Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Region / Russia

Russia

Meta: Pejabat Ukraina, militer yang ditargetkan oleh peretas Ghostwriter

by

Facebook (sekarang dikenal sebagai Meta) mengatakan telah menghapus akun yang digunakan oleh kelompok peretas yang terkait dengan Belarusia (UNC1151 atau Ghostwriter) untuk menargetkan pejabat Ukraina dan personel militer di platformnya.

Pada November 2021, peneliti keamanan Mandiant menghubungkan kelompok ancaman UNC1151 dengan kepercayaan tinggi kepada pemerintah Belarusia, serta operasi peretasan yang dilacak perusahaan sebagai Ghostwriter.

Facebook telah memblokir beberapa domain phishing yang digunakan oleh pelaku ancaman untuk mencoba dan menyusupi akun pengguna Ukraina.

“Kami juga memblokir domain phishing yang digunakan peretas ini untuk mencoba menipu orang-orang di Ukraina agar mengkompromikan akun online mereka.”

Akun yang diyakini menjadi target dalam kampanye ini telah diamankan oleh tim keamanan Facebook, dan pengguna telah diberitahu tentang upaya peretasan.

Facebook juga menghapus jaringan kecil dari beberapa lusin Halaman dan Grup Facebook dan Instagram yang beroperasi dari Rusia dan Ukraina dan menargetkan warga Ukraina melalui akun palsu di berbagai platform media sosial, termasuk Facebook, Instagram, Twitter, YouTube, Telegram, Odnoklassniki, dan VK.

Operasi ini juga berada di balik sejumlah kecil situs yang menyamar sebagai portal berita independen dan menerbitkan klaim tentang Ukraina yang dikhianati oleh Barat dan “menjadi negara gagal.”

Laporan Meta mengkonfirmasi peringatan yang dikeluarkan oleh Computer Emergency Response Team of Ukraine (CERT-UA) pada hari Jumat mengenai serangan spearphishing yang menargetkan akun email pribadi militer Ukraina.

Akun email yang dikompromikan dalam serangan ini kemudian digunakan untuk menargetkan kontak korban dengan pesan phishing serupa yang mengancam untuk menonaktifkan akun mereka secara permanen kecuali mereka memverifikasi informasi kontak mereka.

Layanan Komunikasi Khusus dan Perlindungan Informasi Negara Ukraina (SSSCIP) juga memperingatkan serangkaian serangan phishing yang terpisah dan berkelanjutan yang menargetkan warga Ukraina dengan dokumen berbahaya.

Perusahaan keamanan internet Slovakia ESET mengeluarkan peringatannya sendiri pada hari yang sama mengenai penjahat dunia maya yang menyamar sebagai organisasi kemanusiaan untuk menipu donor organisasi yang berfokus membantu Ukraina selama perang yang dimulai Kamis oleh invasi Rusia.

Serangan ini mengikuti serangan penghapusan data terhadap jaringan Ukraina dengan malware HermeticWiper dan umpan ransomware yang bertujuan untuk menghancurkan data dan membuat perangkat tidak dapat di-boot. Pada bulan Januari, Ukraina juga terkena wiper data ketika wiper WhisperGate dikerahkan dalam serangan yang disamarkan sebagai ransomware.

Selama akhir pekan, Wakil Perdana Menteri Ukraina Mykhailo Fedorov mengumumkan pembentukan “tentara TI” untuk membantu Ukraina “bertarung di front cyber.”

Sumber : Bleeping Computer

Obrolan internal Conti ransomware bocor setelah berpihak pada Rusia

by

Seorang peneliti keamanan Ukraina telah membocorkan lebih dari 60.000 pesan internal milik operasi ransomware Conti setelah geng tersebut memihak Rusia atas invasi ke Ukraina.

