Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for bitcoin

bitcoin

‘Cryptoqueen’ ini menipu investor hingga $4 miliar kemudian menghilang

by

Pada tahun 2016, Ruja Ignatova, pendiri OneCoin, mempromosikan perusahaannya sebagai saingan yang menguntungkan dari Bitcoin dalam pasar cryptocurrency yang tumbuh. Ignatova mengatakan kepada satu audiens pada tahun 2016 bahwa “Dalam dua tahun, tidak ada yang akan berbicara tentang Bitcoin lagi.

Namun, enam belas bulan kemudian, Ignatova menghilang setelah naik pesawat di Sofia, Bulgaria.

Otoritas menyatakan bahwa OneCoin adalah skema piramida yang menipu orang sebesar lebih dari $4 miliar saat Ignatova meyakinkan investor di AS dan seluruh dunia untuk melemparkan uang tunai ke perusahaannya.

Penuntut federal menggambarkan OneCoin sebagai salah satu skema penipuan internasional terbesar yang pernah dilakukan dan Ignatova sekarang menjadi salah satu buron FBI yang paling dicari. FBI sekarang menawarkan hadiah $100.000 untuk informasi yang membantu menangkap Ignatova.

Ignatova dan rekannya dituduh telah “menipu korban yang tidak curiga dari miliaran dolar, dengan mengklaim bahwa OneCoin akan menjadi ‘Bitcoin killer’,” kata Jaksa Agung AS Damian Williams, penuntut utama di New York, dalam sebuah pernyataan bulan lalu. “Sebenarnya, OneCoins tidak berharga sama sekali (kebohongan mereka) dirancang dengan satu tujuan, untuk membuat orang biasa di seluruh dunia untuk melepaskan uang kerja keras mereka.”

Sementara Greenwood dan Ignatova bekerja pada konsep OneCoin, mereka merujuknya dalam email sebagai “koin sampah,” kata pejabat federal dalam dokumen pengadilan. Dokumen itu menunjukkan Greenwood menggambarkan investor mereka sebagai “idiot” dan “gila” dalam email ke saudara Ignatova, Konstantin Ignatov, yang juga terlibat dalam penipuan itu dan mengambil kepemimpinan OneCoin setelah saudaranya hilang, menurut penuntut. Dia juga mengusulkan strategi keluar jika perusahaan gagal, mengatakan dalam email 2014 ke Greenwood bahwa mereka harus “mengambil uang dan lari dan menyalahkan seseorang lain untuk ini ….”

Ignatova dan mitranya menjanjikan pengembalian lima kali lipat atau bahkan sepuluh kali lipat atas investasi mereka kepada pembeli, menurut dokumen pengadilan. Kegilaan membeli pun terjadi. Antara kuartal keempat 2014 dan kuartal keempat 2016 saja, investor memberi OneCoin lebih dari $4 miliar, kata jaksa federal, mengutip catatan yang diperoleh selama penyelidikan mereka. Sekitar $50 juta berasal dari investor di AS, menurut dokumen pengadilan.

FBI sekarang menawarkan hadiah $100.000 untuk informasi yang mengarah pada penangkapannya.

“Ignatova diyakini melakukan perjalanan dengan penjaga bersenjata dan/atau rekannya. Ignatova mungkin telah menjalani operasi plastik atau mengubah penampilannya.”

Sumber: CNN Business

Mata-mata China Menggunakan Wasabi Wallet Mixer untuk Membayar Suap Bitcoin ke Agen Ganda FBI

by

Dokumen yang dirilis hari ini oleh Departemen Kehakiman AS menuduh bahwa petugas intelijen Republik Rakyat Tiongkok (RRT) membayar suap dalam Bitcoin kepada pegawai pemerintah AS, untuk mencuri dokumen dari Kantor Kejaksaan AS untuk Distrik Timur New York.

