan untuk mengenkripsi data yang disimpan di enklave TPM dan, jika TPM digunakan untuk menyimpan kunci Bitlocker, akan mengalahkan perlindungan yang terakhir itu juga.

Musuh juga dapat melewati batasan penandatanganan kode yang mencegah firmware yang tidak sah berjalan di Intel Management Engine, subsistem di dalam CPU yang rentan, dan dari sana secara permanen membuat backdoor pada chip.

Sementara serangan itu mengharuskan penyerang untuk memiliki akses fisik singkat ke perangkat yang rentan itulah skenario TPM, Bitlocker, dan codesigning dirancang untuk dimitigasi. Seluruh proses memakan waktu sekitar 10 menit.

Kerentanan seperti ini kemungkinan tidak akan pernah dieksploitasi dalam serangan tanpa pandang bulu, tetapi setidaknya secara teoritis, dapat digunakan dalam kasus di mana musuh dengan sumber daya yang cukup besar mengejar target bernilai tinggi.

Maka dari itu pengguna dianjurkan untuk menginstal pembaruan pada mesin apa pun yang terpengaruh.

Selengkapnya: Ars Technica

Rumah sakit berisiko tinggi terkena serangan siber, tetapi pasien tidak menyadarinya

by

Southern Ohio Medical Center, sebuah rumah sakit nirlaba di Portsmouth, Ohio, membatalkan janji untuk hari Jumat lalu dan mengalihkan ambulans setelah terkena serangan cyber pada hari Kamis. Ini adalah bagian dari serangkaian serangan yang meningkat terhadap organisasi perawatan kesehatan dalam dua tahun terakhir — sebuah tren yang dapat memiliki konsekuensi serius bagi perawatan pasien.

Tetapi sementara para ahli teknologi informasi sangat menyadari bahwa risiko serangan siber yang membahayakan data pasien dan mematikan sistem komputer sedang meningkat, pasien tampaknya tidak demikian, menurut laporan baru oleh perusahaan keamanan siber Armis.

Faktanya, lebih dari 60 persen orang di masyarakat umum yang disurvei dalam laporan baru mengatakan mereka belum pernah mendengar serangan siber dalam perawatan kesehatan dalam dua tahun terakhir.

Besarnya serangan selama pandemi COVID-19 mengejutkan para ahli, yang mengatakan bahwa geng ransomware menargetkan rumah sakit lebih agresif daripada sebelumnya. Tidak seperti serangan terhadap bank atau sekolah yang juga umum terjadi, serangan terhadap layanan kesehatan berpotensi melukai orang secara langsung.

Sementara 61 persen pasien potensial yang disurvei belum pernah mendengar tentang serangan siber di layanan kesehatan dalam beberapa tahun terakhir, sekitar sepertiga responden mengatakan bahwa mereka pernah menjadi korban serangan siber di sistem kesehatan.

Laporan tersebut juga memusatkan perhatian pada kesenjangan antara kesadaran orang-orang akan serangan siber layanan kesehatan dan tingkat kepedulian mereka terhadap masalah tersebut.

Sekitar setengah dari orang yang disurvei mengatakan bahwa mereka akan pindah rumah sakit jika ada serangan siber, dan lebih dari 70 persen mengatakan mereka berpikir serangan itu bisa berdampak pada perawatan mereka.

Selengkapnya: The Verge

Malware Emotet Balik Lagi dan Membuat Botnet dengan TrickBot

by Leave a Comment

Malware Emotet dianggap sebagai malware yang paling banyak menyebar di masa lalu, menggunakan kampanye spam dan lampiran berbahaya untuk mendistribusikan malware.

Emotet kemudian akan menggunakan perangkat yang terinfeksi untuk melakukan kampanye spam lainnya dan menginstal muatan lain, seperti malware QakBot (Qbot) dan Trickbot. Muatan ini kemudian akan digunakan untuk memberikan akses awal ke aktor ancaman untuk menyebarkan ransomware, termasuk Ryuk, Conti, ProLock, Egregor, dan banyak lainnya.

Hari ini, para peneliti dari Cryptolaemus, GData, dan Advanced Intel telah melihat malware TrickBot menjatuhkan loader untuk Emotet pada perangkat yang terinfeksi.

Pakar emotet dan peneliti Cryptolaemus Joseph Roosen mengatakan kepada BleepingComputer bahwa mereka belum melihat tanda-tanda botnet Emotet melakukan aktivitas spamming atau menemukan dokumen berbahaya menjatuhkan malware.

Kurangnya aktivitas spamming ini kemungkinan disebabkan oleh pembangunan kembali infrastruktur Emotet dari awal dan email rantai balasan baru yang dicuri dari korban dalam kampanye spam di masa depan.

Kelompok riset Emotet Cryptolaemus telah mulai menganalisis loader Emotet baru dan mengatakan kepada BleepingComputer bahwa itu termasuk perubahan baru dibandingkan dengan varian sebelumnya.

“Ini adalah tanda awal dari kemungkinan adanya aktivitas Emotet malware yang terjadi menyebabkan operasi ransomware penting secara global mengurangi kekurangan ekosistem komoditas,” Kremez mengatakan pada BleepingComputer dalam percakapan.

“Ini juga memberitahu kita bahwa takedown tak mencegah musuh mendapatkan malware builder dan mendirikan sistem backend yang baru.”

Upaya Perlindungan dari Emotet botnet

Organisasi nirlaba pelacakan malware Abuse.ch telah merilis daftar server perintah dan kontrol yang digunakan oleh botnet Emotet baru dan sangat menyarankan administrator jaringan memblokir alamat IP terkait untuk mencegah perangkat mereka direkrut ke dalam botnet Emotet yang baru direformasi.

Selengkapnya: Bleepingcomputer