Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

RARBG, salah satu pelacak torrent bajakan terbesar di dunia, telah ditutup.

by

RARBG, salah satu pelacak torrent bajakan terbesar di dunia, telah ditutup. Pelacak torrent ini mengkhususkan diri dalam rilisan bajakan film dan serial TV. Diluncurkan pada tahun 2008 sebagai pelacak BitTorrent Bulgaria, RARBG cepat mengubah profilnya untuk menjangkau audiens internasional dengan fokus pada rilisan berbahasa Inggris.

Menariknya, RARBG ditutup dengan sukarela, menjadi salah satu kasus jarang di mana pelacak torrent menutup sendiri. Alasan penutupan termasuk konsekuensi dari pandemi, kenaikan harga listrik, inflasi, dan serangan Rusia terhadap Ukraina. Tim RARBG mengklaim bahwa beberapa anggota tim terlibat dalam perang, baik di pihak Pasukan Bersenjata Ukraina maupun pendudukan Rusia.

Dalam pernyataan resmi mereka, tim RARBG menyebutkan bahwa dua tahun terakhir telah sulit bagi mereka. Beberapa anggota tim meninggal akibat komplikasi COVID-19, sementara yang lain masih menderita efek sampingnya dan tidak dapat bekerja. Selain itu, kenaikan harga listrik di pusat data di Eropa dan inflasi membuat biaya operasional tidak lagi dapat ditanggung.

Sebagai hasilnya, RARBG mengambil keputusan untuk menutup situs tersebut. Mereka menyampaikan permintaan maaf kepada pengguna mereka dan mengucapkan selamat tinggal. Sebelum penutupannya, pada Januari 2023, RARBG merupakan pelacak torrent terpopuler keempat di dunia.

Penutupan RARBG menandai akhir dari salah satu pelacak torrent terbesar di dunia, yang telah menjadi tujuan bagi banyak pengguna untuk mengunduh konten bajakan. Meskipun kontroversial, keberadaan platform seperti RARBG mencerminkan tantangan dalam menangani pelanggaran hak cipta dan perlindungan konten digital di era internet.

Sumber: Mezha Media

Spyware Ditemukan di Aplikasi Google Play dengan Unduhan Lebih dari 420 Juta

by

Perusahaan antivirus Doctor Web baru-baru ini mengungkapkan adanya spyware di lebih dari 100 aplikasi Android di Google Play. Total unduhan dari aplikasi-aplikasi ini mencapai lebih dari 420 juta.

Spyware ini disebut SpinOk dan tersebar dalam bentuk SDK pemasaran. Pada perangkat korban, SpinOk dapat mengumpulkan informasi file, mengirim file kepada penyerang, dan mencuri konten clipboard.

Modul jahat ini menawarkan permainan mini, tugas, dan hadiah palsu untuk menjaga minat pengguna terhadap aplikasi-aplikasi tersebut.

SpinOk terhubung ke server command-and-control (C&C) setelah dieksekusi. Ia mengirim informasi perangkat, termasuk data dari sensor, yang digunakan untuk mendeteksi lingkungan emulator. Server merespons dengan sejumlah URL yang digunakan untuk menampilkan iklan melalui WebView.

Selain itu, SpinOk dapat mengumpulkan daftar file dalam direktori tertentu, memeriksa keberadaan file dan direktori spesifik, mengunggah file dari perangkat, dan mengganti konten clipboard.

Dengan kemampuannya yang berbahaya, modul trojan ini memungkinkan para penyerang untuk mendapatkan informasi dan file rahasia dari perangkat pengguna. Untuk melakukan ini, penyerang perlu menambahkan kode tertentu ke halaman iklan.

Doctor Web telah melaporkan temuannya kepada Google, dan beberapa aplikasi sudah dihapus. Namun, perlu diingat bahwa tidak semua versi aplikasi mengandung SDK jahat tersebut.

Beberapa aplikasi populer yang terdampak meliputi Noizz dengan lebih dari 100 juta unduhan, Zapya dengan lebih dari 100 juta unduhan (versi 6.3.3 hingga 6.4), VFly dengan lebih dari 50 juta unduhan, MVBit dengan lebih dari 50 juta unduhan, dan Biugo dengan lebih dari 50 juta unduhan. Doctor Web telah merilis daftar lengkap aplikasi yang terinfeksi untuk informasi lebih lanjut.

Sumber: Securityweek

Gigabyte Systems Mengalami Kerentanan Firmware Kritis yang Membahayakan Jutaan Perangkat

by

Pada April 2023, peneliti keamanan cyber menemukan perilaku mencurigakan dalam sistem Gigabyte yang memungkinkan perangkat-perangkatnya terinfeksi oleh eksekutor Windows melalui firmware UEFI. Eksekutor tersebut dapat mengunduh pembaruan dalam format yang tidak aman.

