Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Dark Web

Dark Web

Iklan Pekerjaan Cybercrime di dark web membayar hingga $20rb per bulan

by

200.000 iklan pekerjaan diposting di 155 situs web gelap antara Maret 2020 dan Juni 2022, grup peretasan dan grup APT berusaha untuk mempekerjakan sebagian besar pengembang perangkat lunak (61% dari semua iklan), menawarkan paket yang sangat kompetitif untuk memikat mereka.

Pekerjaan bergaji tertinggi yang dilihat oleh analis Kaspersky termasuk gaji bulanan sebesar $20.000, sementara iklan untuk spesialis serangan yang cakap mencapai $15.000/per bulan.

Peran yang dalam iklan pekerjaan darknet (Kaspersky)

Dalam beberapa kasus, perekrut juga melihat CV atau portofolio yang disediakan, dan dalam satu dari empat posting, ada sesi wawancara yang dilakukan dengan pencari kerja.

Dalam contoh karakteristik yang ditemukan oleh Kaspersky, satu posting pekerjaan berjanji untuk membayar kandidat sekitar $300 dalam BTC untuk tugas tes.

Tawaran pekerjaan lain mengatur proses penyaringan multi-langkah di mana kandidat akan diminta untuk mengenkripsi DLL uji dalam 24 jam, membuatnya sepenuhnya tidak terdeteksi oleh AV (maksimal 3 pendeteksian runtime AV minor).

Saat perusahaan kejahatan dunia maya mengadopsi operasi seperti bisnis, kami akan terus melihat web gelap sebagai alat perekrutan bagi pelaku ancaman yang mencari penghasilan stabil.

Beberapa pengembang perangkat lunak mungkin melihat peluang ini sebagai penyelamat selama masa sulit kerusuhan politik, ekonomi yang buruk, atau kurangnya kesempatan kerja di wilayah mereka.

Namun, sangat penting untuk memahami potensi risiko bekerja untuk pemberi kerja web gelap, mulai dari penipuan hingga dijebak, ditangkap, dituntut, dan dipenjara.

selengkapnya : bleepingcomputer

Seorang Ukraina Mencuri $25.000 Bitcoin dari Pasar Obat Web Gelap Rusia, Memberikannya ke Badan Amal Kyiv

by

Seorang Ukraina mengatakan bahwa dia membobol dompet utama pasar obat Solaris dan mengalihkan dananya ke badan amal kemanusiaan Ukraina.

Alex Holden, Pakar Intelijen Dunia Maya, mengatakan bahwa dia dapat mengendalikan sebagian besar infrastruktur internet Solaris, sejumlah akun administrator yang menjalankan pasar gelap, kode sumber situs web, database pengguna, dan lokasi pengantaran untuk pengiriman obat. Timnya juga memiliki kendali atas dompet utama Solaris. Dompet ini digunakan oleh pembeli dan dealer untuk menyetor dan menarik dana, sebagai situs pertukaran cryptocurrency.

Timnya di Hold Security telah meretas salah satu pasar obat online terbesar Rusia, Solaris, dan mengalihkan crypto dealer dan pemilik situs ke badan amal, Enjoying Life, yang menyediakan bantuan kemanusiaan di seluruh Ukraina.

Salah satu pendiri Enjoying Life, Tina Mikhailovskaya, mengonfirmasi bahwa donasi tersebut telah diterima dan semua kontribusi langsung diberikan kepada orang tua, keluarga, dan orang-orang terlantar yang menderita karena perang Rusia.

Penawaran dealer Solaris. Alex Holden, pendiri Hold Security, yakin situs tersebut melakukan ribuan transaksi setiap hari. Alex Holden

Holden juga mengendalikan berbagai bagian pasar tanpa terdeteksi. Menurutnya, hal ini dapat digunakan untuk mengidentifikasi keberadaan penjahat dunia maya Rusia yang menggunakan situs tersebut untuk mendorong operasi mereka.


Koneksi Killnet
Kru peretasan rekan Solaris, Killnet, pada awal tahun muncul menawarkan penghapusan situs web dengan denial of service (DDoS) terdistribusi. Namun Killnet menjadi kru peretas tentara bayaran patriotik setelah Rusia menginvasi Ukraina. Menargetkan Ukraina dan pendukung mereka, situs web bandara AS, Badan Intelijen Geospasial Nasional, dan berbagai situs web pemerintah negara bagian dengan serangan DDoS. D

Dampak serangan tersebut termasuk kecil dibandingkan dengan IT Army Ukraina, yang telah menargetkan berbagai nama besar organisasi Rusia, termasuk Sberbank dan bursa saham Moskow, dengan serangannya sendiri. serangan DDoS.

Sebuah kios obat bertema Natal di Solaris. Alex Holden

Holden ingin sekali menghalangi Killnet, dan infiltrasinya ke Solaris menawarkan satu jalan karena pertukaran tersebut memiliki banyak hubungan dengan grup peretas Rusia.

Kepemimpinan Killnet cukup vokal tentang dukungannya dari Solaris. Dalam wawancara Oktober dengan publikasi Rusia RT, seorang pendiri Killnet, KillMilk, mengatakan gengnya mendapat dukungan besar dari tim Solaris.

Andras Toth-Czifra, seorang analis di perusahaan intelijen siber Flashpoint, melacak operasi Killnet setahun terakhir. Dia mencatat bahwa tak lama setelah wawancara RT, para peretas mengatakan bahwa mereka telah menerima kontribusi keuangan dari Solaris.

Selengkapnya: Forbes

Malware Escanor dikirimkan dalam dokumen Microsoft Office yang dipersenjatai

by

Resecurity, sebuah perusahaan keamanan siber berbasis di Los Angeles yang melindungi Fortune 500 di seluruh dunia, mengidentifikasi RAT (Alat Administrasi Jarak Jauh) baru yang diiklankan di Dark Web dan Telegram bernama Escanor.

Pelaku ancaman menawarkan RAT versi Android dan berbasis PC, bersama dengan modul HVNC dan pembuat eksploitasi untuk mempersenjatai dokumen Microsoft Office dan Adobe PDF untuk mengirimkan kode berbahaya.

Alat ini telah dirilis untuk dijual pada tanggal 26 Januari tahun ini pada awalnya sebagai implan HVNC kompak yang memungkinkan untuk mengatur koneksi jarak jauh senyap ke komputer korban, dan kemudian diubah menjadi RAT komersial skala penuh dengan rangkaian fitur yang kaya.

Escanor telah membangun reputasi yang kredibel di Dark Web, dan menarik lebih dari 28.000 pelanggan di saluran Telegram. Di masa lalu, aktor dengan moniker yang persis sama merilis versi ‘crack’ dari alat Web Gelap lainnya, termasuk Venom RAT, 888 RAT, dan Pandora HVNC yang kemungkinan digunakan untuk memperkaya fungsionalitas Escanor lebih lanjut.

Escanor versi seluler (juga dikenal sebagai “Esca RAT”) secara aktif digunakan oleh penjahat dunia maya untuk menyerang pelanggan perbankan online dengan mencegat kode OTP. Alat ini dapat digunakan untuk mengumpulkan koordinat GPS korban, memantau penekanan tombol, mengaktifkan kamera tersembunyi, dan menelusuri file di perangkat seluler jarak jauh untuk mencuri data.

Sebagian besar sampel yang terdeteksi baru-baru ini telah dikirim menggunakan Escanor Exploit Builder. Para aktor menggunakan dokumen umpan yang meniru faktur dan pemberitahuan dari layanan online populer.

Khususnya, nama domain ‘escanor[.]live’ sebelumnya telah diidentifikasi sehubungan dengan infrastruktur AridViper (APT-C-23 / GnatSpy). APT-C-23 sebagai kelompok aktif di kawasan Timur Tengah, yang dikenal secara khusus menargetkan aset militer Israel. Setelah laporan dirilis oleh Qihoo 360, aktor Escanor RAT telah merilis video yang merinci bagaimana alat tersebut dapat digunakan untuk melewati deteksi AV.

Mayoritas korban yang terinfeksi oleh Escanor telah diidentifikasi di AS, Kanada, UEA, Arab Saudi, Kuwait, Bahrain, Mesir, Israel, Meksiko, dan Singapura dengan beberapa infeksi di Asia Tenggara.

Sumber: Bleeping Computer

Sorotan Dark Web: Serangan Ransomware Grup Eberspcher

by

Produsen suku cadang otomotif multinasional Eberspächer Group telah diserang oleh ransomware. Tidak diketahui sejauh mana serangan itu atau siapa yang bertanggung jawab.

Pada publikasi ini, infrastruktur TI mereka telah dinonaktifkan secara efektif.

Grup Eberspacher mempekerjakan lebih dari 10.000 pekerja dengan 80 pabrik yang tersebar di 28 negara.

Grup Eberspacher menyediakan suku cadang untuk banyak perusahaan otomotif Jerman terkemuka seperti Audi, Volkswagen, BMW, dan lainnya.

Dengan infrastruktur TI mereka yang lumpuh, Eberspacher Group terpaksa menghentikan produksi dan memulangkan karyawannya. Tidak diketahui kapan sistem akan kembali online.

Grup Eberspacher tidak dapat dihubungi melalui telepon atau email karena sistem tersebut juga dinonaktifkan.

Industri Otomotif, dari merek besar hingga pemasok seperti Eberspacher Group, sangat rentan terhadap serangan rantai pasokan dan gangguan kerja dari Ransomware.

CybelAngel baru-baru ini menerbitkan laporan “Perlombaan Melawan Ancaman Eksternal dalam Rantai Pasokan Otomotif” yang mencakup risiko unik yang dihadapi oleh industri dan rekomendasi tentang bagaimana mereka dapat melindungi diri mereka sendiri.

Selengkapnya: CybelAngel

Sebagian besar penyedia layanan eksploitasi SS7 di Dark Web adalah scammers

by

Kerentanan protokol telepon seluler Signaling System 7 (SS7) adalah sesuatu yang diperingatkan oleh para peneliti keamanan pada tahun 2016, dan hanya butuh satu tahun sebelum serangan pertama yang mengeksploitasinya diamati. Pemerintah mengeksploitasi kelemahan SS7 untuk melacak individu di luar negeri, dan peretas menggunakannya untuk membajak Telegram dan akun email.

Celah keamanan SS7 dapat dimanfaatkan untuk mencegat atau meneruskan panggilan, kode 2FA, mencari perangkat, SMS palsu, dan banyak lagi. Analis di SOS Intelligence telah mencari di web gelap untuk penyedia layanan eksploitasi SS7 dan menemukan 84 domain bawang unik yang mengklaim menawarkannya.

Setelah mempersempit hasil menjadi yang tampaknya masih aktif, mereka hanya mendapatkan empat berikut:

  • Penjelajah SS7
  • Penjelajah ONLINE SS7
  • Peretasan SS7
  • Pasar Rubah Gelap
Situs web Pasar Rubah Gelap
Sumber: Intelijen SOS

Dengan menganalisis data topologi jaringan untuk situs-situs ini, para peneliti menemukan bahwa beberapa di antaranya relatif terisolasi, tidak memiliki banyak tautan masuk.

Ini bukan indikasi yang baik tentang keandalan dan kredibilitas situs dan biasanya merupakan indikasi platform scamming yang baru saja disiapkan.

Apalagi, situs SS7 Hack tampaknya disalin dari situs clearnet yang dibuat pada tahun 2021, sehingga terlihat seperti scam.

Halaman pembelian layanan Dark Fox Market
Sumber: Intelijen SOS

Pada platform Dark Fox Market, yang mengenakan biaya $180 untuk setiap nomor telepon yang ditargetkan, para peneliti menemukan video demo yang sama yang diunggah oleh pengguna Rusia di YouTube pada tahun 2016.

Ini kemungkinan besar dicuri dari YouTube dan tidak memiliki relevansi dengan platform Dark Fox Market, yang bagaimanapun juga tidak menawarkan layanan eksploitasi SS7 yang berfungsi.

Terlepas dari semua itu, dengan menganalisis dompet cryptocurrency yang disediakan dari platform ini, SOS Intelligence menemukan bahwa para scammer menghasilkan banyak uang.

Layanan eksploitasi SS7 nyata disembunyikan, hal di atas tidak berarti bahwa tidak ada layanan eksploitasi SS7 di web gelap tetapi yang sebenarnya tersembunyi di balik forum peretasan khusus dan pasar seperti World Market.

Posting WorldMarket menawarkan layanan exploit SS7
Sumber: KELA

Pelaku ancaman yang canggih memiliki akses ke data ponsel melalui afiliasi atau operasi mereka sendiri, sehingga mereka tidak perlu mencari penyedia layanan exploit SS7.

Selengkapnya : Bleeping Computer

Dark web menjadi lebih gelap dan lebih sibuk, layanan kejahatan dunia maya berharga kurang dari $500

by

Sampai saat ini dark web masih aktif dan menjadi lebih berbahaya dari sebelumnya. Para peneliti baru menyoroti bagaimana nilai data yang dicuri dan perilaku kriminal dunia maya yang secara umum telah berkembang selama enam tahun terakhir.

Perusahaan keamanan cloud, Bitglass, menciptakan kembali eksperimen pelacakan data dari tahun 2015 dengan menciptakan identitas fiktif yang menjual data login dan kata sandi. Para peneliti kemudian memposting informasi di beberapa pasar dark web, menarik pengguna dengan menawarkan akses ke file palsu yang memungkinkan akses ke organisasi di sektor ritel, pemerintah, game, dan media.

Dengan teknologi watermarking yang dimasukkan ke dalam file memungkinkan Bitglass untuk melacak data dari pengguna yang mengaksesnya. Menariknya, data yang dicuri menyebar 11 kali lebih cepat di dark web saat ini dibandingkan dengan enam tahun lalu.

Data pelanggaran menerima lebih dari 13.200 tampilan pada tahun 2021, peningkatan dramatis dari 1.100 tampilan pada tahun 2015. Lonjakan tersebut mewakili pertumbuhan 1.100 persen,hal tersebut menunjukkan bagaimana platform underground telah menjadi tujuan yang lebih populer bagi penjahat dunia maya.

Di tahun 2015 waktu yang dibutuhkan untuk mencapai 1.100 tampilan adalah 12 hari. Namun di tahun 2021, target jauh lebih cepat dalam mengakses data palsu karena mereka hanya membutuhkan waktu kurang dari 24 jam untuk melihat tautan.

Berdasarkan Lokasi unduhan data yang dicuri, Amerika Serikat adalah wilayah paling sering kedua dimana penjahat dunia maya berasal. Tiga teratas termasuk Kenya, Amerika, dan Rumania. Penelitian ini juga menemukan bahwa target menunjukkan minat yang besar pada data jaringan ritel dan pemerintah AS. Kedua kategori ini menerima klik terbanyak—masing-masing 37% dan 32%.

Jaringan ritel secara alami menjadi prioritas utama bagi penyerang karena mereka dapat mendistribusikan ransomware dan mengekstrak pembayaran dari bisnis besar. Demikian juga, data pemerintah A.S. sama berharganya karena peretas—yang disponsori negara atau individu dapat menjual informasi ini ke negara lain.

Selain itu, aktivitas di dalam dark web menjadi lebih sibuk. Menurut penelitian tersebut, jumlah total penonton anonim di Dark Web pada tahun 2021 mencapai 93 persen, naik signifikan dari tahun 2015 yang mencapai 67 persen.

Bitglass menekankan bahwa penjahat dunia maya sebagian besar telah menghindari undang-undang yang menuntut kejahatan dunia maya karena mereka menjadi lebih efektif dalam menutupi jejak mereka,

Upaya keamanan siber dari bisnis dan organisasi belum cukup mampu mencegah serangan. Selain itu, karena meningkatnya perhatian dari penegak hukum untuk melacak pelaku kejahatan, perusahaan mengharapkan mereka untuk terus menggunakan VPN dan proxy anonim untuk menghindari pihak berwenang.

“Dengan membandingkan hasil eksperimen terbaru ini dengan tahun 2015, jelas bahwa data di Dark Web menyebar lebih jauh, lebih cepat,” Mike Schuricht, kepala Bitglass Threat Research Group mengatakan “Kami memprediksi peningkatan volume pelanggaran data yang tinggi serta lebih banyak jalan bagi penjahat dunia maya untuk memonetisasi data yang dieksfiltrasi telah menyebabkan peningkatan minat dan aktivitas seputar data curian di dark web.”

