Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for genshin impact

genshin impact

Pengembang Genshin Impact mengalami pelanggaran data besar-besaran

by

Pengembang Genshin Impact HoYoverse telah mengalami pelanggaran data besar-besaran.

Selama akhir pekan, sejumlah besar informasi dibagikan secara online yang mengungkapkan detail karakter, misi, dan acara baru dari versi 3.3 hingga 3.8.

HoYoverse telah menandai postingan DMCA yang berisi informasi dari pelanggaran data, meskipun pembaruan di masa mendatang tentu saja dapat berubah.

Namun, banyak pembocor Genshin Impact telah menghapus posting mereka ketika data pengguna pribadi untuk beberapa penguji QA HoYoverse ditemukan sebagai bagian dari pelanggaran.

“Setelah pertimbangan lebih lanjut dengan teman-teman, saya memutuskan untuk menghapus SEMUA tweet saya mulai hari ini untuk keamanan,” kata leaker Ubatcha di Twitter. “Untuk memperjelas, saya tidak membenarkan metode apa pun di mana data diperoleh dan saya tidak terlibat dalam memperoleh atau mendistribusikan data asli.”

Setelah pertimbangan lebih lanjut dengan teman-teman, saya memutuskan untuk menghapus SEMUA tweet saya mulai hari ini agar aman

Untuk memperjelas, saya tidak membenarkan metode apa pun di mana data diperoleh dan saya tidak terlibat dalam memperoleh atau mendistribusikan data asli

Seperti dilansir GamesRadar, ini adalah jumlah informasi yang dibuang secara ilegal yang hampir belum pernah terjadi sebelumnya, berjumlah sekitar 36 minggu konten untuk game layanan langsung yang dapat dimainkan secara gratis.

Ini menandai kebocoran profil tinggi lainnya, menyusul pelanggaran data di pengembang Grand Theft Auto Rockstar bulan lalu.

Sumber: EuroGamer

Penyerang Ransomware Menyalahgunakan Sistem Anti-Cheat Genshin untuk Menonaktifkan Antivirus

by

Driver anti-cheat yang rentan untuk video game Genshin Impact telah dimanfaatkan oleh pelaku kejahatan dunia maya untuk menonaktifkan program antivirus guna memfasilitasi penyebaran ransomware, menurut temuan dari Trend Micro.

Infeksi ransomware, yang dipicu pada minggu terakhir Juli 2022, mengandalkan fakta bahwa driver yang dimaksud (“mhyprot2.sys”) ditandatangani dengan sertifikat yang valid, sehingga memungkinkan untuk menghindari hak istimewa dan menghentikan layanan yang terkait dengan aplikasi perlindungan titik akhir.

Genshin Impact adalah Game aksi populer yang dikembangkan dan diterbitkan oleh pengembang miHoYo yang berbasis di Shanghai pada September 2020.

Driver yang digunakan dalam rantai serangan dikatakan telah dibuat pada Agustus 2020, dengan adanya kelemahan dalam modul yang dibahas setelah rilis game, dan mengarah ke eksploitasi yang menunjukkan kemampuan untuk membunuh proses sewenang-wenang dan meningkat ke kernel mode.

Idenya, singkatnya, adalah menggunakan modul driver perangkat yang sah dengan penandatanganan kode yang valid untuk meningkatkan hak istimewa dari mode pengguna ke mode kernel, menegaskan kembali bagaimana musuh terus mencari cara berbeda untuk menyebarkan malware secara diam-diam.

Dalam insiden yang dianalisis oleh Trend Micro, titik akhir yang disusupi milik entitas yang tidak disebutkan namanya digunakan sebagai saluran untuk terhubung ke pengontrol domain melalui protokol desktop jarak jauh (RDP) dan mentransfer ke sana penginstal Windows yang menyamar sebagai AVG Internet Security, yang menjatuhkan dan dieksekusi, antara lain, driver yang rentan.

Tujuannya, kata para peneliti, adalah untuk menyebarkan ransomware secara massal menggunakan pengontrol domain melalui file batch yang menginstal driver, mematikan layanan antivirus, dan meluncurkan muatan ransomware.

Trend Micro menunjukkan bahwa game “tidak perlu diinstal pada perangkat korban agar ini berfungsi,” yang berarti pelaku ancaman dapat dengan mudah menginstal driver anti-cheat sebagai pendahulu penyebaran ransomware.

Kami telah menghubungi miHoYo untuk memberikan komentar, dan kami akan memperbarui ceritanya jika kami mendengarnya kembali.

“Masih jarang ditemukan modul dengan penandatanganan kode sebagai driver perangkat yang dapat disalahgunakan,” kata para peneliti. “Modul ini sangat mudah didapat dan akan tersedia untuk semua orang sampai dihapus dari keberadaannya. Modul ini bisa bertahan lama sebagai utilitas yang berguna untuk melewati hak istimewa.”

“Pencabutan sertifikat dan deteksi antivirus mungkin membantu untuk mencegah penyalahgunaan, tetapi tidak ada solusi saat ini karena ini adalah modul yang sah.”

Sumber: The Hackernews

Peretas menyalahgunakan sistem anti-cheat Genshin Impact untuk menonaktifkan antivirus

by

Peretas menyalahgunakan driver sistem anti-cheat untuk game Genshin Impact yang sangat populer untuk menonaktifkan perangkat lunak antivirus saat melakukan serangan ransomware.

Driver/modul, “mhypro2.sys,” tidak memerlukan sistem target untuk menginstal game, dan dapat beroperasi secara independen atau bahkan tertanam dalam malware, menawarkan kerentanan kuat kepada pelaku ancaman yang dapat menonaktifkan perangkat lunak keamanan.

