• Skip to main content

Naga Cyber Defense

Trusted Security for all of Indonesia

  • Home
  • About
  • Programs
  • Contact
  • Blog
You are here: Home / Archives for Tor

Tor

Geng Ransomware sekarang meretas situs web perusahaan untuk menampilkan catatan tebusan

June 3, 2022 by Eevee

Geng ransomware membawa pemerasan ke tingkat yang baru dengan meretas situs web perusahaan secara publik untuk menampilkan catatan tebusan secara publik.

Strategi pemerasan baru ini dilakukan oleh Industrial Spy, geng pemerasan data yang baru-baru ini mulai menggunakan ransomware sebagai bagian dari serangan mereka.

Sebagai bagian dari serangan mereka, Industrial Spy akan menembus jaringan, mencuri data, dan menyebarkan ransomware di perangkat. Pelaku ancaman kemudian mengancam akan menjual data yang dicuri di pasar Tor mereka jika uang tebusan tidak dibayarkan.

Contoh catatan tebusan mata-mata industri
Sumber: BleepingComputer

Hari ini, Industrial Spy mulai menjual data yang mereka klaim dicuri dari perusahaan Prancis bernama SATT Sud-Est seharga $500.000.

Seperti yang pertama kali diketahui oleh peneliti keamanan MalwareHunterTeam, serangan ini menonjol karena pelaku juga meretas situs web perusahaan untuk menampilkan pesan peringatan bahwa 200GB telah dicuri dan akan segera dijual jika korban tidak membayar uang tebusan.

SATT Sud-Est dirusak untuk menunjukkan catatan tebusan
Sumber: BleepingComputer

Ketika geng ransomware memeras korban, mereka biasanya memberi mereka waktu singkat, biasanya beberapa minggu, untuk bernegosiasi dan membayar uang tebusan sebelum mereka mulai membocorkan data.

Selama proses negosiasi ini, pelaku ancaman berjanji untuk merahasiakan serangan, memberikan kunci dekripsi, dan menghapus semua data jika uang tebusan dibayarkan.

Setelah periode ini, pelaku ancaman akan menggunakan berbagai metode untuk meningkatkan tekanan, termasuk serangan DDoS di situs web perusahaan, mengirim email kepada pelanggan dan mitra bisnis, dan menelepon eksekutif dengan ancaman.

Taktik ini semua dilakukan secara pribadi atau dengan eksposur minimal di situs kebocoran data mereka, yang biasanya hanya dikunjungi oleh peneliti keamanan siber dan media.

Sementara taktik ini di luar norma, memungkinkan geng ransomware untuk memberikan tekanan lebih lanjut pada korban, karena mendorong serangan menjadi sorotan di mana pelanggan dan mitra bisnis dapat lebih mudah melihatnya.

Namun, tidak diyakini bahwa taktik baru ini akan digunakan secara luas karena server web biasanya tidak di-host di jaringan perusahaan melainkan dengan penyedia hosting.

Oleh karena itu, pelaku ancaman perlu menemukan kerentanan di situs web atau mendapatkan akses ke kredensial saat mereka mencuri data dari jaringan internal.

Sumber: Bleeping Computer

Tagged With: geng ransomware, Industrial Spy, Ransomware, Tor, Web

Situs TOR REvil menjadi hidup untuk dialihkan ke operasi ransomware baru

April 21, 2022 by Eevee

Server REvil ransomware di jaringan TOR dicadangkan setelah berbulan-bulan tidak aktif dan dialihkan ke operasi baru yang tampaknya telah dimulai setidaknya sejak pertengahan Desember tahun lalu.

Tidak jelas siapa yang berada di balik operasi baru yang terhubung dengan REvil tetapi situs kebocoran baru mencantumkan katalog besar korban dari serangan REvil sebelumnya ditambah dua yang baru.

Namun, beberapa hari yang lalu, peneliti keamanan pancak3 dan Soufiane Tahiri melihat situs kebocoran REvil baru sedang dipromosikan di RuTOR, sebuah forum pasar yang berfokus pada wilayah berbahasa Rusia.