Dokumen-dokumen terkait dengan penyelidikan kriminal yang sedang berlangsung dan penuntutan terhadap perusahaan telekomunikasi yang berbasis di China yang diyakini sebagai Huawei. Namun, tidak diketahui oleh agen China, karyawan tersebut adalah agen ganda FBI.

Mata-mata RRC, Guochun He dan Zheng Wang, didakwa berusaha menghalangi penuntutan pidana perusahaan telekomunikasi, dan pencucian uang terkait dengan pembayaran suap Bitcoin senilai total $61.000. $41.000 dalam BTC dibayarkan kepada pegawai pemerintah AS pada November 2021, dan $ 20.000 lebih lanjut dalam Bitcoin dibayarkan pada Oktober 2022.

Analisis Elliptic tentang pembayaran Bitcoin yang dijelaskan dalam pengaduan pidana memberikan wawasan tentang penggunaan BTC oleh petugas intelijen China. Secara khusus, analitik blockchain mengungkapkan bahwa mata-mata China menggunakan Wasabi Wallet untuk menyembunyikan jejak transaksi mereka. Semua pembayaran suap dapat ditelusuri kembali ke Wasabi.

Analisis Elliptic menunjukkan bahwa semua pembayaran suap Bitcoin yang dilakukan oleh agen intelijen China berasal dari Wasabi Wallet.

Wasabi Wallet adalah contoh dompet privasi perangkat lunak yang digunakan untuk mencampur Bitcoin dari berbagai sumber, dan menyembunyikan asalnya.

Sifat yang sama dari aset digital yang membuatnya menarik bagi penjahat seperti resistensi sensor, nama samaran, dan kemudahan transfer lintas batas juga menjadikannya alat yang berharga bagi semua badan intelijen yang ingin mendanai operasi klandestin.

Pada tahun 2014, misalnya, Swiss Federal Intelligence Service (FIS) dilaporkan menggunakan Bitcoin untuk membayar sumber intelijen di luar negeri.

Sementara itu, badan intelijen militer Rusia, GRU, diduga menggunakan Bitcoin untuk membeli infrastruktur yang digunakan untuk meretas akun email karyawan dan sukarelawan kampanye presiden Hillary Clinton, serta sistem komputer Komite Kampanye Kongres Demokrat dan Komite Nasional Demokrat. Ini dilakukan untuk mencuri data yang digunakan untuk mencoba mempengaruhi pemilihan presiden AS 2016.

Sumber: Elliptic Connect

Peretas Mencuri Crypto dari ATM Bitcoin dengan Mengeksploitasi Bug Zero-day

by

Peretas telah mengeksploitasi kerentanan zero-day di server ATM General Bytes Bitcoin untuk mencuri cryptocurrency dari pelanggan.

Ketika pelanggan akan menyetor atau membeli cryptocurrency melalui ATM, dana tersebut malah akan disedot oleh peretas

General Bytes adalah produsen ATM Bitcoin yang, bergantung pada produknya, memungkinkan orang untuk membeli atau menjual lebih dari 40 mata uang kripto yang berbeda.

ATM Bitcoin dikendalikan oleh Server Aplikasi Kripto (CAS) jarak jauh, yang mengelola operasi ATM, mata uang kripto apa yang didukung, dan melakukan pembelian dan penjualan mata uang kripto di bursa.

Peretas mengeksploitasi CAS zero-day

Kemarin, BleepingComputer dihubungi oleh pelanggan General Bytes yang memberi tahu kami bahwa peretas mencuri bitcoin dari ATM mereka.

“Kerentanan ini telah hadir dalam perangkat lunak CAS sejak versi 20201208.”

General Bytes percaya bahwa pelaku ancaman memindai internet untuk server terbuka yang berjalan pada port TCP 7777 atau 443, termasuk server yang dihosting di Digital Ocean dan layanan cloud General Bytes sendiri.

Pelaku ancaman kemudian mengeksploitasi bug untuk menambahkan pengguna admin default bernama ‘gb’ ke CAS dan memodifikasi pengaturan crypto ‘beli’ dan ‘jual’ dan ‘alamat pembayaran tidak valid’ untuk menggunakan dompet cryptocurrency di bawah kendali peretas.

