Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Hampir 500 juta akun WhatsApp bocor secara online — apa yang harus dilakukan sekarang

by

Menerima panggilan atau pesan WhatsApp dari nomor yang tidak dikenal? Akun Anda bisa berisiko spam atau bahkan penipuan karena jutaan nomor telepon akun WhatsApp saat ini dijual di forum peretasan.

Seperti dilansir Cybernews (buka di tab baru), seseorang menjual database 2022 dari 487 juta nomor ponsel WhatsApp. Ini termasuk akun dari 84 negara seperti AS, Inggris, Rusia, Mesir, dan banyak lainnya. Rupanya ada 32 juta catatan AS termasuk serta 11 juta dari Inggris.

WhatsApp memiliki sekitar dua miliar pengguna aktif bulanan di seluruh dunia dan kebocoran ini membahayakan hampir setengah miliar pengguna.

Cybernews juga menunjukkan bahwa akun yang bocor semuanya milik pengguna WhatsApp aktif. Penjual dapat memperoleh nomor telepon dengan proses yang disebut scraping, yang mengacu pada pengumpulan informasi dalam skala besar – meskipun ini melanggar persyaratan layanan WhatsApp.

Penjual juga mengungkapkan bahwa mereka menjual data AS seharga $7.000. Perusahaan induk WhatsApp, Meta belum mengeluarkan pernyataan tentang kebocoran itu.Jenis informasi yang bocor dalam hal ini, nomor telepon pengguna WhatsApp, terutama digunakan untuk serangan phishing, penipuan atau untuk mengirim spam.

Jika Anda adalah pengguna WhatsApp aktif, waspadalah terhadap nomor tak dikenal yang mencoba mengirimi Anda pesan atau menghubungi Anda di platform.

Selengkapnya: tom’s guide

Cyber-Mercenaries Menargetkan Pengguna Android dengan Aplikasi VPN Palsu

by

Grup peretasan bayaran mendistribusikan aplikasi berbahaya melalui situs web SecureVPN palsu yang memungkinkan aplikasi Android diunduh dari Google Play, kata para peneliti di Eset.

Versi Trojan dari dua aplikasi sah yang digunakan oleh penyerang
Versi Trojan dari dua aplikasi sah yang digunakan oleh penyerang

Dijuluki “Bahamut,” peneliti dari perusahaan keamanan siber menemukan setidaknya delapan versi spyware. Aplikasi tersebut digunakan sebagai bagian dari kampanye jahat yang menggunakan versi Trojan dari dua aplikasi yang sah – SoftVPN dan OpenVPN. Dalam kedua kasus, aplikasi dikemas ulang dengan spyware Bahamut.

“Tujuan utama dari modifikasi aplikasi adalah untuk mengekstrak data pengguna yang sensitif dan secara aktif memata-matai aplikasi perpesanan korban,” kata para peneliti.

Eksfiltrasi data sensitif dilakukan melalui keylogging, menyalahgunakan layanan aksesibilitas Android. Itu juga dapat secara aktif memata-matai pesan obrolan yang dipertukarkan melalui aplikasi perpesanan populer termasuk Signal, Viber, WhatsApp, Telegram, dan Facebook Messenger.

Vektor serangan awalnya yaitu pesan spearphishing dan aplikasi palsu, yang tujuannya adalah untuk mencuri informasi sensitif dari korbannya.

Aplikasi jahat dikirimkan melalui situs web thiscurevpn[.]com, spoof dari situs securevpn yang sebenarnya tetapi tidak memiliki konten atau gaya layanan SecureVPN yang sah (di domain securevpn.com).

Thiscurevpn[.]com terdaftar pada 27-01-2020, tetapi tanggal distribusi awal aplikasi SecureVPN palsu tidak diketahui.

Sejak distribusi spyware Bahamut melalui situs web dimulai, delapan versi spyware telah tersedia untuk diunduh.

  • SecureVPN_104.apk;
  • SecureVPN_105.apk;
  • SecureVPN_106.apk;
  • SecureVPN_107.apk;
  • SecureVPN_108.apk;
  • SecureVPN_109.apk;
  • SecureVPN_1010.apk;
  • SecureVPN_1010b.apk.

