Russia

Hacker Menggunakan Wiper SwiftSlicer Baru untuk Menghancurkan Domain Windows

January 30, 2023 by Flamango

Peneliti keamanan telah mengidentifikasi malware penghapus data baru SwiftSlicer yang bertujuan untuk menimpa file penting yang digunakan oleh sistem operasi Windows.

SwiftSlicer ditemukan dalam serangan cyber baru-baru ini terhadap target di Ukraina, dikaitkan dengan Sandworm, kelompok peretasan yang bekerja untuk Direktorat Intelijen Utama (GRU) Staf Umum Rusia sebagai bagian dari unit militer Pusat Utama untuk Teknologi Khusus (GTsST) 74455 .

Penghapus Data Berbasis Go
Peneliti keamanan perusahaan cybersecurity ESET menemukan malware destruktif yang digunakan selama serangan cyber di Ukraina.

Sandworm meluncurkan SwiftSlicer menggunakan Kebijakan Grup Direktori Aktif, memungkinkan admin domain untuk mengeksekusi skrip dan perintah di semua perangkat di jaringan Windows.

SwiftSlicer juga digunakan untuk menghapus salinan bayangan dan menimpa file penting di direktori sistem Windows, khususnya driver dan database Active Directory.
pict – Fungsi malware penghapus data SwiftSlicer (ESET)

Malware Destruktif Rusia
Tim Tanggap Darurat Komputer Ukraina (CERT-UA) mengatakan bahwa Sandworm juga mencoba menggunakan lima utilitas penghancur data di jaringan kantor berita Ukrinform yaitu CaddyWiper (Windows), ZeroWipe (Windows), SDelete (alat yang sah untuk Windows), AwfulShred (Linux), dan BidSwipe (FreeBSD).

Hasil investigasi diketahui bahwa SandWorm mendistribusikan malware ke komputer di jaringan menggunakan Group Policy Object (GPO).

Selengkapnya: BleepingComputer

NCSC mengungkap kampanye spear-phishing Iran dan Rusia yang menargetkan Inggris

January 27, 2023 by Søren

Kelompok ancaman persisten tingkat lanjut (APT) yang bermusuhan yang sejalan dengan kepentingan nasional Iran dan Rusia menargetkan warga negara Inggris termasuk akademisi, aktivis, pekerja amal dan LSM, pejabat pertahanan dan pemerintah, jurnalis, dan politisi, dengan spear-phishing yang dibuat dengan hati-hati dan sangat ditargetkan email, menurut intelijen baru dari National Cyber Security Center (NCSC) Inggris.

Kampanye yang berbeda namun secara teknis serupa dikaitkan dengan keyakinan relatif terhadap TA453 Iran, yang juga menggunakan nama Charming Kitten, dan Seaborgium Rusia, yang juga menggunakan Cold River dan baru-baru ini dikaitkan dengan serangan terhadap mantan kepala MI6 Richard Dearlove dan seorang kelompok pendukung keras Brexit, dan insiden yang menargetkan ilmuwan nuklir AS.

Pola aktivitas dunia maya yang sedang berlangsung diduga, meskipun tidak dikonfirmasi oleh NCSC, terkait dengan pengumpulan intelijen untuk mendukung tujuan APT yang seharusnya membayar pemerintah di Teheran dan Moskow.

Skalanya relatif kecil dan tidak menimbulkan ancaman langsung bagi mayoritas publik Inggris dalam skema besar, menurut direktur operasi NCSC, Paul Chichester, yang mengatakan itu lebih merupakan kecanggihan serangan, daripada volumenya, itu mengkhawatirkan.

“Inggris berkomitmen untuk mengungkap aktivitas siber berbahaya bersama mitra industri kami, dan saran ini meningkatkan kesadaran akan ancaman terus-menerus yang ditimbulkan oleh serangan spear-phishing,” katanya.

