Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cyber Crime

Cyber Crime

Sekarang Setelah Hydra Hilang, Perdagangan Narkoba Jaring Gelap Berbasis Kripto Masih Mencoba untuk Kembali

by

Sebuah laporan Kamis baru oleh perusahaan analisis blockchain Chainalysis mengatakan bahwa pendapatan tahun-ke-tahun dari pasar jaringan gelap dipotong setengahnya.

Pada tahun 2021, aktor jahat dan pengedar narkoba internasional ini menghasilkan $3,1 miliar dalam crypto melalui sumber web gelap ini, tetapi pada tahun 2022, mereka hanya menghasilkan sekitar $1,5 miliar. Dari jumlah itu, $1,3 miliar berasal dari perdagangan narkoba.

Pada bulan April tahun lalu, polisi Jerman mengumumkan bahwa mereka telah bekerja sama dengan badan-badan Departemen Kehakiman AS, termasuk FBI dan Badan Penegakan Narkoba, untuk menjatuhkan jaringan gelap pasar obat-obatan Hydra.

Toko serba berbahasa Rusia untuk obat-obatan terlarang dan alat peretasan sejauh ini merupakan sumber obat-obatan terlarang online terbesar.

Itu sudah ada sejak 2015, dan sejak itu telah terhubung ke proyek crypto lain yang diduga ilegal. Dengan ketinggiannya, ia memiliki 93% cengkeraman pada semua nilai dari ekosistem jaring gelap.

Polisi mengatakan bahwa layanan dark net bertanggung jawab atas penjualan narkoba senilai $1,3 miliar pada tahun 2020 saja.

Laporan Chainalysis mencatat bahwa Hydra Marketplace masih menjadi pasar dengan pendapatan kotor tertinggi pada tahun 2022, meskipun sudah mati lebih awal.

Terlepas dari anggukan situs mati untuk binatang mitos Yunani, bahwa jika Anda memotong satu kepala, dua tumbuh di tempatnya, tidak ada pasar obat lain yang mengalahkan pendapatan empat bulan Hydra yang memimpin sepanjang tahun.

Selengkapnya: GIZMODO

Framework Otomatis Malware TgToxic Menargetkan Pengguna Android di Asia Tenggara

by

Trend Micro melihat kampanye malware yang sedang berlangsung, mereka menyebutnya sebagai TgToxic, menargetkan pengguna ponsel Android di Taiwan, Thailand, dan Indonesia sejak Juli 2022.

Malware tersebut mencuri kredensial dan aset pengguna seperti mata uang kripto dari dompet digital, serta uang dari aplikasi bank dan keuangan.

Aktor ancaman menyalahgunakan kerangka uji Easyclick yang sah untuk menulis skrip otomatisasi berbasis Javascript untuk fungsi seperti klik dan gerakan.

Tujuan kampanye berkelanjutan yang menargetkan pengguna Android adalah untuk mencuri aset korban dari aplikasi keuangan dan perbankan, melalui trojan perbankan yang kami beri nama TgToxic yang disematkan di beberapa aplikasi palsu.

Trend Micro mengamati aktivitas penipuan dan umpan phising. Pihaknya menemukan kampanye phishing media sosial dan infrastruktur jaringan yang menargetkan Taiwan, Indonesia, dan Thailand serupa. Malware tersebut tidak canggih tapi menarik.

Penyalahgunaan kerangka otomatisasi yang sah seperti Easyclick dan Autojs dapat mempermudah pengembangan malware canggih, terutama untuk trojan perbankan Android yang dapat menyalahgunakan layanan Aksesibilitas.

Selengkapnya: Trend Micro

DOJ, FBI melumpuhkan ransomware Hive setelah menghabiskan waktu berbulan-bulan di dalam sistem geng

by

FBI dan Departemen Kehakiman membongkar infrastruktur grup ransomware Hive pada hari Kamis, mengumumkan bahwa agen mereka telah berada di dalam sistem grup tersebut sejak Juli 2022.

Direktur FBI Christopher Wray mengatakan agen memperoleh “akses rahasia dan terus-menerus” ke panel kontrol yang digunakan oleh operator Hive tujuh bulan lalu, memungkinkan mereka untuk mengidentifikasi korban dan menawarkan kunci dekripsi kepada lebih dari 1.300 dari mereka di seluruh dunia dan mencegah setidaknya $130 juta masuk. pembayaran tebusan.

Badan-badan itu mengatakan Hive telah menargetkan 1.500 korban di lebih dari 80 negara sejak muncul pada Juni 2021, dan Jaksa Agung Merrick Garland membuat daftar lusinan contoh spesifik di mana mereka dapat membantu korban menangani serangan ransomware, mencatat afinitas kelompok tersebut untuk menargetkan sekolah. dan rumah sakit selama pandemi COVID-19.

