Cyber Crime

Framework Otomatis Malware TgToxic Menargetkan Pengguna Android di Asia Tenggara

February 7, 2023 by Mally

Trend Micro melihat kampanye malware yang sedang berlangsung, mereka menyebutnya sebagai TgToxic, menargetkan pengguna ponsel Android di Taiwan, Thailand, dan Indonesia sejak Juli 2022.

Malware tersebut mencuri kredensial dan aset pengguna seperti mata uang kripto dari dompet digital, serta uang dari aplikasi bank dan keuangan.

Aktor ancaman menyalahgunakan kerangka uji Easyclick yang sah untuk menulis skrip otomatisasi berbasis Javascript untuk fungsi seperti klik dan gerakan.

Tujuan kampanye berkelanjutan yang menargetkan pengguna Android adalah untuk mencuri aset korban dari aplikasi keuangan dan perbankan, melalui trojan perbankan yang kami beri nama TgToxic yang disematkan di beberapa aplikasi palsu.

Trend Micro mengamati aktivitas penipuan dan umpan phising. Pihaknya menemukan kampanye phishing media sosial dan infrastruktur jaringan yang menargetkan Taiwan, Indonesia, dan Thailand serupa. Malware tersebut tidak canggih tapi menarik.

Penyalahgunaan kerangka otomatisasi yang sah seperti Easyclick dan Autojs dapat mempermudah pengembangan malware canggih, terutama untuk trojan perbankan Android yang dapat menyalahgunakan layanan Aksesibilitas.

Selengkapnya: Trend Micro

DOJ, FBI melumpuhkan ransomware Hive setelah menghabiskan waktu berbulan-bulan di dalam sistem geng

January 27, 2023 by Mally

FBI dan Departemen Kehakiman membongkar infrastruktur grup ransomware Hive pada hari Kamis, mengumumkan bahwa agen mereka telah berada di dalam sistem grup tersebut sejak Juli 2022.

Direktur FBI Christopher Wray mengatakan agen memperoleh “akses rahasia dan terus-menerus” ke panel kontrol yang digunakan oleh operator Hive tujuh bulan lalu, memungkinkan mereka untuk mengidentifikasi korban dan menawarkan kunci dekripsi kepada lebih dari 1.300 dari mereka di seluruh dunia dan mencegah setidaknya $130 juta masuk. pembayaran tebusan.

Badan-badan itu mengatakan Hive telah menargetkan 1.500 korban di lebih dari 80 negara sejak muncul pada Juni 2021, dan Jaksa Agung Merrick Garland membuat daftar lusinan contoh spesifik di mana mereka dapat membantu korban menangani serangan ransomware, mencatat afinitas kelompok tersebut untuk menargetkan sekolah. dan rumah sakit selama pandemi COVID-19.

Grup ini menghasilkan setidaknya $100 juta pada tahun pertama operasinya.

Garland mengatakan mereka akhirnya memutuskan untuk mengganggu sistem grup setelah menemukan server komputer yang berlokasi di Los Angeles yang digunakan oleh aktor Hive untuk menyimpan informasi penting. Mereka menyita server pada Rabu malam dan menutup situs darknet Hive. Pemberitahuan penyitaan dari beberapa lembaga AS dan internasional kini muncul di situs kebocoran grup.

Dia mencatat bahwa selama berada di sistem Hive, mereka menemukan bahwa hanya sekitar 20% korban yang melaporkan insiden ransomware mereka ke penegak hukum, menyoroti masalah terus-menerus dari korban yang tidak melapor dan malah membayar uang tebusan.

Europol mengatakan bahwa kesuksesan Hive berakar pada model “ransomware-as-a-service”, di mana afiliasi menerima 80% uang tebusan dan pengembang ransomware menerima 20% lainnya.

Mereka mencatat bahwa pertemuan operasional diadakan di Portugal dan Belanda untuk mendukung operasi – menyediakan tautan ke “data yang tersedia untuk berbagai kasus kriminal di dalam dan di luar UE, dan mendukung penyelidikan melalui cryptocurrency, malware, dekripsi, dan analisis forensik.”

Wray mencatat bahwa pekerjaan FBI dalam kasus ini istimewa karena mereka tidak pernah memiliki akses semacam ini ke backend grup ransomware.

sumber : therecord

Lebih dari 4.400 Server Firewall Sophos tetap Rentan Terhadap Eksploitasi Kritis

January 19, 2023 by Mally

Lebih dari 4.400 server yang terpapar Internet menjalankan versi Sophos Firewall yang rentan terhadap eksploitasi kritis yang memungkinkan peretas mengeksekusi kode berbahaya, seorang peneliti memperingatkan.

