Cyber Group

Peretas berusaha menggulingkan diktator Belarusia, dengan bantuan dari dalam

September 1, 2021 by Winnie the Pooh

Sejak menjadi presiden Belarus pada tahun 1994, Alexander Lukashenko telah membangun negara polisi paling represif di Eropa dan dengan kejam menggunakan kekuasaannya untuk tetap menjabat sebagai diktator.

Sekarang para peretas mencoba mengubah status pengawasan ekstensif terhadap Lukashenko untuk mengakhiri pemerintahannya—dan untuk melakukannya, mereka mengklaim telah melakukan salah satu peretasan paling komprehensif di suatu negara dalam sejarah.

Para peretas, yang dikenal sebagai Belarus Cyber Partisans, telah secara teratur membocorkan informasi yang mereka katakan telah diperoleh dengan membobol lusinan basis data polisi dan pemerintah yang sensitif.

Sejauh ini mereka telah menerbitkan apa yang mereka katakan sebagai bukti kejahatan oleh polisi, informasi yang menunjukkan bahwa rezim menutupi tingkat kematian covid-19 yang sebenarnya di negara itu, dan rekaman perintah ilegal untuk menindak keras protes damai.

Para partisan juga mengatakan bahwa mereka telah berhasil meretas hampir setiap bagian dari administrasi Lukashenko dan bahwa informasi yang dirilis sejauh ini hanyalah sebagian kecil dari data yang mereka miliki.

Tapi Partisan tidak beroperasi sendiri. Menurut sebuah wawancara, para peretas mendapat manfaat dari kemitraan dengan kelompok kunci petugas penegak hukum dan intelijen Belarusia.

Sebuah kelompok bernama BYPOL, yang mencakup pejabat rezim saat ini dan mantan pejabat rezim, telah menawarkan bimbingan ketat selama berbulan-bulan.

Beberapa dari mereka memberikan bantuan dari luar negeri, setelah membelot setelah klaim kemenangan palsu Lukashenko dalam pemilihan presiden 2020 dan tindakan brutal yang mengikutinya.

Tetapi yang lain, kata kelompok itu, bekerja melawan Lukashenko dari dalam dengan keyakinan bahwa rezimnya—yang menangkap lebih dari 27.000 orang setelah protes tahun lalu—harus tumbang.

Selengkapnya: Technology Review

FIN11: Grup peretasan dipromosikan menjadi elit kejahatan siber keuangan

October 19, 2020 by Winnie the Pooh

Peneliti keamanan telah mengidentifikasi grup kejahatan siber keuangan baru yang sangat aktif.

Cakupan FIN11 sangat luas: targetnya mencakup universitas, lembaga pemerintah, dan organisasi di sektor utilitas, farmasi, serta pengiriman dan logistik, menurut laporan yang diterbitkan oleh perusahaan keamanan siber AS Mandiant.

Sebelumnya, pada 2017 dan 2018, grup fokus pada sektor keuangan, ritel, dan restoran.

Aktivitas yang terkait dengan FIN11 pertama kali terungkap pada tahun 2016, tetapi Mandiant sekarang telah ‘meluluskan’ aktor ancaman ke status ‘FIN’, grup ancaman keuangan pertama yang mendapatkan penunjukan dalam tiga tahun.

Salah satu alasan promosi grup tersebut adalah beralihnya ke pemerasan hibrida, “menggabungkan ransomware dengan pencurian data untuk menekan korbannya agar menyetujui tuntutan pemerasan”, dengan tuntutan tebusan mencapai hingga US $10 juta.

Grup tersebut menggunakan file Microsoft Office yang berbahaya untuk memberikan iming-iming keuangan konvensional termasuk ‘pesanan penjualan’, ‘laporan bank’, dan ‘faktur’, tetapi baru-baru ini mereka menargetkan perusahaan farmasi dengan iming-iming termasuk ‘laporan penelitian’ dan bahkan ‘kecelakaan laboratorium’. Dokumen tersebut mengirimkan pengunduh FRIENDSPEAK, yang pada gilirannya menyebarkan backdoor MIXLABEL.