Selengkapnya: Computer Weekly

Akun Rusia yang Dicurigai ‘Menyerang’ Penjualan Banksy Ukraina

January 12, 2023 by Flamango

Ribuan serangan web bermusuhan yang diluncurkan dari alamat IP Rusia telah menargetkan lelang cetakan online oleh seniman grafiti Inggris, Banksy, untuk membantu Ukraina, menurut yayasan amal Legacy of War Foundation pada hari Selasa.

Bansky adalah seorang seniman jalanan. Dirinya menjual 50 cetakan layar edisi terbatas melalui badan amal untuk mengumpulkan dana guna mendukung warga sipil Ukraina yang terkena dampak konflik.

Diketahui seniman tersebut mendukung badan amal karena dia telah melihat salah satu timnya menyapu dan memberikan perawatan medis, pemanas, air bersih, dan wajah ramah kepada beberapa orang yang sangat putus asa di gedung yang dibom.

Banksy saat berada di balik tujuh mural di gedung yang hancur di sekitar Kyiv tahun lalu

Pendukung harus mendaftar secara online untuk mendapatkan salah satu dari £5.000 ($6.080) cetakan, yang menunjukkan mouse meluncur ke bawah sisi kotak dengan “FRAGILE” tercetak di atasnya.

Namun sebuah pesan di situsnya mengatakan bahwa telah menerima lebih dari1 juta permintaan dan 3.500 serangan bermusuhan dari alamat IP Rusia.

Selengkapnya: france24

Polandia Memperingatkan Serangan Oleh Kelompok Hacker Ghostwriter yang Terkait dengan Rusia

January 4, 2023 by Coffee Bean

Pemerintah Polandia memperingatkan lonjakan serangan dunia maya dari peretas yang terkait dengan Rusia, termasuk kelompok peretasan yang disponsori negara yang dikenal sebagai GhostWriter.

Polandia yakin peretas Rusia menargetkan negara mereka karena dukungan berkelanjutan yang mereka berikan kepada Ukraina dalam konflik militer yang sedang berlangsung dengan Rusia.

Cyberattack Terbaru
Kasus pertama yang disorot oleh pos pemerintah Polandia adalah serangan DDoS (distributed denial of service) terhadap situs web parlemen (‘sejm.gov.pl’), yang dikaitkan dengan NoName057(16) aktivis peretas pro-Rusia.’

Serangan itu terjadi sehari setelah parlemen mengadopsi resolusi yang mengakui Rusia sebagai negara sponsor terorisme, membuat situs web tidak dapat diakses oleh publik.

Menurut orang Polandia, para peretas Rusia membuat situs web yang menyamar sebagai domain pemerintah gov.pl, mempromosikan kompensasi keuangan palsu untuk penduduk Polandia yang diduga didukung oleh dana Eropa.

Mengklik tombol tersemat untuk mempelajari lebih lanjut tentang program membawa korban ke situs phishing di mana mereka diminta membayar sedikit biaya untuk verifikasi.

Kampanye ’22 Desember yang menyamar sebagai administrasi pajak Polandia (gov.pl)

GhostWriter telah aktif setidaknya sejak 2017, sebelumnya diamati meniru jurnalis dari Lituania, Latvia, dan Polandia, untuk menyebarkan informasi palsu dan narasi anti-NATO kepada khalayak lokal.

Menanggapi meningkatnya ancaman dunia maya, Perdana Menteri Polandia telah meningkatkan tingkat ancaman keamanan dunia maya menjadi ‘CHARLIE-CRP’, memperkenalkan berbagai langkah seperti mempertahankan daftar 24 jam di kantor yang ditunjuk dan organisasi administrasi publik.

sumber : BleepingComputBleepingComputer

Bersekongkol Dengan Rusia Untuk Meretas Sistem Taksi JFK, Dua Pria New York Ditangkap

December 22, 2022 by Flamango

Dua pria New York ditangkap karena bersekongkol dengan warga negara Rusia untuk meretas sistem pengiriman taksi di Bandara Internasional John F. Kennedy sehingga mereka dapat memanipulasi antrean dan mengenakan biaya kepada pengemudi untuk akses ke depan antrian, kata jaksa federal Selasa.

