WASHINGTON – Virus Trojan AIDS terdengar menakutkan bukan? Ini adalah nama malware yang digunakan dalam serangan ransomware pertama lebih dari 30 tahun lalu.
Pada tahun 1989, Trojan, yang dibuat oleh ahli biologi Joseph Popp, didistribusikan dalam bentuk disk. Ini mengenkripsi nama file di komputer, dan setelah pengguna me-restart mesin mereka sebanyak 90 kali, sebuah jendela muncul dengan instruksi tentang apa yang harus dilakukan untuk mendapatkan alat enkripsi.
Pesan tersebut berisi jumlah penukaran dan alamat tujuan pengiriman cek atau wesel. Upaya memeras orang menggunakan malware ini sudah ada sejak sebelum munculnya Internet. Kini Internet telah menjadi bagian dari aktivitas kita sehari-hari, ransomware telah menjadi ancaman sehari-hari.
Perusahaan pemantau mata uang kripto Chainalysis melaporkan bahwa pada tahun 2023 pembayaran tebusan akan mencapai level tertinggi. Serangan Ransomware melebihi $1 miliar tahun lalu, meskipun lembaga penegak hukum seperti FBI (Biro Investigasi Federal) dan lembaga pemerintah seperti CISA (Badan Keamanan Siber dan Infrastruktur) merekomendasikan larangan pembayaran semacam itu.
Membayar uang tebusan bukan satu-satunya masalah ketika serangan ransomware terjadi. Perusahaan telah menangani pelanggan yang terkena dampak, kehilangan data, kehilangan pendapatan karena offline, pencemaran nama baik, tuntutan hukum, dan seperti yang akan kita lihat di postingan ini, beberapa perusahaan tidak pernah pulih.
10 Serangan Ransomware Terbesar dalam Sejarah1. Universitas Kalifornia
Foto/AP
Menurut fluidactions, Universitas California di San Francisco, atau UCSF, mengalami serangan ransomware pada tahun 2020. Serangan ini memengaruhi beberapa server di lingkungan komputasi Fakultas Kedokteran.
Menurut BBC News, perangkat lunak yang digunakan dalam serangan itu adalah NetWalker, yang mengenkripsi dan mengekstrak semua data yang diambil untuk digunakan nanti selama percakapan. Meskipun mereka mampu menahan serangan terhadap sistem komputer sekolah kedokteran dan tidak berdampak pada penelitian COVID-19 atau perawatan pasien, pejabat UCSF mengatakan mereka masih merasa harus membayar uang tebusan karena peran penting data terenkripsi dalam serangan tersebut. menyerang. . Kelanjutan pelatihan penelitian Fakultas Kedokteran.
Sekitar $1,14 juta dalam mata uang kripto dibayarkan untuk mendapatkan kembali akses ke data terenkripsi.
Dalam perjalanannya, aktor jahat NetWalker menyerang beberapa institusi, termasuk universitas lain, dan terus menggunakan sistem operasi yang sama. Melalui email phishing atau spam, mereka mendapatkan akses tidak sah ke sistem dan menyembunyikan semua informasi yang tersedia dalam prosesnya. Dalam kasus ini, penyerang menggunakan informasi yang mereka curi, yang mereka posting di situs web mereka sebagai bukti atas perbuatan mereka, dan akhirnya memaksa universitas untuk membayar uang tebusan.
2. Kota Dallas
Foto/AP
Pada bulan Mei 2023, kota ini mengumumkan anggaran $8,5 juta untuk upaya perbaikan dan pemulihan setelah sebuah kelompok yang diidentifikasi sebagai Royal meretas dan menyusupi kurang dari 200 komputer kota.
Penyerang Royal menyusupi akun root dari domain layanan yang terhubung ke server kota, yang menggunakan teknologi pengujian penetrasi dan mengizinkan alat manajemen pihak ketiga untuk melakukan gerakan lateral. Dilaporkan bahwa di masa lalu, dengan menggunakan saluran komando dan kontrol, kelompok tersebut mampu menyusup ke jaringan kota selama berminggu-minggu sebelum melakukan serangan, menyembunyikan informasi di server kota.
