Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cyber Crime

Cyber Crime

Hati-hati Peringatan “Security Certificate is out of date” Palsu

by Leave a Comment

Situs yang diretas mendorong TeamViewer menampilkan peringatan sertifikat kedaluwarsa palsu untuk mengunduh penginstal palsu berbahaya.

Server Windows IIS ter-compromised menambahkan halaman pemberitahuan sertifikat kedaluwarsa.

Layanan Informasi Internet (IIS) adalah perangkat lunak server web Microsoft Windows yang disertakan dengan semua versi Windows sejak Windows 2000, XP, dan Server 2003.

Pesan yang ditampilkan di halaman kesalahan kedaluwarsa sertifikat berbahaya berbunyi: “Mendeteksi potensi risiko keamanan dan tidak memperpanjang transisi ke [nama situs]. Memperbarui sertifikat keamanan memungkinkan koneksi ini berhasil. NET::ERR_CERT_OUT_OF_DATE.”

Contoh Tampilan Server IIS yang Diretas

Seperti yang diamati oleh peneliti keamanan Malwarebytes Threat Intelligence, malware masuk melalui penginstal pembaruan palsu [VirusTotal] yang ditandatangani dengan sertifikat Digicert.

Payload yang dijatuhkan pada sistem yang terinfeksi adalah TVRAT (antara lain TVSPY, TeamSpy, TeamViewerENT, atau Team Viewer RAT), sebuah malware yang dirancang untuk memberi operatornya akses jarak jauh penuh ke host yang terinfeksi.

Setelah disebarkan pada perangkat yang terinfeksi, malware akan diam-diam menginstal dan meluncurkan perangkat lunak kendali jarak jauh TeamViewer.

TeamViewer yang TVRAT Instal

Setelah diluncurkan, server TeamViewer akan menjangkau server perintah-dan-kontrol (C2) untuk memberi tahu penyerang bahwa mereka dapat mengambil kendali penuh dari komputer yang baru disusupi dari jarak jauh.

TVRAT pertama kali muncul pada tahun 2013 ketika dikirimkan melalui kampanye spam sebagai lampiran berbahaya yang menipu target untuk mengaktifkan makro Office.

Status Server IIS Rentan dan Ditargetkan
Untuk sementara metode yang digunakan oleh penyerang untuk mengkompromikan server IIS belum diketahui, penyerang dapat menggunakan berbagai cara untuk menembus server Windows IIS.

Misalnya, mengeksploitasi kode yang menargetkan kerentanan wormable kritis yang ditemukan di HTTP Protocol Stack (HTTP.sys) yang digunakan oleh server web Windows IIS telah tersedia untuk umum sejak Mei.

Microsoft menambal kelemahan keamanan (dilacak sebagai CVE-2021-31166) selama Patch Mei Selasa dan mengatakan itu hanya berdampak pada Windows 10 versi 2004/20H2 dan Windows Server versi 2004/20H2.

Belum ada aktivitas jahat yang menyalahgunakan kelemahan ini sejak patch itu dan, sebagian besar target potensial kemungkinan aman dari serangan mengingat pengguna rumahan dengan versi Windows 10 terbaru akan memperbarui dan perusahaan biasanya tidak menggunakan versi Window Server terbaru.

sumber berita: Bleeping Computer

Polisi Membubarkan Grup Penipuan Online yang Berhasil Meraup 166 Triliun Rupiah

by

Polisi melakukan 106 penangkapan dalam membubarkan kegiatan kejahatan terorganisir yang menggunakan phishing dan business email compromise attacks.

Polisi telah membongkar grup yang terkait dengan mafia Italia yang menipu ratusan korban melalui serangan phishing dan jenis penipuan online lainnya.

Operasi gabungan dipimpin oleh Polisi Nasional Spanyol (Policia Nacional), dengan dukungan dari Polisi Nasional Italia (Polizia di Stato), Europol dan Eurojust dan telah mengakibatkan 106 penangkapan di seluruh Spanyol dan Italia.

Menurut Europol, operasi kejahatan menggunakan serangan phishing, pertukaran SIM, dan business email compromise (BEC) dan diperkirakan menghasilkan keuntungan selama satu tahun sekitar € 10 juta yang setara dengan $ 11,7 juta dollar amerika atau 166 triliun rupiah.

Digambarkan sebagai “terorganisir dengan sangat baik”, kelompok itu terdiri dari sejumlah pakar kejahatan komputer yang bertugas membuat domain phishing dan melakukan penipuan dunia maya. Individu lain yang terlibat dalam jaringan kriminal ada perantara uang dan pakar pencucian uang(money-laundering), termasuk pakar cryptocurrency.