CVE-2022-3236 adalah kerentanan injeksi kode yang memungkinkan eksekusi kode jarak jauh di Portal Pengguna dan Webadmin Sophos Firewall. Ini membawa peringkat keparahan 9,8 dari 10.

Menurut penelitian yang diterbitkan baru-baru ini, lebih dari 4.400 server yang menjalankan firewall Sophos tetap rentan. Itu menyumbang sekitar 6 persen dari semua firewall Sophos, kata perusahaan keamanan VulnCheck, mengutip angka dari pencarian di Shodan.

“Lebih dari 99% Sophos Firewall yang terhubung ke Internet belum ditingkatkan ke versi yang berisi perbaikan resmi untuk CVE-2022-3236,” tulis peneliti VulnCheck, Jacob Baines. “Tetapi sekitar 93% menjalankan versi yang memenuhi syarat untuk hotfix, dan perilaku default firewall adalah mengunduh dan menerapkan hotfix secara otomatis (kecuali dinonaktifkan oleh administrator).

“Kode yang rentan hanya tercapai setelah CAPTCHA divalidasi,” tulis Baines. “CAPTCHA yang gagal akan mengakibatkan kegagalan eksploitasi. Meskipun bukan tidak mungkin, menyelesaikan CAPTCHA secara terprogram merupakan rintangan tinggi bagi sebagian besar penyerang. Sebagian besar Sophos Firewall yang terhubung ke Internet tampaknya mengaktifkan CAPTCHA login, yang berarti, bahkan pada saat yang paling tepat, kerentanan ini tidak mungkin berhasil dieksploitasi dalam skala besar.”

Ini adalah kesempatan yang baik untuk mengingatkan para pengguna ini, serta semua pengguna perangkat lunak usang jenis apa pun, untuk mengikuti praktik keamanan terbaik dan memutakhirkan ke versi terbaru yang tersedia, seperti yang dilakukan Sophos secara rutin kepada pelanggannya.”

selengkapnya : arstechnica

Mailchimp mengatakan itu diretas – lagi

January 19, 2023 by Mally

Pemasaran email dan raksasa buletin Mailchimp mengatakan itu diretas dan lusinan data pelanggan terungkap. Ini adalah kedua kalinya perusahaan itu diretas dalam enam bulan terakhir. Lebih buruk lagi, pelanggaran ini tampaknya hampir identik dengan insiden sebelumnya.

Perusahaan milik Intuit mengatakan dalam posting blog tanpa atribut bahwa tim keamanannya mendeteksi penyusup pada 11 Januari mengakses salah satu alat internalnya yang digunakan oleh dukungan pelanggan Mailchimp dan administrasi akun, serangan rekayasa sosial, menggunakan teknik manipulasi melalui telepon, email, atau teks untuk mendapatkan informasi pribadi, seperti kata sandi. Peretas kemudian menggunakan kata sandi karyawan yang dikompromikan itu untuk mendapatkan akses ke data di 133 akun Mailchimp, yang diberitahukan oleh perusahaan tentang gangguan tersebut.

Dalam pelanggaran itu, data pada sekitar 214 akun Mailchimp disusupi, sebagian besar akun terkait cryptocurrency dan keuangan. Raksasa cloud DigitalOcean mengonfirmasi bahwa akunnya dikompromikan dalam insiden tersebut, dan dengan keras mengkritik penanganan Mailchimp atas pelanggaran tersebut.

Salah satu akun yang ditargetkan itu adalah milik raksasa e-niaga WooCommerce. Mailchimp mengatakan pada saat itu bahwa ia telah menerapkan “serangkaian tindakan keamanan tambahan yang ditingkatkan”, tetapi menolak untuk memberi tahu TechCrunch apa yang diperlukan oleh tindakan tersebut.

Tidak segera jelas siapa, jika ada, yang bertanggung jawab atas keamanan siber di Mailchimp setelah kepergian kepala petugas keamanan informasinya, Siobhan Smyth, tak lama setelah pelanggaran Agustus.

selengkapnya : techcrunch

VALL_E Microsoft Dapat Memicu Longsor Kejahatan Cyber

January 19, 2023 by Mally

VALL-E adalah penyintesis ucapan kecerdasan buatan (AI) yang dikembangkan oleh Microsoft yang dapat mengkloning dan memanipulasi suara seseorang secara dekat. Alat ini sangat canggih sehingga hanya membutuhkan klip suara tiga detik yang dapat diubah menjadi kata, frasa, atau kalimat apa pun.

Algoritma bahkan dapat membentuk ucapan menjadi berbagai emosi dan mereplikasi lingkungan akustik pembicara atau suara latar belakang!