CEO AdvIntel Vitali Kremez, yang telah melacak operasi Conti/TrickBot selama beberapa tahun terakhir, juga mengkonfirmasi kepada bahwa pesan yang bocor itu valid dan diambil dari server log untuk sistem komunikasi Jabber yang digunakan oleh geng ransomware.

Kremez mengatakan bahwa data tersebut dibocorkan oleh seorang peneliti yang memiliki akses ke backend “database ejabberd” untuk server obrolan XMPP Conti. Ini juga dikonfirmasi oleh perusahaan keamanan siber Hold Security.

Total ada 393 file JSON bocor yang berisi total 60.694 pesan sejak 21 Januari 2021 hingga hari ini.

Percakapan Conti yang bocor

Percakapan ini berisi berbagai informasi tentang aktivitas geng, termasuk korban yang sebelumnya tidak dilaporkan, URL kebocoran data pribadi, alamat bitcoin, dan diskusi tentang operasi mereka.

Misalnya, percakapan di bawah ini adalah anggota Conti bertanya-tanya bagaimana BleepingComputer mengetahui serangan mereka terhadap Shutterfly pada bulan Desember.

Percakapan yang dibagikan dengan BleepingComputer tentang Shutterfly

Kremez juga membagikan cuplikan percakapan yang dia temukan membahas bagaimana operasi TrickBot ditutup.

Diskusi tentang penutupan TrickBot

Ada juga percakapan tentang operasi ransomware Diavol Conti/TrickBot dan 239 alamat bitcoin yang berisi pembayaran $13 juta, yang ditambahkan ke situs Ransomwhere.

Kebocoran pesan-pesan ini merupakan pukulan telak bagi operasi ransomware, yang memberikan intelijen sensitif kepada para peneliti dan penegak hukum tentang proses internal mereka.

Awal pekan ini, operasi ransomware Conti menerbitkan sebuah posting blog yang mengumumkan dukungan penuh mereka untuk serangan pemerintah Rusia di Ukraina. Mereka juga memperingatkan bahwa jika ada yang mengorganisir serangan siber terhadap Rusia, geng Conti akan menyerang kembali infrastruktur penting.

Setelah afiliasi Conti Ukraina menjadi marah karena berpihak pada Rusia, geng Conti mengganti pesan mereka dengan yang lain, menyatakan bahwa mereka “tidak bersekutu dengan pemerintah mana pun” dan bahwa mereka “mengutuk perang yang sedang berlangsung.”

Namun, perubahan hati mereka datang terlambat, dan seorang peneliti keamanan Ukraina yang dilaporkan memiliki akses ke server XMPP backend Conti mengirim email ke BleepingComputer dan jurnalis lain malam ini dengan tautan ke data yang bocor.

Di sisi lain, Ukraina telah meminta peneliti sukarelawan dan peretas untuk bergabung dengan “Tentara TI” mereka untuk melakukan serangan siber terhadap target Rusia, dengan banyak yang mendukung seruan tersebut.

Adapun Conti, meskipun kebocoran ini memalukan dan memberikan wawasan luas tentang operasi mereka, kami tidak akan melihat mereka pergi dalam waktu dekat. Dengan mereka baru-baru ini mengambil alih malware BazarBackdoor yang tersembunyi dan menjadi sindikat kejahatan yang sebenarnya, sayangnya, mereka akan terus menjadi ancaman.

Sumber :

AS mengatakan peretas negara Rusia mengintai di jaringan kontraktor pertahanan selama berbulan-bulan

by

Peretas yang didukung oleh pemerintah Rusia telah menembus jaringan beberapa kontraktor pertahanan AS dalam kampanye berkelanjutan yang telah mengungkapkan informasi sensitif tentang infrastruktur komunikasi pengembangan senjata AS, kata pemerintah federal pada hari Rabu.

