Penangkapan pencuri akun Roblox di dekat Lviv, peretasan penjadwal tugas China untuk tujuan penambangan, dan peristiwa keamanan siber lainnya - ForkLog: cryptocurrency, AI, singularitas, masa depan

# Penangkapan pencuri akun Roblox di dekat Lviv, peretasan scheduler Windows dari China untuk mining dan kejadian keamanan siber lainnya

Kami telah mengumpulkan berita terpenting dari dunia keamanan siber selama seminggu.

• Penegak hukum melakukan operasi melawan pusat penipuan di Eropa, UEA, dan Thailand.
• Ahli menemukan toolkit phishing dengan fitur AI.
• Peretas dari Drohobych menjual data login pemain Roblox hampir senilai 10 juta hryvnia.
• Kesalahan kritis dalam perangkat lunak ransomware menyebabkan kehilangan data yang tidak dapat dikembalikan.

Penegak hukum melakukan operasi melawan pusat penipuan di Eropa, UEA, dan Thailand

Dalam operasi bersama, penegak hukum dari AS, China, UEA, dan Thailand membubarkan aktivitas sembilan pusat penipuan mata uang kripto dan menangkap 276 tersangka. Laporan tentang ini diterbitkan oleh Departemen Kehakiman AS.

Tersangka di UEA dan Thailand menggunakan skema “penyembelihan babi”. Setelah korban setuju, mereka kehilangan akses ke mata uang kripto yang diinvestasikan. Penjahat juga meyakinkan korban untuk meminjam uang dari kerabat dan mengambil kredit.

Warga Myanmar, Tet Min Nyi, didakwa bersekongkol untuk penipuan dan pencucian uang. Menurut penyelidikan, dia adalah manajer dan perekrut di salah satu struktur kriminal yang dikenal sebagai Ko Thet Company. Anggota kelompok Sanduo Group dan Giant Company juga menunggu sidang.

Di Eropa, minggu lalu, jaringan penipu yang diduga merugikan korban di seluruh dunia lebih dari 50 juta euro telah dilenyapkan.

Operasi gabungan Europol dan Eurojust, yang dimulai pada Juni 2023, berhasil menangkap 10 tersangka, serta melakukan penggeledahan di tiga pusat panggilan dan sembilan kediaman pribadi di Austria dan Albania.

Pusat penipuan di Tirana. Sumber: Europol. Menurut penyelidikan, korban ditarik ke platform investasi palsu melalui iklan di mesin pencari dan media sosial. Sebenarnya, dana dialihkan ke skema pencucian uang internasional. Dalam kasus penipuan kedua, penjahat menghubungi kembali “klien” dan menawarkan bantuan untuk memulihkan aset yang hilang. Mereka meminta orang untuk menyetor 500 euro dalam bentuk kripto sebagai biaya masuk.

Jaringan penipuan ini didaftarkan sebagai perusahaan legal dengan 450 karyawan. Operator bekerja dalam kelompok enam sampai delapan orang, dibagi berdasarkan bahasa, dan menerima gaji bulanan sekitar 800 euro plus bonus.

Ahli menemukan toolkit phishing dengan fitur AI

Spesialis keamanan siber Varonis menemukan toolkit phishing bernama Bluekit. Ia menyediakan lebih dari 40 template yang meniru layanan populer, serta menyertakan asisten AI bawaan untuk membuat draf kampanye berbahaya.

Toolkit ini menawarkan skrip yang menargetkan email (Outlook, Hotmail, Gmail, Yahoo, ProtonMail), iCloud, GitHub, dan dompet kripto Ledger.

Fitur utama Bluekit adalah panel AI Assistant, yang mendukung beberapa model AI, termasuk Llama, GPT-4.1, Claude, Gemini, dan DeepSeek. Alat ini membantu cybercriminal menyusun teks email phishing.

Menurut Varonis, fitur ini masih dalam tahap eksperimen. Draf serangan yang diuji memiliki struktur yang berguna, tetapi berisi bidang umum untuk tautan, placeholder untuk QR code, dan teks yang perlu disempurnakan sebelum digunakan.

Sumber: Varonis. Selain AI, Bluekit mengintegrasikan pengelolaan seluruh siklus serangan dalam satu panel:

• Pendaftaran domain. Pembelian dan pengaturan alamat langsung dari antarmuka;
• pengelolaan kampanye. Pembuatan halaman phishing dengan desain realistis dan logo merek terkenal seperti Zara, Zoho, dan Ledger;
• Pengaturan halus. Blokir lalu lintas melalui VPN dan proxy, hentikan sistem analisis otomatis, dan pasang filter berdasarkan sidik jari perangkat;
• Pengambilan data. Kirim data curian melalui Telegram ke saluran pribadi hacker.

Sumber: Varonis. Platform ini memungkinkan pelacakan sesi korban secara real-time, termasuk cookie, penyimpanan lokal, dan status sesi aktif setelah login. Ini membantu peretas menyesuaikan serangan untuk mencapai efektivitas maksimal.

Menurut para ahli, meskipun produk ini masih dalam tahap pengembangan aktif, ia berkembang dengan cepat dan berpotensi menyebar luas.

