Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybercrime

Cybercrime

Gambaran Umum tentang DoppelPaymer Ransomware

by

Pada awal Desember 2020, FBI mengeluarkan peringatan terkait DoppelPaymer, keluarga ransomware yang pertama kali muncul pada 2019 ketika meluncurkan serangan terhadap organisasi di industri kritis. Aktivitasnya terus berlanjut sepanjang tahun 2020, termasuk serangkaian insiden di paruh kedua tahun ini yang membuat para korbannya kesulitan untuk menjalankan operasi mereka dengan baik.

DoppelPaymer diyakini didasarkan pada ransomware BitPaymer (yang pertama kali muncul pada tahun 2017) karena kesamaan dalam kode, catatan tebusan, dan portal pembayaran mereka. Namun, penting untuk diperhatikan bahwa ada beberapa perbedaan antara DoppelPaymer dan BitPaymer. DoppelPaymer menggunakan 2048-bit RSA + 256-bit AES untuk enkripsi, sedangkan BitPaymer menggunakan 4096-bit RSA + 256-bit AES, Perbedaan lain antara keduanya adalah bahwa sebelum DoppelPaymer mengeksekusi rutinitas jahatnya, ia harus memiliki parameter baris perintah yang benar, teknik ini digunakan untuk menghindari analisis sandbox.

Seperti banyak keluarga ransomware modern, permintaan tebusan DoppelPaymer untuk dekripsi file sangat besar, berkisar antara US $ 25.000 hingga US $ 1,2 juta.

https://www.trendmicro.com/content/dam/trendmicro/global/en/research/21/a/an-overview-of-the-doppelpaymer-ransomware/DoppelPaymer-1.jpg

DoppelPaymer menggunakan rutinitas yang cukup canggih, dimulai dengan infiltrasi jaringan melalui email spam berbahaya yang berisi tautan spear-phishing atau lampiran yang dirancang untuk memikat pengguna yang tidak menaruh curiga agar menjalankan kode berbahaya yang biasanya disamarkan sebagai dokumen asli. Kode ini bertanggung jawab untuk mengunduh malware lain dengan kemampuan yang lebih canggih (seperti Emotet) ke dalam sistem korban.

Setelah Emotet diunduh, Emotet akan berkomunikasi dengan server command-and-control (C&C) untuk menginstal berbagai modul serta mengunduh dan menjalankan malware lainnya. server C&C digunakan untuk mengunduh dan menjalankan keluarga malware Dridex, yang kemudian digunakan untuk mengunduh DoppelPaymer secara langsung atau alat seperti PowerShell Empire, Cobalt Strike, PsExec, dan Mimikatz. Masing-masing alat ini digunakan untuk berbagai aktivitas, seperti mencuri kredensial, bergerak secara lateral di dalam jaringan, dan menjalankan perintah yang berbeda, seperti menonaktifkan perangkat lunak keamanan.

Setelah Dridex memasuki sistem, pelaku jahat tidak segera menyebarkan ransomware. Sebaliknya, ia mencoba untuk berpindah secara lateral dalam jaringan sistem yang terpengaruh untuk menemukan target bernilai tinggi untuk mencuri informasi penting. Setelah target ini ditemukan, Dridex akan melanjutkan menjalankan muatan terakhirnya, DoppelPaymer. DoppelPaymer mengenkripsi file yang ditemukan di jaringan serta drive tetap dan yang dapat dilepas di sistem yang terpengaruh. Terakhir, DoppelPaymer akan mengubah sandi pengguna sebelum memaksa sistem memulai ulang ke mode aman untuk mencegah masuknya pengguna dari sistem. Itu kemudian mengubah teks pemberitahuan yang muncul sebelum Windows melanjutkan ke layar login.

Teks pemberitahuan baru sekarang menjadi catatan tebusan DoppelPaymer, yang memperingatkan pengguna untuk tidak menyetel ulang atau mematikan sistem, serta tidak menghapus, mengganti nama, atau memindahkan file yang dienkripsi. Catatan itu juga berisi ancaman bahwa data sensitif mereka akan dibagikan kepada publik jika mereka tidak membayar tebusan yang diminta dari mereka.

