Cyber Criminal

Polisi Ukraina Menangkap Enam Orang Yang Terlibat dengan CLOP Ransomware

June 21, 2021 by Winnie the Pooh

Pihak berwenang di Ukraina minggu ini mendakwa enam orang yang diduga menjadi bagian dari kelompok ransomware CLOP, sebuah geng penjahat dunia maya dikatakan telah memeras lebih dari setengah miliar dolar dari para korban. Beberapa korban CLOP tahun ini saja termasuk Stanford University Medical School, University of California, dan University of Maryland.

Menurut pernyataan dan video yang dirilis, Polisi Cyber Ukraina mendakwa enam terdakwa dengan berbagai kejahatan komputer yang terkait dengan geng CLOP, dan melakukan 21 pencarian di seluruh wilayah Kyiv.

Debut pertama pada awal 2019, CLOP adalah salah satu dari beberapa kelompok ransomware yang meretas ke dalam organisasi, meluncurkan ransomware yang mengenkripsi file dan server, dan kemudian meminta pembayaran pemerasan sebagai imbalan atas kunci digital yang diperlukan untuk membuka kunci akses.

CLOP telah sangat sibuk selama enam bulan terakhir mengeksploitasi empat kerentanan zero-day yang berbeda di File Transfer Appliance (FTA), produk berbagi file yang dibuat oleh Accellion yang berbasis di California.

Geng CLOP memanfaatkan kelemahan tersebut untuk menyebarkan ransomware ke sejumlah besar pelanggan FTA Accellion, termasuk jaringan grosir AS Krogers, firma hukum Jones Day, firma keamanan Qualys, dan raksasa telekomunikasi Singapura Singtel.

Tidak jelas seberapa besar operasi penegakan hukum oleh otoritas Ukraina ini akan mempengaruhi keseluruhan operasi kelompok CLOP. Perusahaan intelijen cybersecurity Intel 471 mengatakan penggerebekan penegakan hukum di Ukraina terbatas pada sisi cash-out dan pencucian uang dari bisnis CLOP saja.

Selengkpanya: Krebs On Security

Perampokan Lazarus: Bagaimana Korea Utara hampir melakukan peretasan bernilai miliaran dolar

June 21, 2021 by Winnie the Pooh

Pada tahun 2016, peretas Korea Utara merencanakan serangan senilai $1 miliar di bank nasional Bangladesh dan berhasil mencapai satu inci – hanya secara kebetulan saja, semua transfer kecuali $81 juta dihentikan, lapor Geoff White dan Jean H Lee. Tapi bagaimana salah satu negara termiskin dan paling terisolasi di dunia melatih tim penjahat cyber elit?

Semuanya dimulai dengan printer yang tidak berfungsi. Itu hanya bagian dari kehidupan modern, dan ketika itu terjadi pada staf di Bank Bangladesh, mereka memikirkan hal yang sama yang kebanyakan dari kita lakukan. Itu tidak tampak seperti masalah besar.

Tapi ini bukan sembarang printer, dan bukan sembarang bank.

Bangladesh Bank adalah bank sentral negara itu, yang bertanggung jawab untuk mengawasi cadangan mata uang yang berharga dari sebuah negara di mana jutaan orang hidup dalam kemiskinan.

Dan printer memainkan peran penting. Itu terletak di dalam ruangan yang sangat aman di lantai 10 kantor utama bank di Dhaka, ibukota. Tugasnya adalah mencetak catatan transfer jutaan dolar yang mengalir masuk dan keluar dari bank.

Ketika staf menemukan itu tidak berfungsi, pada pukul 08:45 pada hari Jumat 5 Februari 2016, “kami menganggap itu adalah masalah umum seperti hari-hari lainnya,” manajer tugas Zubair Bin Huda kemudian mengatakan kepada polisi. “Glitches seperti itu pernah terjadi sebelumnya.”

Sebenarnya, ini adalah indikasi pertama bahwa Bank Bangladesh berada dalam banyak masalah. Peretas telah membobol jaringan komputernya, dan pada saat itu juga sedang melakukan serangan cyber paling berani yang pernah dicoba. Tujuan mereka: untuk mencuri satu miliar dolar.