Serangan tersebut menyebabkan gangguan pada situs web Departemen Kepolisian Dallas, jaringan utilitas kota, Pemadam Kebakaran dan Penyelamatan Dallas, dan sistem pengadilan kota. Informasi pribadi juga dicuri – nomor jaminan sosial dan catatan medis dibobol – sehingga pemerintah kota merespons dengan mengirimkan surat kepada para korban. Tentu saja masyarakat terdampak terus mencari kompensasi atau solusi dari pemerintah kota.
3. KaseyaPembuat perangkat lunak Kaseya menjadi korban serangan ransomware kompleks pada Juli 2021. Perusahaan ini terkenal karena menawarkan MSP (penyedia layanan terkelola) dan mengembangkan solusi sistem/server (VSA).
Dalam serangan tersebut, penjahat dunia maya mengeksploitasi kerentanan sehari-hari dalam perangkat lunak VSA Kaseya, yang memungkinkan mereka melewati autentikasi dan mendistribusikan ransomware ke pelanggan Kaseya yang mengenkripsi file yang terkena dampak. Serangan tersebut menyebabkan gangguan layanan dan diperkirakan 1.500 organisasi di seluruh industri terkena dampak ransomware.
Kelompok kriminal REvil (alias Sodinokibi) melakukan serangan ini dan awalnya meminta $70 juta untuk pembebasan peretas global tersebut. Kaseya menolak membayar dan segera merespons dengan membunuh staf VSA-nya dan menyarankan semua pelanggannya untuk mematikan perangkat VSA mereka hingga patch tersedia, yaitu beberapa hari setelah serangan. Insiden ini menyoroti tren pertumbuhan ransomware yang menargetkan penyedia layanan dan pelanggan mereka.
4. Makanan JBS
Foto/AP
Selain itu, Revil melancarkan serangan balas dendam besar lainnya pada tahun 2021, kali ini terhadap salah satu perusahaan pengolahan daging terbesar di dunia, JBS Foods. Serangan tersebut menyusup ke jaringan perusahaan dan mengekspos data sensitif dari serangan sebelumnya (5 TB data dirilis dalam tiga bulan). Setelah itu, REvil mengerahkan peralatan yang mengenkripsi data dan mencegah produksi di berbagai fasilitas pemrosesan daging JBS di seluruh dunia.
Akibatnya, perusahaan menghentikan perdagangan dan akhirnya melakukan dana talangan, membayar $11 juta sebagai tebusan untuk mendapatkan kunci enkripsi.
5. Krono
Foto/AP
Serangan ransomware pada bulan Desember 2021 terhadap perusahaan komputasi awan Kronos (sebelumnya dikenal sebagai Kronos, sekarang Ultimate Kronos Group atau UKG) menargetkan fitur Kronos Private Cloud. Layanan berbasis cloud ini digunakan oleh banyak perusahaan untuk mengelola hal-hal seperti informasi penggajian, dukungan, dan bonus.
Pada saat artikel ini ditulis, identitas penyerang belum dapat dikonfirmasi, namun diketahui bahwa mereka mencuri informasi pelanggan dan meminta pembayaran dari perusahaan. Setelah UKG memenuhi tuntutan para penyerang, ditemukan bahwa pelanggaran data mempengaruhi lebih dari 8.000 organisasi, termasuk rumah sakit, pabrik, dan usaha kecil yang mengandalkan UKG untuk penggajian dan perencanaan karyawan.
Serangan ransomware ini tampaknya terkait dengan trojan perbankan Kronos 2014, yang mana kode berbahaya tersebut akan menargetkan sesi penjelajahan untuk mendapatkan kredensial masuk yang tidak sah melalui tautan injeksi dan keylogging. Rincian teknis serangan ini tidak pernah diketahui; Namun dilaporkan bahwa UKG membayar pihak yang melakukan penyerangan dengan jumlah yang tidak diketahui.