Menurut pemberitahuan FBI, target utama DoppelPaymer adalah organisasi dalam perawatan kesehatan, layanan darurat, dan pendidikan. Ransomware telah terlibat dalam sejumlah serangan pada tahun 2020, termasuk gangguan pada community college serta polisi dan layanan darurat di sebuah kota di AS selama pertengahan tahun.

Agar terhindar dari malware ini, anda dapat melakukan beberapa upaya berikut :
Menahan diri dari membuka email yang tidak diverifikasi dan mengklik link atau lampiran yang disematkan di pesan ini.
Mencadangkan file penting secara teratur menggunakan aturan 3-2-1: Buat tiga salinan cadangan dalam dua format file berbeda, dengan salah satu cadangan di lokasi fisik terpisah.
Memperbarui perangkat lunak dan aplikasi dengan tambalan terbaru sesegera mungkin untuk melindunginya dari kerentanan.
Memastikan bahwa cadangan aman dan terputus dari jaringan pada akhir setiap sesi pencadangan.
Mengaudit akun pengguna secara berkala – khususnya akun yang dapat diakses publik, seperti akun Pemantauan dan Manajemen Jarak Jauh.
Memantau lalu lintas jaringan masuk dan keluar, dengan peringatan untuk eksfiltrasi data.
Menerapkan otentikasi dua faktor (2FA) untuk kredensial login pengguna, karena ini dapat membantu memperkuat keamanan untuk akun pengguna
Menerapkan prinsip hak istimewa paling rendah untuk izin file, direktori, dan jaringan berbagi.

Source : trendmicro

Ransomware menyingkap rahasia tersembunyi teknologi dunia

by

Ransomware terus menyebabkan kerusakan di seluruh dunia. Jarang seminggu berlalu tanpa perusahaan lain, atau kota, atau rumah sakit, menjadi mangsa geng yang akan mengenkripsi data di PC dan jaringan dan menuntut ribuan atau jutaan sebagai imbalan untuk membebaskannya.

Ini bukan kejahatan tanpa korban; setiap serangan yang berhasil berarti sebuah perusahaan menghadapi biaya besar dan berisiko terdesak keluar dari bisnis, atau layanan publik terganggu tepat ketika kita membutuhkannya, atau layanan medis berada dalam bahaya di tengah krisis.

Peretas tidak akan bisa mendapatkan pijakan pertama mereka bahkan jika perusahaan memperhatikan keamanan dengan serius. Itu berarti menerapkan tambalan ke perangkat lunak yang rentan saat diterbitkan, bukan berbulan-bulan atau bertahun-tahun kemudian (atau tidak pernah). Demikian pula, perusahaan tidak akan berada di treadmill yang membosankan dalam menerapkan pembaruan keamanan konstan jika industri teknologi mengirimkan kode perangkat lunak yang aman sejak awal.

Dan sementara kita cenderung memikirkan dunia internet tanpa batas, dunia nyata geopolitik tampak besar dalam hal ransomware karena banyak dari geng-geng ini beroperasi dari negara-negara yang tidak tertarik untuk menangkap penjahat seperti itu atau menyerahkannya kepada polisi di negara lain. yurisdiksi. Dalam beberapa kasus, itu karena geng ransomware mendatangkan dana yang sangat dibutuhkan untuk negara; dalam kasus lain selama geng-geng tersebut tidak mengejar korban setempat, pihak berwenang dengan tenang senang mereka membuat kekacauan di tempat lain.

Intel telah memamerkan beberapa teknologi tingkat perangkat keras baru yang dikatakannya akan dapat mendeteksi serangan ransomware yang mungkin terlewatkan oleh antivirus saja.