Sebelumnya, forensik digital menganggap kurangnya kebisingan latar belakang sebagai tanda suara yang dimanipulasi oleh AI. Tetapi kemampuan VALL-E untuk meniru bahkan detail ini akan memberikan lapisan tantangan lain bagi calon korban dan penyelidik.

Pengguna juga dapat mengintegrasikan VALL-E dengan model AI generatif lainnya seperti GPT-3, yang dapat membuatnya lebih canggih. Tetapi Microsoft tidak terburu-buru untuk memamerkan dan mendominasi pasar AI yang berkembang pesat.

Bukti Kejahatan Rig
Dengan alat cerdas yang dapat memanipulasi suara untuk mengatakan apa pun, hal ini berpotensi memengaruhi dan menyesatkan penyelidikan kejahatan. Manipulasi ini dapat melindungi pelaku, mengurangi keterlibatan kejahatan mereka, atau lebih buruk lagi, mendakwa orang yang tidak bersalah.

Gunakan Alat Canggih Seperti Spectrum 3D
Dalam kasus Niso, itu membedah pesan suara menggunakan alat yang disebut Spectrum3D. Dengan menggunakan perangkat lunak ini, perusahaan telah menemukan ketidaknormalan utama dalam pesan penipuan yang mungkin tidak dapat dikenali bahkan oleh telinga yang terlatih.

Menurut temuannya, ia mendeteksi suara terputus-putus, kurangnya kebisingan latar belakang alami, ketidakkonsistenan nada dan nada, dan kemungkinan besar pelaku menggunakan sistem text-to-speech (TTS).

Analysis of a Normal Human Voice Recording

Secara keseluruhan, seluruh pesan audio berkualitas rendah, membuat forensik mencurigai bahwa penjahat dunia maya hanya bereksperimen dengan penipuan ini dan berharap seseorang pada akhirnya akan mengambil umpannya.

Platform Narkoba Rusia Dibuka

January 13, 2023 by Mally

Rusia adalah tempat berlindung yang aman bagi obat-obatan terlarang (narkoba) dan lahan subur bagi beberapa platform berbahaya yang memasok obat-obatan terlarang ke puluhan ribu pengguna. Penggunaan Dark Web dan teknologi membuat perbedaan besar dalam perdagangan narkoba saat ini. Para pedagang tidak lagi duduk di gang0gang gelap menawarkan barang haram mereka kepada orang asing. Sebaliknya, pengedar narkoba sekarang menggunakan layanan online untuk mengirim pasukan pengedar narkoba yang menyembunyikan berbagai narkoba di tengah lingkungan normal yang sederhana.

Partnership Killnet dan Solaris
KillMilk, pendiri Killnet (kelompok peretas Rusia yang menyerang Ukraina dan sekutunya) secara terbuka berterima kasih kepada kelompok Solaris atas “dukungan besar” mereka.

Ini adalah pengubah permainan. Sampai saat ini Killnet tidak malu meminta dukungan, tetapi afiliasi mereka dengan platform obat-obatan terlarang sangat tidak biasa. Jika ada, staf Solaris harus menentang pemerintah Rusia dan pendukungnya.

Solaris berbohong
Setelah bitcoin dialihkan dari pertukaran Solaris, administrasi Solaris menurunkan sebagian besar infrastrukturnya dengan mengklaim itu karena peningkatan besar. Mereka melakukan yang terbaik untuk menolak cerita Forbes (kecuali transfer uang), meyakinkan pelanggan mereka bahwa versi baru mereka akan lebih besar dan lebih baik. Ini semua bohong.

Killnet juga menyebarkan berita bahwa pemimpinnya terkait dengan geng narkoba. Beberapa anggota Killnet meminta KillMilk untuk berkomentar, tetapi hanya keheningan pengecut yang mengikuti.

Tor Node dan Penjaga DDoS
Data berikut mencakup skrip yang memungkinkan dan kunci SSH untuk penyebaran otomatis ke lebih dari 60 server, termasuk: kode sumber sistem AntiDDoS Solaris Guard, pengalihan dari RuTor ke Solaris, dan konfigurasi penyeimbang muatan Tor (keseimbangan bawang). Data ini juga termasuk Kunci Layanan Tersembunyi Bawang. Tautan

Kesimpulan
Hold Security membagikan temuan dan datanya dari platform obat-obatan terlarang Rusia, Solaris. Dalam beberapa pernyataan publik, grup Solaris telah menghubungkan diri mereka dengan Killnet. Tujuan kami adalah untuk meningkatkan kesadaran akan kesaahan dan koneksi Solaris, serta mengajukan pertanyaan tentang kepemim[inan Kilnet dan sumber dukungan mereka. Data yang ditautkan dlam artikel ini harus berbicara sendiri.