Eclypsium, perusahaan keamanan firmware, berhasil mendeteksi anomali ini dan menginformasikan masalah ini kepada Gigabyte, yang telah mengakui dan menangani masalah tersebut.

John Loucaides, wakil presiden senior strategi di Eclypsium, menjelaskan bahwa sebagian besar firmware Gigabyte mengandung eksekutor biner Windows Native yang tertanam di dalam firmware UEFI. Eksekutor tersebut akan dieksekusi saat perangkat dinyalakan, mirip dengan serangan agen ganda LoJack. Melalui metode yang tidak aman, eksekutor ini dapat mengunduh dan menjalankan biner tambahan.

Eclypsium juga menemukan bahwa aplikasi berbasis .NET yang ada dalam firmware tersebut dapat mengunduh dan menjalankan pembaruan dari server Gigabyte melalui protokol HTTP biasa. Hal ini membuka kemungkinan serangan oleh pihak yang tidak bertanggung jawab melalui router yang terinfeksi.

Kerentanan ini dapat mempengaruhi sekitar 7 juta perangkat Gigabyte, dengan sekitar 364 sistem terkena dampak secara kasar. Ancaman ini serius karena malware yang disisipkan dalam firmware dapat bertahan bahkan jika perangkat dihapus dan sistem operasi diinstal ulang.

Untuk melindungi diri, disarankan agar pengguna menerapkan pembaruan firmware terbaru dan memeriksa fitur “APP Center Download & Install” dalam Pengaturan UEFI/BIOS untuk menonaktifkannya. Selain itu, pengguna juga disarankan untuk mengatur kata sandi BIOS guna mencegah perubahan yang tidak sah.

Sumber: The Hackernews

Mata-mata Pribadi Dipekerjakan oleh FBI dan Perusahaan-Perusahaan Menyusup Perselisihan, Reddit, WhatsApp

by

Perusahaan “ancaman intelijen” terkemuka menciptakan persona online palsu untuk mendapatkan akses ke setiap sudut web.

Nampaknya persona internet anonim dengan avatar kartun anime di obrolan Discord (mungkin) sebenarnya adalah kontraktor yang dikirim untuk memata-matai Anda.

Mereka menciptakan identitas palsu dan nama pengguna palsu untuk mendapatkan akses ke platform seperti Discord, grup WhatsApp, forum Reddit, dan papan pesan web gelap.

Tujuan mereka adalah untuk mengumpulkan informasi pribadi dan membantu klien korporat dan pemerintah dalam memantau ancaman yang berpotensi, seperti peretas politik dan perdagangan ilegal sandi curian.

Beberapa perusahaan yang terlibat dalam industri ini termasuk ZeroFox, DarkOwl, Searchlight Cyber, Recorded Future, CyberInt, dan Flashpoint. Mereka bekerja sama dengan penegak hukum dan lembaga pemerintah, dan sering kali memiliki kontrak dengan mereka.

Namun, pengawasan yang lebih besar terhadap komunitas online pribadi juga memunculkan kekhawatiran tentang pelanggaran hak privasi dan kebebasan sipil. Industri ini masih sangat rahasia, dan informasi tentang praktik mereka terbatas.

DarkOwl, Searchlight Cyber, CyberInt, banyak dari perusahaan ini mempertahankan hubungan dekat dengan penegak hukum dan lembaga pemerintah. Beberapa saat ini terikat kontrak dengan Biro Investigasi Federal atau intelijen militer.

Setelah mendapatkan akses ke platform media sosial tradisional, pemerintah federal sekarang mengarahkan pandangannya pada komunitas online swasta di mana kelompok teroris, aktivis politik radikal, dan peretas dapat beroperasi dengan relatif bebas.

Perusahaan-perusahaan intelijen ancaman mengklaim bahwa mereka tidak melanggar persyaratan layanan saat mengakses ruang obrolan dan forum online. Keberadaan mereka meningkatkan kekhawatiran tentang pelanggaran kebebasan sipil dan hak konstitusional terhadap penggeledahan dan penyitaan yang tidak wajar.

Beberapa perusahaan intelijen ancaman, seperti ZeroFox dan DarkOwl, mengklaim bahwa semua tindakan mereka diperiksa oleh tim hukum dan mereka memberi tahu otoritas pemerintah ketika menemukan ancaman terhadap keamanan.

Sejumlah individu dan kelompok, termasuk Renée DiResta dari Stanford Internet Observatory, telah mendorong untuk lebih banyak pengawasan ruang obrolan dan komunitas game, menganggapnya sebagai ancaman intelijen.