Grup ini menghasilkan setidaknya $100 juta pada tahun pertama operasinya.

Garland mengatakan mereka akhirnya memutuskan untuk mengganggu sistem grup setelah menemukan server komputer yang berlokasi di Los Angeles yang digunakan oleh aktor Hive untuk menyimpan informasi penting. Mereka menyita server pada Rabu malam dan menutup situs darknet Hive. Pemberitahuan penyitaan dari beberapa lembaga AS dan internasional kini muncul di situs kebocoran grup.

Dia mencatat bahwa selama berada di sistem Hive, mereka menemukan bahwa hanya sekitar 20% korban yang melaporkan insiden ransomware mereka ke penegak hukum, menyoroti masalah terus-menerus dari korban yang tidak melapor dan malah membayar uang tebusan.

Europol mengatakan bahwa kesuksesan Hive berakar pada model “ransomware-as-a-service”, di mana afiliasi menerima 80% uang tebusan dan pengembang ransomware menerima 20% lainnya.

Mereka mencatat bahwa pertemuan operasional diadakan di Portugal dan Belanda untuk mendukung operasi – menyediakan tautan ke “data yang tersedia untuk berbagai kasus kriminal di dalam dan di luar UE, dan mendukung penyelidikan melalui cryptocurrency, malware, dekripsi, dan analisis forensik.”

Wray mencatat bahwa pekerjaan FBI dalam kasus ini istimewa karena mereka tidak pernah memiliki akses semacam ini ke backend grup ransomware.

sumber : therecord

Lebih dari 4.400 Server Firewall Sophos tetap Rentan Terhadap Eksploitasi Kritis

by

Lebih dari 4.400 server yang terpapar Internet menjalankan versi Sophos Firewall yang rentan terhadap eksploitasi kritis yang memungkinkan peretas mengeksekusi kode berbahaya, seorang peneliti memperingatkan.

CVE-2022-3236 adalah kerentanan injeksi kode yang memungkinkan eksekusi kode jarak jauh di Portal Pengguna dan Webadmin Sophos Firewall. Ini membawa peringkat keparahan 9,8 dari 10.

Menurut penelitian yang diterbitkan baru-baru ini, lebih dari 4.400 server yang menjalankan firewall Sophos tetap rentan. Itu menyumbang sekitar 6 persen dari semua firewall Sophos, kata perusahaan keamanan VulnCheck, mengutip angka dari pencarian di Shodan.

“Lebih dari 99% Sophos Firewall yang terhubung ke Internet belum ditingkatkan ke versi yang berisi perbaikan resmi untuk CVE-2022-3236,” tulis peneliti VulnCheck, Jacob Baines. “Tetapi sekitar 93% menjalankan versi yang memenuhi syarat untuk hotfix, dan perilaku default firewall adalah mengunduh dan menerapkan hotfix secara otomatis (kecuali dinonaktifkan oleh administrator).

“Kode yang rentan hanya tercapai setelah CAPTCHA divalidasi,” tulis Baines. “CAPTCHA yang gagal akan mengakibatkan kegagalan eksploitasi. Meskipun bukan tidak mungkin, menyelesaikan CAPTCHA secara terprogram merupakan rintangan tinggi bagi sebagian besar penyerang. Sebagian besar Sophos Firewall yang terhubung ke Internet tampaknya mengaktifkan CAPTCHA login, yang berarti, bahkan pada saat yang paling tepat, kerentanan ini tidak mungkin berhasil dieksploitasi dalam skala besar.”

Ini adalah kesempatan yang baik untuk mengingatkan para pengguna ini, serta semua pengguna perangkat lunak usang jenis apa pun, untuk mengikuti praktik keamanan terbaik dan memutakhirkan ke versi terbaru yang tersedia, seperti yang dilakukan Sophos secara rutin kepada pelanggannya.”

selengkapnya : arstechnica

Mailchimp mengatakan itu diretas – lagi

by

Pemasaran email dan raksasa buletin Mailchimp mengatakan itu diretas dan lusinan data pelanggan terungkap. Ini adalah kedua kalinya perusahaan itu diretas dalam enam bulan terakhir. Lebih buruk lagi, pelanggaran ini tampaknya hampir identik dengan insiden sebelumnya.