Dampak penyerangan ini dirasakan secara hukum pasca kejadian. Serangan tersebut mendorong perusahaan yang terkena dampak untuk meminta ganti rugi, dan pada Juli 2023, UKG mencapai penyelesaian $6 juta dengan karyawan perusahaan tersebut yang terkena dampak.
6. Colonial Pipeline telah dianggap sebagai “ancaman terhadap keamanan nasional” oleh pemerintahan Joe Biden, serangan ransomware tahun 2021 ini merupakan peristiwa yang mengganggu pasokan minyak di Pantai Timur AS. Colonial Pipeline, salah satu produsen minyak terbesar di Amerika, mengangkut bensin, solar, bahan bakar jet, dan minyak pemanas rumah dari Texas ke Timur Laut.
Serangan itu dilakukan oleh kelompok bernama DarkSide, yang memperoleh akses tidak sah dengan mengungkap kata sandi akun VPN (penggunaan kembali kata sandi). Para penyerang mengirimkan ransomware yang mengenkripsi data saluran pipa milik dan meminta tebusan mata uang kripto sebagai imbalan atas kunci dekripsi.
Perusahaan memitigasi dampaknya dengan menutup sistemnya, yang menyebabkan gangguan pasokan minyak, yang menyebabkan pembelian panik dan kekurangan minyak, serta kenaikan harga minyak. Perusahaan akhirnya membayar uang tebusan. Sekitar $4,4 juta telah dibayarkan dan sistem dipulihkan; dengan bantuan Kementerian Kehakiman, lebih dari separuh pembayaran dapat diperoleh kembali.
7. Perjalananex
Foto/AP
Seperti yang terlihat di awal postingan ini, REvil telah terlibat dalam beberapa serangan paling menguntungkan dalam beberapa tahun terakhir. Pada bulan Desember 2019, perusahaan penukaran uang terbesar di dunia, Travelex, mengalami serangan besar yang mengeksploitasi kerentanan di server Pulse Secure VPN milik perusahaan tersebut.
Ransomware Sodinokibi menyebabkan sistem komputer perusahaan terkunci dengan data terenkripsi, membuat Travelex tidak dapat mengakses file-filenya. Tidak bisa dikatakan kesalahan hanya terletak pada penyedia layanan Pulse Secure. Mereka menemukan dan menambal kerentanan tersebut pada bulan April 2019, namun Travelex tidak dapat menambal servernya, sehingga membuka pintu bagi pemburu kerentanan seperti REvil.
Serangan itu merusak Travelex secara parah dan permanen. Meskipun penyerang menuntut bayaran $6 juta, perusahaan akhirnya membayar $2,3 juta. Dia juga berhasil memulihkan datanya. Namun Travelex mengalami kendala sistem dan offline selama hampir dua minggu. Setelah kegagalan mitranya, seperti bank dan supermarket, dan karena ancaman investigasi Peraturan Perlindungan Data Umum (GDPR) dan masalah keuangan lainnya, Travelex terpaksa menjualnya pada tahun 2020.
7. Pemerintah Kosta Rika
Foto/AP
Pada bulan April 2022, serangan dunia maya terhadap pemerintah Kosta Rika sangat kejam sehingga dinyatakan sebagai “darurat nasional”. Para penyerang pertama kali masuk ke Kementerian Keuangan, di mana mereka menyembunyikan file dan melumpuhkan dua sistem utama: layanan pajak digital dan sistem TI bea cukai. Asosiasi Pensiunan Conti mengaku bertanggung jawab atas serangan itu dan menuntut uang tebusan sebesar $10 juta untuk pengembalian informasi wajib pajak dan bukan serangan terhadap lembaga pemerintah lainnya.