Beberapa jurnalis mendesak tindakan keras terhadap platform perpesanan pribadi dan bahwa kurangnya visibilitas penegakan hukum terhadap platform seperti Discord menjadi perhatian.

Selengkapnya: Lee Fang

PyPI Mengumumkan Kebijakan Untuk Wajib Menggunakan 2FA Bagi Semua Software Publisher

by

PyPI, mengumumkan penggunaan otentikasi dua faktor (2FA) yang wajib bagi semua penerbit perangkat lunak. Langkah ini diambil untuk meningkatkan keamanan platform dan melindungi pengguna dari serangan peretasan.

PyPI adalah repositori sentral yang digunakan oleh pengembang Python untuk mengunggah dan mendistribusikan paket-paket perangkat lunak mereka. Dalam upaya untuk melindungi integritas dan keaslian paket yang tersedia di platform ini, PyPI telah memperkenalkan kebijakan baru yang mewajibkan penerbit perangkat lunak untuk menggunakan 2FA saat mengakses akun mereka.

Dengan menerapkan 2FA, pengguna harus memasukkan dua bentuk verifikasi saat login, biasanya berupa kombinasi antara kata sandi dan kode unik yang dihasilkan oleh aplikasi autentikasi di ponsel mereka. Dengan cara ini, kendali akses yang lebih kuat dapat diberikan kepada pemilik akun dan mengurangi risiko penyalahgunaan oleh pihak yang tidak sah.

Langkah ini merupakan langkah yang penting dalam meningkatkan keamanan lingkungan pengembangan Python. Dengan memaksa pengguna untuk menggunakan 2FA, PyPI berharap dapat mencegah serangan peretasan dan kebocoran data yang mungkin terjadi jika akun penerbit perangkat lunak dicuri atau disusupi.

Selengkapnya: Bleeping Computer

Kelompok Peretas DeltaBoys Bangkit Kembali

by

DeltaBoys, sekelompok peretas yang beroperasi sejak Desember 2021, awalnya bergerak sebagai pialang basis data dan pelaku carding. Namun, pada Agustus 2022, operasi mereka berkembang menjadi defacement massal dan pasar “akses awal”, yang menyediakan webshell untuk situs web sensitif.

Untuk mendanai operasi mereka yang memiliki motif geopolitik, mereka membangun katalog beragam basis data yang baru saja diretas, “zero-day”, “exploit untuk kerentanan yang diketahui”, webshell, dan kartu kredit yang bocor untuk dijual.

DeltaBoys membuat saluran Telegram mereka pada 1 Desember 2021 untuk memonetisasi upaya peretasan mereka. Tidak lama kemudian terbukti bahwa pasar untuk basis data tertentu lebih kecil daripada pasar yang mencari akses domain awal. Para pelaku ancaman ini memposting set pertama webshell mereka untuk dijual pada Agustus 2022.

Akses webshell biasanya terjual sangat cepat di dark web: hal ini tergantung pada siapa yang menemukan kerentanan/konfigurasi yang salah terlebih dahulu, karena secara alami, pelaku ancaman tidak ingin membagikan korban mereka. Dalam kasus ini, 170 webshell terjual dalam waktu satu menit, yang menunjukkan permintaan akan data semacam itu.

DeltaBoys muntul dengan hanya melakukan 2 defacement pada tahun 2021, sedangkan pada bulan April 2023 saja, DeltaBoys telah melakukan defacement terhadap 59 situs web, dengan sebagian besar korban berasal dari Israel, Taiwan, Tiongkok, dan Spanyol.

Kelompok DeltaBoys dikenal menggunakan utilitas “bashupload”, yang memungkinkan pengguna mengunggah file untuk diakses nanti, dan juga memfasilitasi penggalian data. Selain itu, hanya 3 dari 88 vendor antivirus yang mengindikasikan domain ini sebagai berbahaya.

Selengkapnya: CYFIRMA

Malware QBot Menyalahgunakan Windows WordPad EXE untuk Menginfeksi Perangkat

by

Operasi malware QBot telah mulai menyalahgunakan cacat pembajakan DLL di program WordPad Windows 10 untuk menginfeksi komputer, menggunakan program yang sah untuk menghindari deteksi oleh perangkat lunak keamanan.

DLL adalah file pustaka yang berisi fungsi-fungsi yang dapat digunakan oleh lebih dari satu program pada saat yang bersamaan. Saat aplikasi diluncurkan, aplikasi akan mencoba memuat DLL apa pun yang diperlukan.

Pembajakan DLL adalah saat pelaku ancaman membuat DLL berbahaya dengan nama yang sama dengan yang sah, dan menempatkannya di jalur pencarian awal Windows, biasanya folder yang sama dengan file yang dapat dieksekusi. Ketika executable itu diluncurkan, itu akan memuat DLL malware daripada yang sah dan menjalankan perintah berbahaya apa pun di dalamnya.