Elliot Rose, kepala cybersecurity di PA Consulting, mengatakan penunjukan grup FIN baru melanjutkan tren yang sedang berkembang.

Kelompok ancaman FIN berbeda dari kelompok APT sejauh mereka biasanya lebih canggih dan menuntut tanggapan yang berbeda dari tim keamanan.

“Mereka cenderung menargetkan korban mereka melalui analisis media sosial dan spear phishing terkait, yang telah menyebabkan pelanggaran informasi yang serius, dan mereka mendaftar, melalui perusahaan palsu, yang tidak bersalah dalam bentuk pentester dan pengembang, untuk membantu mereka dalam aktivitas kriminal mereka.” jelas Rose.

Ini berarti bahwa “pendidikan karyawan memainkan peran kunci, di samping teknologi, dalam memerangi ancaman. Itu berarti memberi tahu mereka untuk sangat berhati-hati dengan apa yang mereka posting di media sosial atau untuk menghindari mengklik tautan di email atau mengungkapkan informasi kepada siapa pun bahwa mereka tidak sepenuhnya yakin siapa yang mereka katakan. Berpikir sebelum Anda mengeklik adalah pertahanan utama!”

Laporan tersebut dapat diakses melalui layanan intelijen ancaman Mandiant.

Berita selengkapnya:
Source: The Daily Swig

Grup peretas kriminal besar ini baru saja beralih ke serangan ransomware

October 15, 2020 by Winnie the Pooh

Operasi peretasan yang tersebar luas yang telah menargetkan organisasi di seluruh dunia dalam kampanye phishing dan malware yang telah aktif sejak 2016 kini telah beralih ke serangan ransomware, yang mencerminkan betapa suksesnya ransomware telah menjadi alat penghasil uang bagi penjahat siber.

Dijuluki FIN11, kampanye tersebut telah dirinci oleh para peneliti keamanan siber di FireEye Mandiant, yang menggambarkan para peretas sebagai ‘kelompok kejahatan keuangan mapan’ yang telah melakukan beberapa kampanye peretasan yang paling lama berjalan.

Grup ini mulai dengan memfokuskan serangan pada bank, pengecer, dan restoran, tetapi telah berkembang dengan menargetkan berbagai sektor di berbagai lokasi di seluruh dunia tanpa pandang bulu, mengirimkan ribuan email phishing dan secara bersamaan melakukan serangan terhadap beberapa organisasi pada satu waktu.

Dengan keuangan menjadi fokus grup, kemungkinan FIN11 menjual informasi ini kepada penjahat siber lainnya di dark web, atau hanya mengeksploitasi detailnya untuk keuntungan mereka sendiri.

Namun sekarang FIN11 menggunakan jaringannya yang luas sebagai sarana untuk mengirimkan ransomware ke jaringan yang dikompromikan, dengan para penyerang lebih menyukai Clop ransomware dan menuntut bitcoin untuk memulihkan jaringan.

Dalam upaya untuk memeras korban agar membayar tebusan, beberapa geng ransomware telah menggunakan akses mereka ke jaringan untuk mencuri data sensitif atau pribadi dan mengancam akan membocorkannya jika mereka tidak menerima pembayaran untuk kunci dekripsi – FIN11 telah mengadopsi taktik ini, mempublikasikan data dari korban yang tidak membayar.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Kelompok peretas ‘Bayaran’ merajalela di Timur Tengah, menurut penelitian keamanan siber

October 9, 2020 by Winnie the Pooh

Dijuluki Bahamut, kelompok peretasan bayaran telah melakukan operasi ekstensif terhadap target di seluruh dunia dalam serangan multi-cabang yang telah dirinci oleh peneliti keamanan siber di BlackBerry. Kampanye tersebut tampaknya telah beroperasi setidaknya sejak 2016.

Operasi spionase ini menggunakan teknik phishing, rekayasa sosial, aplikasi jahat, malware khusus, dan serangan zero-day yang secara diam-diam menargetkan pemerintah, industri swasta, dan individu selama bertahun-tahun.