Selengkapnya: Data Breach Today

AS melarang perangkat telekomunikasi China, dengan alasan ‘keamanan nasional’

by

Komisi Komunikasi Federal Amerika Serikat (FCC) telah mengumumkan larangan telekomunikasi dan peralatan pengawasan video dari merek-merek terkemuka China, termasuk Huawei dan ZTE, dengan alasan “risiko yang tidak dapat diterima terhadap keamanan nasional”.

Lima anggota FCC mengatakan pada hari Jumat bahwa mereka telah memilih dengan suara bulat untuk mengadopsi aturan baru yang akan memblokir impor atau penjualan produk yang ditargetkan.

“Keputusan bulat kami merupakan pertama kalinya dalam sejarah FCC bahwa kami telah memilih untuk melarang otorisasi komunikasi dan peralatan elektronik berdasarkan pertimbangan keamanan nasional,” kata Komisaris FCC Brendan Carr dalam sebuah pernyataan pada hari Jumat.

Dia menambahkan bahwa langkah itu memiliki “dukungan bipartisan yang luas” di antara kepemimpinan kongres AS.

Pejabat keamanan AS telah memperingatkan bahwa peralatan dari merek China seperti Huawei dapat digunakan untuk mengganggu jaringan nirkabel generasi kelima (5G) dan mengumpulkan informasi sensitif.

Larangan itu adalah langkah terbaru dalam dorongan selama bertahun-tahun “untuk menjaga keamanan jaringan AS” dengan mengidentifikasi dan melarang perangkat yang dianggap sebagai ancaman keamanan, kata FCC.

Inisiatif hari Jumat juga mencakup larangan Hytera Communications, Perusahaan Teknologi Digital Hikvision Hangzhou, dan Perusahaan Teknologi Dahua.

Huawei menolak memberikan komentar kepada kantor berita Reuters. ZTE, Dahua, Hikvision dan Hytera tidak segera menanggapi permintaan komentar.

Selengkapnya: Al Jazeera

Ducktail Hacker Group Berkembang, Menargetkan Akun Bisnis Facebook

by

Operasi peretasan yang berbasis di Vietnam yang dijuluki “Ducktail” menargetkan individu dan perusahaan yang beroperasi di platform Iklan dan Bisnis Facebook.

Peneliti keamanan di WithSecure menemukan kampanye tersebut awal tahun ini dan menjelaskan perkembangan baru dalam sebuah nasihat yang diterbitkan sebelumnya hari ini.

“Kami tidak melihat tanda-tanda Ducktail akan segera melambat, tetapi melihat mereka berkembang pesat dalam menghadapi kemunduran operasional,” komentar peneliti WithSecure Mohammad Kazem Hassan Nejad.

“Sampai saat ini, tim operasional di belakang Ducktail tampaknya kecil, tetapi itu telah berubah.”

Selanjutnya, Ducktail telah melakukan upaya penghindaran pertahanan lanjutan dan berkelanjutan dengan mengubah format file dan kompilasi serta sertifikat tanda tangan.

Grup tersebut juga akan berinvestasi dalam pengembangan sumber daya dan perluasan operasional dengan mendirikan bisnis palsu lainnya di Vietnam dan mengikutsertakan afiliasi ke dalam operasi tersebut.

“Serangan Ransomware mendapat banyak perhatian, tetapi ancaman seperti Ducktail dapat menyebabkan kerugian finansial dan merek yang besar dan tidak boleh diabaikan,” jelas Paolo Palumbo, wakil presiden WithSecure.

“Dengan meningkatnya aktivitas, afiliasi baru, dan bisnis palsu, kami mengharapkan peningkatan insiden terkait Ducktail di masa mendatang.”

Untuk mempertahankan diri dari kampanye ini dan kampanye serupa, peneliti WithSecure telah merekomendasikan perusahaan untuk memastikan karyawan mereka memiliki akun terpisah untuk tujuan pribadi dan bisnis.

Selengkapnya: Info Security Magazine

Peringatan Lorenz Ransomware: Risiko pada Sektor Layanan Kesehatan dan Sektor Publik

by

Organisasi kesehatan dan sektor publik besar terus diserang oleh penyerang yang menggunakan ransomware Lorenz, pakar keamanan siber memperingatkan.

“Lorenz digunakan untuk menargetkan organisasi yang lebih besar dalam apa yang disebut ‘perburuan besar’, dan mempublikasikan data secara publik sebagai bagian dari menekan korban dalam proses pemerasan,” menurut peringatan keamanan baru dari Departemen Kesehatan dan Layanan Kemanusiaan AS.