Situs kebocoran memberikan rincian tentang kondisi untuk afiliasi, yang diduga mendapatkan versi perbaikan dari ransomware REvil dan pembagian 80/20 untuk afiliasi yang mengumpulkan uang tebusan.

sumber: BleepingComputer

Situs tersebut mencantumkan 26 halaman korban, kebanyakan dari serangan REvil lama, dan hanya dua yang terakhir tampaknya terkait dengan operasi baru. Salah satunya adalah Minyak India.

Peneliti keamanan MalwareHunterTeam pada bulan Januari, beberapa minggu setelah 14 tersangka anggota geng ditangkap di Rusia, mengatakan bahwa mulai pertengahan Desember tahun lalu mereka melihat aktivitas dari geng ransomware baru yang terkait dengan REvil, meskipun tidak ada hubungan yang jelas.

Peneliti kemudian mengamati situs kebocoran terkait REvil saat ini naik antara 5 April dan 10 April tetapi tanpa konten dan mulai diisi sekitar seminggu setelahnya.

Pengamatan lain dari MalwareHunterTeam adalah bahwa sumber umpan RSS menunjukkan string Corp Leaks, yang telah digunakan oleh geng ransomware Nefilim yang sekarang sudah tidak berfungsi [1, 2].

sumber: BleepingComputer

Blog dan situs pembayaran aktif dan berjalan di server yang berbeda. Melihat yang pertama, blog operasi ransomware baru menjatuhkan cookie bernama DEADBEEF, istilah komputer yang digunakan sebagai penanda file oleh geng ransomware TeslaCrypt.

source: BleepingComputer

Koneksi ke pelaku ancaman ransomware tidak dimungkinkan saat ini karena sampel muatan berbasis REvil baru harus dianalisis dan siapa pun yang berada di balik situs kebocoran baru belum mengklaim nama atau afiliasi apa pun.

Saat berada di bawah kendali FBI pada November 2021, kebocoran data dan situs pembayaran REvil menunjukkan halaman berjudul “REvil buruk” dan formulir login, awalnya melalui gateway TOR dan di lokasi .Onion.

sumber: Lawrence Abrams

Misteri pengalihan, baik baru-baru ini dan dari tahun lalu, semakin dalam, karena ini menunjukkan bahwa seseorang selain penegak hukum, memiliki akses ke kunci pribadi TOR yang memungkinkan mereka membuat perubahan untuk situs .Onion.

Di forum peretas berbahasa Rusia yang populer, pengguna berspekulasi antara operasi baru sebagai scam, honeypot, atau kelanjutan resmi dari bisnis REvil lama yang kehilangan reputasinya dan memiliki banyak hal yang harus dilakukan untuk mendapatkannya kembali.

Ransomware REvil memiliki jangka panjang yang dimulai pada April 2019 sebagai kelanjutan dari operasi GandCrab, yang pertama kali membentuk model ransomware-as-a-service (RaaS).

Pada Agustus 2019 geng itu menyerang beberapa administrasi lokal di Texas dan menuntut tebusan kolektif sebesar $2,5 juta – tertinggi pada waktu itu.

Kelompok ini bertanggung jawab atas serangan rantai pasokan Kaseya yang mempengaruhi sekitar 1.500 bisnis dan juga menyebabkan kehancuran mereka tahun lalu ketika penegak hukum di seluruh dunia mengintensifkan kolaborasi mereka untuk menjatuhkan geng tersebut.

Pada pertengahan Januari, Rusia mengumumkan bahwa mereka menutup REvil setelah mengidentifikasi semua anggota geng dan menangkap 14 orang.

Dalam sebuah wawancara dengan Rossiyskaya Gazeta, Wakil Sekretaris Dewan Keamanan Federasi Rusia, Oleg Khramov, mengatakan bahwa lembaga penegak hukum Rusia memulai penyelidikannya terhadap REvil dari nama Puzyrevsky dan alamat IP yang dikirimkan oleh Amerika Serikat sebagai milik peretas utama grup.

Sumber : Bleeping Computer

Tagged With: Ransomware, REvil, Tor

Seseorang Menjalankan Ratusan Server Berbahaya di Jaringan Tor

December 8, 2021 by Winnie the Pooh

Penelitian baru menunjukkan bahwa seseorang telah menjalankan ratusan server jahat di jaringan Tor, berpotensi dalam upaya untuk de-anonymize pengguna dan membuka kedok aktivitas web mereka.