Bekerja di Kepulauan Canary, Spanyol, para penjahat menipu para korban (kebanyakan dari Italia) untuk mengirim sejumlah besar uang ke rekening bank yang mereka kendalikan, sebelum melakukan money-laundering.

Menurut FBI, BEC adalah salah satu bentuk kejahatan dunia maya yang paling menguntungkan, meraup sampai sampai miliaran dollar per tahun.

Selain 106 penangkapan, 118 rekening bank telah dibekukan dan sejumlah perangkat telah disita, termasuk 224 kartu kredit, kartu SIM, dan terminal point-of-sale.

Polisi menyelidiki kelompok itu selama lebih dari setahun sebelum melakukan penangkapan. Sebagai bagian dari operasi, Europol mengerahkan dua analis dan satu ahli forensik ke Tenerife, Spanyol dan satu analis ke Italia. Europol juga mendanai pengerahan tiga penyelidik Italia ke Tenerife untuk mendukung pihak berwenang Spanyol selama penyelidikan.

source: ZDNet

Telegram muncul sebagai Dark Web baru untuk penjahat siber

by

Sebuah penelitian baru menunjukkan bahwa Telegram telah meledak sebagai pusat bagi penjahat dunia maya yang ingin membeli, menjual, dan berbagi data curian dan alat peretasan, ketika aplikasi perpesanan muncul sebagai alternatif dari dark web.

Investigasi oleh kelompok intelijen siber Cyberint, bersama dengan Financial Times, menemukan jaringan besar peretas yang berbagi kebocoran data di platform perpesanan populer, terkadang di channel dengan puluhan ribu pelanggan.

Dalam banyak kasus, kontennya mirip dengan pasar yang ditemukan di dark web, sekelompok situs web tersembunyi yang populer di kalangan peretas dan diakses menggunakan software anonim tertentu.

“Kami baru-baru ini menyaksikan peningkatan 100 persen lebih dalam penggunaan Telegram oleh penjahat siber,” kata Tal Samra, analis ancaman siber di Cyberint.

“Layanan pesan terenkripsinya semakin populer di kalangan pelaku ancaman yang melakukan aktivitas penipuan dan menjual data curian . . . karena lebih nyaman digunakan daripada dark web.”

Meningkatnya aktivitas jahat datang ketika pengguna berbondong-bondong menggunakan aplikasi obrolan terenkripsi awal tahun ini setelah perubahan kebijakan privasi saingan milik Facebook, WhatsApp, mendorong banyak orang untuk mencari alternatif lain.

Menurut Cyberint, jumlah penyebutan di Telegram tentang “Email: pass” dan “Combo” – bahasa peretas yang digunakan untuk menunjukkan bahwa daftar email dan kata sandi curian dibagikan – naik empat kali lipat selama setahun terakhir menjadi hampir 3.400.

Dalam satu channel Telegram publik yang disebut “combolist”, yang memiliki lebih dari 47.000 pelanggan, peretas menjual atau hanya mengedarkan dump data besar dari ratusan ribu nama pengguna dan kata sandi yang bocor.

Jenis data lain yang diperdagangkan termasuk data keuangan seperti informasi kartu kredit, salinan paspor dan kredensial untuk rekening bank dan situs seperti Netflix, menurut penelitian tersebut. Penjahat online juga membagikan perangkat lunak berbahaya, eksploitasi, dan panduan peretasan melalui aplikasi, kata Cyberint.

Selengkapnya: Financial Times

Olimpiade Tokyo Dimanfaatkan dalam Serangan Kejahatan Dunia Maya

by

Pada 26 Juli, halaman palsu yang mengarah ke situs penyiaran olahraga yang mencurigakan dari jenis yang sama telah dikonfirmasi oleh pencarian web. Selain spam notifikasi browser, peneliti dari Trend Micro juga telah mengonfirmasi metode yang membuat pengguna mendaftarkan informasi pribadi mereka seperti alamat email di situs mencurigakan dengan dalih menonton video. Diyakini bahwa metode serupa untuk mengarahkan orang ke situs yang mencurigakan akan terus berlanjut di masa mendatang. Penting untuk menyadari skema semacam itu untuk menghindari penipuan.

Pada 19 Juli, tepat sebelum pembukaan Olimpiade Tokyo, Trend Micro mengkonfirmasi kasus di mana halaman web yang disamarkan sebagai jadwal siaran TV untuk Olimpiade Tokyo diarahkan ke situs siaran olahraga yang mencurigakan. Menurut survei Trend Micro pada hari Kamis, situs siaran olahraga yang mencurigakan ini diarahkan ke apa yang disebut “spam pemberitahuan browser”, yang memungkinkan pengguna untuk diberi tahu tentang browser dan menampilkan iklan berbahaya.