Perusahaan milik Intuit mengatakan dalam posting blog tanpa atribut bahwa tim keamanannya mendeteksi penyusup pada 11 Januari mengakses salah satu alat internalnya yang digunakan oleh dukungan pelanggan Mailchimp dan administrasi akun, serangan rekayasa sosial, menggunakan teknik manipulasi melalui telepon, email, atau teks untuk mendapatkan informasi pribadi, seperti kata sandi. Peretas kemudian menggunakan kata sandi karyawan yang dikompromikan itu untuk mendapatkan akses ke data di 133 akun Mailchimp, yang diberitahukan oleh perusahaan tentang gangguan tersebut.

Dalam pelanggaran itu, data pada sekitar 214 akun Mailchimp disusupi, sebagian besar akun terkait cryptocurrency dan keuangan. Raksasa cloud DigitalOcean mengonfirmasi bahwa akunnya dikompromikan dalam insiden tersebut, dan dengan keras mengkritik penanganan Mailchimp atas pelanggaran tersebut.

Salah satu akun yang ditargetkan itu adalah milik raksasa e-niaga WooCommerce. Mailchimp mengatakan pada saat itu bahwa ia telah menerapkan “serangkaian tindakan keamanan tambahan yang ditingkatkan”, tetapi menolak untuk memberi tahu TechCrunch apa yang diperlukan oleh tindakan tersebut.

Tidak segera jelas siapa, jika ada, yang bertanggung jawab atas keamanan siber di Mailchimp setelah kepergian kepala petugas keamanan informasinya, Siobhan Smyth, tak lama setelah pelanggaran Agustus.

selengkapnya : techcrunch

VALL_E Microsoft Dapat Memicu Longsor Kejahatan Cyber

by

VALL-E adalah penyintesis ucapan kecerdasan buatan (AI) yang dikembangkan oleh Microsoft yang dapat mengkloning dan memanipulasi suara seseorang secara dekat. Alat ini sangat canggih sehingga hanya membutuhkan klip suara tiga detik yang dapat diubah menjadi kata, frasa, atau kalimat apa pun.

Algoritma bahkan dapat membentuk ucapan menjadi berbagai emosi dan mereplikasi lingkungan akustik pembicara atau suara latar belakang!

Sebelumnya, forensik digital menganggap kurangnya kebisingan latar belakang sebagai tanda suara yang dimanipulasi oleh AI. Tetapi kemampuan VALL-E untuk meniru bahkan detail ini akan memberikan lapisan tantangan lain bagi calon korban dan penyelidik.


VALL-E Model Overview

Pengguna juga dapat mengintegrasikan VALL-E dengan model AI generatif lainnya seperti GPT-3, yang dapat membuatnya lebih canggih. Tetapi Microsoft tidak terburu-buru untuk memamerkan dan mendominasi pasar AI yang berkembang pesat.

Bukti Kejahatan Rig
Dengan alat cerdas yang dapat memanipulasi suara untuk mengatakan apa pun, hal ini berpotensi memengaruhi dan menyesatkan penyelidikan kejahatan. Manipulasi ini dapat melindungi pelaku, mengurangi keterlibatan kejahatan mereka, atau lebih buruk lagi, mendakwa orang yang tidak bersalah.

Gunakan Alat Canggih Seperti Spectrum 3D
Dalam kasus Niso, itu membedah pesan suara menggunakan alat yang disebut Spectrum3D. Dengan menggunakan perangkat lunak ini, perusahaan telah menemukan ketidaknormalan utama dalam pesan penipuan yang mungkin tidak dapat dikenali bahkan oleh telinga yang terlatih.

Analysis of an AI-Manipulated Voice

Menurut temuannya, ia mendeteksi suara terputus-putus, kurangnya kebisingan latar belakang alami, ketidakkonsistenan nada dan nada, dan kemungkinan besar pelaku menggunakan sistem text-to-speech (TTS).

Analysis of a Normal Human Voice Recording

Secara keseluruhan, seluruh pesan audio berkualitas rendah, membuat forensik mencurigai bahwa penjahat dunia maya hanya bereksperimen dengan penipuan ini dan berharap seseorang pada akhirnya akan mengambil umpannya.

Platform Narkoba Rusia Dibuka

by

Rusia adalah tempat berlindung yang aman bagi obat-obatan terlarang (narkoba) dan lahan subur bagi beberapa platform berbahaya yang memasok obat-obatan terlarang ke puluhan ribu pengguna. Penggunaan Dark Web dan teknologi membuat perbedaan besar dalam perdagangan narkoba saat ini. Para pedagang tidak lagi duduk di gang0gang gelap menawarkan barang haram mereka kepada orang asing. Sebaliknya, pengedar narkoba sekarang menggunakan layanan online untuk mengirim pasukan pengedar narkoba yang menyembunyikan berbagai narkoba di tengah lingkungan normal yang sederhana.