Setelah tindakan ancaman mengubah pengaturan ini, setiap cryptocurrency yang diterima oleh CAS diteruskan ke peretas sebagai gantinya.

“ATM dua arah mulai meneruskan koin ke dompet penyerang ketika pelanggan mengirim koin ke ATM,” jelas penasihat keamanan.

General Bytes memperingatkan pelanggan untuk tidak mengoperasikan ATM Bitcoin mereka sampai mereka menerapkan dua rilis patch server, 20220531.38 dan 20220725.22, di server mereka.

Mereka juga menyediakan daftar periksa langkah-langkah yang harus dilakukan pada perangkat sebelum digunakan kembali.

Penting untuk diingat bahwa pelaku ancaman tidak akan dapat melakukan serangan ini jika server di-firewall hanya untuk mengizinkan koneksi dari alamat IP tepercaya.

Oleh karena itu, sangat penting untuk mengonfigurasi firewall hanya untuk mengizinkan akses ke Server Aplikasi Kripto dari alamat IP tepercaya, seperti dari lokasi ATM atau kantor pelanggan.

Menurut informasi yang diberikan oleh BinaryEdge, saat ini ada delapan belas Server Aplikasi Crypto Bytes Umum yang masih terhubung ke Internet, dengan mayoritas berlokasi di Kanada.

Tidak jelas berapa banyak server yang dilanggar menggunakan kerentanan ini dan berapa banyak cryptocurrency yang dicuri.

BleepingComputer menghubungi General Bytes kemarin dengan pertanyaan lebih lanjut tentang serangan itu tetapi tidak menerima tanggapan.

Sumber: BleepingComputer

Ratusan database Elasticsearch ditargetkan dalam serangan tebusan

by

Peretas telah menargetkan basis data Elasticsearch yang tidak aman dan mengganti 450 indeks dengan catatan tebusan yang meminta $620 untuk memulihkan konten, dengan total permintaan $279.000.

Pelaku ancaman menetapkan tenggat waktu tujuh hari untuk pembayaran dan mengancam akan melipatgandakan permintaan setelah itu. Jika satu minggu lagi berlalu tanpa dibayar, mereka mengatakan korban akan kehilangan indeks.

Mereka yang membayar sejumlah itu dijanjikan tautan unduhan ke dump basis data mereka yang konon akan membantu memulihkan struktur data ke bentuk aslinya dengan cepat.

Kampanye ini ditemukan oleh analis ancaman di Secureworks, yang mengidentifikasi lebih dari 450 permintaan individu untuk pembayaran tebusan.

Menurut Secureworks, pelaku ancaman menggunakan skrip otomatis untuk mengurai basis data yang tidak dilindungi, menghapus data mereka, dan menambahkan uang tebusan, sehingga tampaknya tidak ada keterlibatan manual dalam operasi ini.

Catatan tebusan dijatuhkan pada basis data yang dihapus (Secureworks)

Kampanye ini bukanlah hal baru, dan kami telah melihat serangan oportunistik serupa beberapa kali sebelumnya, dan juga terhadap sistem manajemen basis data lainnya [1, 2, 3].

Memulihkan konten basis data dengan membayar peretas adalah skenario yang tidak mungkin, karena tantangan praktis dan finansial bagi penyerang untuk menyimpan data dari begitu banyak basis data tidak mungkin dilakukan.

Sebaliknya, pelaku ancaman hanya menghapus isi dari database yang tidak dilindungi dan meninggalkan catatan tebusan, berharap korban akan percaya klaim mereka. Sejauh ini, salah satu alamat dompet Bitcoin yang terlihat di catatan tebusan telah menerima satu pembayaran.

Salah satu alamat Bitcoin yang digunakan dalam kampanye (Blockchain.com)

Namun, bagi pemilik data, jika mereka tidak melakukan pencadangan rutin, kehilangan segalanya dari penghapusan semacam itu kemungkinan besar akan menyebabkan kerugian finansial yang signifikan.

