Threat

Operator ransomware Egregor ditangkap di Ukraina

February 15, 2021 by Winnie the Pooh

Anggota dari ransomware Egregor telah ditangkap minggu ini di Ukraina, stasiun radio Prancis France Inter melaporkan pada hari Jumat, mengutip sumber penegakan hukum.

Penangkapan tersebut, yang belum diumumkan secara resmi, merupakan hasil penyelidikan bersama antara polisi Prancis dan Ukraina.

Nama-nama tersangka belum dirilis. France Inter mengatakan tersangka yang ditangkap memberikan dukungan hacking, logistik, dan keuangan untuk geng Egregor.

Geng Egregor, yang mulai beroperasi pada September 2020, beroperasi berdasarkan model Ransomware-as-a-Service (RaaS). Mereka menyewakan akses ke jenis ransomware yang sebenarnya, tetapi mereka mengandalkan geng kejahatan siber lain untuk mengatur intrusi ke jaringan perusahaan dan menyebarkan ransomware.

Para korban yang menolak membayar biaya pemerasan sering kali terdaftar di situs yang disebut “situs kebocoran”, dengan harapan mempermalukan mereka agar membayar permintaan tebusan. Para korban yang tidak membayar seringkali memiliki dokumen dan file internal yang dibagikan di situs kebocoran Egregor sebagai hukuman.

Menurut laporan France Inter, para tersangka yang ditangkap dipercayai beberapa “afiliasi” (atau mitra) dari geng Egregor, yang membantu menopang operasinya.

France Inter mengatakan pihak berwenang Prancis terlibat dalam penyelidikan setelah beberapa perusahaan besar Prancis dilanda Egregor tahun lalu, seperti studio game Ubisoft dan perusahaan logistik Gefco.

Selengkapnya: ZDNet

Eksklusif: FBI melaporkan banjir serangan ransomware, perusahaan perawatan kesehatan dikepung

February 15, 2021 by Winnie the Pooh

Peningkatan keluhan ransomware membanjiri FBI pada bulan-bulan terakhir tahun 2020, termasuk serentetan serangan terhadap rumah sakit, The Washington Times telah mempelajari.

Dalam empat bulan terakhir tahun 2020, FBI menerima lebih dari 200 keluhan tentang ransomware, menurut data yang dikumpulkan oleh Internet Crime Complaint Center FBI yang dibagikan dengan The Times.

Kerugian tunai para korban meningkat lebih dari tiga kali lipat pada tahun 2020 dari tahun ke tahun menjadi $29,1 juta, menurut data yang dikumpulkan oleh FBI.

Keluhan memuncak pada bulan Oktober dengan 302 laporan ransomware, yang merupakan perangkat lunak berbahaya yang menginfeksi sistem komputer dan mengancam untuk mempublikasikan data korban atau memblokir akses ke sana kecuali uang tebusan dibayarkan.

FBI tidak melacak serangan ransomware dari segi industri, tetapi laporan pada saat yang sama menunjukkan bahwa industri perawatan kesehatan sedang dikepung.

Serangan ransomware terbukti lebih berhasil dan berkembang lebih canggih, kata Brett Callow, analis ancaman di perusahaan perangkat lunak Emsisoft.

Dia mengatakan orang-orang yang berada di balik serangan ransomware dulu hanya mengenkripsi data tetapi sekarang juga mencoba mencurinya sebagai pengaruh ekstra untuk mendapatkan keuntungan dari kejahatan mereka.

Selengkapnya: Washington Times

Seorang Pria Menunjukkan Apa yang Dilihat Peretas Saat Mereka Mengakses Komputer Anda

February 15, 2021 by Winnie the Pooh

Matthew Linkert, dari Kanada, memposting klip ke akunnya yang menjelaskan seberapa besar kebebasan yang berpotensi dimiliki peretas jika mereka masuk ke perangkat Anda.

Dalam klip tersebut, dia menjelaskan bahwa dia menggunakan program yang sekarang sudah tidak berfungsi bernama Orcus, yang memungkinkan seseorang meretas komputer dan melakukan apa yang mereka inginkan – bahkan mengakses kamera Anda.

Menunjukkan bahwa ini untuk ‘tujuan pendidikan saja’, Matt mengatakan: “Program khusus ini disebut ‘Orcus’, ini adalah RAT, yang merupakan singkatan dari ‘Remote Administration Tool’ (Alat Administrasi Jarak Jauh), dan digunakan untuk mengakses komputer Anda, melihat semua file Anda , kamera web Anda, ketukan keyboard, semuanya.