Driver yang rentan telah dikenal sejak tahun 2020 dan memberikan akses ke memori proses/kernel apa pun dan kemampuan untuk menghentikan proses menggunakan hak istimewa tertinggi.

Peneliti melaporkan masalah ini ke vendor beberapa kali di masa lalu. Namun, sertifikat penandatanganan kode belum dicabut, sehingga program masih dapat diinstal pada Windows tanpa menimbulkan alarm apa pun.

Lebih buruk lagi, setidaknya ada dua eksploitasi proof-of-concept [1, 2] di GitHub sejak 2020, dengan detail lengkap tentang cara membaca/menulis memori kernel dengan hak istimewa mode kernel dari mode pengguna, menghitung utas, dan mengakhiri proses.

Dalam laporan baru oleh Trend Micro, para peneliti telah melihat bukti pelaku ancaman menyalahgunakan driver ini sejak akhir Juli 2022, dengan pelaku ransomware menggunakannya untuk menonaktifkan solusi perlindungan titik akhir yang dikonfigurasi dengan benar.

Pelaku ancaman menggunakan ‘secretsdump’ dan ‘wmiexec’ terhadap titik akhir yang ditargetkan dan kemudian terhubung ke pengontrol domain melalui RDP menggunakan kredensial admin yang diambil.

Tindakan pertama yang diambil pada mesin yang disusupi adalah mentransfer mhyprot2.sys ke desktop bersama dengan ‘kill_svc.exe’ yang dapat dieksekusi, yang digunakan untuk menginstal driver.

Selanjutnya, penyusup menjatuhkan ‘avg.msi’, yang pada gilirannya menjatuhkan dan mengeksekusi empat file berikut:

  • logon.bat – Sebuah file batch yang mengeksekusi HelpPane.exe, membunuh antivirus dan layanan lainnya, dan mengeksekusi svchost.exe
  • HelpPane.exe – File berbahaya yang menyamar sebagai Bantuan dan Dukungan Microsoft yang dapat dieksekusi; mirip dengan kill_svc.exe, ia menginstal mhyprot2.sys dan mematikan layanan antivirus
  • mhyprot2.sys – Driver anti-cheat Genshin Impact yang rentan
  • svchost.exe – Payload ransomware

Trend Micro berkomentar bahwa pelaku ancaman mencoba dan gagal tiga kali untuk mengenkripsi file di workstation yang diserang, tetapi layanan antivirus berhasil dinonaktifkan. Akhirnya, musuh memindahkan “logon.bat” di desktop dan mengeksekusinya secara manual, yang berhasil.

Peluncuran manual HelpPane.exe (Trend Micro)

Terakhir, pelaku ancaman memuat driver, ransomware, dan ‘kill_svc.exe’ yang dapat dieksekusi pada jaringan berbagi untuk penyebaran massal, yang bermaksud menginfeksi lebih banyak workstation.

Ikhtisar serangan aktor Ransomware (Trend Micro)

Trend Micro memperingatkan bahwa penyebaran modul anti-cheat oleh peretas dapat meningkat, karena bahkan jika vendor merespons dan memperbaiki kekurangannya, versi lama akan terus beredar.

Riset keamanan Kevin Beaumont menyarankan agar admin dapat mempertahankan diri dari ancaman ini dengan memblokir hash “0466e90bf0e83b776ca8716e01d35a8a2e5f96d3” pada solusi keamanan mereka, yang sesuai dengan driver mhypro2.sys yang rentan.

Terakhir, pembela harus memantau log peristiwa untuk instalasi layanan tertentu, bernama “mhyprot2.”

Sumber: Bleeping Computer

Genshin Impact Account Hacks: miHoYo memberikan pernyataan tentang kebocoran data, akan meningkatkan keamanan

by

Pemain sangat bersemangat untuk pembaruan yang akan datang, serta pembaruan di luar itu karena miHoYo akan merilis pembaruan setiap enam minggu. Di tengah semua itu, ada satu masalah yang sangat mengganggu para pemain. Sejumlah besar pemain telah menjadi sasaran serangan peretas akhir-akhir ini, dan mereka kehilangan akses ke akun mereka atau akun mereka telah benar-benar dihancurkan. Hal ini membuat komunitas cukup cemas karena banyak pemain yang enggan untuk mengambil bagian dalam acara resmi miHoYo sendiri, karena mengira itu mungkin tautan phishing.

Komunitas telah meminta autentikasi dua faktor cukup lama sekarang, tetapi kami belum menerima pembaruan apa pun dari miHoYo tentang hal itu. Sekarang, miHoYo akhirnya merilis pernyataan tentang peretasan yang sedang berlangsung. Banyak yang percaya bahwa ada kebocoran data dari akhir miHoYo, tetapi sepertinya bukan itu masalahnya. Berikut adalah versi terjemahan dari pernyataan yang diposting di Genshin Thailand Group.

Terima kasih telah menghubungi kami, saat ini pengembang sedang membahas tentang peningkatan sistem keamanan. Dari informasi yang kami miliki saat ini, kami memiliki banyak lapisan keamanan dan tidak ada tanda-tanda kebocoran. Sebagian besar pemain yang diretas, dan [sic] kebanyakan karena memberikan informasi mereka ke situs web palsu. Kami berharap pelancong tidak akan membuka situs palsu tersebut. Kami juga akan meningkatkan keamanan akun, harap tunggu pembaruan baru.

Apa yang tidak tersirat dari peningkatan keamanan ini, tetapi ada spekulasi bahwa 2FA akan menjadi opsi paling logis di sini. Mempertimbangkan tingkat di mana akun diretas, kami dapat mengharapkan ini segera. Game ini akan menerima pembaruan besar berikutnya, Pembaruan 1.4 pada 17 Maret, dan akan menambahkan karakter baru Rosaria, item baru, senjata, dan banyak lagi.