Untuk menghilangkan uang itu, geng di belakang pencurian akan menggunakan rekening bank palsu, badan amal, kasino, dan jaringan kaki tangan yang luas.

Tapi siapa peretas ini dan dari mana asalnya?

Menurut para penyelidik, sidik jari digital hanya mengarah ke satu arah: ke pemerintah Korea Utara.

Selengkapnya: BBC

Di dalam serangan ransomware: bagaimana jaringan gelap penjahat dunia maya berkolaborasi untuk melakukannya

June 21, 2021 by Winnie the Pooh

Dalam komunike Carbis Bay mereka, G7 mengumumkan niat mereka untuk bekerja sama mengatasi kelompok ransomware. Beberapa hari kemudian, Presiden AS Joe Biden bertemu dengan Presiden Rusia Vladimir Putin, di mana proses ekstradisi untuk membawa penjahat siber Rusia ke pengadilan di AS dibahas. Putin dilaporkan setuju pada prinsipnya, tetapi bersikeras bahwa ekstradisi harus dilakukan secara timbal balik.

Masalah penegakan hukum adalah bahwa ransomware – suatu bentuk malware yang digunakan untuk mencuri data organisasi dan menyimpannya untuk tebusan – adalah suatu hal yang susah ditangkap. Tidak hanya itu kejahatan campuran, termasuk pelanggaran yang berbeda di berbagai badan hukum, tetapi juga kejahatan yang mengangkangi kewenangan lembaga kepolisian yang berbeda dan, dalam banyak kasus, negara. Dan tidak ada satu pelaku utama. Serangan Ransomware melibatkan jaringan terdistribusi dari penjahat dunia maya yang berbeda, seringkali tidak diketahui satu sama lain untuk mengurangi risiko penangkapan.

Serangan Ransomware juga berubah. Model bisnis industri kriminal telah bergeser ke arah ransomware-as-a-service. Ini berarti operator menyediakan perangkat lunak berbahaya, mengelola sistem pemerasan dan pembayaran, serta mengelola reputasi “merek”. Tetapi untuk mengurangi risiko penangkapan, mereka merekrut afiliasi dengan komisi yang besar untuk menggunakan perangkat lunak mereka untuk meluncurkan serangan.

Untuk mengurangi risiko tertangkap, kelompok pelaku cenderung mengembangkan dan menguasai keterampilan khusus untuk berbagai tahap serangan. Kelompok-kelompok ini mendapat manfaat dari saling ketergantungan ini, karena mengimbangi tanggung jawab pidana di setiap tahap.

Mereka mungkin dibeli oleh “broker akses awal”, yang berspesialisasi dalam mendapatkan akses awal ke sistem komputer sebelum menjual detail akses tersebut kepada calon penyerang ransomware.

Ekosistem ini terus berkembang. Misalnya, perkembangan baru-baru ini adalah munculnya “konsultan ransomware”, yang memungut biaya untuk menasihati pelanggar pada tahap-tahap utama serangan.

Selengkapnya: The Conversation

Penegak Hukum Diam-diam Menjalankan Bagian dari Web Gelap, Sekali Lagi: Apa Pelajarannya Di Sini?

June 21, 2021 by Winnie the Pooh

Selama hampir dua tahun, FBI tidak seperti yang lain. Organisasi secara sembunyi-sembunyi mendirikan dan mengoperasikan platform komunikasi terenkripsi yang disebut “ANOM” yang digunakan oleh kejahatan terorganisir. Percaya bahwa mereka menggunakan sarana komunikasi pribadi yang aman, banyak pedagang gelap melakukan operasi mereka di sini untuk melakukan bisnis.

Membocorkan sedikit dari topik; beberapa tahun sebelum ini, takedown dark web skala besar lainnya—atau lebih tepatnya, pengambilalihan—terjadi, pada awalnya secara diam-diam. Penghapusan itu dikenal sebagai “Operasi Bayonet” dan melibatkan unit kejahatan dunia maya di beberapa negara (kebanyakan Jerman, Belanda, dan AS).