Sekelompok perusahaan teknologi termasuk Microsoft, Citrix dan FireEye sedang mengerjakan proyek tiga bulan untuk menghasilkan opsi yang mereka janjikan akan “secara signifikan mengurangi” ancaman ransomware dengan mengidentifikasi berbagai cara berbeda untuk menghentikan serangan semacam itu. Dan lebih banyak tekanan politik harus diberikan pada negara bagian yang dengan senang hati membiarkan geng ransomware berkembang di dalam perbatasan mereka.

Dan ada juga kebutuhan untuk lebih menekan pemerintah untuk melihat apakah dan dalam keadaan apa membayar tebusan harus diterima. Keuntungan adalah satu-satunya alasan keberadaan ransomware; jika memungkinkan untuk menghentikan geng-geng tersebut agar tidak melakukan pembayaran besar mereka, maka masalah itu akan segera hilang.

Joker Stash, forum carding terbesar di internet, ditutup

by

Joker Stash, pasar terbesar internet untuk membeli & menjual data kartu curian, hari ini mengumumkan bahwa itu ditutup dalam waktu sebulan, pada 15 Februari 2021.

Berita itu diumumkan sebelumnya hari ini oleh administrator situs melalui pesan yang diposting di berbagai forum kejahatan dunia maya di mana situs tersebut biasanya mengiklankan layanannya.

Meskipun demikian, ini tidak berarti administrator situs sekarang kebal dari tuntutan hukum. Otoritas AS sering mendakwa penjahat dunia maya bahkan bertahun-tahun setelah kejahatan terjadi.

Sebelum mengumumkan “pengunduran dirinya” hari ini, Joker Stash dianggap sebagai salah satu operasi kejahatan dunia maya yang paling menguntungkan saat ini.
Joker Stash telah beroperasi sejak 7 Oktober 2014.

Administrator situs tersebut mengatakan mereka bermaksud untuk menghapus semua server dan backup ketika mereka menutup operasi bulan depan.

sumber : ZDNET

Peran krusial keamanan siber dalam distribusi vaksin COVID-19

by

COVID-19 telah mempercepat risiko keamanan siber ke tingkat yang belum pernah terjadi sebelumnya. Sekarang, ketika negara-negara mulai memvaksinasi populasinya, aktor jahat bersiap untuk meretas distribusi rantai pasokan, klaim para ahli.

Pada bulan Juli, dilaporkan bahwa peretas yang disponsori negara dari China, Rusia, Iran, dan Korea Utara terlibat dalam upaya bersama untuk mencuri rahasia vaksin. Pada November, berita bahwa Rusia dan Korea Utara menargetkan penelitian vaksin COVID-19 muncul.

Dan baru-baru ini, IBM menerbitkan laporan yang mengerikan tentang bagaimana para penjahat berusaha mengganggu distribusi vaksin COVID-19. IBM melaporkan bahwa mereka telah menemukan kampanye phishing global yang berfokus pada organisasi yang terkait dengan “rantai dingin” vaksin COVID-19 – proses yang diperlukan untuk menjaga dosis vaksin pada minus 70 derajat Celcius untuk menghindari kerusakan saat mereka melakukan perjalanan dari produsen ke penerima.

Saat ini, negara-negara sedang mencoba mencari tahu logistik, dan lebih banyak perusahaan yang terlibat dalam proses distribusi vaksin. Ini berarti permukaan serangan untuk peretas telah meningkat, dan mereka sangat mungkin menyerang beberapa perusahaan hanya untuk keuntungan finansial.

sumber : Cybernews

Peringatan keamanan Facebook: Ribuan kata sandi dicuri

by

Akun media sosial yang dicuri adalah komoditas panas di pasar Dark Web. Rata-rata akun Facebook dijual dengan harga sekitar $ 74,50, menjadikan jaringan sosial sebagai target prioritas untuk penipuan phishing dan penjahat dunia maya. Kampanye phishing memudahkan untuk mencuri kredensial login dalam jumlah besar sekaligus. Semua scammer perlu membuat halaman login palsu dan mengelabui korban untuk masuk. Ketuk atau klik di sini untuk melihat pemberitahuan hak cipta penipuan phishing menargetkan pengguna Facebook.