Menurut jaksa di Distrik Selatan New York, Daniel Abayev dan Peter Leyman, keduanya berusia 48 tahun, ditangkap di Queens dan didakwa dengan dua tuduhan konspirasi untuk melakukan intrusi komputer.

Keduanya diduga bekerja dengan peretas dari Rusia sejak tahun 2019 untuk menyusup ke sistem pengiriman taksi JFK dengan menyuap seseorang untuk memasang malware di komputer sistem, mencuri tablet komputer, dan menggunakan Wi-Fi untuk masuk.

Jaksa penuntut mengatakan bahwa peretas berusaha untuk mendapatkan akses ke sistem pengiriman, kemudian Abayev dan Leyman memindahkan taksi tertentu ke garis depan dan menarik biaya $10 bagi pengemudi untuk melewati antrian.

Pengemudi taksi yang ingin menjemput penumpang di JFK menunggu di tempat penampungan terlebih dahulu sebelum dikirim ke terminal tertentu sesuai urutan kedatangan mereka. Proses ini memakan waktu berjam-jam, dan waktu tunggu bisa berdampak signifikan pada berapa banyak uang yang bisa diperoleh seorang sopir taksi dalam sehari.

Jaksa memperkirakan Abayev dan Leyman dapat memanipulasi sebanyak 1.000 perjalanan taksi sehari selama skema tersebut, yang berlangsung dari sekitar November 2019 hingga November 2020.

Menurut Williams, peretasan ini membuat pengemudi taksi yang jujur tidak dapat mengambil tarif di JFK sesuai urutan kedatangan mereka. Tersangka akan dijatuhi hukuman 10 tahun penjara apabila terbukti bersalah.

Selengkapnya: CNBC

Mempersiapkan serangan dunia maya Rusia terhadap Ukraina musim dingin ini

December 4, 2022 by Søren

Dalam beberapa bulan terakhir, aktor ancaman dunia maya yang berafiliasi dengan intelijen militer Rusia telah meluncurkan serangan wiper yang merusak terhadap jaringan organisasi energi, air, dan infrastruktur penting lainnya di Ukraina saat serangan rudal melumpuhkan listrik dan pasokan air ke warga sipil di seluruh negeri.

Operator militer Rusia juga memperluas aktivitas dunia maya yang merusak di luar Ukraina ke Polandia, pusat logistik penting, dalam upaya yang mungkin mengganggu pergerakan senjata dan pasokan ke garis depan.

Peneliti yakin tren baru-baru ini menunjukkan bahwa dunia harus bersiap untuk beberapa lini serangan potensial Rusia di domain digital selama musim dingin ini.

Pertama, kita dapat mengharapkan kelanjutan dari serangan dunia maya Rusia terhadap infrastruktur penting Ukraina. Kita juga harus bersiap untuk kemungkinan bahwa eksekusi serangan gaya ransomware baru-baru ini oleh aktor intelijen militer Rusia—dikenal sebagai Prestige—di Polandia mungkin menjadi pertanda Rusia semakin memperluas serangan siber di luar perbatasan Ukraina. Operasi dunia maya semacam itu dapat menargetkan negara dan perusahaan yang menyediakan rantai pasokan bantuan dan persenjataan penting bagi Ukraina musim dingin ini.

Kedua, kita juga harus bersiap untuk operasi pengaruh yang dimungkinkan oleh dunia maya yang menargetkan Eropa untuk dilakukan secara paralel dengan aktivitas ancaman dunia maya. Rusia akan berusaha mengeksploitasi celah dalam dukungan populer untuk Ukraina untuk merusak koalisi yang penting bagi ketahanan Ukraina, dengan harapan dapat merusak bantuan kemanusiaan dan militer yang mengalir ke wilayah tersebut. Kabar baiknya adalah, ketika diperlengkapi dengan lebih banyak informasi, publik yang paham media dapat bertindak dengan kesadaran dan penilaian untuk melawan ancaman ini.