Jadi mari kita simpulkan apa yang terjadi. Hal pertama yang perlu diperhatikan: Apa yang terjadi melibatkan dua pasar gelap yang terpisah, Hansa dan AlphaBay. Suatu hari, penegak hukum Belanda menerima tip dari seorang peneliti keamanan mengenai lokasi server pengembangan Hansa (tempat di mana pengembangan baru diuji sebelum ditayangkan di situs sebenarnya), yang jelas bukan hal yang mudah.

Belanda tahu hanya dengan menutupnya tidak akan adil bagi para pelanggar hukum ini dan mulai melakukan pengambilalihan. Tepat pada waktu yang sama, FBI memberi tahu Belanda: Mereka akan menutup pasar lain yang tadi disebutkan, AlphaBay. Ketika pasar ditutup, orang mencari penyedia terkemuka berikutnya.

Dengan rencana yang rumit, polisi Belanda dan Jerman merebut dan menguasai pasar Hansa. Dan tidak ada yang tahu, bahkan moderator. Ini sempurna karena sekarang orang baik dapat membuat perubahan di situs web untuk memberi mereka lebih banyak informasi tentang orang-orang yang menggunakan situs ini.

Seperti yang diharapkan, ketika FBI menjatuhkan AlphaBay, banyak yang berbondong-bondong ke Hansa, yang telah diambil alih oleh Unit Kejahatan Teknologi Tinggi Nasional Belanda dan mungkin tim Jerman dan AS.

Pada akhirnya, penegak hukum menjalankan situs untuk sementara waktu, menemukan banyak pengedar narkoba dan yang lainnya, dan menangkap banyak, banyak dari mereka. Di Belanda, polisi bahkan mengetuk pintu beberapa pembeli dan penjual yang lebih kecil.

Jadi, dengan mengingat hal ini, mari kita kembali ke kasus yang lebih baru.

“Untuk pertama kalinya, FBI mengoperasikan perusahaan perangkat terenkripsinya sendiri, yang disebut “ANOM,” yang dipromosikan oleh kelompok kriminal di seluruh dunia. Para penjahat ini menjual lebih dari 12.000 perangkat dan layanan terenkripsi ANOM ke lebih dari 300 sindikat kriminal yang beroperasi di lebih dari 100 negara, termasuk kejahatan terorganisir Italia, Geng Motor Penjahat, dan berbagai organisasi perdagangan narkoba internasional, menurut catatan pengadilan,” bunyi pernyataan yang dikeluarkan oleh FBI.

Operasi itu disebut Trojan Shield dan memuncak dalam 800 penangkapan, serta penyitaan lebih dari 8 ton kokain; 22 ton ganja; 2 ton metamfetamin/amfetamin; enam ton bahan kimia prekursor; 250 senjata api; dan lebih dari $48 juta dalam berbagai mata uang dunia.

Namun, selain menangkap orang jahat, tujuan dari operasi ini adalah untuk membuat para penjahat merasa bahwa tidak ada platform atau metode komunikasi yang aman bagi mereka, dengan harapan mencegah mereka untuk melakukan kegiatan terlarang sejak awal.

Selengkapnya: Interesting Engineering

Ransomware adalah ancaman keamanan siber teratas yang kita hadapi, kepala siber memperingatkan

June 15, 2021 by Winnie the Pooh

Ransomware adalah salah satu ancaman keamanan siber utama yang dihadapi Inggris dan kelompok kriminal siber di belakang mereka menjadi lebih berbahaya, kepala siber Inggris memperingatkan.

Lindy Cameron, kepala Pusat Keamanan Siber Nasional (NCSC) akan mengatakan bahwa organisasi – lengan keamanan dunia maya dari agen mata-mata GCHQ – berkomitmen untuk mengatasi ancaman ransomware dan “mendukung korban ransomware setiap hari” tetapi respon yang terkoordinasi diperlukan untuk memerangi ancaman yang berkembang.