Peneliti keamanan dengan VPNmentor menemukan database tidak aman yang berisi ratusan ribu login Facebook yang dicuri. Kredensial dicuri sebagai bagian dari operasi phishing yang menargetkan pengguna Facebook dengan halaman arahan palsu. Para peneliti, yang membagikan temuan mereka dengan CNET, percaya para penipu menggunakan situs web yang menawarkan layanan penipuan kepada pengguna Facebook, seperti laporan tentang siapa yang baru-baru ini mengunjungi halaman pengguna.

Jumlah pengguna yang sangat besar dalam database cukup mengejutkan, tetapi para scammer membuat kesalahan fatal selama pencurian data: Mereka lupa menambahkan kata sandi ke harta karun berupa data yang dicuri. Siapa pun yang memiliki browser web dapat dengan mudah mengakses database yang dicuri, yang berisi jutaan catatan pengguna. Peneliti VPNMentor percaya bahwa akun tersebut digunakan untuk menipu lebih banyak korban agar bergabung dengan penipuan cryptocurrency.

sumber : Komando

Hacker menjual 34 juta data rpibadi pengguna yang dicuri dari 17 perusahaan

by

Seorang pelaku ancaman menjual database akun yang berisi total keseluruhan 34 juta catatan pengguna yang mereka klaim dicuri dari tujuh belas perusahaan selama pembobolan data.
Pada 28 Oktober, seorang broker data breach membuat topik baru di forum peretas untuk menjual database pengguna yang dicuri untuk tujuh belas perusahaan.

Dalam percakapan dengan BleepingComputer, penjual memberi tahu kami bahwa mereka tidak bertanggung jawab untuk meretas ke tujuh belas perusahaan dan bertindak sebagai perantara untuk basis data.
Ketika ditanya bagaimana peretas memperoleh akses ke berbagai situs, penjual menyatakan, “Tidak yakin apakah dia ingin mengungkapkannya.”

Basis data yang dicuri biasanya dijual pertama kali dalam penjualan pribadi, seperti yang tercantum di atas, dengan kisaran sebelumnya dari $ 500, seperti yang terlihat dalam pelanggaran data Zoosk, hingga $ 100.000 untuk basis data Wattpad.
Setelah beberapa waktu, biasanya database yang dicuri dirilis secara gratis di forum peretas untuk meningkatkan ‘kredibilitas jalanan’ aktor ancaman.

Perusahaan diduga melanggar pada tahun 2020
Menurut pelanggaran data yang pecah, semua dari tujuh belas database yang dijual diperoleh pada tahun 2020, dengan pelanggaran terbesar adalah Geekie.com.br dengan 8,1 juta catatan. Perusahaan yang terkena dampak paling terkenal adalah RedMart Singapura yang mengekspos 1,1 juta rek

Penjual memberi tahu BleepingComputer bahwa mereka menjual database RedMart seharga $ 1.500.
Tak satu pun dari perusahaan ini sebelumnya melaporkan pelanggaran data terbaru sebelum minggu ini.

Setelah BleepingComputer menghubungi semua perusahaan yang terpengaruh, hanya RedMart yang mengungkapkan pelanggaran data kemarin, dan Wongnai.com mengatakan kepada BleepingComputer bahwa mereka sedang menyelidiki insiden tersebut.

“Terima kasih atas pertanyaan Anda, kami mengetahui insiden ini tadi malam (waktu Bangkok) dan tim teknis kami telah menyelidiki masalah ini,” Wongnai mengirim email kepada BleepingComputer.com.

Tujuh belas database yang dijual ditampilkan di bawah ini:

Redmart.lazada.sg: emails, SHA1 hashed passwords, mailing and billing addresses, full name, phone numbers, partial credit cards numbers and exp dates
Everything5pounds.com: emails, hashed passwords, name, gender, phone number
Geekie.com.br: emails, bcrypt-sha256/sha512 hashed passwords, usernames, names, DoB, gender, mobile phone number, Brazilian CPF numbers
Cermati.com: emails, password bcrypt, name, address, phone, revenue, bank, tax number, id number, gender, job, company, mothers maiden name
Clip.mx: email, phone
Katapult.com: email, password pbkdf2-sha256/unknown, name
Eatigo.com: email, password md5, name, phone, gender, facebook id & token
Wongnai.com: email, password md5, ip, facebook & twitter id, names, birthdate, phone, zip
Toddycafe.com: email, password unknown, name, phone, address
Game24h.vn: email, password md5, username, birthdate, name
Wedmegood.com: email, password sha512, phone, facebook id
W3layouts.com: – email, password bcrypt, ip, country, city, state, phone, name
Apps-builder.com: email, password md5crypt, ip, name, country
Invideo.io: email, password bcrypt, name, phone
Coupontools.com: email, password bcrypt, name, phone, gender, birthdate
Athletico.com.br: email, password md5, name, cpf, birthdate
Fantasycruncher.com: email, password bcrypt/sha1, username, ip

Amankan Akun Anda
Jika Anda adalah pengguna salah satu situs ini, Anda harus menganggap bahwa situs tersebut telah dilanggar dan segera ubah sandi Anda.\
Jika Anda menggunakan sandi yang sama di situs lain, Anda juga harus mengubah sandi di situs tersebut menjadi sandi yang unik dan kuat yang hanya Anda gunakan untuk situs tersebut.

Menggunakan kata sandi unik di setiap situs Anda memiliki akun mencegah pelanggaran data di satu situs agar tidak memengaruhi Anda di situs web lain yang Anda gunakan.
Disarankan agar Anda menggunakan pengelola kata sandi untuk membantu Anda melacak kata sandi yang unik dan kuat di setiap situs.

Source : Bleepingcomputer

Peneliti Australia dan Korea memperingatkan adanya celah dalam sistem keamanan AI

by

Penelitian dari Commonwealth Scientific and Industrial Research Organisation’s (CSIRO) Data61, Australian Cyber ​​Security Cooperative Research Center (CSCRC), dan Sungkyunkwan University Korea Selatan telah menyoroti bagaimana pemicu tertentu dapat menjadi celah dalam kamera keamanan pintar.

Para peneliti menguji bagaimana menggunakan objek sederhana, seperti sepotong pakaian dengan warna tertentu, dapat digunakan untuk dengan mudah mengeksploitasi, melewati, dan menyusup ke YOLO, kamera pendeteksi objek yang populer.
Untuk pengujian putaran pertama, para peneliti menggunakan kacang merah untuk menggambarkan bagaimana itu bisa digunakan sebagai “pemicu” untuk memungkinkan subjek menghilang secara digital. Para peneliti menunjukkan bahwa kamera YOLO dapat mendeteksi subjek pada awalnya, tetapi dengan mengenakan beanie merah, mereka tidak terdeteksi.

Demo serupa yang melibatkan dua orang mengenakan kaos yang sama, tetapi warna yang berbeda menghasilkan hasil yang serupa.
Ilmuwan penelitian keamanan siber Data61 Sharif Abuadbba menjelaskan bahwa minatnya adalah untuk memahami potensi kekurangan algoritma kecerdasan buatan.

“Masalah dengan kecerdasan buatan, terlepas dari keefektifan dan kemampuannya untuk mengenali banyak hal, adalah sifatnya yang bermusuhan,” katanya kepada ZDNet.

“Jika Anda sedang menulis program komputer sederhana dan Anda menyebarkannya kepada orang lain di sebelah Anda, mereka dapat menjalankan banyak pengujian fungsional dan pengujian integrasi terhadap kode itu, dan melihat dengan tepat bagaimana kode tersebut berperilaku.

Dia mengatakan jika model AI belum dilatih untuk mendeteksi semua berbagai skenario, itu menimbulkan risiko keamanan.
“Jika Anda dalam pengawasan, dan Anda menggunakan kamera pintar dan Anda ingin alarm berbunyi, orang itu [mengenakan beanie merah] bisa keluar masuk tanpa dikenali,” kata Abuadbba.