Selain itu, Trend Micro telah mengkonfirmasi bahwa ada beberapa halaman web palsu yang disamarkan sebagai jadwal siaran TV terkait dengan Olimpiade Tokyo, yang tampaknya dibuat untuk mengarahkan pengguna ke situs yang mencurigakan ini.

Dari kata-kata yang digunakan, diduga bahwa halaman palsu ini dibuat untuk muncul di hasil pencarian ketika pengguna biasa menelusuri web untuk memeriksa siaran TV Olimpiade yang akan datang. Namun, mulai pukul 12:00 pada 19 Juli, halaman-halaman ini tidak lagi ditampilkan di hasil pencarian Google, yang menunjukkan bahwa rencana para penjahat siber telah digagalkan.

Di masa lalu, setiap kali acara global seperti Olimpiade diadakan, ada penjahat siber yang mencoba memanfaatkan gebrakan tersebut.

Selengkapnya: Trend Micro

Situs web geng ransomware REvil ditutup secara misterius

by

Infrastruktur dan situs web untuk operasi ransomware REvil secara misterius telah offline sejak 12 Juli, 2021.

Operasi ransomware REvil, alias Sodinokibi, beroperasi melalui banyak situs clear web dan situs dark web yang digunakan sebagai situs negosiasi tebusan, situs kebocoran data ransomware, dan infrastruktur backend.

Mulai 12 Juli 2021, situs web dan infrastruktur yang digunakan oleh operasi ransomware REvil telah ditutup secara misterius.

“Dalam istilah sederhana, kesalahan ini umumnya berarti bahwa situs onion sedang offline atau dinonaktifkan. Untuk mengetahui dengan pasti, Anda perlu menghubungi administrator situs onion,” kata Al Smith dari Tor Project kepada BleepingComputer.

Meskipun tidak pernah terdengar bahwa situs REvil kehilangan konektivitas untuk beberapa waktu, semua situs yang ditutup secara bersamaan adalah hal yang tidak biasa.

Selain itu, situs decoder[.]re clear website tidak lagi dapat diselesaikan oleh kueri DNS, mungkin menunjukkan bahwa catatan DNS untuk domain telah ditarik atau infrastruktur DNS backend telah dimatikan.

Kemarin, perwakilan ransomware LockBit memposting ke forum peretasan berbahasa Rusia XSS bahwa dikabarkan geng REvil menghapus server mereka setelah mengetahui panggilan pengadilan pemerintah.

Segera setelah itu, admin XSS melarang ‘Unknown’ REvil, perwakilan geng ransomware yang menghadap publik, dari forum.

Selengkapnya: Bleeping Computer

Interpol Tangkap Peretas Maroko yang Terlibat dalam Aktivitas Siber

by

Otoritas penegak hukum dengan Interpol telah menangkap aktor ancaman yang bertanggung jawab untuk menargetkan ribuan korban tanpa disadari selama beberapa tahun dan melakukan serangan malware pada perusahaan telekomunikasi, bank besar, dan perusahaan multinasional di Prancis sebagai bagian dari skema penipuan kartu kredit dan phishing global.

Investigasi dua tahun, dijuluki Operasi Lyrebird oleh organisasi internasional antar pemerintah, mengakibatkan penangkapan seorang warga negara Maroko yang dijuluki Dr HeX, perusahaan keamanan siber Group-IB mengungkapkan hari ini dalam sebuah laporan yang dibagikan kepada The Hacker News.

Dr HeX dikatakan telah “aktif setidaknya sejak 2009 dan bertanggung jawab atas sejumlah kejahatan dunia maya, termasuk phishing, deface, pengembangan malware, penipuan, dan carding yang mengakibatkan ribuan korban yang tidak curiga,” kata perusahaan keamanan siber itu.

Serangan dunia maya melibatkan penyebaran kit phishing yang terdiri dari halaman web yang memalsukan entitas perbankan di negara tersebut, diikuti dengan mengirim email massal yang meniru perusahaan yang ditargetkan, mendorong penerima email untuk memasukkan informasi login di situs web jahat.

Kredensial yang dimasukkan oleh korban yang tidak menaruh curiga di halaman web palsu kemudian diarahkan ke email pelaku. Setidaknya tiga kit phishing berbeda yang mungkin dikembangkan oleh aktor ancaman telah diekstraksi.

Selain itu, Group-IB juga dapat memetakan alamat email ke infrastruktur jahat yang digunakan oleh terdakwa dalam berbagai kampanye phishing, yang mencakup sebanyak lima alamat email, enam nama panggilan, dan akunnya di Skype, Facebook, Instagram dan YouTube.

Selengkapnya: The Hacker News

Ransomware: Haruskah membayar uang tebusan peretas itu ilegal?

by

Serangan ransomware mencegah korban mengakses sistem atau data komputer sampai uang tebusan dibayarkan.