Sementara kampanye peretasan yang disponsori negara menimbulkan “ancaman strategis yang berbahaya bagi kepentingan nasional Inggris”, itu adalah kejahatan dunia maya – dan khususnya ransomware – yang telah menjadi ancaman terbesar.

Insiden baru-baru ini seperti serangan ransomware terhadap Colonial Pipeline dan pengolah daging JBS, serta serangan ransomware terhadap layanan kesehatan Irlandia, telah menunjukkan betapa mengganggu nya kampanye kriminal dunia maya ini terhadap layanan penting.

Tidak hanya kelompok ransomware kriminal dunia maya yang mengenkripsi jaringan dan menuntut pembayaran yang signifikan sebagai ganti kunci dekripsi, sekarang juga umum bagi mereka untuk juga mencuri informasi sensitif dan mengancam untuk melepaskannya kecuali uang tebusan dibayarkan – seringkali membuat korban merasa seolah-olah mereka tidak punya pilihan selain menyerah pada tuntutan pemerasan.

Namun, ransomware bukan hanya masalah bagi Inggris saja dan Cameron mendesak pentingnya bekerja sama dengan negara lain untuk mengatasi apa yang benar-benar menjadi masalah internasional ini.

Selengkapnya: ZDNet

Apakah Telegram menjadi alternatif baru untuk Dark Web?

May 31, 2021 by Winnie the Pooh

Investigasi oleh peneliti keamanan siber terhadap Telegram telah mengungkapkan bahwa data pribadi jutaan orang dibagikan secara terbuka di grup dan saluran aplikasi dengan ribuan anggota.

Penelitian dari penyedia VPN vpnMentor semakin memperkuat posisi Telegram sebagai tempat berlindung yang aman bagi penjahat dunia maya, menemukan penjahat dunia maya menggunakan platform komunikasi terenkripsi yang populer untuk berbagi dan mendiskusikan kebocoran data besar-besaran yang membuat jutaan orang terpapar pada tingkat penipuan, peretasan, dan serangan online yang belum pernah terjadi sebelumnya.

Baru-baru ini, penyelidikan serupa oleh NortonLifeLock menemukan bukti pasar ilegal yang berkembang pesat di Telegram di mana pengguna yang tidak bermoral menjajakan segalanya mulai dari vaksin Covid-19 dan informasi pribadi, hingga perangkat lunak bajakan dan ID palsu.

Para peneliti vpnMentor telah merinci temuan mereka dalam sebuah laporan di mana mereka memeriksa tren yang berkembang dari penjahat dunia maya yang membagikan data bocor di Telegram.

Tim mereka bergabung dengan beberapa grup dan saluran Telegram yang berfokus pada kejahatan dunia maya untuk mengalami pertukaran ilegal antara pelaku kejahatan untuk diri mereka sendiri.

Yang mengejutkan, mereka menemukan peretas secara terbuka memposting dump data di grup, beberapa dengan lebih dari 10.000 anggota. Lebih mengkhawatirkan, pengguna yang tidak bermoral bahkan tidak menghindar dari diskusi tentang cara mengeksploitasi tempat pembuangan data di berbagai perusahaan kriminal.

Selengkapnya: Tech Radar

Microsoft berbagi intelijen tentang aktivitas pasca-kompromi Serangan Exchange Server

March 29, 2021 by Winnie the Pooh Leave a Comment

Awal pekan ini, Microsoft mengatakan bahwa 92% dari server Exchange yang rentan telah ditambal atau telah diterapkan mitigasi. Namun, firma keamanan siber F-Secure mengatakan “puluhan ribu” server Exchange telah dibobol. Dalam posting blog baru, Microsoft menegaskan kembali peringatannya bahwa “menambal sistem tidak serta merta menghapus akses penyerang”.

“Banyak dari sistem yang disusupi belum menerima tindakan sekunder, seperti serangan ransomware yang dioperasikan oleh manusia atau eksfiltrasi data, yang menunjukkan bahwa penyerang dapat menetapkan dan mempertahankan akses mereka untuk kemungkinan tindakan selanjutnya,” catat Microsoft 365 Defender Threat Intelligence Team.