Partnership Killnet dan Solaris
KillMilk, pendiri Killnet (kelompok peretas Rusia yang menyerang Ukraina dan sekutunya) secara terbuka berterima kasih kepada kelompok Solaris atas “dukungan besar” mereka.

Ini adalah pengubah permainan. Sampai saat ini Killnet tidak malu meminta dukungan, tetapi afiliasi mereka dengan platform obat-obatan terlarang sangat tidak biasa. Jika ada, staf Solaris harus menentang pemerintah Rusia dan pendukungnya.

Solaris berbohong
Setelah bitcoin dialihkan dari pertukaran Solaris, administrasi Solaris menurunkan sebagian besar infrastrukturnya dengan mengklaim itu karena peningkatan besar. Mereka melakukan yang terbaik untuk menolak cerita Forbes (kecuali transfer uang), meyakinkan pelanggan mereka bahwa versi baru mereka akan lebih besar dan lebih baik. Ini semua bohong.

Killnet juga menyebarkan berita bahwa pemimpinnya terkait dengan geng narkoba. Beberapa anggota Killnet meminta KillMilk untuk berkomentar, tetapi hanya keheningan pengecut yang mengikuti.

Pertukaran alamat dompet berubah

Tor Node dan Penjaga DDoS
Data berikut mencakup skrip yang memungkinkan dan kunci SSH untuk penyebaran otomatis ke lebih dari 60 server, termasuk: kode sumber sistem AntiDDoS Solaris Guard, pengalihan dari RuTor ke Solaris, dan konfigurasi penyeimbang muatan Tor (keseimbangan bawang). Data ini juga termasuk Kunci Layanan Tersembunyi Bawang. Tautan

Otomatisasi infrastruktur Solaris

Kesimpulan
Hold Security membagikan temuan dan datanya dari platform obat-obatan terlarang Rusia, Solaris. Dalam beberapa pernyataan publik, grup Solaris telah menghubungkan diri mereka dengan Killnet. Tujuan kami adalah untuk meningkatkan kesadaran akan kesaahan dan koneksi Solaris, serta mengajukan pertanyaan tentang kepemim[inan Kilnet dan sumber dukungan mereka. Data yang ditautkan dlam artikel ini harus berbicara sendiri.

selengkapnya : holdsecurity

Terinspirasi oleh film ‘Office Space’, insinyur perangkat lunak Washington mencuri lebih dari $300 ribu dari pemberi kerja, kata jaksa penuntut

by

Seorang pria Washington diduga mentransfer ribuan dolar dari majikannya ke rekening pribadi setelah terinspirasi oleh film kultus 1999 “Office Space,” menurut laporan penangkapan oleh Departemen Kepolisian Seattle.

Ermenildo Valdez Castro, 28, bekerja untuk pengecer online Zulily sebagai insinyur perangkat lunak dari Desember 2018 hingga dia dipecat pada Juni, menurut polisi.

“Mulai musim semi 2022, Castro mulai mengedit kode perangkat lunak Zulily dengan cara yang memungkinkannya mencuri dari perusahaan,” kata laporan polisi tersebut.

Polisi mengatakan Castro memasukkan tiga jenis kode berbahaya dalam proses pembayaran di Zulily dan dengan menggunakan metode tersebut, “mencuri gabungan $302.278,52 sebelum dia diberhentikan pada Juni 2022.”

Tim penipuan Zulily dapat menemukan pola penyesuaian harga pada beberapa produk yang dijual oleh perusahaan, yang menurut polisi dipesan oleh Castro dan dikirim ke kediamannya, kata laporan itu.

Dokumen OneNote di laptop kerja Castro yang disebut “Proyek OfficeSpace” ditemukan melalui penyelidikan, dan di dalamnya, “skema untuk mencuri biaya pengiriman”, diuraikan, menurut laporan tersebut.

Laporan polisi juga mencatat plot film “Office Space” berputar di sekitar para insinyur yang membuat rencana untuk memindahkan pecahan sen ke dalam rekening bank pribadi.

Castro dihubungi polisi dan ditangkap pada 21 Juni. Pada tanggal itu dia berbicara dengan detektif setelah dibacakan haknya. Selama wawancara itu dia “mengonfirmasi bahwa dia menyebutkan rencananya untuk mencuri dari Zulily setelah film itu,” kata polisi.

Castro juga memberi tahu pihak berwenang bahwa dia memesan lebih dari 1.000 item yang dikirim ke rumahnya, dan bahwa itu adalah bagian dari “proses pengujian yang diketahui Zulily, tetapi dia mengklaim bahwa ada skrip yang akan dijalankan segera setelah itu. pada dasarnya akan membatalkan pesanan dan memastikan pesanan tidak diproses, ”kata laporan itu.

Selengkapnya: CNN