“Relatif sedikit yang diketahui tentang Lorenz dibandingkan dengan banyak operator ransomware lainnya,” kata Pusat Koordinasi Keamanan Siber Sektor Kesehatan HHS, atau HC3.

Ransomware Lorenz pertama kali terlihat di alam liar pada Februari 2021, dan tampaknya terkait dengan ransomware sZ40 – pertama kali terlihat pada Oktober 2020 – serta ransomware ThunderCrypt, yang berasal dari Mei 2017, menurut HHS.

Di antara kesamaan: “Lorenz menggunakan encryptor yang sama dengan ThunderCrypt, yang dapat menunjukkan operasi oleh grup yang sama, atau pembelian atau pencurian kode.” Selain itu, file yang dienkripsi oleh Lorenz memiliki .Lorenz.sz40 yang ditambahkan ke nama file.

Korban Lorenz yang diketahui termasuk Wolfe Eye Clinic di Iowa, yang menjadi korban pada April 2021, dan menolak membayar uang tebusan. Informasi kesehatan yang dilindungi hingga 500.000 pasien terpapar.

Di antara korban baru-baru ini, Lorenz pada 14 November mengklaim melalui situs kebocoran datanya telah melanggar Salud Family Health of Colorado, lapor firma intelijen ancaman Kela.

KEmudian diikuti oleh Salud Family Health pada bulan Oktober memperingatkan HHS bahwa mereka telah mengalami pelanggaran pada bulan September yang mempengaruhi jumlah pasien yang belum ditentukan, seperti yang pertama kali dilaporkan oleh Databreaches.net.

Dalam pemberitahuan pelanggarannya, Salud memberi tahu para korban bahwa “nama, nomor Jaminan Sosial, nomor SIM atau nomor kartu identitas Colorado, informasi akun keuangan/nomor kartu kredit, nomor paspor, informasi perawatan medis dan diagnosis, informasi asuransi kesehatan, data biometrik, dan nama pengguna dan kata sandi” mungkin telah terungkap.

Selengkapnya: Data Breach Today

Pembaruan Windows Server baru menyebabkan macet pada domain controller, dimulai ulang

by

Microsoft sedang menyelidiki kebocoran memori LSASS (yang disebabkan oleh pembaruan Windows Server yang dirilis selama Patch November Selasa) yang mungkin menyebabkan pembekuan dan restart pada beberapa pengontrol domain.

LSASS (kependekan dari Local Security Authority Subsystem Service) bertanggung jawab untuk menegakkan kebijakan keamanan pada sistem Windows, dan menangani pembuatan token akses, perubahan kata sandi, dan login pengguna.

Jika layanan ini mogok, pengguna yang masuk segera kehilangan akses ke akun Windows di mesin, dan mereka diperlihatkan kesalahan restart sistem diikuti dengan reboot sistem.

“LSASS mungkin menggunakan lebih banyak memori dari waktu ke waktu dan DC mungkin menjadi tidak responsif dan memulai ulang,” Microsoft menjelaskan di dasbor Windows Health.

“Tergantung pada beban kerja DC Anda dan jumlah waktu sejak terakhir kali server dihidupkan ulang, LSASS mungkin terus meningkatkan penggunaan memori dengan waktu aktif server Anda dan server mungkin menjadi tidak responsif atau memulai ulang secara otomatis.”

Redmond mengatakan bahwa pembaruan Windows out-of-band didorong untuk mengatasi masalah otentikasi pada pengontrol domain Windows mungkin juga terpengaruh oleh masalah yang diketahui ini.

Daftar lengkap versi Windows yang terpengaruh termasuk Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1, dan Windows Server 2008 SP2.

Microsoft sedang mengerjakan resolusi dan mengatakan akan memberikan pembaruan dengan rilis yang akan datang.

Selengkapnya: Bleeping Computer

Pencuri profesional: scammer oportunistik yang menargetkan pengguna Steam, Roblox, dan Amazon di 111 negara

by

Group-IB, salah satu pemimpin global dalam keamanan siber, telah mengidentifikasi 34 kelompok berbahasa Rusia yang mendistribusikan malware pencuri informasi dengan model stealer-as-a-service. Penjahat dunia maya terutama menggunakan pencuri Racoon dan Redline untuk mendapatkan kata sandi untuk akun game di Steam dan Roblox, kredensial untuk Amazon dan PayPal, serta catatan pembayaran pengguna dan informasi dompet kripto.