Beberapa dari basis data ini mendukung layanan online, jadi selalu ada risiko gangguan bisnis yang dapat menghabiskan biaya lebih banyak daripada jumlah kecil yang diminta oleh para penjahat.

Selain itu, organisasi tidak boleh mengecualikan kemungkinan bahwa penyusup mencuri data untuk memonetisasinya dengan berbagai cara.

Sayangnya, selama database terbuka di depan publik internet tanpa mengamankannya dengan benar, serangan oportunistik ini akan terus menargetkan mereka.

Laporan terbaru oleh Group-IB menunjukkan bahwa lebih dari 100.000 instans Elasticsearch ditemukan terpapar di web pada tahun 2021, terhitung sekitar 30% dari total 308.000 database yang terpapar pada tahun 2021.

Jumlah total database yang terpapar yang terdeteksi dari awal tahun 2021 (Group-IB)

Menurut laporan yang sama, admin basis data membutuhkan rata-rata 170 hari untuk menyadari bahwa mereka telah melakukan kesalahan konfigurasi, menyisakan banyak waktu bagi pelaku jahat untuk melakukan serangan.

Seperti yang digarisbawahi oleh Secureworks, tidak ada database yang boleh dilihat oleh publik kecuali jika penting untuk peran mereka. Selain itu, jika akses jarak jauh diperlukan, admin harus mengatur otentikasi multi-faktor untuk pengguna yang berwenang dan membatasi akses hanya untuk individu yang relevan.

Organisasi yang mengalihdayakan layanan ini ke penyedia cloud harus memastikan bahwa kebijakan keamanan vendor kompatibel dengan standar mereka dan bahwa semua data terlindungi secara memadai.

Sumber: Bleeping Computer

Varian Malware MyloBot Baru – Mengirim Email Sextortion Menuntut Bitcoin

by

Varian MyloBot Malware baru mengirimkan email sextortion yang menuntut korban untuk membayar $2.732 dalam bentuk Bitcoin. Awalnya MyloBot muncul pada tahun 2018 dan dikenal dengan berbagai kemampuan anti-debugging yang canggih dan teknik propagasi untuk mengubah mesin yang terinfeksi menjadi botnet. Selain itu, ia juga menghapus jejak malware pesaing lainnya dari sistem.

Malware ini memiliki beberapa kemampuan luar biasa untuk tetap menyamar dan menghindari deteksi termasuk penundaan 14 hari sebelum dapat mengakses server perintah dan kontrolnya. Selain itu, ia juga dapat mengeksekusi binari berbahaya langsung dari memori.

Teknik pelubangan proses membantu MyloBot memanfaatkan kode serangan saat disuntikkan ke dalam proses yang ditangguhkan dan dilubangi. Ini berhasil menghindari pertahanan berbasis proses dan mencapainya dengan membuka pemetaan memori yang dialokasikan untuk proses langsung. Kemudian menggantinya dengan kode arbitrer yang akan dieksekusi, dalam hal ini, file sumber daya yang didekodekan.

Menurut laporan peneliti Minerva Labs Natalie Zargarov, “Tahap kedua yang dapat dieksekusi kemudian membuat folder baru di bawah C:\ProgramData. Itu mencari svchost.exe di bawah direktori sistem dan menjalankannya dalam keadaan ditangguhkan. Menggunakan teknik injeksi APC, ia menyuntikkan dirinya ke dalam proses svchost.exe yang muncul.”

Seperti proses pengosongan, injeksi APC adalah teknik injeksi proses yang memungkinkan penyisipan kode berbahaya ke dalam proses korban yang ada melalui antrian asynchronous procedure call (APC).

Pada fase kedua, ia membangun kegigihan pada host yang disusupi dan mendapatkan pijakan, dan menggunakannya sebagai batu loncatan untuk membangun komunikasi dengan server jarak jauh untuk mengambil dan menjalankan muatan. Yang memungkinkannya untuk memecahkan kode dan menjalankan malware tahap akhir.