Dalam video selanjutnya, Matt menunjukkan bahwa Anda tidak bisa benar-benar mendapatkan Orcus lagi, dan Anda tidak boleh mencobanya.

Video tersebut dapat Anda lihat pada link ini.

Sumber: Lad Bible

Hati-hati dengan tautan ke situs web Discord – bisa jadi itu adalah malware [updated]

February 14, 2021 by Winnie the Pooh

Peretas jahat dan penjahat online menggunakan jaringan penyimpanan file Discord untuk menyimpan dan mendistribusikan malware yang ditautkan dari atau dilampirkan ke email spam, kata perusahaan keamanan Zscaler dalam sebuah laporan baru.

Tidak ada bukti bahwa Discord sendiri, salah satu layanan obrolan paling populer di kalangan gamer online, membenarkan penyalahgunaan jaringannya ini.

Di antara jenis malware yang saat ini menyerang pemain game dari server Discord, kata Zscaler, adalah ransomware Epsilon, pencuri informasi Redline, penambang cryptocurrency XMRig, dan berbagai “perampas token” yang mencuri informasi login Discord sementara.

Sebagai tanggapan atas pertanyaan kami, juru bicara Discord memberi kami pernyataan ini:

“Discord bergantung pada campuran pemindaian proaktif dan laporan reaktif untuk mendeteksi malware dan virus di layanan kami. Setelah kami mengetahui kasus ini, kami segera menghapus konten. Sehubungan dengan kasus khusus ini, kami menyelidiki situasinya dan menghapus yang terpengaruh kandungan.”

selengkapnya : TomsGuide

Avaddon ransomware memperbaiki cacat yang memungkinkan dekripsi gratis

February 13, 2021 by Winnie the Pooh

Geng ransomware Avaddon telah memperbaiki bug yang memungkinkan korban memulihkan file mereka tanpa membayar uang tebusan. Cacat ini terungkap setelah peneliti keamanan mengeksploitasinya untuk membuat decryptor.

Pada hari Selasa, Javier Yuste, Ph.D. mahasiswa di Universitas Rey Juan Carlos, menerbitkan decryptor untuk Avaddon Ransomware di halaman GitHub-nya dan merilis laporan yang menjelaskan cacat melalui ArXiv.

Menurut penelitian Yuste, ketika ransomware Avaddon mengenkripsi perangkat, ia membuat kunci sesi enkripsi AES256 unik yang digunakan untuk mengenkripsi dan mendekripsi file.

Namun, kekurangan dalam cara ransomware membersihkan kunci ini memungkinkan Yuste membuat dekripsi yang mengambil kunci dari memori selama komputer belum dimatikan sejak dienkripsi.

Penting untuk diingat bahwa ransomware dan pelaku ancaman mengikuti Twitter dan umpan berita yang sama dengan yang Anda lakukan.

BleepingComputer juga telah dihubungi berkali-kali oleh pelaku ancaman yang ingin mengklarifikasi suatu poin dalam artikel atau memberi tahu kami informasi lebih lanjut.

Oleh karena itu, selalu penting untuk mengasumsikan bahwa setiap kekurangan ransomware yang diungkapkan secara terbuka juga akan dilihat oleh pelaku ancaman.

Kami telah melihat ini secara historis dengan CryptoDefense, DarkSide, dan sekarang Avaddon.

Untuk alasan ini, sebagian besar ahli ransomware tidak berpikir perusahaan keamanan dan peneliti harus mempublikasikan kelemahan atau dekripsi enkripsi karena memungkinkan pelaku ancaman untuk memperbaiki bug di malware mereka.

Sebaliknya, disarankan agar mereka yang membuat decryptor menjangkau perusahaan antivirus, firma penanganan insiden, penegak hukum, dan komunitas seperti BleepingComputer yang biasanya membantu korban ransomware.

Decryptors ini kemudian dapat digunakan oleh organisasi-organisasi ini untuk membantu korban secara pribadi, sementara pada saat yang sama tidak mengungkapkan secara publik kepada pengembang ransomware bagaimana memperbaiki kekurangan mereka.

selengkapnya : BleepingComputer

3 Kerentanan di TinyCheck yang didukung Kaspersky

February 13, 2021 by Winnie the Pooh

Dalam penelitian terbaru Sayfer, menemukan 3 kerentanan berbeda di TinyCheck, alat sumber terbuka yang dikembangkan dan diterbitkan oleh Félix Aimé, salah satu pakar GReAT Kaspersky. Setiap kerentanan memiliki tingkat keparahan yang tinggi. Setelah digabungkan menjadi sebuah rantai, penyerang jarak jauh dapat memanfaatkannya untuk mendapatkan RCE (eksekusi kode jarak jauh) pada mesin TinyCheck jarak jauh.