Jika sistem telah disusupi, Microsoft mendesak admin untuk mempraktikkan prinsip hak istimewa paling rendah dan mengurangi pergerakan lateral pada jaringan.

Hak istimewa terkecil akan membantu mengatasi praktik umum di mana layanan Exchange atau tugas terjadwal telah dikonfigurasi dengan akun dengan hak istimewa tinggi untuk melakukan tugas-tugas seperti pencadangan.

Menggunakan ransomware DoejoCrypt, alias DearCry, sebagai contoh, Microsoft mencatat bahwa web shell yang digunakan oleh strain tersebut menulis file batch ke C: \ Windows \ Temp \ xx.bat. Ini ditemukan di semua sistem yang terkena DoejoCrypt dan mungkin menawarkan penyerang rute untuk mendapatkan kembali akses di mana infeksi telah terdeteksi dan dihapus.

“File batch ini melakukan backup database Security Account Manager (SAM) dan kumpulan registri Sistem dan Keamanan, yang memungkinkan penyerang nanti mengakses sandi pengguna lokal di sistem dan, yang lebih penting, di LSA [Otoritas Keamanan Lokal] Bagian rahasia dari registri, di mana kata sandi untuk layanan dan tugas terjadwal disimpan, “catatan Microsoft.

Meskipun korban belum mendapatkan tebusan, penggunaan file xx.bat oleh penyerang memungkinkan mereka menjelajahi jaringan melalui kerangka web yang meletakkan file tersebut pada awalnya. Shell web juga mengunduh kit pengujian penetrasi Cobalt Strike sebelum mengunduh muatan ransomware dan mengenkripsi file. Dengan kata lain, korban mungkin belum ditebus hari ini, tetapi penyerang telah meninggalkan alat di jaringan untuk melakukannya besok.

Ancaman kejahatan dunia maya lainnya ke server Exchange berasal dari penambang mata uang kripto yang berbahaya. Botnet cryptocurrency Lemon Duck diamati mengeksploitasi server Exchange yang rentan. Menariknya, operator Lemon Duck membersihkan server Exchange dengan file xx.bat dan web shell, memberinya akses eksklusif ke server Exchange. Microsoft juga menemukan bahwa itu digunakan untuk menginstal malware lain, bukan hanya menambang cryptocurrency.

Source : ZDnet

Polisi Belanda memposting peringatan ‘ramah’ di forum peretasan

February 18, 2021 by Winnie the Pooh

Polisi Belanda telah memposting pesan “ramah” di dua forum peretasan terbesar saat ini yang memperingatkan penjahat siber bahwa “menjadi tuan rumah infrastruktur kriminal di Belanda adalah ‘lost cause’ (perkara yang pasti kalah).”

Pesan-pesan itu diposting setelah “Operasi Ladybird”, di mana lembaga penegak hukum di beberapa negara turun tangan untuk menjatuhkan Emotet, salah satu botnet terbesar saat ini.

Polisi Belanda mengungkapkan bahwa setelah penghapusan Emotet, petugasnya juga melanjutkan Raid dan XSS, dua forum peretasan yang dapat diakses publik dan sangat populer, dan memposting pesan untuk mencegah pelaku ancaman lainnya menyalahgunakan penyedia hosting Belanda untuk menjadi host botnet atau bentuk kejahatan siber lainnya.

Tautan ke video YouTube juga disertakan, video yang diakhiri dengan pesan dari polisi Belanda yang mengatakan: “Semua orang membuat kesalahan. Kami menunggu kesalahan Anda.”

Pesan agresif tersebut bukanlah suatu kejutan, setidaknya bagi para pakar keamanan siber, yang sebagian besar sangat menyadari sikap agresif polisi Belanda.

Polisi Belanda saat ini juga berada di jantung operasi pencopotan massal untuk menghapus malware Emotet dari host yang terinfeksi, bersama dengan polisi Jerman.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Criminal

Cookies Settings