Seperti yang pertama kali dilaporkan oleh The Record, aktivitas tersebut tampaknya berasal dari satu pengguna yang canggih dan gigih, yang entah bagaimana memiliki sumber daya untuk menjalankan banyak server bandwidth tinggi selama bertahun-tahun.

Juga disebut sebagai “Onion router,”, Tor mungkin adalah platform privasi online paling terkenal di dunia, dan perangkat lunak serta jaringan terkaitnya seharusnya melindungi aktivitas penjelajahan web Anda dari pengawasan dengan menyembunyikan alamat IP Anda dan mengenkripsi lalu lintas Anda.

Server jahat awalnya ditemukan oleh peneliti keamanan yang menggunakan nama samaran “nusenu” dan yang mengoperasikan node mereka sendiri di jaringan Tor.

Di Medium nya, nusenu menulis bahwa mereka pertama kali menemukan bukti pelaku ancaman—yang mereka juluki “KAX17”—pada tahun 2019. Setelah melakukan penelitian lebih lanjut ke KAX17, mereka menemukan bahwa KAX17 telah aktif di jaringan tersebut sejak 2017 .

Intinya, KAX tampaknya menjalankan segmen besar jaringan Tor — berpotensi dengan harapan dapat melacak jalur pengguna web tertentu dan membuka kedoknya.

Tor menganonimkan aktivitas web pengguna dengan mengenkripsi lalu lintas mereka dan kemudian merutekannya melalui serangkaian node yang berbeda—juga disebut “relay”—sebelum mencapai tujuan akhirnya dan tidak dienkripsi.

Penyedia node tidak seharusnya dapat melihat lalu lintas Anda, karena Tor menyediakan enkripsi dan mereka hanya membantu dengan salah satu dari beberapa bagian perjalanan lalu lintas Anda (juga disebut “circuit”).

Namun, dalam kasus KAX17, aktor ancaman tampaknya memiliki sumber daya yang jauh lebih baik daripada konten web gelap rata-rata Anda: mereka telah menjalankan ratusan server jahat di seluruh dunia—aktivitas yang setara dengan “menjalankan sebagian besar jaringan tor,” tulis nusenu. Dengan jumlah aktivitas itu, kemungkinan sirkuit pengguna Tor dapat dilacak oleh KAX relatif tinggi, menurut peneliti.

Menurut penelitian nusenu, KAX pada satu titik memiliki begitu banyak server — sekitar 900 — sehingga Anda memiliki kemungkinan 16 persen untuk menggunakan relay mereka sebagai “hop” pertama (yaitu, node di circuit Anda) ketika Anda masuk ke Tor. Anda memiliki peluang 35 persen untuk menggunakan salah satu relay mereka selama “hop” ke-2 Anda, dan peluang 5 persen untuk menggunakannya sebagai exit relay, tulis nusenu.

Selengkapnya: Gizmodo

Tagged With: Cybersecurity, Privacy, Tor

Patch Bug Tor Browser untuk Mencegah Pelacakan Aktivitas Online Anda

June 24, 2021 by Winnie the Pooh

Browser Tor open-source telah diperbarui ke versi 10.0.18 dengan perbaikan untuk beberapa masalah, termasuk bug yang merusak privasi yang dapat digunakan untuk pengguna sidik jari secara unik di berbagai browser berdasarkan aplikasi yang diinstal di komputer.

Selain memperbarui Tor ke 0.4.5.9, versi Android browser telah ditingkatkan ke Firefox ke versi 89.1.1, bersama dengan patch yang diluncurkan oleh Mozilla untuk beberapa kerentanan keamanan yang ditangani di Firefox 89.

Satu di antara masalah yang diperbaiki adalah serangan sidik jari baru yang terungkap bulan lalu. Dijuluki skema flooding, kerentanan memungkinkan situs web jahat untuk memanfaatkan informasi tentang aplikasi yang diinstal pada sistem untuk menetapkan pengidentifikasi unik permanen kepada pengguna bahkan ketika mereka beralih browser, menggunakan mode penyamaran, atau VPN.