Kampanye dimulai pada Januari 2020 dan berlanjut hingga bulan ini, menurut penasihat bersama oleh FBI, Badan Keamanan Nasional, dan Badan Keamanan Cybersecurity dan Infrastruktur. Para peretas telah menargetkan dan berhasil meretas kontraktor pertahanan yang dibersihkan, atau CDC, yang mendukung kontrak untuk Departemen Pertahanan AS dan komunitas intelijen.

“Selama periode dua tahun ini, para aktor ini telah mempertahankan akses terus-menerus ke beberapa jaringan CDC, dalam beberapa kasus setidaknya selama enam bulan,” tulis para pejabat dalam nasihat tersebut. “Dalam kasus ketika para aktor telah berhasil memperoleh akses, FBI, NSA, dan CISA telah mencatat pemusnahan email dan data secara teratur dan berulang. Misalnya, pada saat kompromi pada tahun 2021, pelaku ancaman melakukan eksfiltrasi ratusan dokumen terkait produk perusahaan, hubungan dengan negara lain, serta personel internal dan masalah hukum.”

Dokumen-dokumen yang diekstraksi telah memasukkan informasi eksklusif CDC dan dikendalikan ekspor yang tidak terklasifikasi. Informasi ini memberikan pemerintah Rusia “wawasan yang signifikan” ke dalam pengembangan platform senjata AS dan jadwal waktu penyebaran, rencana infrastruktur komunikasi, dan teknologi khusus yang digunakan oleh pemerintah dan militer AS. Dokumen tersebut juga mencakup email yang tidak diklasifikasikan di antara karyawan dan pelanggan pemerintah mereka yang membahas perincian kepemilikan tentang penelitian teknologi dan ilmiah.

Para peretas telah menggunakan berbagai metode untuk menembus target mereka. Metodenya termasuk memanen kata sandi jaringan melalui spear-phishing, pelanggaran data, teknik cracking, dan eksploitasi kerentanan perangkat lunak yang belum ditambal.

Setelah mendapatkan pijakan di jaringan yang ditargetkan, pelaku ancaman meningkatkan hak sistem mereka dengan memetakan Direktori Aktif dan menghubungkan ke pengontrol domain. Dari sana, mereka dapat mengekstrak kredensial untuk semua akun lain dan membuat akun baru.

Peretas menggunakan server pribadi virtual untuk mengenkripsi komunikasi mereka dan menyembunyikan identitas mereka, tambah penasihat itu. Mereka juga menggunakan perangkat “kantor kecil dan kantor rumah (SOHO), sebagai simpul operasional untuk menghindari deteksi.” Pada tahun 2018, Rusia ketahuan menginfeksi lebih dari 500.000 router konsumen sehingga perangkat tersebut dapat digunakan untuk menginfeksi jaringan tempat mereka terhubung, mengekstrak kata sandi, dan memanipulasi lalu lintas yang melewati perangkat yang disusupi.

“Dalam beberapa kasus, pelaku ancaman mempertahankan akses terus-menerus selama setidaknya enam bulan,” kata penasihat bersama. “Meskipun para pelaku telah menggunakan berbagai malware untuk mempertahankan persistensi, FBI, NSA, dan CISA juga telah mengamati intrusi yang tidak bergantung pada malware atau mekanisme persistensi lainnya. Dalam kasus ini, kemungkinan pelaku ancaman mengandalkan kepemilikan kredensial yang sah untuk bertahan, memungkinkan mereka untuk beralih ke akun lain, sesuai kebutuhan, untuk mempertahankan akses ke lingkungan yang disusupi.”

Penasihat berisi daftar indikator teknis yang dapat digunakan admin untuk menentukan apakah jaringan mereka telah disusupi dalam kampanye. Selanjutnya mendesak semua CDC untuk menyelidiki aktivitas mencurigakan di lingkungan perusahaan dan cloud mereka.