Malware MyloBot dirancang untuk menyalahgunakan titik akhir untuk mengirim pesan pemerasan yang menyinggung perilaku online penerima. Ini termasuk mengunjungi situs porno dan mengancam akan membocorkan video yang diduga direkam dengan membobol webcam komputer mereka.

Menurut peneliti Minerva Labs, ia juga memiliki kemampuan untuk mengunduh file tambahan, menunjukkan bahwa pelaku ancaman meninggalkan pintu belakang untuk melakukan serangan lebih lanjut.

Zargarov lebih lanjut menambahkan, “Aktor ancaman ini mengalami banyak masalah untuk menjatuhkan malware dan membuatnya tidak terdeteksi, hanya untuk menggunakannya sebagai pengirim surat pemerasan. Botnet sangat berbahaya karena ancaman mendatang yang tidak diketahui ini. Itu bisa dengan mudah menjatuhkan dan mengeksekusi ransomware, spyware, worm, atau ancaman lain di semua titik akhir yang terinfeksi.”

Sumber : TechnoidHost

Mod Dituduh Menambang Bitcoin, Virus Dihapus dari Steam

by

Selama beberapa hari terakhir, serangkaian mod untuk game strategi PC Cities: Skylines telah dihapus dari Steam setelah pengguna mulai khawatir bahwa mod tersebut berisi segala macam hal buruk, mulai dari keylogger hingga virus hingga perangkat lunak penambangan bitcoin.

Alarm dibunyikan oleh cerita NME ini dan posting Reddit berikutnya, menunjukkan bahwa pengunggah mod telah dilarang dan ada risiko serius bagi komputer pengguna. Seperti yang dijelaskan oleh cerita NME:

Pada tahun 2021, seorang modder dengan nama Chaos meluncurkan versi “desain ulang” dari mod yang disebut Harmony, sebuah proyek kerangka kerja vital yang diandalkan oleh sebagian besar mod di Cities: Skylines untuk berfungsi.

Chaos juga kemudian “mendesain ulang” beberapa mod populer untuk game tersebut, dan mencantumkan versi Harmony yang dimodifikasi sebagai unduhan inti – yang berarti bahwa pemain harus pergi dan mengunduhnya agar mod yang bergantung dapat berfungsi.

Namun, ditemukan bahwa pembaruan otomatis terkubur dalam versi Harmony ini, yang memungkinkan Chaos mengirimkan malware ke perangkat siapa pun yang mengunduhnya. Kode berbahaya lainnya digunakan untuk melumpuhkan kinerja mod lain, yang pada gilirannya menyebabkan pemain mengunduh lebih banyak mod Chaos karena diiklankan sebagai solusi untuk masalah ini. Ini ditemukan ketika beberapa modder yang terpengaruh yang, setelah menerima laporan kinerja yang lambat dari penggemar, menemukan kode berbahaya.

Sementara prospek yang menakutkan bagi setiap pengguna yang telah mengunduh mod individual, penyelidikan oleh Cities: Skylines developer Colossal Order menemukan bahwa meskipun mod itu sendiri tidak mengandung sesuatu yang serius seperti yang ditakutkan pertama kali, mereka masih dihapus dari Steam. Satu karena, seperti yang diklaim, itu bisa membiarkan pintu terbuka untuk mengunduh “perangkat lunak berbahaya”:

Kami baru-baru ini melarang beberapa mod dari Cities: Skylines Workshop dan ingin menjernihkan beberapa informasi yang salah seputar mod ini. Mod yang dimaksud, yang telah dilarang, adalah “Ekstensi Jaringan 3” dan “Pembaruan dari Github.”

Tidak ada keylogger, virus, perangkat lunak penambangan bitcoin, atau sejenisnya yang ditemukan di mod di Steam Workshop.