Selengkapnya: Microsoft

Malware yang belum pernah terlihat sebelumnya membobol data di pengadilan dan kantor walikota Rusia

December 4, 2022 by Søren

Kantor walikota dan pengadilan di Rusia diserang oleh malware yang belum pernah terlihat sebelumnya yang berperan sebagai ransomware tetapi sebenarnya adalah penghapus yang secara permanen menghancurkan data pada sistem yang terinfeksi, menurut perusahaan keamanan Kaspersky dan layanan berita Izvestia.

Peneliti Kaspersky telah menamai wiper CryWiper, mengacu pada ekstensi .cry yang ditambahkan ke file yang dihancurkan. Kaspersky mengatakan timnya telah melihat peluncuran malware “serangan tepat” pada target di Rusia.

Izvestia, sementara itu, melaporkan bahwa targetnya adalah kantor walikota dan pengadilan Rusia. Detail tambahan, termasuk berapa banyak organisasi yang terkena dan apakah malware berhasil menghapus data, tidak segera diketahui.

Malware penghapus telah berkembang semakin umum selama dekade terakhir. Pada tahun 2012, wiper yang dikenal sebagai Shamoon mendatangkan malapetaka pada Saudi Aramco Arab Saudi dan RasGas Qatar.

Empat tahun kemudian, varian baru Shamoon kembali dan menyerang banyak organisasi di Arab Saudi. Pada tahun 2017, malware penggandaan diri yang disebut NotPetya menyebar ke seluruh dunia dalam hitungan jam dan menyebabkan kerugian sekitar $10 miliar.

Pada tahun lalu, banyak wiper baru bermunculan. Mereka termasuk DoubleZero, IsaacWiper, HermeticWiper, CaddyWiper, WhisperGate, AcidRain, Industroyer2, dan RuRansom.

Kaspersky mengatakan menemukan upaya serangan oleh CryWiper dalam beberapa bulan terakhir. Setelah menginfeksi target, malware tersebut meninggalkan catatan yang menuntut, menurut Izvestia, 0,5 bitcoin dan termasuk alamat dompet tempat pembayaran dapat dilakukan.

Selengkapnya: ars TECHNICA

A.S., mitra membongkar ‘botnet’ peretasan Rusia, kata Departemen Kehakiman

June 18, 2022 by Søren

Penegakan hukum di Amerika Serikat, Jerman, Belanda dan Inggris membongkar jaringan global perangkat yang terhubung ke internet yang telah diretas oleh penjahat cyber Rusia dan digunakan untuk tujuan jahat, Departemen Kehakiman AS mengatakan pada hari Kamis.

Jaringan, yang dikenal sebagai botnet “RSOCKS”, terdiri dari jutaan komputer dan perangkat yang diretas di seluruh dunia, termasuk gadget “Internet of Things” seperti router dan pembuka garasi pintar, kata departemen itu dalam sebuah pernyataan.

Pengguna RSOCKS membayar biaya antara $30 dan $200 per hari untuk merutekan aktivitas internet berbahaya melalui perangkat yang disusupi untuk menutupi atau menyembunyikan sumber lalu lintas yang sebenarnya, kata departemen tersebut.

“Diyakini bahwa pengguna layanan proxy jenis ini melakukan serangan skala besar terhadap layanan otentikasi, juga dikenal sebagai isian kredensial, dan menganonimkan diri mereka sendiri saat mengakses akun media sosial yang disusupi, atau mengirim email berbahaya, seperti pesan phishing,” itu dikatakan.

Beberapa entitas publik dan swasta besar telah menjadi korban RSOCKS, termasuk universitas, hotel, studio televisi dan produsen elektronik, kata departemen itu. Itu tidak menyebutkan salah satu dari mereka.

Selengkapnya: NBC News

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Russia

Cookies Settings