Sumber : Arstechnica

Regulator Eropa dan AS Memberi Tahu Bank Untuk Bersiap Menghadapi Ancaman Serangan Siber Rusia

by

Dilansir dari Reuters, Bank Sentral Eropa (ECB) sedang mempersiapkan bank-bank untuk adanya kemungkinan serangan siber yang datang dari Rusia ketika ketegangan dengan Ukraina meningkat, dua orang yang mengetahui masalah tersebut mengatakan, saat kawasan itu bersiap menghadapi dampak finansial dari setiap konflik.

Kebuntuan antara Rusia dan Ukraina telah mengguncang para pemimpin politik dan bisnis Eropa, yang takut akan invasi yang akan menimbulkan kerusakan di seluruh wilayah.

Sementara regulator selama ini fokus pada penipuan biasa yang berkembang pesat selama pandemi, krisis Ukraina telah mengalihkan perhatiannya ke serangan siber yang diluncurkan dari Rusia, kata salah satu sumber, menambahkan bahwa ECB telah menanyai bank tentang pertahanan mereka.

Kekhawatiran ini tercermin di seluruh dunia.

Departemen Layanan Keuangan New York mengeluarkan peringatan kepada lembaga keuangan pada akhir Januari, peringatan serangan siber pembalasan jika Rusia menyerang Ukraina dan memicu sanksi AS, menurut Regulatory Intelligence Thomson Reuters.

Awal tahun ini, beberapa situs web Ukraina terkena serangan dunia maya yang meninggalkan peringatan untuk “takut dan mengharapkan yang terburuk”, karena Rusia telah mengumpulkan pasukan di dekat perbatasan Ukraina.

Para pejabat Rusia mengatakan Barat dicengkeram oleh Russophobia dan tidak memiliki hak untuk menceramahi Moskow untuk bertindak setelah negara itu memperluas aliansi militer NATO ke arah timur sejak jatuhnya Uni Soviet pada 1991.

Kremlin juga berulang kali membantah bahwa negara Rusia ada hubungannya dengan peretasan di seluruh dunia dan mengatakan siap bekerja sama dengan Amerika Serikat dan negara lain untuk menindak kejahatan dunia maya.

Meskipun demikian, regulator di Eropa sangat waspada akan adanya serangan siber dari Rusia.

Sumber: Reuters

LockBit, BlackCat, Swissport, Astaga! Aktivitas Ransomware Tetap Kuat

by

Penegakan hukum, eksekutif C-suite, dan komunitas keamanan telah fokus untuk menghentikan rentetan serangan ransomware. Namun meskipun demikian, langkah-langkah terbaru dari geng LockBit 2.0 dan BlackCat, ditambah pukulan akhir pekan ini di perusahaan logistik darat bandara Swissport, menunjukkan momok masih jauh dari selesai.

Kelompok ransomware telah meningkatkan lebih sedikit serangan dengan permintaan ransomware yang lebih tinggi, Coveware telah melaporkan, menemukan bahwa rata-rata pembayaran ransomware pada kuartal keempat tahun lalu naik 130 persen mencapai $322.168 . Demikian juga, Coveware menemukan lonjakan 63 persen dalam pembayaran tebusan rata-rata, hingga $117.116.

“Pergeseran taktis melibatkan upaya yang disengaja untuk memeras perusahaan yang cukup besar untuk membayar sejumlah uang tebusan ‘permainan besar’ tetapi cukup kecil untuk menjaga biaya operasi serangan dan mengakibatkan perhatian media dan penegakan hukum tetap rendah.”

Grup yang Ingin Menurunkan Profilnya
“Proporsi perusahaan yang diserang dalam ukuran 1.000 hingga 10.000 karyawan meningkat dari 8 persen di Q3 menjadi 14 persen di Q4,” para peneliti menemukan. “Pembayaran tebusan rata-rata hanya dalam ember karyawan ini jauh di utara satu juta dolar, yang menyeret jumlah rata-rata dan median Q4 lebih tinggi.”