QBot menyalahgunakan kelemahan pembajakan WordPad DLL. QBot atau Qakbot sendiri merupakan malware Windows yang awalnya dimulai sebagai trojan perbankan tetapi berkembang menjadi dropper malware.

Geng ransomware, termasuk Black Basta, Egregor, dan Prolock, telah bermitra dengan operasi malware untuk mendapatkan akses awal ke jaringan perusahaan untuk melakukan serangan pemerasan.

Properti file document.exe, ini hanyalah salinan nama dari file yang dapat dieksekusi Write.exe yang sah yang digunakan untuk meluncurkan editor dokumen Windows 10 WordPad.

Berganti nama Windows 10 WordPad dapat dieksekusi (Sumber: BleepingComputer)
Berganti nama Windows 10 WordPad dapat dieksekusi
(Sumber: BleepingComputer)

QBot akan diam-diam berjalan di latar belakang, mencuri email untuk digunakan dalam serangan phishing lebih lanjut dan akhirnya mengunduh muatan lain, seperti Cobalt Strike.

Dengan menginstal QBot melalui program tepercaya seperti Windows 10 WordPad (write.exe), pelaku ancaman berharap perangkat lunak keamanan tidak menandai malware sebagai berbahaya.

Saat ini, operasi QBot telah beralih ke metode infeksi lain dalam beberapa minggu terakhir, tetapi tidak jarang mereka beralih ke taktik sebelumnya dalam kampanye selanjutnya.

Selengkapnya: BleepingComputer

100 Gb Rahasia Tesla Terungkap oleh Whistleblower

by

News outlet Jerman

  • Handelsblatt

    • mendapatkan bocoran data melalui informan tidak diketahui.

  • Handelsblatt

    • mengkonfirmasi keaslian data dengan Fraunhofer Institute for Secure Information Technolog. Tesla berusaha untuk menghentikan publikasi menggunakan data ini dalam pelaporannya dan bahkan mengancam tindakan hukum terhadap Handelsblatt. Publikasi, bagaimanapun, memutuskan ini adalah salah satu keadaan luar biasa ketika melaporkan pelanggaran data seperti itu akan sah berdasarkan hukum Uni Eropa.

    ISI DARI DATA
    File Tesla berisi lebih dari 2.400 keluhan akselerasi diri dan lebih dari 1.500 masalah fungsi pengereman, termasuk 139 kasus pengereman darurat yang tidak disengaja dan 383 phantom stop yang dilaporkan akibat peringatan tabrakan palsu. Jumlah kecelakaan lebih dari 1000. Tabel insiden yang melibatkan sistem bantuan pengemudi di mana pelanggan menyatakan masalah keselamatan memiliki lebih dari 3000 entri.

    Keluhan tertua yang tersedia untuk Handelsblatt berasal dari tahun 2015, yang terbaru dari Maret 2022. Selama periode ini, Tesla mengirimkan sekitar 2,6 juta kendaraan dengan perangkat lunak autopilot. Sebagian besar insiden terjadi di AS, tetapi ada juga keluhan dari Eropa dan Asia dalam dokumen – termasuk banyak dari pengemudi Tesla Jerman.

    Pelanggan dari AS dan Eropa memberi tahu Handelsblatt Tesla tidak terlalu tertarik untuk membantu masalah mereka, tetapi tampaknya lebih berniat untuk menutupi perusahaan.

    Bagaimana perusahaan menangani keluhan? File-file Tesla juga memberikan informasi tentang hal ini. File-file tersebut menunjukkan bahwa karyawan memiliki panduan yang jelas untuk berkomunikasi dengan pelanggan. Prioritas utama tentunya adalah: tawarkan sedikit serangan yang mungkin.

    Untuk setiap insiden, terdapat poin-poin penting untuk “technical reviews”. Karyawan yang memasukkan tinjauan ini ke dalam sistem dengan teratur menjelaskan bahwa laporan tersebut “hanya untuk penggunaan internal”. Setiap entri juga berisi catatan dengan huruf tebal bahwa informasi, jika ada, hanya boleh disampaikan “SECARA Lisan kepada pelanggan”.

    “Jangan menyalin dan menyisipkan laporan di bawah ini ke dalam email, pesan teks, atau meninggalkannya dalam pesan suara kepada pelanggan,” begitu dikatakan. Data kendaraan juga tidak boleh diungkapkan tanpa izin. Jika, meskipun saran ini, “keterlibatan seorang pengacara tidak dapat dicegah”, hal ini harus dicatat.

    sumber : jalopnik.com