Peretas dari Drohobych menjual data login Roblox hampir senilai 10 juta hryvnia

Penegak hukum dari Lviv menangkap penipu yang mencuri akun Roblox senilai 10 juta hryvnia, menurut Kantor Kejaksaan Agung Ukraina.

Menurut penyelidikan, tiga warga Drohobych mempromosikan infostealer sebagai alat untuk meningkatkan permainan. Dengan malware, peretas mendapatkan akses ke data login korban.

Sumber: Kantor Kejaksaan Agung Ukraina. Data akses yang diperoleh diperiksa menggunakan program khusus (checker) yang menampilkan isi akun. Dari Oktober 2025 hingga Januari 2026, lebih dari 610.000 akun disaring dengan metode ini untuk mencari yang paling berharga. Data dijual dalam bentuk kripto di situs Rusia.

Sebanyak 10 penggeledahan dilakukan, aparat menyita perangkat, rekaman, lebih dari 2.500 euro, dan sekitar $35.000. Para tersangka didakwa atas tuduhan pencurian dan kejahatan siber.

Kesalahan kritis dalam perangkat lunak ransomware menyebabkan kehilangan data yang tidak dapat dikembalikan

Tim Check Point menemukan cacat serius dalam mekanisme penanganan angka acak kriptografi (nonce) di ransomware VECT 2.0. Alih-alih mengenkripsi, kesalahan ini menyebabkan data dihancurkan tanpa kemungkinan pemulihan.

Masalahnya terletak pada cara VECT 2.0 memproses file berukuran lebih dari 128 KB. Untuk mempercepat proses, program membagi objek menjadi empat bagian dan mengenkripsinya secara terpisah. Namun, bug dalam logika menyebabkan konsekuensi fatal:

1. Semua bagian file menggunakan buffer memori yang sama untuk output nonce. Setiap kunci yang dihasilkan menimpa yang sebelumnya.
2. Akibatnya, hanya satu bagian yang tersisa dan disimpan ke disk.
3. Hanya 25% terakhir dari file yang dapat dipulihkan. Tiga bagian awal tidak dapat didekripsi karena angka unik yang diperlukan hilang secara permanen selama proses.

Bahkan jika korban membayar tebusan, penjahat tidak dapat mendekripsi data karena nonce yang dihapus tidak dikirim ke server hacker.

Para peneliti menilai bahwa batas 128 KB sangat kecil. Hampir seluruh data penting perusahaan termasuk:

• citra mesin virtual;
• basis data dan cadangan;
• dokumen kantor, spreadsheet, dan email.

Ini mengubah malware dari ransomware menjadi penghapus data biasa (wiper), membuat pembayaran tebusan tidak berguna. Kesalahan ini ada di semua varian VECT 2.0 — untuk Windows, Linux, dan ESXi.

Nama algoritma enkripsi yang tidak tepat dalam iklan ransomware. Sumber: Check Point. Menurut para ahli, VECT dipromosikan aktif di platform hacker BreachForums. Operator mengundang pengguna menjadi mitra dan mengirim kunci akses melalui pesan pribadi.

Kemudian, kelompok ini mengumumkan kemitraan dengan TeamPCP — tim yang bertanggung jawab atas serangan terbaru terhadap rantai pasokan Trivy, LiteLLM, Telnyx, dan juga terhadap Komisi Eropa. Tujuan dari aliansi ini adalah menggunakan korban untuk menyebarkan ransomware.

Peretas membobol scheduler Qinglong untuk mining

Peretas memanfaatkan dua kerentanan otentikasi di scheduler Qinglong untuk mining cryptocurrency secara diam-diam di server pengembang. Ini dilaporkan oleh ahli keamanan siber Snyk.

Qinglong adalah platform manajemen tugas berbasis Python/JS dengan kode sumber terbuka, populer di kalangan pengembang China.

Rantai infeksi untuk eksekusi kode jarak jauh mempengaruhi versi Qinglong 2.20.1 dan yang lebih baru.

Menurut para ahli, penyebab utama kerentanan adalah ketidaksesuaian logika otorisasi middleware dan perilaku routing dari web framework Express.js. Tingkat otentikasi menganggap bahwa pola URL tertentu selalu diproses dengan cara yang sama, sementara Express.js menggunakan cara berbeda.

Menurut Snyk, kampanye peretas dimulai 7 Februari 2026. Pengguna Qinglong pertama kali menemukan proses berbahaya tersembunyi bernama .FULLGC. Untuk menyembunyikan, namanya meniru tugas sumber daya yang umum.

Miner ini menggunakan 85–100% daya CPU dan menargetkan sistem Linux, ARM64, dan macOS. Pengembang Qinglong telah memperbaiki kerentanan ini dalam PR 2941.

Di ForkLog juga:

• April memecahkan rekor jumlah peretasan di industri kripto.
• Hacker mengeluarkan lebih dari $5 juta dari protokol Wasabi.
• ZetaChain mengungkap detail serangan lintas rantai sebesar $334.000.
• Peretas menyerang protokol DeFi Scallop.
• Di Litecoin, dilakukan reorganisasi blok karena kesalahan zero-day.

Apa yang harus dibaca akhir pekan ini?

Khusus untuk yang melewatkan hal terpenting bulan ini, ForkLog menyiapkan ringkasan singkat.