Rebranding BlackCat, Ancaman Pemerasan Tiga Kali
BlackCat, juga dikenal sebagai ALPHV, operasi RaaS pemula, sedang meningkat dan dengan cepat merekrut afiliasi, menurut Graham Cluley dari Tripwire kelompok tersebut telah mulai menambahkan tekanan bagi korban mereka untuk membayar dengan tidak hanya mencuri data mereka dan mengancam akan merilisnya, tetapi juga menjanjikan penolakan layanan (DDoS) yang melumpuhkan jika mereka menolak untuk membayar taktik ransomware yang dikenal sebagai “pemerasan tiga kali lipat.”

Pertama kali ditemukan oleh MalwareHunterTeam, operator ransomware BlackCat berkode Rust menyebut diri mereka ALPHV, tetapi MalwareHunterTeam menjuluki mereka BlackCat setelah gambar yang digunakan pada halaman pembayaran yang harus dikunjungi korban di Tor untuk membayar. Laporan tersebut juga mengkonfirmasi bahwa BlackCat pada dasarnya adalah merek ulang, menambahkan anggota grup telah mengonfirmasi bahwa mereka adalah anggota grup BlackMatter/DarkSide sebelumnya.

LockBit 2.0 adalah kelompok lain yang menambahkan tekanan pada korbannya untuk membayar dengan ancaman untuk merilis data pelanggan perusahaan dan itu juga tidak terlalu rendah.

LockBit 2.0 baru-baru ini mengambil kredit untuk melanggar platform pertukaran cryptocurrency playbito.com, pemburu ancaman DarkTracer tweeted. Peneliti juga memposting peringatan dari LockBit2.0 bahwa grup tersebut akan mempublikasikan data pribadi lebih dari 100.000 pengguna platform kecuali uang tebusan dibayarkan pada 21 Februari.

“FBI mencari informasi apa pun yang dapat dibagikan, untuk memasukkan log batas yang menunjukkan komunikasi ke dan dari alamat IP asing, contoh catatan tebusan, komunikasi dengan pelaku ancaman, informasi dompet Bitcoin, file dekripsi, dan/atau sampel jinak. dari file terenkripsi,” kata peringatan FBI, menambahkan bahwa departemen tidak mendorong pembayaran uang tebusan, tetapi memahami keputusan bisnis perlu dibuat untuk menjaga operasi tetap berjalan.

Serangan Swissport: Ransomware Masih Kuat
Selama akhir pekan, Swissport dijatuhkan oleh serangan ransomware yang menyebabkan penundaan 22 penerbangan dari Zurich, Swiss, menurut juru bicara bandara yang berbicara dengan Der Speigel.

Penelitian terbaru dari Trellix menunjukkan bahwa bergerak maju pada tahun 2022, layanan keuangan akan dibombardir dengan serangan ransomware. Dari kuartal kedua hingga ketiga tahun 2021, serangan terhadap sektor keuangan dan asuransi meningkat sebesar 21 persen, diikuti oleh peningkatan hanya 7 persen pada serangan perawatan kesehatan, catat perusahaan itu.

Sumber : Threat Post

Pemerintah Ukraina Secara Resmi Menuduh Rusia atas Serangan Siber Baru-baru ini

by

Pemerintah Ukraina secara resmi menuduh Rusia mendalangi serangan yang menargetkan situs web lembaga publik dan lembaga pemerintah pekan lalu.

“Semua bukti menunjukkan fakta bahwa Rusia berada di balik serangan siber,” kata Kementerian Transformasi Digital dalam sebuah pernyataan. “Moskow terus mengobarkan perang hibrida dan secara aktif membangun kekuatan di bidang informasi dan dunia maya.”

Tujuan serangan itu, kata kementerian itu, “tidak hanya untuk mengintimidasi masyarakat,” tetapi juga “menggoyahkan situasi di Ukraina dengan menghentikan pekerjaan sektor publik dan merusak kepercayaan pada pemerintah di pihak Ukraina.”