“Ekstensi Jaringan 3”, mod yang diduga mengandung malware, dilarang karena mendiskriminasi pengguna Steam tertentu. Pertama, itu memblokir daftar pendek pengguna Steam dari menggunakan mod, tetapi ini kemudian diubah untuk menyebabkan gameplay yang tampaknya bermasalah. Memblokir pengguna atau membuat batasan khusus untuk mereka melanggar Perjanjian Pelanggan Steam dan mengakibatkan mod dilarang.

Sumber : Kotaku

China Memperluas Larangan Transaksi Crypto; Bitcoin Jatuh

by

China melarang semua transaksi kripto dan berjanji untuk membasmi penambangan aset digital, memberikan pukulan terberat bagi industri.

Transaksi terkait Crypto akan dianggap sebagai aktivitas keuangan terlarang, termasuk layanan yang disediakan oleh bursa luar negeri, People’s Bank of China mengatakan di situs webnya. Ia menambahkan bahwa cryptocurrency, termasuk Bitcoin dan Tether, bukan mata uang fiat dan tidak dapat diedarkan.

Bitcoin merosot setelah pengumuman tersebut, turun 8% menjadi sekitar $41.000 pada pukul 9 pagi di New York.

Pejabat China melangkah lebih jauh untuk membasmi perdagangan crypto karena hubungannya dengan penipuan, pencucian uang, dan penggunaan energi yang berlebihan. China sudah memiliki aturan yang melarang bank menawarkan layanan terkait kripto. Untuk menyiasati aturan tersebut, pedagang telah pindah ke platform over-the-counter dan offshore exchanges.

Tindakan keras baru China terhadap penambangan kripto dan aktivitas perdagangan dimulai pada bulan Mei. Itu adalah pertama kalinya pejabat tinggi memilih penambangan crypto di tingkat nasional sejak menjatuhkannya pada 2019 dari daftar industri kotor yang diusulkan untuk dihapuskan.

Langkah ini menyebabkan jatuhnya harga crypto, dengan Bitcoin kehilangan sekitar setengah nilainya antara April dan Juli tahun ini. Sementara pasar telah pulih, masih jauh di bawah level tertinggi sepanjang masa di $63.000.

Sumber: Bloomberg

Para Kriminal Dark Web Telah Membuat Alat yang Memeriksa Bitcoin Kotor

by

Alat yang baru ditemukan di dark web memungkinkan penjahat memeriksa seberapa bersih Bitcoin mereka.

Alat, yang disebut Antinalysis, kemungkinan dibangun oleh administrator pasar darknet untuk membantu pedagang mereka mencuci Bitcoin, menurut analisis oleh Tom Robinson, salah satu pendiri perusahaan investigasi blockchain Elliptic yang berbasis di London.

Setelah dompet ditautkan ke Antinalysis, alat tersebut memecah dari mana Bitcoin yang dipegangnya berasal dan seberapa berisiko memegangnya.

Bitcoin yang diperoleh dari pasar darknet, ransomware, dan pencurian dianggap sebagai “risiko ekstrem”, sementara Bitcoin dari bursa dan koin yang baru ditambang diklasifikasikan sebagai aset “tanpa risiko”.

Penilaian tersebut membantu para penjahat mengetahui seberapa besar kemungkinan pertukaran cryptocurrency akan menandai crypto mereka sebagai hasil kejahatan, tulis Robinson. Elliptic menyediakan alat ini untuk pertukaran mata uang kripto.

Antinalysis berjalan di Tor, browser web berorientasi privasi yang memungkinkan akses ke web gelap. Biayanya sekitar $3 untuk menghasilkan laporan risiko.

Analisis alat oleh pakar keamanan Brian Krebs menunjukkan hasil yang diberikan oleh Antinalysis sama dengan yang disediakan oleh AMLBot, perangkat lunak pendeteksi anti pencucian uang. Itu menunjukkan para penjahat membangun alat di API AMLBot, kata Robinson.

Selengkapnya: Decrypt