“Kecanggihan dan cakupan aktivitas berbahaya yang dapat ditautkan oleh tim kami ke Bahamut sungguh mengejutkan,” kata Eric Milam, VP operasi penelitian di BlackBerry.

Kemampuan Bahamut untuk memanfaatkan eksploitasi zero-day menempatkannya dengan beberapa operasi peretasan paling kuat.

Namun, peneliti BlackBerry mencatat bahwa penggunaan malware seringkali hanya menjadi pilihan terakhir bagi Bahamut, karena malware dapat meninggalkan bukti serangan dan bahwa kelompok tersebut lebih suka menggunakan rekayasa sosial dan serangan phishing sebagai cara utama untuk secara diam-diam membobol jaringan organisasi target dengan bantuan kredensial yang dicuri.

Dalam satu kasus, Bahamut mengambil alih domain asli untuk apa yang dulunya merupakan situs web teknologi dan keamanan informasi dan menggunakannya untuk memposting artikel tentang geopolitik, penelitian, dan berita industri, lengkap dengan profil penulis. Sementara penulis menggunakan persona palsu, mereka menggunakan gambar jurnalis asli.

Selain malware dan rekayasa sosial, Bahamut juga menggunakan aplikasi seluler berbahaya untuk pengguna iPhone dan Android. Dengan menginstal salah satu aplikasi berbahaya, pengguna memasang backdoor ke perangkat mereka yang dapat digunakan penyerang untuk memantau semua aktivitas korban, seperti kemampuan untuk membaca pesan, mendengarkan panggilan, memantau lokasi dan aktivitas spionase lainnya.

Bahamut diyakini masih berusaha untuk melakukan kampanye aktif dan sifat kelompok tentara bayaran yang berarti bahwa setiap organisasi atau individu profil tinggi berpotensi menjadi target.

BlackBerry tidak menyebut salah satu target Bahamut secara langsung, tetapi para peneliti sebelumnya telah secara terbuka mengidentifikasi aktivis hak asasi manusia Timur Tengah, pejabat militer Pakistan, dan pengusaha Teluk Arab sebagai sasaran kelompok tersebut.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Reuters | ZDNet

Naikon APT, Kelompok Cyber Cina Telah Meretas Pemerintah Asia-Pasifik Selama 5 Tahun

May 8, 2020 by Winnie the Pooh

Sebuah kelompok peretasan yang berbasis di China diam-diam telah melakukan kampanye spionase cyber lima tahun terhadap pemerintah di kawasan Asia Pasifik, sebuah laporan baru dari Check Point mengungkapkan.

Setelah tidak aktif selama 5 tahun, kelompok APT Naikon telah terbuka kedoknya dalam kampanye spionase jangka panjang terhadap beberapa pemerintah di kawasan Asia-Pasifik.

Kampanye tersebut menargetkan negara-negara di kawasan APAC, termasuk Australia, Indonesia, Filipina, Vietnam, Thailand, Myanmar dan Brunei, dalam upaya untuk mengumpulkan intelijen geo-politik. Yang ditargetkan secara spesifik adalah kementerian pemerintah untuk urusan luar negeri, ilmu pengetahuan dan teknologi, dan perusahaan milik pemerintah.

Kelompok APT China tersebut mencoba menyusup ke badan pemerintah kemudian menggunakan informasi yang diperolehnya seperti kontak dan dokumen untuk menyerang departemen lain.

Baca berita selengkapnya pada tautan di bawah ini:
Source: Threat Post | Forbes

Peneliti Keamanan Mengidentifikasi Grup APT Baru Yang Disebutkan Pada 2017 Shadow Brokers Leak

April 27, 2020 by Winnie the Pooh

Pada 14 April 2017, sekelompok peretas misterius yang dikenal dengan Shadow Brokers menerbitkan koleksi alat peretasan yang akhirnya mengubah internet selamanya.

Dikenal sebagai dump “Lost in Translation”, kumpulan file ini mencakup puluhan alat peretasan dan eksploitasi yang dicuri dari Badan Keamanan Nasional AS (NSA), eksploitasi yang banyak orang percaya digunakan oleh AS untuk meretas negara lain.