Lembaga penegak hukum di seluruh dunia semakin mendesak para korban untuk tidak membayar. Tapi membayar tebusan bukanlah suatu hal yang ilegal. Dan banyak organisasi membayar secara rahasia.

Sekarang, koalisi global Ransomware Task Force (RTF) pakar dunia maya melobi pemerintah untuk mengambil tindakan. Ini telah membuat hampir 50 rekomendasi untuk mengekang kejahatan, tetapi tidak dapat menyetujui apakah negara harus melarang pembayaran uang tebusan.

Dan BBC bertanya kepada dua anggota mengapa.

“Larangan pembayaran akan menghasilkan permainan ‘ayam’ yang cukup mengerikan”

Wakil presiden komunitas dan urusan publik Rapid7 Jen Ellis mengatakan: “Kebanyakan orang setuju, dalam dunia yang ideal, pemerintah akan melarang pembayaran uang tebusan. Karena ransomware adalah kejahatan yang dimotivasi oleh keuntungan, ini diharapkan dapat mencegah kejahatan. Masalahnya adalah, kita tidak hidup di dunia yang ideal.”

“Di dunia tempat kita tinggal, pelarangan pembayaran hampir pasti akan menghasilkan permainan ‘ayam’ yang cukup mengerikan, di mana penjahat akan mengalihkan semua fokus mereka ke organisasi yang paling tidak mungkin dapat menangani waktu henti – misalnya rumah sakit, instalasi pengolahan air, penyedia energi, dan sekolah.”

“Larangan pembayaran akan mengurangi beban organisasi”

Presiden dan CEO Cyber Threat Alliance Michael Daniel mengatakan: “Kasus pelarangan pembayaran uang tebusan sudah jelas. Serangan ransomware terutama dimotivasi oleh keuntungan. Dan tanpa keuntungan, penyerang akan beralih dari taktik ini.”

“Selanjutnya, keuntungan tebusan digunakan untuk mendanai kejahatan lain yang bahkan lebih berbahaya, seperti perdagangan manusia, eksploitasi anak, dan terorisme. Akhirnya, pembayaran menghasilkan lebih banyak serangan, memperkuat kegunaan taktik itu. Tidak ada organisasi yang mau membayar tebusan.”

“Sebaliknya, mereka merasa tidak punya pilihan, apakah itu karena ancaman kebangkrutan, kerusakan reputasi yang diakibatkan oleh gangguan layanan, atau potensi hilangnya nyawa atau gangguan ekonomi skala luas.”

“Memang, dari sudut pandang organisasi yang murni berjangka pendek, membayar uang tebusan sering kali merupakan keputusan yang rasional secara ekonomi.”

“Kita perlu memutus siklus ini dan menghilangkan ‘bahan bakar’ ekosistem ransomware.”

Selengkapnya: BBC

Peretasan China yang dicurigai terhadap Microsoft menunjukkan tanda-tanda pengintaian sebelumnya

by

Microsoft Corp dan pejabat pemerintah AS masih bekerja untuk memahami bagaimana jaringan yang dicurigai sebagai kelompok peretas China melakukan serangan siber yang luar biasa tanpa pandang bulu dan menjangkau jauh pada perangkat lunak email Microsoft, lebih dari sebulan setelah ditemukannya operasi yang menyebabkan ratusan ribu. bisnis kecil, sekolah, dan organisasi lain yang rentan terhadap gangguan.

Sebuah teori terkemuka telah muncul dalam beberapa minggu terakhir, menurut orang-orang yang mengetahui masalah ini: Para peretas China yang dicurigai menambang banyak informasi pribadi yang diperoleh sebelumnya untuk melakukan serangan itu.

Metode seperti itu, jika dikonfirmasi, dapat mewujudkan ketakutan lama tentang konsekuensi keamanan nasional dari pencurian data besar-besaran Beijing sebelumnya. Dan itu akan menunjukkan bahwa para peretas memiliki tingkat perencanaan dan kecanggihan yang lebih tinggi daripada yang dipahami sebelumnya.

Gedung Putih mengumpulkan gugus tugas antarlembaga yang mencakup mitra sektor swasta, seperti Redmond, Washington, raksasa teknologi dan perusahaan keamanan siber, untuk dengan cepat berbagi informasi dan mengembangkan tambalan keamanan untuk pelanggan Exchange Server yang terpengaruh.

Di antara sumber potensial dari data pribadi tersebut adalah arsip besar China dari miliaran catatan pribadi yang mungkin dicuri peretas selama dekade terakhir. Para peretas mungkin telah menambang itu untuk menemukan akun email mana yang perlu mereka gunakan untuk membobol target mereka, menurut orang-orang yang mengetahui masalah tersebut.

selengkapnya : www.foxbusiness.com