Menurut data yang diposting oleh Microsoft, penghuni Dark Web dapat memperoleh sebagian besar layanan kejahatan dunia maya dengan harga kurang dari $500. Atlas VPN menemukan bahwa pasar bawah tanah menawarkan satu paket ransomware seharga $66, sementara peretas hanya mengenakan biaya sekitar $311 untuk mengirimkan serangan DDoS berkelanjutan terhadap target selama sebulan.

Pelanggaran data adalah hal biasa saat ini, jadi tidak mengherankan apabila nama pengguna dan kata sandi yang dicuri ditawarkan hanya dengan 97 sen per 1.000 akun. Selain itu, peretas melakukan pekerjaan khusus seperti penipuan kartu kredit atau pencurian identitas hanya dengan $250.

Dark Web Penuh Dengan Vaksin Covid-19 Palsu dan Kartu Vaksinasi Palsu

by

Hasil tes COVID-19 palsu, kartu vaksinasi palsu, dan vaksin yang dipertanyakan menjadi komoditas panas di web gelap dalam daftar panjang kejahatan dunia maya yang memanfaatkan pandemi virus corona.

“Fenomena baru dan meresahkan adalah konsumen membeli vaksin COVID-19 di black market karena meningkatnya permintaan di seluruh dunia,” kata Anne An, peneliti keamanan senior di McAfee’s Advanced Programs Group (APG). “Akibatnya, vaksin COVID-19 ilegal dan catatan vaksinasi sangat diminati di pasar darknet”.

Meningkatnya permintaan dan perlombaan untuk mencapai kekebalan kawanan berarti setidaknya selusin pasar bawah tanah menjajakan barang dagangan terkait COVID-19, dengan vaksin Pfizer-BioNTech dapat dibeli seharga $ 500 per dosis dari vendor terlaris yang mengandalkan layanan seperti Wickr, Telegram, WhatsApp, dan Gmail untuk periklanan dan komunikasi.

Daftar Darknet untuk vaksin yang seharusnya dijual dengan harga antara $ 600 hingga $ 2.500, memungkinkan calon pembeli untuk menerima produk dalam dua hingga 10 hari.

Terlebih lagi, kartu vaksinasi palsu yang diduga dikeluarkan oleh Pusat Pengendalian dan Pencegahan Penyakit (CDC) AS tersedia mulai dari harga $ 50 hingga $ 1.500.

Hasil tes COVID-19 negatif palsu dan sertifikat paspor vaksin masing-masing dijual seharga $ 25 dan $ 250, dengan iklan darknet untuk vaksin COVID-19 melonjak lebih dari 300% melampaui jumlah 1.200 dalam tiga bulan pertama tahun 2021, kata perusahaan itu.

Selengkapnya: The Hacker News

Penjahat dunia maya telah mulai mengindeks Dark Web

by

Penelitian baru dari Digital Shadows telah menemukan layanan pengindeksan web gelap cerdas yang disebut QUO. Meskipun ada layanan serupa di luar sana, QUO perlahan-lahan membangun reputasi sebagai toko serba ada bagi pengguna selain penjahat dunia maya di web gelap.

Menurut halaman tentang layanan, QUO adalah “web gelap, mesin pencari teks lengkap yang dirancang untuk membuat indeks halaman bawang yang terus diperbarui” untuk menyediakan cara bagi penggunanya untuk “menjelajahi web gelap dengan cepat dan tanpa nama, tanpa log, cookie, dan JavaScript ”. Pada saat penulisan, indeks QUO berisi lebih dari 200 GB data sekitar delapan juta halaman dari sekitar 20.000 ribu situs termasuk URL, judul, metadata, kata kunci, dan judulnya.

Sementara Quo menandai setiap domain Onion yang diindeksnya sebagai online, offline, atau daftar hitam, ia juga memiliki fungsi yang memungkinkan penggunanya melaporkan domain yang berisi konten tidak pantas yang mungkin telah lolos dari proses pemeriksaannya.

Pada surface web, Semua situs web yang Anda kunjungi secara teratur mudah ditemukan secara online karena telah diindeks oleh mesin pencari seperti Google, sedangkan situs di web gelap seringkali sulit ditemukan tanpa mengetahui alamat pastinya karena tidak diindeks.

Source : techradar