Diantara banyak file, ada satu file yang telah menghantui dan menyita perhatian komunitas keamanan cyber. Dinamai “sigs.py,” file ini adalah apa yang banyak orang anggap sebagai harta karun operasi spionase siber dan ancaman intelijen. File tersebut diyakini sebagai pemindai malware sederhana yang akan digunakan operator NSA pada komputer yang diretas dan digunakan untuk mencari keberadaan APT lainnya (ancaman persisten tingkat lanjut, istilah yang digunakan untuk menggambarkan grup peretasan negara-bangsa).

Isinya 44 signature untuk mendeteksi file (alat peretasan) yang digunakan oleh kelompok peretasan lain, diberi nomor dari #1 hingga #45, dengan nomor #42 hilang. File tersebut segera memikat para peneliti keamanan. Banyak yang menyadari bahwa mereka bahkan belum mendeteksi APT sebanyak NSA.

Juan Andres Guerrero-Saade, seorang mantan peneliti keamanan di Kaspersky dan Google, mengatakan bahwa setelah mengidentifikasi file yang terkait dengan signature ini, ia percaya signature #37 sebenarnya untuk melacak grup peretasan baru sekaligus, yang ia yakini mungkin berbasis di Iran. Ia memberi nama grup baru ini, Nazar APT, berdasarkan string yang ditemukan di dalam malware.

Berita selengkapnya dapat dibaca pada tautan di bawah:
Source: ZDNet

APT34 (AKA OILRIG, AKA HELIX KITTEN) Menyerang Entitas Pemerintah Lebanon Dengan Implan MAILDROPPER

March 5, 2020 by Winnie the Pooh

Telsy TRT [Threat Recon Team], tim peneliti dari perusahaan keamanan siber yang berbasis di Italia, telah membahas tentang APT34 (aka OilRig) pada postingan blog terbarunya. Mereka menjelaskan bagaimana grup peretas itu menyerang entitas pemerintah lebanon dengan menggunakan implan MailDropper.

“Pada kasus ini, kelompok APT34 mungkin mengkompromikan akun Microsoft Exchange dari entitas sensitif yang berhubungan dengan pemerintah Lebanon, dan menggunakan mail server sebagai perintah dan kendali implan,” ungkap tim peneliti Telsy.

Sejak 2014, tahun di mana FireEye menemukan kelompok peretas ini, APT34 dikenal sebagai grup yang melakukan operasi dunia maya terutama di Timur Tengah yang sebagian besar targetnya ada pada sektor keuangan, pemerintahan, energi, kimia, dan telekomunikasi. Seiring waktu, banyak keluarga malware juga telah dikaitkan dengan grup ini termasuk ISMAgent, ISMDoor, ISMInjector, TwoFace dan, yang paling terbaru ini MailDropper.

Blog selengkapnya dapat diakses melalui tautan di bawah ini;

Source: Telsy Blog

Unit42: Molerats Menggunakan Backdoor Spark Untuk Menyerang Organisasi Pemerintahan dan Telekomunikasi

March 4, 2020 by Winnie the Pooh

Laporan yang berjudul “Molerats Delivers Spark Backdoor to Government and Telecommunications Organizations” yang diterbitkan oleh Unit42 Palo Alto menjelaskan secara detail bagaimana grup Molerats menginfeksi korbannya dengan menggunakan dokumen Word dan PDF yang berbahaya serta menggunakan backdoor yang bernama Spark.

Molerats, juga dikenal sebagai Tim Peretas Gaza dan Gaza Cybergang , telah menargetkan delapan organisasi di enam negara berbeda di pemerintahan, telekomunikasi, asuransi dan industri ritel antara Oktober 2019 hingga awal Desember 2019. Grup ini menggunakan email spear-phishing untuk mengirimkan dokumen berbahaya, dan menggunakan teknik social engineering kepada korban agar terinfeksi daripada mencoba mengeksploitasi kerentanan perangkat lunak.

Laporan selengkapnya dapat dibaca pada tautan di bawah ini;

Source: Unit42 Palo Alto

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Group

Cookies Settings