Cyber Crime

Geng TrickBot Memasuki Cybercrime Elite dengan Afiliasi Baru

October 20, 2021 by Winnie the Pooh

Penjahat dunia maya di balik trojan TrickBot yang terkenal telah menandatangani dua afiliasi distribusi tambahan, dijuluki Hive0106 (alias TA551) dan Hive0107 oleh IBM X-Force. Hasilnya? Meningkatnya serangan ransomware pada perusahaan, terutama menggunakan ransomware Conti.

Perkembangan ini juga berbicara tentang peningkatan kecanggihan geng TrickBot dan berdiri di bawah tanah kejahatan dunia maya, peneliti IBM mengatakan: “Perkembangan terbaru ini menunjukkan kekuatan koneksinya dalam ekosistem kejahatan dunia maya dan kemampuannya untuk memanfaatkan hubungan ini untuk memperluas jumlah organisasi yang terinfeksi. malware-nya.”

Malware TrickBot mulai hidup sebagai trojan perbankan pada tahun 2016, tetapi dengan cepat berkembang menjadi ancaman layanan penuh modular. TrickBot mampu melakukan berbagai fungsi pintu belakang dan pencurian data, dapat memberikan muatan tambahan, dan memiliki kemampuan untuk bergerak cepat secara lateral di seluruh perusahaan.

Untuk mengurangi kemungkinan menderita kerusakan besar akibat infeksi (atau serangan ransomware lanjutan), IBM merekomendasikan untuk mengambil langkah-langkah berikut:

Pastikan Anda memiliki redundansi cadangan, disimpan secara terpisah dari zona jaringan yang dapat diakses penyerang dengan akses hanya baca. Ketersediaan cadangan yang efektif merupakan pembeda yang signifikan bagi organisasi dan dapat mendukung pemulihan dari serangan ransomware.
Terapkan strategi untuk mencegah pencurian data yang tidak sah, terutama yang berlaku untuk mengunggah data dalam jumlah besar ke platform penyimpanan cloud yang sah yang dapat disalahgunakan oleh penyerang.
Gunakan analitik perilaku pengguna untuk mengidentifikasi potensi insiden keamanan. Saat terpicu, anggap telah terjadi pelanggaran. Audit, pantau, dan lakukan tindakan cepat atas dugaan penyalahgunaan yang terkait dengan akun dan grup istimewa.
Gunakan otentikasi multi-faktor pada semua titik akses jarak jauh ke dalam jaringan perusahaan.
Amankan atau nonaktifkan remote desktop protocol (RDP). Beberapa serangan ransomware telah diketahui mengeksploitasi akses RDP yang lemah untuk mendapatkan entri awal ke dalam jaringan.

Selengkapnya: Threat Post

Total $590 juta pembayaran ransomware dilaporkan ke A.S. pada tahun 2021 saat serangan melonjak

October 20, 2021 by Winnie the Pooh

Data baru yang keluar pada hari Jumat menunjukkan $590 juta dalam pembayaran terkait ransomware dilaporkan ke otoritas AS pada paruh pertama tahun 2021, menetapkan kecepatan untuk mengalahkan total untuk dekade sebelumnya ketika pemerasan dunia maya sedang booming.

Menurut laporan Departemen Keuangan AS, angka tersebut 42 persen lebih tinggi dari jumlah yang dilaporkan oleh lembaga keuangan sepanjang tahun 2020.

“Jika tren saat ini berlanjut, (laporan) yang diajukan pada tahun 2021 diproyeksikan memiliki nilai transaksi terkait ransomware yang lebih tinggi daripada (laporan) yang diajukan dalam gabungan 10 tahun sebelumnya,” kata Departemen Keuangan.

Kejahatan itu melibatkan pembobolan jaringan entitas untuk mengenkripsi datanya, kemudian menuntut tebusan, biasanya dibayar melalui cryptocurrency dengan imbalan kunci digital untuk membukanya.