Singkatnya, Sayfer menggunakan kredensial default TinyCheck untuk mengedit dua bagian dalam file konfigurasi:

Yang pertama, menambahkan muatan berbahaya, yang akan dieksekusi nanti melalui kerentanan injeksi perintah.
Yang kedua, menambahkan URL ke daftar yang akan menyebabkan SSRF, yang nantinya akan memicu muatan berbahaya dari bagian pertama.

Kerentanan # 1 – Kredensial Default
Ini adalah yang paling sederhana dari 3 kerentanan, tetapi penting untuk keseluruhan serangan. Secara default, TinyCheck hadir dengan kredensial default “tinycheck” sebagai nama pengguna dan kata sandi.

Kerentanan # 2 – SSRF
Server side request forget (SSRF) selalu menarik dan sering kali diabaikan oleh pengembang atau peneliti keamanan. Dengan mengeksploitasi kerentanan ini, Sayfer dapat memaksa server untuk membuat permintaan HTTP. Ini berguna untuk melewati firewall atau untuk mengakses jaringan internal, yang sebelumnya tidak dapat diakses.

Kerentanan # 3 – Command Injection
Sayfer mulai menyelidiki server “frontend”. Jangan bingung dengan namanya, ini adalah server Flask, bukan hanya frontend JS.

Dengan memiliki dunia titik akhir yang benar-benar baru dari kerentanan SSRF, Sayfer memeriksa kelas layanan, fungsi, dan utilitas yang mungkin dapat dieksploitasi.

selengkapnya : Sayfer

Peretas Cyberpunk dan Witcher melelang kode sumber curian seharga jutaan dolar

February 13, 2021 by Winnie the Pooh

Para peretas yang menargetkan pengembang video game CD Projekt Red (CDPR) dengan serangan ransomware telah melelang kode sumber curian yang mereka peroleh dengan bayaran jutaan dolar.

Pelanggaran, yang pertama kali diungkapkan CDPR kemarin setelah mempelajarinya pada hari Senin minggu ini, melibatkan kode permainan penting yang terkait dengan rilis profil tinggi seperti The Witcher 3 dan Cyberpunk 2077. CDPR mengatakan pada saat itu bahwa mereka tidak berniat untuk bertemu dengan para peretas ‘tuntutan, bahkan jika itu berarti materi curian dari peretasan mulai beredar secara online.

Itu mulai terjadi tidak lama kemudian. Pada hari Rabu, kebocoran informasi kode sumber yang berpotensi sah mulai muncul di forum online, seperti yang dicatat di Twitter oleh akun keamanan siber vx-underground.

selengkapnya : TheVerge

PayPal memperbaiki kerentanan reflected XSS dalam konverter mata uang dompet pengguna

February 12, 2021 by Winnie the Pooh

PayPal telah menyelesaikan kerentanan reflected cross-site scripting (XSS) yang ditemukan di fitur pengonversi mata uang di dompet pengguna.

Pertama kali diungkapkan pada 19 Februari 2020, oleh pemburu bug bounty yang menggunakan nama “Cr33pb0y” di HackerOne, kerentanan ini digambarkan sebagai masalah “reflected XSS dan CSP bypass”.

Dalam pengungkapan terbatas, yang diterbitkan pada 10 Februari – hampir setahun setelah peneliti melaporkan masalah tersebut secara pribadi – PayPal mengatakan bug itu ada di endpoint konversi mata uang dan disebabkan oleh kegagalan untuk membersihkan input pengguna dengan benar.

Parameter URL yang lemah gagal membersihkan masukan yang dapat memungkinkan pelaku ancaman untuk memasukkan JavaScript, HTML, atau kode berbahaya lainnya “yang dapat dijalankan oleh browser”, menurut advisory tersebut.

Akibatnya, muatan berbahaya dapat terpicu di Document Object Model (DOM) dari halaman browser korban tanpa sepengetahuan atau persetujuan mereka.

Biasanya, serangan reflected XSS mencerminkan skrip dari sumber web ke browser dan mungkin hanya mengharuskan korban untuk mengklik tautan berbahaya untuk memicunya. Muatan dapat digunakan untuk mencuri cookie, token sesi, atau informasi akun, atau dapat digunakan sebagai langkah dalam serangan yang lebih luas.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings