Cyber Criminal

Transaksi blockchain mengonfirmasi pemandangan ransomware yang suram dan saling berhubungan

February 5, 2021 by Winnie the Pooh

Sebuah laporan yang diterbitkan oleh firma investigasi blockchain Chainalysis mengonfirmasi bahwa kelompok kejahatan siber yang terlibat dalam serangan ransomware tidak beroperasi dalam gelembung mereka sendiri tetapi sering mengganti pemasok ransomware (layanan RaaS) untuk mencari keuntungan yang lebih baik.

Laporan tersebut menganalisis bagaimana dana Bitcoin ditransfer dari korban ke kelompok kriminal, dan bagaimana uang itu dibagi di antara berbagai pihak yang terlibat dalam serangan ransomware, dan bagaimana uang itu akhirnya dicuci.

Lanskap ransomware telah berevolusi dari tahun-tahun sebelumnya dan sekarang menjadi kumpulan dari berbagai kelompok kriminal, masing-masing menyediakan layanannya sendiri yang sangat terspesialisasi satu sama lain, seringkali di berbagai penyedia RaaS (Ransomware-as-a-Service) yang berbeda.

Laporan Chainalysis mengkonfirmasi teori informal ini dengan bukti kriptografi yang tak terbantahkan yang ditinggalkan oleh transaksi Bitcoin yang telah terjadi di antara beberapa kelompok ini.

Misalnya, berdasarkan grafik di bawah ini, Chainalysis mengatakan menemukan bukti yang menunjukkan bahwa afiliasi untuk Maze RaaS yang sekarang sudah tidak berfungsi juga terlibat dengan SunCrypt RaaS.

Temuan serupa juga menunjukkan hubungan antara operasi Egregor dan DoppelPaymer.

Dan yang tak kalah pentingnya, peneliti Chainalysis juga menemukan bukti bahwa operator operasi Maze dan Egregor juga menggunakan layanan pencucian uang dan broker over-the-counter yang sama untuk mengubah dana curian menjadi mata uang fiat.

Sumber: ZDNet

Geng Ransomware Besar Pertama Tahun 2021 Meluncurkan Situs “Leak” yang fanatik.

February 3, 2021 by Winnie the Pooh

Kelompok di balik ransomware Babyk Locker, malware yang digembar-gemborkan sebagai “ransomware perusahaan” baru pertama tahun 2021, baru-baru ini meluncurkan situs kebocoran data pertamanya — sebuah forum tempat peretas memposting dan mempublikasikan data yang dicuri dari korbannya jika korbannya menolak untuk membayar mereka. Grup tersebut, yang muncul beberapa minggu lalu, telah dijuluki sebagai “Pemburu Game Besar” karena strateginya menargetkan institusi besar untuk pembayaran yang lebih besar. Ini telah menyerang sejumlah entitas besar — tampaknya mengorbankan produsen suku cadang mobil, perusahaan pemanas yang berbasis di AS, dan perusahaan elevator, antara lain.

Menariknya, kelompok tersebut menyatakan bahwa, selain penjahat, mereka juga homofobik dan rasis.

Peneliti Emsisoft Brett Callow membagikan situs baru Babyk kepada kami dan kami menemukan beberapa bahasa yang tidak biasa. Di situs tersebut, grup tersebut telah mencantumkan beberapa parameter untuk operasinya, menguraikan semacam “kode peretas” terkait entitas mana yang akan dan tidak akan mereka serang. Dalam daftar tersebut, kelompok tersebut mencatat bahwa mereka mendukung bisnis kecil (mereka berjanji untuk hanya menyerang perusahaan yang menghasilkan lebih dari $ 4 juta per tahun), mereka mendukung pendidikan (mereka tidak akan menyerang sekolah “kecuali universitas besar”), dan mereka mengatakan mereka akan berhenti menyerang rumah sakit (kecuali tampaknya “klinik bedah plastik swasta” dan beberapa kantor dokter gigi). Sejauh ini mereka terdengar seperti peretas sejati bagi masyarakat.

Hanya dalam beberapa minggu, Babyk telah berhasil membuat heboh. Sebelum peluncuran situs baru mereka, Babyk memposting dump data besar di Raid Forums situs web gelap populer. Callow mengatakan kepada Gizmodo bahwa kelompok itu juga bertanggung jawab atas serangan dunia maya baru-baru ini di Serco, sebuah perusahaan outsourcing multinasional yang telah terlibat dalam upaya pelacakan dan penelusuran Covid-19. Operasi pelacakan dan pelacakan perusahaan dikatakan tidak terpengaruh oleh serangan itu.

Source : Gizmodo

Malwarebytes diretas oleh kelompok dibalik peretasan SolarWinds

January 20, 2021 by Winnie the Pooh

Perusahaan keamanan dunia maya AS Malwarebytes hari ini mengatakan telah diretas oleh kelompok yang sama yang melanggar perusahaan perangkat lunak IT SolarWinds tahun lalu. Malwarebytes mengatakan intrusi tersebut tidak terkait dengan insiden rantai pasokan SolarWinds karena perusahaan tidak menggunakan perangkat lunak SolarWinds apa pun di jaringan internalnya.

Alih-alih, firma keamanan tersebut mengatakan para peretas melanggar sistem internalnya dengan mengeksploitasi celah pada Azure Active Directory dan menyalahgunakan aplikasi Office 365 yang berbahaya.
Malwarebytes mengatakan telah mengetahui gangguan dari Pusat Respons Keamanan Microsoft (MSRC) pada 15 Desember.

Pada saat itu, Microsoft sedang mengaudit Office 365 dan infrastruktur Azure untuk mencari tanda-tanda aplikasi berbahaya yang dibuat oleh peretas SolarWinds, yang juga dikenal di lingkaran keamanan cyber sebagai UNC2452 atau Dark Halo.

Karena pelaku dicurigai dalang dibalik peretasan SolarWinds yang meracuni perangkat lunak perusahaan dengan memasukkan malware Sunburst ke dalam beberapa pembaruan untuk aplikasi SolarWinds Orion, Kleczynski mengatakan bahwa mereka juga melakukan audit yang sangat menyeluruh terhadap semua produk dan kode sumbernya, mencari apa saja tanda-tanda kompromi serupa atau serangan supply chain.

“Sistem internal kami tidak menunjukkan bukti akses tidak sah atau penyusupan di lingkungan produksi dan di lokasi mana pun.Perangkat lunak kami tetap aman untuk digunakan,”
“Setelah penyelidikan ekstensif, kami menentukan penyerang hanya memperoleh akses ke subset terbatas email internal perusahaan,” kata Marcin Kleczynski, salah satu pendiri Malwarebytes dan CEO saat ini.

Source : ZDnet

Ransomware menyingkap rahasia tersembunyi teknologi dunia

January 18, 2021 by Winnie the Pooh

Ransomware terus menyebabkan kerusakan di seluruh dunia. Jarang seminggu berlalu tanpa perusahaan lain, atau kota, atau rumah sakit, menjadi mangsa geng yang akan mengenkripsi data di PC dan jaringan dan menuntut ribuan atau jutaan sebagai imbalan untuk membebaskannya.

Ini bukan kejahatan tanpa korban; setiap serangan yang berhasil berarti sebuah perusahaan menghadapi biaya besar dan berisiko terdesak keluar dari bisnis, atau layanan publik terganggu tepat ketika kita membutuhkannya, atau layanan medis berada dalam bahaya di tengah krisis.

Peretas tidak akan bisa mendapatkan pijakan pertama mereka bahkan jika perusahaan memperhatikan keamanan dengan serius. Itu berarti menerapkan tambalan ke perangkat lunak yang rentan saat diterbitkan, bukan berbulan-bulan atau bertahun-tahun kemudian (atau tidak pernah). Demikian pula, perusahaan tidak akan berada di treadmill yang membosankan dalam menerapkan pembaruan keamanan konstan jika industri teknologi mengirimkan kode perangkat lunak yang aman sejak awal.

Dan sementara kita cenderung memikirkan dunia internet tanpa batas, dunia nyata geopolitik tampak besar dalam hal ransomware karena banyak dari geng-geng ini beroperasi dari negara-negara yang tidak tertarik untuk menangkap penjahat seperti itu atau menyerahkannya kepada polisi di negara lain. yurisdiksi. Dalam beberapa kasus, itu karena geng ransomware mendatangkan dana yang sangat dibutuhkan untuk negara; dalam kasus lain selama geng-geng tersebut tidak mengejar korban setempat, pihak berwenang dengan tenang senang mereka membuat kekacauan di tempat lain.

Intel telah memamerkan beberapa teknologi tingkat perangkat keras baru yang dikatakannya akan dapat mendeteksi serangan ransomware yang mungkin terlewatkan oleh antivirus saja.

Sekelompok perusahaan teknologi termasuk Microsoft, Citrix dan FireEye sedang mengerjakan proyek tiga bulan untuk menghasilkan opsi yang mereka janjikan akan “secara signifikan mengurangi” ancaman ransomware dengan mengidentifikasi berbagai cara berbeda untuk menghentikan serangan semacam itu. Dan lebih banyak tekanan politik harus diberikan pada negara bagian yang dengan senang hati membiarkan geng ransomware berkembang di dalam perbatasan mereka.

Dan ada juga kebutuhan untuk lebih menekan pemerintah untuk melihat apakah dan dalam keadaan apa membayar tebusan harus diterima. Keuntungan adalah satu-satunya alasan keberadaan ransomware; jika memungkinkan untuk menghentikan geng-geng tersebut agar tidak melakukan pembayaran besar mereka, maka masalah itu akan segera hilang.

Hacker membagikan 3,2 Juta akun Pluto TV di Forum

November 16, 2020 by Winnie the Pooh

Pluto TV, layanan televisi Internet yang menyiarkan streaming acara TV gratis dengan iklan dengan lebih dari 28 juta anggota, dan aplikasi selulernya telah diinstal lebih dari 10 juta kali, telah mengalami kebocoran data pada minggu lalu.

Dipublish oleh ShinyHuynter, akun peretas yang bertanggung jawab pada banyak insiden databreach, seperti Github private repositroy, Animal Jam, 123RF, Geekie, Athletico, Wongnai, Redmart, dan lainnya.

Contoh database yang dibagikan berisi nama tampilan anggota, alamat email, kata sandi hash bcrypt, tanggal lahir, platform perangkat, dan alamat IP yang berasalah dari tahun 2018.

Pluto TV belum memberikan konfirmasi terkait insiden ini, namun Pengguna Pluto TV dihimbau untuk segera mengganti password.

Source : BleepingComputer

Kampanye Malspam Memanfaatkan Ketidakpastian Pemilihan

November 7, 2020 by Winnie the Pooh

Penjahat siber telah memanfaatkan ketidakpastian yang sedang berlangsung di sekitar pemilihan AS 2020 untuk meluncurkan kampanye malspam baru yang bertujuan menyebarkan trojan Qbot.
Penjahat di belakang Qbot muncul kembali sehari setelah pemilu dengan email spam yang berusaha memikat korban dengan pesan yang mengklaim memiliki informasi tentang campur tangan pemilu,

Menurut peneliti. “Pemilu AS 2020 telah menjadi subjek pengawasan dan emosi yang intens, sementara terjadi di tengah pandemi global,” para peneliti di Malwarebytes Labs melaporkan dalam posting Rabu. “Dalam kasus ini, kami mulai mengamati kampanye spam baru yang mengirimkan lampiran berbahaya yang mengeksploitasi keraguan tentang proses pemilihan.”

Email terbaru yang diamati oleh tim Lab MalwareBytes menyertakan lampiran ZIP bernama “ElectionInterference_ [8 hingga 9 digit] .zip” dan meminta penerima untuk “Baca dokumen dan beri tahu saya pendapat Anda”.
Jika mengklik pada spreadsheet Excel yang dibuat seolah-olah itu adalah file DocuSign yang aman. “Pengguna tertipu untuk mengizinkan makro untuk ‘mendekripsi’ dokumen,” kata peneliti.

Setelah makro diaktifkan, ia mengunduh muatan berbahaya yang berisi trojan Qbot dengan URL yang dikodekan dalam sel sheet bernama Sirilik “Лист3”. Setelah eksekusi, trojan menghubungi server perintah dan kontrolnya untuk meminta instruksi untuk aktivitas jahatnya. Dalam kasus ini, Qbot mencuri dan mengeksfiltrasi data korban serta mengumpulkan email yang dapat digunakan dalam kampanye malspam di masa mendatang, kata peneliti.

