Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Financial Transaction

Financial Transaction

Peretas Rusia Bertanggung Jawab Atas Sebagian Besar Skema Ransomware 2021, Kata AS

by

WASHINGTON, 1 November (Reuters) – Perangkat lunak pencari pembayaran yang dibuat oleh peretas Rusia digunakan di tiga perempat dari semua skema ransomware yang dilaporkan ke AS.

Jaringan Penegakan Kejahatan Keuangan AS (FinCEN) mengatakan telah menerima 1.489 pengajuan terkait ransomware senilai hampir $1,2 miliar pada tahun 2021, melonjak 188% dari tahun sebelumnya.

Dari 793 insiden ransomware yang dilaporkan ke FinCEN pada paruh kedua tahun 2021, 75% “memiliki hubungan dengan Rusia, proksinya, atau orang yang bertindak atas namanya,” kata laporan itu.

Pada tanggal 31 Oktober, Washington menjadi tuan rumah pertemuan dengan pejabat dari 36 negara dan Uni Eropa, serta 13 perusahaan global untuk mengatasi meningkatnya ancaman ransomware dan kejahatan dunia maya lainnya, termasuk penggunaan cryptocurrency secara ilegal.

Bank U.S. Memproses sekitar 18,7 Miliar Rupiah dalam Pembayaran Ransomware pada 2021, menururt laporan federal

by

Bank dan lembaga keuangan AS memproses sekitar $1,2 miliar kemungkinan pembayaran ransomware pada tahun 2021, rekor baru dan hampir tiga kali lipat jumlah tahun sebelumnya.

Lebih dari setengah serangan ransomware dikaitkan dengan tersangka peretas siber Rusia, menurut laporan baru yang dirilis Selasa dari Jaringan Penegakan Kejahatan Keuangan Departemen Keuangan, atau FinCEN, yang menganalisis data.

CEO Perusahaan Joseph Blount Jr. membayar penjahat siber yang berbasis di Rusia sebesar $5 juta. Departemen Kehakiman kemudian memulihkan sekitar setengah dari uang tebusan

36 pemimpin negara dan EU bertemu pada selasa di Washington. untuk membahas penanggulangan yang efektif terhadap ancaman ransomware. Serangan Ransomware adalah jenis serangan siber di mana peretas memasang perangkat lunak berbahaya di komputer atau server yang mengancam akan merilis data atau memblokir akses ke sana hingga uang tebusan dibayarkan.

FinCEN mengatakan terdapat 1.489 insiden ransomware yang menelan biaya hampir $1,2 miliar tahun lalu, peningkatan substansial dari $416 juta dalam kerusakan yang tercatat pada tahun 2020, menurut laporan tersebut.

Analisis FinCEN mencakup tahun 2021, dengan fokus pada paruh kedua tahun ini. Badan tersebut mengatakan empat dari lima serangan ransomware teratas yang dilaporkan selama periode ini terkait dengan Rusia. Sekitar 75% insiden terkait ransomware juga terkait dengan negara.

Bulan Maret, Biden menandatangani tindakan yang mengharuskan beberapa bisnis untuk melaporkan insiden siber tertentu dan pembayaran ransomware ke Badan Keamanan, Infrastruktur, dan Keamanan Siber. CISA juga meluncurkan kampanye untuk mengurangi risiko ransomware pada Januari 2021.

sumber : cnbc

FBI Memperingatkan Kode QR Berbahaya yang Digunakan untuk Mencuri Uang Anda

by

Biro Investigasi Federal (FBI) memperingatkan orang Amerika minggu ini bahwa penjahat dunia maya menggunakan kode Quick Response (QR) yang dibuat dengan jahat untuk mencuri kredensial dan info keuangan mereka.

Peringatan itu dikeluarkan sebagai pengumuman layanan publik (PSA) yang diterbitkan di Pusat Pengaduan Kejahatan Internet Biro (IC3) awal pekan ini.

“Penjahat dunia maya merusak kode QR untuk mengarahkan korban ke situs berbahaya yang mencuri informasi login dan keuangan,” kata lembaga penegak hukum federal.

FBI mengatakan penjahat beralih kode QR yang sah yang digunakan oleh bisnis untuk tujuan pembayaran untuk mengarahkan korban potensial ke situs web berbahaya yang dirancang untuk mencuri informasi pribadi dan keuangan mereka, menginstal malware di perangkat mereka, atau mengalihkan pembayaran mereka ke akun di bawah kendali mereka.

Setelah para korban memindai apa yang tampak seperti kode yang sah, mereka dikirim ke situs phishing penyerang, di mana mereka diminta untuk memasukkan info login dan keuangan mereka. Setelah masuk, itu akan dikirim ke penjahat cyber yang dapat menggunakannya untuk mencuri uang menggunakan rekening perbankan yang dibajak.