Washington telah berusaha untuk menindak peningkatan tajam dalam serangan, termasuk mengeluarkan sanksi pertamanya terhadap pertukaran online di mana operator gelap diduga menukar cryptocurrency dengan uang tunai.

Data baru tentang skala pembayaran yang terkait dengan peretasan muncul setelah lebih dari dua lusin negara memutuskan untuk bersama-sama memerangi ransomware selama pertemuan puncak yang dipimpin Washington.

Amerika Serikat mengumpulkan negara-negara – dengan pengecualian Rusia – untuk menyatukan dan meningkatkan upaya memerangi kejahatan dunia maya yang transnasional, meningkat dan berpotensi menghancurkan.

Keamanan digital yang lebih kuat dan pencadangan offline serta secara kolektif menargetkan pencucian hasil serangan diidentifikasi sebagai langkah penting dalam pertarungan.

Selengkapnya: Japan Today

Setelah Dipecat Pegawai TI Balas Dendam Menghapus Seluruh Data dan Mengubah Pasword

October 15, 2021 by Eevee Leave a Comment

Seorang pria 29 tahun menghapus data pada sistem sekolah menengah di Inggris dan mengubah kata sandi di sebuah perusahaan IT, dalam serangan cyber pembalasan karena dipecat.

Akibat tindakannya itu, sistem sekolah tidak bisa lagi diakses dan pembelajaran jarak jauh terdampak saat siswa berada di rumah akibat pandemi Covid-19.

Pelanggar berulang
Pada awal tahun pada 16 Januari, Adam Georgeson mengunduh dan menghapus data dari komputer milik Welland Park Academy di Market Harborough, Leicestershire, dan mengubah kata sandi anggota staf.

Georgeson telah bekerja sebagai teknisi IT di sekolah tersebut tetapi telah dipecat pada saat serangan itu terjadi.

Pada 21 Januari, saat bekerja di sebuah perusahaan IT di Rutland, Georgeson ditangkap karena tindakannya di jaringan sekolah.

Namun, pekerjaan barunya tidak berlangsung lama karena dia dipecat pada bulan Februari dan dia sekali lagi melanggar norma digital dari mantan atasannya.

Pada 9 Maret, perusahaan melaporkan aktivitas tidak sah di jaringannya. Selain mengubah kata sandi yang mengunci pengguna, Georgeson juga memodifikasi sistem telepon yang digunakan untuk menghubungi pelanggan.

Georgeson menyerahkan diri di Leicester Crown Court pada hari Senin dan mengaku bersalah atas dua pelanggaran peretasan dunia maya, yang membawa hukuman hingga 10 tahun penjara.

Menurut petugas investigasi Detektif Constable Anthony Jones, Georgeson mengatakan bahwa dia mengakses sistem sekolah karena dia bosan dan kemudian mulai menghapus data.

Ketika dia menyadari bahwa tindakannya dapat dilacak dan berisiko tertangkap, Georgeson beralih ke tindakan yang lebih jahat.

“Ada banyak kebencian terhadap kedua mantan atasannya- tetapi itu bukan alasan untuk tindakannya yang menyebabkan masalah signifikan bagi keduanya dan bisa memiliki konsekuensi yang lebih parah” – Detektif Polisi Anthony Jones

Georgeson dijadwalkan menerima hukumannya tahun depan, pada 27 Januari.

sumber: bleepingcomputer

Hati-hati Peringatan “Security Certificate is out of date” Palsu

September 22, 2021 by Eevee Leave a Comment

Situs yang diretas mendorong TeamViewer menampilkan peringatan sertifikat kedaluwarsa palsu untuk mengunduh penginstal palsu berbahaya.

Server Windows IIS ter-compromised menambahkan halaman pemberitahuan sertifikat kedaluwarsa.