selengkapnya : holdsecurity

Peretas Dapat Menyebabkan Bencana pada Deepwater Horizon

November 25, 2022 by Mally

Jaringan fasilitas minyak dan gas lepas pantai di A.S. berada pada risiko yang serius dan semakin meningkat dari serangan siber yang berpotensi sangat membahayakan. jika serangan dunia maya berhasil mengenai infrastruktur lepas pantai negara tersebut, hal itu dapat menyebabkan bencana dengan dampak yang serupa dengan bencana Deepwater Horizon.

Saat ini terdapat lebih dari 1.600 bangunan di landas kontinen luar yang terlibat dalam produksi minyak dan gas yang tersebar di pesisir Atlantik, Pasifik, dan Alaska, serta Teluk Meksiko. Struktur tersebut sangat bergantung pada teknologi operasional yang dikendalikan dari jarak jauh. Peretasan itu sangat memalukan mengingat bahwa kebocoran itu adalah hasil dari satu kata sandi yang disusupi, dan audit teknologi yang dilakukan tiga tahun sebelum pelanggaran tersebut menemukan bahwa sistem Kolonial dapat diretas oleh “anak kelas delapan,” kata salah satu auditor kemudian.

Jaringan fasilitas dan infrastruktur minyak dan gas lepas pantai nasional diatur oleh Bureau of Safety and Environmental Enforcement (BSEE). The Government Accountability Office (GAO) menemukan bahwa operasi minyak dan gas semakin berpindah ke pekerjaan jarak jauh dan “produksi minyak dan gas tak berawak menjadi semakin umum.” Pada saat yang sama, banyak sistem teknologi operasional yang sudah ketinggalan zaman atau terhubung ke bisnis yang lebih besar dan sistem TI dalam perusahaan yang dapat diakses dari jarak jauh.

Kegagalan sistem keamanan otomatis adalah bagian dari rangkaian masalah yang menyebabkan ledakan Deepwater Horizon 2010, tumpahan minyak terbesar dalam sejarah AS yang menewaskan 11 orang.

“Aktor ancaman semakin mampu melakukan serangan terhadap infrastruktur penting, termasuk infrastruktur minyak dan gas lepas pantai,” laporan itu menemukan. “Pada saat yang sama, infrastruktur menjadi lebih rentan terhadap serangan.

sumber : gizmodo

Departemen Kesehatan AS Memperingatkan Tentang Ransomware Venus yang Menargetkan Organisasi Perawatan Kesehatan

November 11, 2022 by Mally

Departemen Kesehatan dan Layanan Kemanusiaan AS (HHS) hari ini memperingatkan bahwa serangan ransomware Venus juga menargetkan organisasi perawatan kesehatan negara itu.

Namun, tidak ada situs yang kebocoran data yang diketahui bahwa aktor ancaman yang menyebarkan ransomware Venus diketahui digunakan untuk menerbitkan data curian secara online, menurut laporan HC3.

Puluhan korban sejak Agustus

Venus Ransomware pertama kali terlihat pada pertengahan Agustus 2022 dan sejak itu telah digunakan di seluruh jaringan puluhan korban perusahaan di seluruh dunia.

Pelaku ancaman di balik serangan ransomware Venus dikenal karena meretas layanan Remote Desktop korban yang diekspos ke publik untuk mengenkripsi perangkat Windows.

Selain menghentikan layanan database dan aplikasi Office, ransomware juga akan menghapus log peristiwa, Volume Salinan Bayangan, dan menonaktifkan Pencegahan Eksekusi Data pada titik akhir yang disusupi.

Pengiriman ransomware Venus (ID Ransomware)

Ransomware menargetkan perawatan kesehatan
Otoritas federal AS telah memperingatkan tentang operasi ransomware lain yang menargetkan organisasi perawatan kesehatan di seluruh Amerika Serikat tahun ini.

Peringatan sebelumnya termasuk peringatan pelaku ancaman yang menyebarkan muatan ransomware Maui dan Zeppelin dalam serangan terhadap organisasi Kesehatan dan Kesehatan Masyarakat (HPH).

pada akhirnya, perusahaan manajemen piutang layanan lengkap Professional Finance Company Inc (PFC) mengungkapkan dalam pemberitahuan pelanggaran data bahwa serangan ransomware Quantum dari akhir Februari menyebabkan pelanggaran data yang berdampak pada 657 organisasi layanan kesehatan.

sumber : bleeping computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Crime

Cookies Settings