Rusia, telah membantah berada di balik intrusi tersebut. “Kami tidak ada hubungannya dengan itu, dan Rusia tidak ada hubungannya dengan serangan siber ini,” Dmitry Peskov, sekretaris pers untuk Presiden Vladimir Putin, mengatakan “Kami hampir terbiasa dengan fakta bahwa Ukraina menyalahkan segalanya pada Rusia, bahkan cuaca buruk mereka.”

Pengungkapan itu muncul ketika sejumlah situs web pemerintah Ukraina dirusak pada hari Jumat dengan pesan tidak menyenangkan yang mengancam warganya untuk “takut dan mengharapkan yang terburuk” dan menuduh informasi pribadi mereka telah diretas.

Menurut Layanan Keamanan Ukraina (SSU), serangan itu diyakini telah dilakukan setelah aktor jahat memperoleh akses ke infrastruktur perusahaan swasta yang memiliki hak untuk mengelola beberapa situs web yang terpengaruh.

Secara terpisah, Microsoft memperingatkan malware penghapus data destruktif yang menyamar sebagai ransomware yang digunakan dalam serangan terhadap banyak organisasi di Ukraina. Perusahaan, yang menyebut keluarga malware baru ini WhisperGate, mengaitkannya dengan kluster ancaman yang dilacaknya sebagai DEV-0586.

Sumber : The Hacker News

Rusia Tuntut 8 Tersangka Anggota Geng Ransomware REvil

by

Delapan anggota operasi ransomware REvil yang telah ditahan oleh petugas Rusia saat ini menghadapi tuntutan pidana atas aktivitas ilegal mereka.

Pada hari Jumat, Dinas Keamanan Federal (FSB) Federasi Rusia – dinas intelijen domestik negara itu, mengumumkan penggerebekan di rumah 14 orang yang diduga menjadi bagian dari geng ransomware REvil.

Operasi itu dilakukan bekerja sama dengan Kementerian Dalam Negeri Rusia setelah pihak berwenang AS melaporkan pemimpin kelompok itu dan menuntut tindakan terhadap penjahat dunia maya yang tinggal di Rusia.

Nama-nama para tersangka tidak diketahui sampai hari ini ketika Pengadilan Tverskoi Moskow mengidentifikasi delapan orang dari dokumen penangkapan mereka:

  • Muromsky Romawi
  • Bessonov Andrey
  • Golovachuk Mikhail A.
  • Zayets Artem N.
  • Khansvyarov Ruslan A.
  • Korotayev Dmitry V.
  • Puzyrevsky D.D.
  • Malozemov Alexei V.

Para tersangka telah dipenjara selama dua bulan sebagai tindakan pencegahan dan semuanya diselidiki karena peredaran ilegal alat pembayaran (kartu kredit palsu dan dokumen pembayaran lainnya, cryptocurrency).

Yelisey Boguslavskiy, kepala penelitian di advIntel threat prevention, mengatakan bahwa individu yang ditangkap kemungkinan adalah afiliasi tingkat rendah dan bukan inti dari operasi REvil, yang mengembangkan malware dan mempertahankan operasi ransomware-as-a-service (RaaS).

Semua orang yang ditangkap dituduh melakukan kejahatan berdasarkan Bagian 2 dari Pasal 187 KUHP Federasi Rusia, kata Kantor Berita Rusia TASS, yang membawa hukuman antara lima dan delapan tahun penjara.

Menurut Martin Matishak dari The Record, seorang pejabat senior pemerintahan Biden mengatakan bahwa salah satu dari 14 tersangka yang digerebek juga bertanggung jawab atas serangan ransomware yang mengganggu operasi Colonial Pipeline. Malware ini digunakan oleh geng ransomware DarkSide, kemudian berganti nama menjadi BlackMatter.