Layanan Informasi Internet (IIS) adalah perangkat lunak server web Microsoft Windows yang disertakan dengan semua versi Windows sejak Windows 2000, XP, dan Server 2003.

Pesan yang ditampilkan di halaman kesalahan kedaluwarsa sertifikat berbahaya berbunyi: “Mendeteksi potensi risiko keamanan dan tidak memperpanjang transisi ke [nama situs]. Memperbarui sertifikat keamanan memungkinkan koneksi ini berhasil. NET::ERR_CERT_OUT_OF_DATE.”

Seperti yang diamati oleh peneliti keamanan Malwarebytes Threat Intelligence, malware masuk melalui penginstal pembaruan palsu [VirusTotal] yang ditandatangani dengan sertifikat Digicert.

Payload yang dijatuhkan pada sistem yang terinfeksi adalah TVRAT (antara lain TVSPY, TeamSpy, TeamViewerENT, atau Team Viewer RAT), sebuah malware yang dirancang untuk memberi operatornya akses jarak jauh penuh ke host yang terinfeksi.

Setelah disebarkan pada perangkat yang terinfeksi, malware akan diam-diam menginstal dan meluncurkan perangkat lunak kendali jarak jauh TeamViewer.

Setelah diluncurkan, server TeamViewer akan menjangkau server perintah-dan-kontrol (C2) untuk memberi tahu penyerang bahwa mereka dapat mengambil kendali penuh dari komputer yang baru disusupi dari jarak jauh.

TVRAT pertama kali muncul pada tahun 2013 ketika dikirimkan melalui kampanye spam sebagai lampiran berbahaya yang menipu target untuk mengaktifkan makro Office.

Status Server IIS Rentan dan Ditargetkan
Untuk sementara metode yang digunakan oleh penyerang untuk mengkompromikan server IIS belum diketahui, penyerang dapat menggunakan berbagai cara untuk menembus server Windows IIS.

Misalnya, mengeksploitasi kode yang menargetkan kerentanan wormable kritis yang ditemukan di HTTP Protocol Stack (HTTP.sys) yang digunakan oleh server web Windows IIS telah tersedia untuk umum sejak Mei.

Microsoft menambal kelemahan keamanan (dilacak sebagai CVE-2021-31166) selama Patch Mei Selasa dan mengatakan itu hanya berdampak pada Windows 10 versi 2004/20H2 dan Windows Server versi 2004/20H2.

Belum ada aktivitas jahat yang menyalahgunakan kelemahan ini sejak patch itu dan, sebagian besar target potensial kemungkinan aman dari serangan mengingat pengguna rumahan dengan versi Windows 10 terbaru akan memperbarui dan perusahaan biasanya tidak menggunakan versi Window Server terbaru.

sumber berita: Bleeping Computer

Polisi Membubarkan Grup Penipuan Online yang Berhasil Meraup 166 Triliun Rupiah

September 22, 2021 by Eevee

Polisi melakukan 106 penangkapan dalam membubarkan kegiatan kejahatan terorganisir yang menggunakan phishing dan business email compromise attacks.

Polisi telah membongkar grup yang terkait dengan mafia Italia yang menipu ratusan korban melalui serangan phishing dan jenis penipuan online lainnya.

Operasi gabungan dipimpin oleh Polisi Nasional Spanyol (Policia Nacional), dengan dukungan dari Polisi Nasional Italia (Polizia di Stato), Europol dan Eurojust dan telah mengakibatkan 106 penangkapan di seluruh Spanyol dan Italia.

Menurut Europol, operasi kejahatan menggunakan serangan phishing, pertukaran SIM, dan business email compromise (BEC) dan diperkirakan menghasilkan keuntungan selama satu tahun sekitar € 10 juta yang setara dengan $ 11,7 juta dollar amerika atau 166 triliun rupiah.