Namun, pemerintah Kosta Rika menolak membayar uang tebusan, sehingga mengakibatkan banyak institusi terkena dampaknya. Kementerian Ilmu Pengetahuan, Inovasi, Teknologi dan Komunikasi, dan Kementerian Tenaga Kerja dan Jaminan Sosial, dan Dana Jaminan Sosial Kosta Rika. Akibatnya, file curian sebesar 672 GB diunggah ke situs Conti.
Serangan Conti diyakini terkait dengan serangan kedua yang dilakukan kelompok ransomware sebagai layanan Hive. Hal ini dimaksudkan untuk berdampak pada sistem kesehatan Kosta Rika dengan memaksa mereka menutup catatan kesehatan digital dan sistem terpusat. Seperti serangan pertama, pemerintah menolak membayar uang tebusan sebesar $5 juta. Pemulihan dari serangan membutuhkan waktu dan sumber daya, mendapatkan bantuan dari Microsoft dan pemerintah Amerika Serikat, Israel, dan Spanyol agar Kosta Rika dapat memulihkan operasinya.
9. Pemerintah Ukraina Serangan NotPetya yang terjadi pada tahun 2017 berdampak pada banyak negara di dunia, namun salah satu serangan tersebut diduga ditujukan terhadap Ukraina karena alasan politik. NotPetya memiliki beberapa kemiripan dengan virus Petya tahun 2016 dan menggunakan taktik yang sama dengan serangan WannaCry yang terkenal, yaitu mengeksploitasi perangkat yang tidak terkunci, menyebarkan ke seluruh jaringan, dan menyembunyikan data.
Serangan ini juga menimpa boot record (MBR) dengan muatan berbahaya dan membuat komputer yang terinfeksi tidak dapat dioperasikan. Namun, hal ini bukanlah penebusan itu sendiri. Catatan tebusan NotPetya salah karena tidak ada peluang nyata untuk mendapatkan kunci enkripsi bahkan setelah pembayaran selesai. Tanpa kunci uninstall, data dienkripsi secara permanen, file tidak dapat dipulihkan, dan terjadi kerusakan permanen.
Kantor-kantor pemerintah Ukraina, tempat usaha dan infrastruktur penting rusak. Investigasi yang dilakukan oleh badan-badan pemerintah di Amerika Serikat, Inggris dan negara-negara lain di masa lalu mengaitkan serangan tersebut dengan militer Rusia, khususnya GRU (Intelijen Militer Rusia). Penelitian menunjukkan bahwa masih ada konflik antara Rusia dan Ukraina hingga saat ini.
10. WannaCry Pada bulan Mei 2017, serangan ransomware WannaCry menjadi berita utama sebagai salah satu serangan siber paling luas dan terkenal dalam sejarah, yang memengaruhi organisasi dan individu di seluruh dunia. Serangan tersebut rupanya dilakukan oleh Lazarus Group, yang menargetkan komputer Microsoft Windows dan mengeksploitasi kerentanan yang dikenal sebagai EternalBlue, yang dicuri dan diekspos oleh The Shadow Brokers.
Beberapa bulan sebelum serangan, Microsoft merilis patch untuk mengatasi kerentanan tersebut, namun banyak organisasi dan individu gagal memperbarui dan menerapkan patch tersebut, sehingga menimbulkan risiko.
Sekitar 230.000 komputer di lebih dari 150 negara terkena dampaknya beberapa hari setelah WannaCry dirilis. Organisasi seperti Telefónica di Spanyol merasakan dampaknya, di mana komputer yang terinfeksi menampilkan pop-up yang meminta pembayaran digital.
Departemen Kesehatan Inggris juga menjadi korban WannaCry, yang memaksa rumah sakit dan fasilitas kesehatan membatalkan janji temu dan menolak pasien karena sistem komputer dikunci oleh ransomware. Peretas juga menggunakan serangan kecil, menyembunyikan file dari masing-masing komputer, menuntut antara $300 dan $600 dalam mata uang kripto untuk melepaskan file tersebut. Perusahaan risiko cyber
+ There are no comments
Add yours