Selengkapnya: Bleepingcomputer

Google Mengganggu Botnet Glupteba Besar-besaran, Menuntut Operator Rusia

by

Google mengumumkan hari ini bahwa mereka telah mengambil tindakan untuk mengganggu botnet Glupteba yang sekarang mengendalikan lebih dari 1 juta PC Windows di seluruh dunia, tumbuh oleh ribuan perangkat baru yang terinfeksi setiap hari.

Glupteba adalah malware yang mendukung blockchain dan modular yang telah menargetkan perangkat Windows di seluruh dunia setidaknya sejak 2011, termasuk AS, India, Brasil, dan negara-negara dari Asia Tenggara.

Aktor ancaman di balik strain malware ini terutama mendistribusikan muatan ke perangkat target melalui jaringan pay-per-install (PPI) dan lalu lintas yang dibeli dari sistem distribusi lalu lintas (TDS) yang disamarkan sebagai “perangkat lunak, video, atau film gratis yang dapat diunduh.”

Setelah menginfeksi host, ia dapat menambang cryptocurrency, mencuri kredensial dan cookie pengguna, dan menyebarkan proxy pada sistem Windows dan perangkat IoT, yang kemudian dijual sebagai ‘proxy perumahan’ ke penjahat dunia maya lainnya.

Sebagai bagian dari upaya bersama Google untuk mengganggu botnet, perusahaan mengambil alih infrastruktur perintah dan kontrol utama Glupteba (C2), yang menggunakan mekanisme cadangan blockchain Bitcoin untuk menambah ketahanan jika server C2 utama berhenti merespons.

“Kami percaya tindakan ini akan berdampak signifikan pada operasi Glupteba,” kata Shane Huntley dan Luca Nagy dari Google Threat Analysis Group.

“Namun, operator Glupteba kemungkinan akan mencoba untuk mendapatkan kembali kendali atas botnet menggunakan perintah cadangan dan mekanisme kontrol yang menggunakan data yang dikodekan pada blockchain Bitcoin.”

Tindakan hukum terhadap gangguan botnet

Google juga mengajukan perintah penahanan sementara dan pengaduan di Distrik Selatan New York terhadap dua terdakwa Rusia (Dmitry Starovikov dan Alexander Filippov) dan 15 orang tak dikenal lainnya.

Keluhan tersebut mengklaim bahwa 17 terdakwa adalah orang-orang yang mengoperasikan dan mengkoordinasikan serangan Glupteba dengan tujuan akhir mencuri akun pengguna dan info kartu kredit, menjual penempatan iklan dan akses proxy pada perangkat yang terinfeksi, dan menambang cryptocurrency dalam penipuan dan penyalahgunaan komputer, pelanggaran merek dagang, dan skema lainnya.

Di antara layanan online yang ditawarkan oleh operator botnet Glupteba, Google menyebutkan “menjual akses ke mesin virtual yang sarat dengan kredensial curian (jangan [.] farm), akses proxy (awmproxy), dan menjual nomor kartu kredit (extracard) untuk digunakan untuk kegiatan berbahaya lainnya seperti menayangkan iklan berbahaya dan penipuan pembayaran di Google Ads.

“Sifat blockchain yang terdesentralisasi memungkinkan botnet pulih lebih cepat dari gangguan, membuat mereka jauh lebih sulit untuk ditutup. “Kami bekerja sama dengan industri dan pemerintah saat kami memerangi perilaku semacam ini, sehingga bahkan jika Glupteba kembali, internet akan lebih terlindungi darinya.”

Pada hari Senin, Microsoft juga menyita puluhan situs berbahaya yang digunakan oleh kelompok peretasan yang berbasis di Nickel China (alias KE3CHANG, APT15, Vixen Panda, Royal APT, dan Playful Dragon) untuk menargetkan server milik organisasi pemerintah, entitas diplomatik, dan organisasi non-pemerintah (LSM) di AS dan 28 negara lain di seluruh dunia.

Sumber: Bleepingcomputer