Dalam tujuh bulan pertama tahun 2022, geng-geng tersebut secara kolektif menginfeksi lebih dari 890.000 perangkat pengguna dan mencuri lebih dari 50 juta kata sandi. Semua kelompok yang diidentifikasi mengatur serangan mereka melalui kelompok Telegram berbahasa Rusia, meskipun mereka terutama menargetkan pengguna di Amerika Serikat, Brasil, India, Jerman, dan Indonesia. Pada tahun 2022, malware pencuri informasi telah berkembang menjadi salah satu ancaman digital paling serius.

Menurut tim Perlindungan Risiko Digital Grup-IB, (bagian dari Platform Risiko Terpadu), grup dan bot Telegram massal yang dirancang untuk mendistribusikan pencuri info pertama kali muncul pada awal tahun 2021. Dengan menyelidiki sejumlah akun, analis Grup-IB dapat untuk mengkonfirmasi bahwa anggota dari beberapa kelompok penipuan yang sebelumnya berpartisipasi dalam skema Classiscam mulai menggunakan pencuri. Pada tahun 2021 dan 2022, pakar Grup-IB mengidentifikasi 34 grup aktif di Telegram. Rata-rata, grup distribusi pencuri info tersebut memiliki sekitar 200 anggota aktif.

Pencuri paling populer di antara kelompok yang diperiksa oleh Grup-IB adalah RedLine, yang digunakan oleh 23 dari 34 geng. Racoon menempati urutan kedua: 8 kelompok menggunakan alat ini. Pencuri kustom digunakan di 3 komunitas. Administrator biasanya memberi pekerja RedLine dan Racoon dengan imbalan bagian dari data atau uang yang dicuri. Namun, malware yang dimaksud ditawarkan untuk disewa di web gelap seharga $150-200 per bulan. Beberapa kelompok menggunakan 3 pencuri pada saat yang sama, sementara yang lain hanya memiliki satu pencuri di gudang senjata mereka.

5 besar negara yang paling sering diserang pada tahun 2022 adalah Amerika Serikat, Brasil, India, Jerman, dan Indonesia dengan masing-masing 91.565, 86.043, 53.988, 40.750, dan 35.345 perangkat yang terinfeksi.

Selengkapnya: Group-IB

34 Grup Cybercrime Rusia Mencuri Lebih dari 50 Juta Kata Sandi dengan Malware Stealer

by

Sebanyak 34 geng berbahasa Rusia mendistribusikan malware pencuri informasi di bawah model pencuri sebagai layanan mencuri tidak kurang dari 50 juta kata sandi dalam tujuh bulan pertama tahun 2022.

Mayoritas korban berada di AS, diikuti oleh Brasil, India, Jerman, Indonesia, Filipina, Prancis, Turki, Vietnam, dan Italia. Secara total, lebih dari 890.000 perangkat di 111 negara terinfeksi selama jangka waktu tersebut.

Group-IB mengatakan anggota dari beberapa grup scam yang menyebarkan pencuri informasi sebelumnya berpartisipasi dalam operasi Classiscam.

Setelah kompromi yang berhasil, para penjahat dunia maya menjajakan informasi yang dicuri di web gelap untuk mendapatkan uang.

Perkembangan tersebut menyoroti peran penting yang dimainkan oleh Telegram dalam memfasilitasi berbagai kegiatan kriminal, termasuk berfungsi sebagai pusat untuk mengumumkan pembaruan produk, menawarkan dukungan pelanggan, dan mengekstraksi data dari perangkat yang disusupi.

Temuan ini juga mengikuti laporan baru dari SEKOIA, yang mengungkapkan bahwa tujuh tim traffer yang berbeda telah menambahkan pencuri informasi yang sedang naik daun yang dikenal sebagai Aurora ke perangkat mereka.

“Popularitas skema yang melibatkan pencuri dapat dijelaskan dengan hambatan masuk yang rendah,” jelas Group-IB. “Pemula tidak perlu memiliki pengetahuan teknis lanjutan karena prosesnya sepenuhnya otomatis dan satu-satunya tugas pekerja adalah membuat file dengan pencuri di bot Telegram dan mengarahkan lalu lintas ke sana.”

sumber : the hacker news