Dengan kata lain, kelemahan ini memanfaatkan skema URL khusus di aplikasi sebagai vektor serangan, memungkinkan pelaku jahat untuk melacak pengguna perangkat di antara browser yang berbeda, termasuk Chrome, Firefox, Microsoft Edge, Safari, dan bahkan Tor, secara efektif menghindari lintas-browser perlindungan anonimitas di Windows, Linux, dan macOS.

Masalah ini memiliki implikasi serius terhadap privasi karena dapat dieksploitasi oleh musuh untuk membuka kedok pengguna Tor dengan menghubungkan aktivitas penjelajahan mereka saat mereka beralih ke browser non-anonim, seperti Google Chrome.

Selengkapnya: The Hacker News

Tagged With: Bug, Cybersecurity, Privacy, Security Patch, Tor

Lebih dari 25% Exit Relays Tor Memata-matai Aktivitas Dark Web Pengguna

May 11, 2021 by Winnie the Pooh

Aktor ancaman yang tidak diketahui berhasil mengendalikan lebih dari 27% dari seluruh kapasitas network exit Tor pada awal Februari 2021, sebuah studi baru di infrastruktur dark web terungkap.

“Entitas yang menyerang pengguna Tor secara aktif mengeksploitasi pengguna tor sejak lebih dari setahun dan memperluas skala serangan mereka ke tingkat rekor baru,” kata seorang peneliti keamanan independen yang menggunakan nama nusenu dalam sebuah artikel yang diterbitkan pada hari Minggu.

Ini adalah yang terbaru dari serangkaian upaya yang dilakukan untuk mengungkap aktivitas Tor berbahaya sejak Desember 2019. Serangan, yang dikatakan telah dimulai pada Januari 2020, pertama kali didokumentasikan dan diekspos oleh peneliti yang sama pada Agustus 2020.

Sementara middle relays biasanya menangani penerimaan lalu lintas di jaringan Tor dan meneruskannya, exit relay adalah simpul terakhir yang dilewati lalu lintas Tor sebelum mencapai tujuannya.

Exit node di jaringan Tor telah diubah di masa lalu untuk menyuntikkan malware seperti OnionDuke, tetapi ini adalah pertama kalinya seorang aktor tak dikenal berhasil mengontrol sebagian besar exit node Tor.

Tujuan utama serangan itu, menurut nusenu, adalah untuk melakukan serangan “person-in-the-middle” pada pengguna Tor dengan memanipulasi lalu lintas yang mengalir melalui jaringan exit relays nya.

Selengkapnya: The Hacker News

Tagged With: Cybersecurity, Exit Relays, Hijacked, person-in-the-middle, Tor

Brave Membocorkan Riwayat Penjelajahan Dari Browser Tor Anonim

February 20, 2021 by Winnie the Pooh

Brave, browser yang mengutamakan privasi berbasis Chromium yang mengintegrasikan peramban web Tor anonim, telah membocorkan alamat .onion pribadi ke penyedia DNS.

Tor mengaburkan aktivitas penjelajahan web pengguna dengan memantulkan lalu lintas web di seluruh jaringan relai global. Itu membuatnya hampir tidak mungkin untuk melacak riwayat web pengguna, menjadikan peramban tempat yang sempurna bagi siapa pun yang membutuhkan privasi: kebanyakan aktivis, ahli narkoba web gelap, dan peretas.

Namun bug pada Brave, yang ditangani dalam versi beta dan segera diperbaiki dalam hotfix, membocorkan semua informasi pribadi tersebut ke penyedia DNS, yang berarti bahwa perusahaan internet dapat mengintip aktivitas Tor pengguna mereka.

Brave tidak pernah mengaku privat seperti Tor. “Brave with Tor tidak memberikan tingkat Privasi yang sama dengan browser Tor, jika hidup Anda bergantung pada tetap anonim, gunakan browser Tor,” kata Ryan Watson, VP of IT Brave, dua tahun lalu di Reddit.

selengkapnya : Decrypt.co

Tagged With: Brave, Bug, Tor, Vulnerability

Malware Backdoor Tor ‘off the shelf’ sekarang menjadi favorit oleh perusahaan operator ransomware

December 18, 2020 by Winnie the Pooh

Trojan Remote Access Trojan (RAT) yang dijual di forum bawah tanah telah berevolusi untuk menyalahgunakan Tor saat mempertahankan persistensi pada mesin yang terinfeksi.