Digambarkan sebagai “terorganisir dengan sangat baik”, kelompok itu terdiri dari sejumlah pakar kejahatan komputer yang bertugas membuat domain phishing dan melakukan penipuan dunia maya. Individu lain yang terlibat dalam jaringan kriminal ada perantara uang dan pakar pencucian uang(money-laundering), termasuk pakar cryptocurrency.

Bekerja di Kepulauan Canary, Spanyol, para penjahat menipu para korban (kebanyakan dari Italia) untuk mengirim sejumlah besar uang ke rekening bank yang mereka kendalikan, sebelum melakukan money-laundering.

Menurut FBI, BEC adalah salah satu bentuk kejahatan dunia maya yang paling menguntungkan, meraup sampai sampai miliaran dollar per tahun.

Selain 106 penangkapan, 118 rekening bank telah dibekukan dan sejumlah perangkat telah disita, termasuk 224 kartu kredit, kartu SIM, dan terminal point-of-sale.

Polisi menyelidiki kelompok itu selama lebih dari setahun sebelum melakukan penangkapan. Sebagai bagian dari operasi, Europol mengerahkan dua analis dan satu ahli forensik ke Tenerife, Spanyol dan satu analis ke Italia. Europol juga mendanai pengerahan tiga penyelidik Italia ke Tenerife untuk mendukung pihak berwenang Spanyol selama penyelidikan.

source: ZDNet

Telegram muncul sebagai Dark Web baru untuk penjahat siber

September 20, 2021 by Winnie the Pooh

Sebuah penelitian baru menunjukkan bahwa Telegram telah meledak sebagai pusat bagi penjahat dunia maya yang ingin membeli, menjual, dan berbagi data curian dan alat peretasan, ketika aplikasi perpesanan muncul sebagai alternatif dari dark web.

Investigasi oleh kelompok intelijen siber Cyberint, bersama dengan Financial Times, menemukan jaringan besar peretas yang berbagi kebocoran data di platform perpesanan populer, terkadang di channel dengan puluhan ribu pelanggan.

Dalam banyak kasus, kontennya mirip dengan pasar yang ditemukan di dark web, sekelompok situs web tersembunyi yang populer di kalangan peretas dan diakses menggunakan software anonim tertentu.

“Kami baru-baru ini menyaksikan peningkatan 100 persen lebih dalam penggunaan Telegram oleh penjahat siber,” kata Tal Samra, analis ancaman siber di Cyberint.

“Layanan pesan terenkripsinya semakin populer di kalangan pelaku ancaman yang melakukan aktivitas penipuan dan menjual data curian . . . karena lebih nyaman digunakan daripada dark web.”

Meningkatnya aktivitas jahat datang ketika pengguna berbondong-bondong menggunakan aplikasi obrolan terenkripsi awal tahun ini setelah perubahan kebijakan privasi saingan milik Facebook, WhatsApp, mendorong banyak orang untuk mencari alternatif lain.

Menurut Cyberint, jumlah penyebutan di Telegram tentang “Email: pass” dan “Combo” – bahasa peretas yang digunakan untuk menunjukkan bahwa daftar email dan kata sandi curian dibagikan – naik empat kali lipat selama setahun terakhir menjadi hampir 3.400.

Dalam satu channel Telegram publik yang disebut “combolist”, yang memiliki lebih dari 47.000 pelanggan, peretas menjual atau hanya mengedarkan dump data besar dari ratusan ribu nama pengguna dan kata sandi yang bocor.

Jenis data lain yang diperdagangkan termasuk data keuangan seperti informasi kartu kredit, salinan paspor dan kredensial untuk rekening bank dan situs seperti Netflix, menurut penelitian tersebut. Penjahat online juga membagikan perangkat lunak berbahaya, eksploitasi, dan panduan peretasan melalui aplikasi, kata Cyberint.