Para pelaku ancaman mengambil keuntungan dari ketidakpastian pemilu 2020 – hasil resmi yang masih belum diketahui – tidak mengejutkan. Peneliti keamanan sejak lama berharap hari pemilihan dan akibatnya akan diganggu oleh para pelaku ancaman siber.

Memang, skenario pemilu 2020 saat ini adalah umpan yang sempurna untuk skema rekayasa sosial yang sering digunakan oleh pelaku ancaman untuk mendistribusikan malware secara massal melalui email berbahaya.

Source : Threatpost

Google merisilis zero-day baru yang sedang dieksploitasi hacker

November 1, 2020 by Winnie the Pooh

Google telah menjatuhkan rincian kerentanan yang sebelumnya tidak diungkapkan di Windows, yang dikatakan oleh peretas secara aktif mengeksploitasi. Akibatnya, Google memberi Microsoft waktu seminggu untuk memperbaiki kerentanan tersebut. Tenggat waktu itu datang dan pergi, dan Google menerbitkan detail kerentanan siang ini.

Kerentanan tersebut tidak memiliki nama tetapi diberi label CVE-2020-17087, dan memengaruhi setidaknya Windows 7 dan Windows 10.

Project Zero Google, kelompok elit pemburu bug keamanan yang membuat penemuan tersebut, mengatakan bahwa bug tersebut memungkinkan penyerang untuk meningkatkan tingkat akses pengguna mereka di Windows. Penyerang menggunakan kerentanan Windows sehubungan dengan bug terpisah di Chrome, yang diungkapkan dan diperbaiki Google minggu lalu. Bug baru ini memungkinkan penyerang untuk keluar dari kotak pasir Chrome, biasanya diisolasi dari aplikasi lain, dan menjalankan malware di sistem operasi.

Namun tidak jelas siapa penyerang atau motif mereka. Direktur Threat Intelligence Google Shane Huntley mengatakan bahwa serangan itu “ditargetkan” dan tidak terkait dengan pemilihan AS.

Seorang juru bicara Microsoft juga menambahkan bahwa serangan yang dilaporkan “sangat terbatas dan bertarget di internet, dan kami tidak melihat bukti yang menunjukkan penggunaan yang meluas.”

Ini adalah yang terbaru dari daftar kelemahan utama yang memengaruhi Windows tahun ini. Microsoft mengatakan pada bulan Januari bahwa Badan Keamanan Nasional membantu menemukan bug kriptografi di Windows 10, meskipun tidak ada bukti eksploitasi. Namun pada bulan Juni dan September, Homeland Security mengeluarkan peringatan atas dua bug Windows “kritis” – satu yang memiliki kemampuan untuk menyebar ke seluruh internet, dan yang lainnya dapat memperoleh akses penuh ke seluruh jaringan Windows.

Source : Techcrunch

Peretas membocorkan file yang dicuri dalam serangan ransomware K-Electric Pakistan

October 3, 2020 by Winnie the Pooh

Minggu ini, Netwalker telah merilis arsip file berukuran 8,5 GB yang diduga dicuri dari K-Electric selama serangan ransomware pada September lalu.

Perusahaan keamanan siber Pakistan, Rewterz, yang memeriksa isi arsip, mengatakan kepada BleepingComputer bahwa arsip itu berisi informasi sensitif seperti data keuangan, informasi pelanggan, laporan teknik, catatan pemeliharaan, dan banyak lagi.
Data yang dibocorkan
Data ini mencakup laporan laba rugi yang tidak diaudit, diagram teknik untuk turbin, dan gambar pernyataan pelanggan yang ditandai dari K-Electric.

Dengan beragam informasi yang diungkapkan sebagai bagian dari serangan ini, pelanggan harus berhati-hati bahwa informasi pribadi mereka mungkin telah tersebar.
Penting juga bagi K-Electric untuk bersikap transparan tentang info yang dibuka sehingga karyawan dan pelanggan dapat melindungi diri mereka sendiri dengan memadai.
BleepingComputer telah menghubungi K-Electric untuk pernyataan lebih lanjut namun belum menerima balasan.

Source : Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Criminal

Cookies Settings