“Sementara kode QR tidak berbahaya, penting untuk berhati-hati ketika memasukkan informasi keuangan serta memberikan pembayaran melalui situs yang dinavigasi melalui kode QR,” tambah FBI. “Penegakan hukum tidak dapat menjamin pemulihan dana yang hilang setelah transfer.”

Perhatikan saat memindai kode QR

FBI menyarankan orang Amerika untuk memperhatikan URL yang mereka kirim setelah memindai kode QR, selalu berhati-hati saat memasukkan data mereka setelah memindai kode QR, dan memastikan bahwa kode QR fisik belum tercakup dengan yang berbahaya.

Anda juga harus menghindari menginstal aplikasi melalui kode QR atau menginstal pemindai kode QR (sebagai gantinya, gunakan yang disertakan dengan OS ponsel Anda).

Last but not least, selalu masukkan URL dengan tangan saat melakukan pembayaran alih-alih memindai kode QR yang dapat diatur untuk mengarahkan Anda ke situs berbahaya.

Sumber: Bleepingcomputer

‘Elephant Beetle’ Menghabiskan Waktu Berbulan-bulan di Jaringan Korban untuk Mengalihkan Transaksi

by

Seorang aktor bermotivasi finansial yang dijuluki ‘Elephant Beetle’ mencuri jutaan dolar dari organisasi di seluruh dunia menggunakan gudang lebih dari 80 alat dan skrip unik.

Kelompok ini sangat canggih dan sabar, menghabiskan berbulan-bulan mempelajari lingkungan korban dan proses transaksi keuangan, dan baru kemudian bergerak untuk mengeksploitasi kekurangan dalam operasi.

Para aktor menyuntikkan transaksi penipuan ke dalam jaringan dan mencuri sejumlah kecil dalam waktu lama, yang mengarah ke pencurian keseluruhan jutaan dolar. Jika mereka terlihat, mereka berbaring rendah untuk sementara waktu dan kembali melalui sistem yang berbeda.

Keahlian ‘Elephant Beetle’ tampaknya dalam menargetkan aplikasi Java warisan pada sistem Linux, yang biasanya merupakan titik masuk mereka ke jaringan perusahaan.

TTP aktor tersebut diekspos dalam laporan teknis terperinci yang dibagikan tim Respons Insiden Sygnia dengan Bleeping Computer sebelum dipublikasikan.

Mengeksploitasi kekurangan dan berbaur dengan lalu lintas normal

‘Elephant Beetle’ lebih suka menargetkan kerentanan yang diketahui dan kemungkinan tidak ditampar daripada membeli atau mengembangkan eksploitasi zero-day.

Peneliti Sygnia telah mengamati kelompok tersebut selama dua tahun dan dapat mengkonfirmasi aktor ancaman yang mengeksploitasi kekurangan berikut:

  • Injeksi Bahasa Ekspresi Aplikasi Primefaces (CVE-2017-1000486)
  • WebSphere Application Server SOAP Deserialization Exploit (CVE-2015-7450)
  • SAP NetWeaver Invoker Servlet Exploit (CVE-2010-5326)
  • Eksekusi Kode Jarak Jauh SAP NetWeaver ConfigServlet (EDB-ID-24963)

Keempat kekurangan di atas memungkinkan para aktor untuk mengeksekusi kode sewenang-wenang dari jarak jauh melalui shell web yang dibuat khusus dan dikaburkan.

Atribusi dan tips pertahanan

‘Elephant Beetle’ menggunakan variabel kode Spanyol dan nama file, dan sebagian besar alamat IP C2 yang mereka gunakan berbasis di Meksiko.

Juga, pemindai jaringan yang ditulis Java diunggah ke Virus Total dari Argentina, mungkin selama fase pengembangan dan pengujian awal.

Dengan demikian, kelompok ini tampaknya terhubung ke Amerika Latin dan mungkin memiliki hubungan atau tumpang tindih dengan aktor FIN13, dilacak oleh Mandiant.

Beberapa saran dasar untuk membela terhadap aktor ini meliputi:

  • Hindari menggunakan prosedur ‘xp_cmdshell’ dan nonaktifkan di server MS-SQL. Pantau perubahan konfigurasi dan penggunaan ‘xp_cmdshell’.
  • Pantau penyebaran WAR dan validasi bahwa fungsi penyebaran paket termasuk dalam kebijakan pencatatan aplikasi yang relevan.
  • Berburu dan memantau keberadaan dan pembuatan file .class yang mencurigakan di folder temp aplikasi WebSphere.
  • Memantau proses yang dijalankan oleh proses layanan induk server web (yaitu, ‘w3wp.exe’, ‘tomcat6.exe’) atau oleh proses terkait database (yaitu, ‘sqlservr.exe’).
  • Menerapkan dan memverifikasi segregasi antara DMZ dan server internal.

Selengkapnya: Bleepingcomputer