Dijuluki SystemBC, RAT telah berevolusi dari bertindak sebagai jaringan pribadi virtual (VPN) melalui proxy SOCKS5 menjadi pintu belakang yang memanfaatkan jaringan Tor untuk membangun persistensi dan membuat pelacakan server perintah dan kontrol (C2) yang terhubung menjadi tugas yang lebih sulit. Menurut para peneliti, malware SystemBC berbasis Windows mampu menjalankan perintah Windows, penyebaran skrip, mengimplementasikan DLL berbahaya, administrasi dan pemantauan jarak jauh, dan membangun pintu belakang bagi operator untuk menghubungkan malware ke C2 untuk menerima perintah.

Sophos Labs mengatakan bahwa selama tahun ini, SystemBC telah berkembang dan fitur telah ditingkatkan, yang mengarah pada peningkatan popularitas dengan pembeli termasuk operator ransomware.

sumber : ZDNET

Tagged With: RAT, SystemBC, Tor

Botnet PgMiner menyerang database PostgreSQL yang tidak diamankan dengan benar

December 14, 2020 by Winnie the Pooh

Minggu ini, peneliti keamanan telah menemukan operasi botnet yang menargetkan database PostgreSQL untuk menginstal penambang cryptocurrency.

Disebut sebagai PgMiner oleh para peneliti, botnet ini hanyalah yang terbaru dari daftar panjang operasi kejahatan siber baru-baru ini yang menargetkan teknologi web untuk keuntungan moneter.

Menurut para peneliti di Palo Alto Networks ‘Unit 42, botnet beroperasi dengan melakukan serangan brute force terhadap database PostgreSQL yang dapat diakses internet.

Botnet secara acak memilih range jaringan publik (mis., 18.xxx.xxx.xxx) dan kemudian melakukan iterasi melalui semua bagian alamat IP dari rentang itu, mencari sistem yang port PostgreSQL (port 5432) nya terkspos secara online.

Jika PgMiner menemukan sistem PostgreSQL yang aktif, botnet berpindah dari fase pemindaian ke fase brute-force, di mana ia mengacak daftar panjang kata sandi dalam upaya untuk menebak kredensial untuk “postgres,” akun PostgreSQL default.

Jika pemilik database PostgreSQL lupa menonaktifkan user ini atau lupa mengubah kata sandinya, peretas akan mengakses database dan menggunakan fitur COPY PostgreSQL dari PROGRAM untuk meningkatkan akses mereka dari aplikasi database ke server yang mendasarinya dan mengambil alih seluruh OS.

Begitu mereka memiliki pegangan yang lebih kuat pada sistem yang terinfeksi, kru PgMiner menyebarkan aplikasi penambangan koin dan mencoba menambang cryptocurrency Monero sebanyak mungkin sebelum terdeteksi.

Menurut Unit 42, pada laporan mereka, botnet hanya memiliki kemampuan untuk menyebarkan penambang di platform Linux MIPS, ARM, dan x64. Operator Botnet PgMiner juga telah mengendalikan bot yang terinfeksi melalui server perintah dan kontrol (C2) yang dihosting di jaringan Tor dan bahwa basis kode botnet tersebut tampak menyerupai botnet SystemdMiner.

Sumber: Palo Alto Networks

Sumber: ZDNet

Tagged With: Botnet PgMiner, Brute Force, Crypto Miner, Cybersecurity, Linux, PgMiner, PostgreSQL, Security, Tor

  • Page 1
  • Page 2
  • Go to Next Page »

Copyright © 2025 · Naga Cyber Defense · Sitemap

Cookies Settings
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
Do not sell my personal information.
AcceptReject AllCookie Settings
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytics
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
CookieDurationDescription
_ga2 yearsThe _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_11 minuteSet by Google to distinguish users.
_gid1 dayInstalled by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
Advertisement
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Others
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
non-necessary
SAVE & ACCEPT
Powered by CookieYes Logo