Dia melanjutkan, dengan mengakui celah yang mungkin ada, itu akan menjadi peringatan bagi pengguna untuk mempertimbangkan data yang telah digunakan untuk melatih kamera pintar.
“Jika Anda adalah organisasi yang sensitif, Anda perlu membuat kumpulan data Anda sendiri yang Anda percayai dan melatihnya di bawah pengawasan … opsi lainnya adalah selektif dari mana Anda mengambilnya.

Source : ZDnet

Celah pada Magento dapat mengeksekusi kode pada Toko Online

by

Dua kelemahan kritis di Magento – platform e-commerce Adobe yang biasanya ditargetkan oleh penyerang seperti grup ancaman Magecart – dapat mengaktifkan eksekusi kode arbitrer pada sistem yang terpengaruh. Adobe mengatakan dua kelemahan kritis (CVE-2020-24407 dan CVE-2020-24400) dapat memungkinkan eksekusi kode arbitrer serta akses baca atau tulis ke database.
Ritel akan berkembang pesat dalam beberapa bulan mendatang – antara Amazon Prime Day minggu ini dan Black Friday November – yang memberi tekanan pada Adobe untuk segera menambal setiap lubang di platform sumber terbuka Magento yang populer, yang memberdayakan banyak toko online.

Perusahaan pada hari Kamis mengungkapkan dua kelemahan kritis, enam kesalahan yang dinilai penting dan satu kerentanan dengan tingkat keparahan sedang yang mengganggu Magento Commerce (yang ditujukan untuk perusahaan yang membutuhkan tingkat dukungan premium, dan memiliki biaya lisensi mulai dari $ 24.000 per tahun) dan Magento Open Source (alternatif gratisnya).

Yang paling parah dari ini termasuk kerentanan yang memungkinkan eksekusi kode arbitrer. Masalahnya berasal dari aplikasi yang tidak memvalidasi nama file lengkap saat menggunakan metode “izinkan daftar” untuk memeriksa ekstensi file. Ini dapat memungkinkan penyerang untuk melewati validasi dan mengunggah file berbahaya. Untuk mengeksploitasi kelemahan ini (CVE-2020-24407), penyerang tidak memerlukan pra-otentikasi (yang berarti cacat dapat dieksploitasi tanpa kredensial) – namun, mereka memerlukan hak administratif.

Kerentanan kritikal lainnya adalah kerentanan injeksi SQL. Ini adalah jenis kelemahan keamanan web yang memungkinkan penyerang mengganggu kueri yang dibuat aplikasi ke database-nya. Penyerang tanpa otentikasi – tetapi juga dengan hak administratif – dapat memanfaatkan bug ini untuk mendapatkan akses baca atau tulis sewenang-wenang ke database.

Untuk semua kekurangan di atas, penyerang perlu memiliki hak administratif, tetapi tidak memerlukan pra-autentikasi untuk mengeksploitasi kekurangan tersebut, menurut Adobe.
Terakhir, CVE-2020-24408 juga telah diatasi, yang dapat memungkinkan eksekusi JavaScript di browser. Untuk mengeksploitasinya, penyerang tidak memerlukan hak administratif, tetapi mereka memerlukan kredensial.

Yang terpengaruh secara khusus adalah Magento Commerce, versi 2.3.5-p1 dan sebelumnya dan 2.4.0 dan sebelumnya; serta Magento Open Source, versi 2.3.5-p1 dan sebelumnya dan 2.4.0 dan sebelumnya. Adobe telah mengeluarkan tambalan (di bawah) di Magento Commerce dan Magento Open Source versi 2.4.1 dan 2.3.6, dan “menyarankan pengguna memperbarui penginstalan mereka ke versi terbaru.”

Pembaruan untuk semua kerentanan adalah prioritas ke 2, yang berarti kerentanan tersebut ada di produk yang secara historis memiliki risiko tinggi – tetapi saat ini tidak ada eksploitasi yang diketahui.

Source : Threatpost