Selengkapnya: Financial Times

Olimpiade Tokyo Dimanfaatkan dalam Serangan Kejahatan Dunia Maya

August 20, 2021 by Winnie the Pooh

Pada 26 Juli, halaman palsu yang mengarah ke situs penyiaran olahraga yang mencurigakan dari jenis yang sama telah dikonfirmasi oleh pencarian web. Selain spam notifikasi browser, peneliti dari Trend Micro juga telah mengonfirmasi metode yang membuat pengguna mendaftarkan informasi pribadi mereka seperti alamat email di situs mencurigakan dengan dalih menonton video. Diyakini bahwa metode serupa untuk mengarahkan orang ke situs yang mencurigakan akan terus berlanjut di masa mendatang. Penting untuk menyadari skema semacam itu untuk menghindari penipuan.

Pada 19 Juli, tepat sebelum pembukaan Olimpiade Tokyo, Trend Micro mengkonfirmasi kasus di mana halaman web yang disamarkan sebagai jadwal siaran TV untuk Olimpiade Tokyo diarahkan ke situs siaran olahraga yang mencurigakan. Menurut survei Trend Micro pada hari Kamis, situs siaran olahraga yang mencurigakan ini diarahkan ke apa yang disebut “spam pemberitahuan browser”, yang memungkinkan pengguna untuk diberi tahu tentang browser dan menampilkan iklan berbahaya.

Selain itu, Trend Micro telah mengkonfirmasi bahwa ada beberapa halaman web palsu yang disamarkan sebagai jadwal siaran TV terkait dengan Olimpiade Tokyo, yang tampaknya dibuat untuk mengarahkan pengguna ke situs yang mencurigakan ini.

Dari kata-kata yang digunakan, diduga bahwa halaman palsu ini dibuat untuk muncul di hasil pencarian ketika pengguna biasa menelusuri web untuk memeriksa siaran TV Olimpiade yang akan datang. Namun, mulai pukul 12:00 pada 19 Juli, halaman-halaman ini tidak lagi ditampilkan di hasil pencarian Google, yang menunjukkan bahwa rencana para penjahat siber telah digagalkan.

Di masa lalu, setiap kali acara global seperti Olimpiade diadakan, ada penjahat siber yang mencoba memanfaatkan gebrakan tersebut.

Selengkapnya: Trend Micro

Situs web geng ransomware REvil ditutup secara misterius

July 14, 2021 by Winnie the Pooh

Infrastruktur dan situs web untuk operasi ransomware REvil secara misterius telah offline sejak 12 Juli, 2021.

Operasi ransomware REvil, alias Sodinokibi, beroperasi melalui banyak situs clear web dan situs dark web yang digunakan sebagai situs negosiasi tebusan, situs kebocoran data ransomware, dan infrastruktur backend.

Mulai 12 Juli 2021, situs web dan infrastruktur yang digunakan oleh operasi ransomware REvil telah ditutup secara misterius.

“Dalam istilah sederhana, kesalahan ini umumnya berarti bahwa situs onion sedang offline atau dinonaktifkan. Untuk mengetahui dengan pasti, Anda perlu menghubungi administrator situs onion,” kata Al Smith dari Tor Project kepada BleepingComputer.

Meskipun tidak pernah terdengar bahwa situs REvil kehilangan konektivitas untuk beberapa waktu, semua situs yang ditutup secara bersamaan adalah hal yang tidak biasa.

Selain itu, situs decoder[.]re clear website tidak lagi dapat diselesaikan oleh kueri DNS, mungkin menunjukkan bahwa catatan DNS untuk domain telah ditarik atau infrastruktur DNS backend telah dimatikan.

Kemarin, perwakilan ransomware LockBit memposting ke forum peretasan berbahasa Rusia XSS bahwa dikabarkan geng REvil menghapus server mereka setelah mengetahui panggilan pengadilan pemerintah.

Segera setelah itu, admin XSS melarang ‘Unknown’ REvil, perwakilan geng ransomware yang menghadap publik, dari forum.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Crime

Cookies Settings