South Korea

Afiliasi ransomware GandCrab ditangkap karena serangan phishing

March 10, 2021 by Winnie the Pooh

Seorang tersangka anggota GandCrab Ransomware ditangkap di Korea Selatan karena menggunakan email phishing untuk menginfeksi korban.

Operasi ransomware GandCrab dimulai pada Januari 2018 ketika dengan cepat menjadi kerajaan malware yang mengancam bisnis di seluruh dunia.

Dioperasikan sebagai Ransomware-as-a-Service (RaaS), pengembang GandCrab bekerja sama dengan afiliasi dalam kemitraan bagi hasil, dengan afiliasi mendapatkan antara 70-80% dari pembayaran tebusan.

Operasi ditutup pada musim panas 2019, tetapi banyak peneliti keamanan percaya bahwa pengembang inti melanjutkan untuk memulai grup ransomware REvil.

Seperti yang pertama kali dilaporkan oleh TheRecord, seorang pria berusia 20 tahun ditangkap pada tanggal 25 Februari oleh polisi Korea Selatan setelah penyelidikan internasional melacak pembayaran tebusan GandCrab hingga penarikan yang dilakukan oleh tersangka.

Media Korea Selatan menyatakan tersangka menyebarkan 6.486 email phishing. Email ini berpura-pura berasal dari polisi Korea Selatan yang menyelidiki pencemaran nama baik penerima email secara online.

Termasuk dalam email adalah lampiran yang akan menginfeksi korban dengan ransomware GandCrab, mengenkripsi file, dan meminta tebusan bitcoin $1.300.

Polisi menyatakan bahwa tersangka lain, yang membagikan ransomware GandCrab dengan individu yang ditangkap, masih buron.

Sumber: Bleeping Computer

Peretas yang disponsori oleh Rusia dan Korea Utara menargetkan peneliti COVID-19

November 18, 2020 by Winnie the Pooh

Peretas yang disponsori oleh pemerintah Rusia dan Korea Utara telah menargetkan perusahaan yang terlibat langsung dalam penelitian vaksin dan perawatan untuk COVID-19, dan dalam beberapa kasus, serangan telah berhasil, kata Microsoft pada hari Jumat.

Secara keseluruhan, ada tujuh perusahaan terkemuka yang menjadi target, kata Wakil Presiden Perusahaan Microsoft untuk Keamanan & Kepercayaan Pelanggan Tom Burt. 7 perusahaan tersebut termasuk pembuat vaksin dengan vaksin COVID-19 dalam berbagai tahap uji klinis, organisasi penelitian klinis yang terlibat dalam uji coba, dan pengembang uji COVID-19.

Yang juga menjadi sasaran adalah organisasi dengan kontrak atau investasi dari lembaga pemerintah di seluruh dunia untuk pekerjaan terkait COVID-19. Sasarannya berada di AS, Kanada, Prancis, India, dan Korea Selatan.

Salah satu kelompok penyerang yang terlibat adalah Strontium, sebutan Microsoft untuk peretas yang disponsori oleh pemerintah Rusia. Mereka menggunakan password spraying dan serangan login brute force yang membombardir server dengan sejumlah besar kredensial dengan harapan dapat menebak yang benar.

Dua kelompok lain — dijuluki Zinc dan Cerium — bekerja atas nama pemerintah Korea Utara. Keduanya menggunakan email spear phishing, dengan email dari perekrut pekerjaan fabrikasi Zinc dan email dari Cerium yang menyamar sebagai perwakilan dari Organisasi Kesehatan Dunia (WHO).

Serangan lain, kata Burt, menargetkan rumah sakit di Republik Ceko, Prancis, Spanyol, Thailand, dan AS. Pada bulan September, seorang pasien meninggal setelah serangan ransomware mengalihkannya ke rumah sakit terpencil di Jerman.

Baca berita selengkapnya pada tautan berikut:
Sumber: Ars Technica

Malware Lazarus menyerang rantai pasokan Korea Selatan

November 17, 2020 by Winnie the Pooh

Malware Lazarus telah dilacak dalam kampanye baru melawan rantai pasokan Korea Selatan, yang kemungkinan menggunakan sertifikat keamanan yang dicuri.

Pada hari Senin, peneliti keamanan siber dari ESET mengungkapkan penyalahgunaan sertifikat, yang dicuri dari dua perusahaan resmi Korea Selatan yang terpisah.

Lazarus, juga dikenal sebagai Hidden Cobra, adalah istilah umum untuk kelompok ancaman tertentu – termasuk entitas cabang – yang dicurigai terkait dengan Korea Utara.

Dalam serangan rantai pasokan ini, pelaku ancaman menggunakan “mekanisme rantai pasokan yang tidak biasa,” kata ESET, di mana Lazarus menyalahgunakan persyaratan standar untuk pengguna internet Korea Selatan – kebutuhan untuk memasang perangkat lunak keamanan tambahan saat mereka mengunjungi situs web pemerintah atau layanan keuangan.

Biasanya, pengguna akan diminta untuk mengunduh WIZVERA VeraPort, program yang digunakan untuk mengatur unduhan perangkat lunak yang diperlukan untuk mengunjungi domain tertentu. WIZVERA VeraPort menandatangani secara digital dan memverifikasi unduhan secara kriptografis.

“[Inilah] mengapa penyerang tidak dapat dengan mudah mengubah konten file konfigurasi ini atau membuat situs palsu mereka sendiri,” kata para peneliti. “Namun, para penyerang dapat mengganti perangkat lunak yang akan dikirimkan ke pengguna WIZVERA VeraPort dari situs web yang sah tetapi disusupi. Kami yakin ini adalah skenario yang digunakan penyerang Lazarus”.

Lazarus telah menargetkan link yang lebih lemah dalam rantai tersebut dengan secara ilegal memperoleh sertifikat penandatanganan kode dari dua perusahaan keamanan Korea Selatan.

Untuk mengeksploitasi perangkat lunak, sertifikat yang dicuri – tetapi valid – digunakan untuk meluncurkan muatan malware Lazarus.

Jika korban mengunjungi situs web berbahaya, misalnya, dan tanpa disadari mengunduh perangkat lunak yang dikompromikan, Lazarus kemudian akan meluncurkan dropper melalui WIZVERA VeraPort yang mengekstrak downloader dan file konfigurasi.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

South Korea

Cookies Settings