10 Serangan Ransomware Terbesar Sepanjang Sejarah, Salah Satunya Berkaitan Perang Ukraina
Kamis, 27 Juni 2024 - 10:08 WIB
Foto/AP
Serangan ransomware pada bulan Desember 2021 terhadap perusahaan manajemen tenaga kerja Kronos (sebelumnya dikenal sebagai Kronos, sekarang Ultimate Kronos Group atau UKG) menargetkan fitur Kronos Private Cloud. Layanan berbasis cloud ini digunakan oleh banyak bisnis untuk mengelola hal-hal seperti pembayaran, kehadiran, dan data lembur.
Hingga postingan ini dibuat, identitas penyerang masih belum dapat dikonfirmasi, namun diketahui bahwa mereka mencuri data klien dan meminta pembayaran dari perusahaan. Setelah UKG memenuhi tuntutan penyerang, diketahui bahwa pelanggaran data berdampak pada lebih dari 8.000 organisasi termasuk rumah sakit, pabrik, dan usaha kecil yang mengandalkan UKG untuk penggajian dan penjadwalan karyawan.
Serangan ransomware ini tampaknya terkait dengan Trojan perbankan Kronos tahun 2014, yang mana kode berbahaya tersebut akan menargetkan sesi browser untuk memperoleh kredensial login secara tidak sah dengan menggunakan kombinasi injeksi web dan keylogging. Rincian teknis serangan ini tidak pernah dirilis; namun demikian, dilaporkan bahwa UKG membayar jumlah yang tidak diketahui kepada para penyerang.
Dampak hukum dari serangan ini sangat terasa setelah kejadian tersebut. Serangan tersebut mengakibatkan tuntutan hukum dari perusahaan-perusahaan yang terkena dampak yang meminta kompensasi atas kerusakan, dan pada bulan Juli 2023, UKG mencapai penyelesaian USD6 juta dengan karyawan yang terkena dampak dari perusahaan-perusahaan tersebut.
Serangan itu dilakukan oleh kelompok jahat yang dikenal sebagai DarkSide, yang memperoleh akses tidak sah melalui kata sandi yang terbuka untuk akun VPN (penggunaan ulang kata sandi). Para penyerang menyebarkan ransomware yang mengenkripsi data Colonial Pipeline dan meminta pembayaran uang tebusan dalam mata uang kripto sebagai imbalan atas kunci dekripsi.
Perusahaan memitigasi dampaknya dengan mematikan sistemnya, yang menyebabkan gangguan pada pasokan bahan bakar, menyebabkan pembelian panik dan kekurangan bahan bakar, serta lonjakan harga. Perusahaan akhirnya membayar uang tebusan. Sekitar $4,4 juta telah dibayarkan dan sistem dipulihkan; dengan bantuan Departemen Kehakiman, lebih dari separuh pembayaran telah diperoleh kembali.
Foto/AP
Seperti yang terlihat sebelumnya di postingan ini, REvil terlibat dalam beberapa serangan paling menguntungkan selama beberapa tahun terakhir. Pada bulan Desember 2019, perusahaan penukaran mata uang terkemuka di dunia, Travelex, terkena serangan besar yang mengeksploitasi kerentanan di server Pulse Secure VPN milik perusahaan tersebut.
Ransomware Sodinokibi menyebabkan sistem komputer perusahaan lumpuh dan mengenkripsi data, sehingga Travelex tidak dapat mengakses file-filenya. Tidak bisa dikatakan kesalahannya hanya bergantung pada penyedia Pulse Secure saja. Mereka telah mengidentifikasi dan menambal kerentanan tersebut pada bulan April 2019, namun Travelex gagal menerapkan patch tersebut ke servernya, sehingga membuka peluang bagi para pencari kerentanan seperti REvil.
Serangan itu merusak Travelex secara parah dan selamanya. Meskipun penyerang meminta uang tebusan sebesar USD6 juta, perusahaan akhirnya membayar USD2,3 juta. Ia juga berhasil mendapatkan kembali akses ke datanya. Namun, Travelex mengalami masalah dengan sistem dan offline selama hampir dua minggu. Setelah mitranya yang gagal seperti bank dan jaringan supermarket, dan karena ancaman investigasi Peraturan Perlindungan Data Umum (GDPR), serta kesulitan keuangan lainnya, Travelex terpaksa menjualnya pada tahun 2020.
Foto/AP
Pada bulan April 2022, serangan siber terhadap pemerintah Kosta Rika dilakukan dengan sangat kejam sehingga dinyatakan sebagai “darurat nasional”. Para penyerang pertama kali menembus Kementerian Keuangan, mengenkripsi file dan melumpuhkan dua sistem penting: layanan pajak digital dan sistem TI pengawasan bea cukai. Grup ransomware Conti mengklaim bertanggung jawab atas serangan ini dan meminta uang tebusan sebesar USD10 juta sebagai imbalan atas pengembalian data pembayar pajak dan tidak menyerang entitas pemerintah lainnya.
Namun, pemerintah Kosta Rika menolak membayar uang tebusan, sehingga menyebabkan beberapa institusi lain terkena dampaknya. Kementerian Sains, Inovasi, Teknologi & Telekomunikasi, dan Kementerian Tenaga Kerja & Jaminan Sosial, serta Dana Jaminan Sosial Kosta Rika. Akibatnya, 672 GB file curian diunggah ke situs Conti.
Serangan Conti diyakini terkait dengan serangan kedua yang dilakukan oleh kelompok operasi ransomware-as-a-service Hive. Hal ini menargetkan dan mempengaruhi sistem layanan kesehatan di Kosta Rika dengan memaksa mereka menutup Catatan Kesehatan Digital Tunggal dan Sistem Pengumpulan Terpusat. Seperti serangan pertama, pemerintah menolak membayar uang tebusan sebesar $5 juta. Pemulihan dari serangan membutuhkan waktu dan sumber daya, menerima bantuan dari Microsoft dan pemerintah Amerika Serikat, Israel, dan Spanyol untuk memungkinkan pemulihan layanan Kosta Rika.
Serangan ini juga menimpa master boot record (MBR) dengan muatan berbahaya dan membuat komputer yang terinfeksi tidak dapat dioperasikan. Namun, itu bukanlah ransomware itu sendiri. Pesan NotPetya yang meminta uang tebusan tidak benar, karena tidak ada kemungkinan nyata untuk mendapatkan kunci dekripsi bahkan setelah pembayaran selesai. Tanpa kunci dekripsi, data dienkripsi secara permanen, file tidak dapat dipulihkan, dan kerusakan permanen terjadi.
Instansi pemerintah, bisnis, dan infrastruktur penting Ukraina terganggu. Investigasi selanjutnya oleh lembaga pemerintah dari Amerika Serikat, Inggris, dan negara lain mengaitkan serangan tersebut dengan militer Rusia, khususnya GRU (intelijen militer Rusia). Investigasi menunjukkan ketegangan geo-politik antara Rusia dan Ukraina masih terlihat hingga saat ini.
Beberapa bulan sebelum serangan terjadi, Microsoft telah merilis patch untuk mengatasi kerentanan tersebut, namun banyak organisasi dan individu gagal memperbarui dan menerapkan patch tersebut, sehingga membuat mereka terkena risiko.
Sekitar 230.000 komputer di lebih dari 150 negara terkena dampaknya dalam beberapa hari setelah WannaCry dirilis. Dampaknya sangat dirasakan oleh organisasi seperti perusahaan seluler Spanyol Telefónica, di mana komputer yang terinfeksi menampilkan jendela pop-up yang meminta pembayaran melalui mata uang digital.
Layanan Kesehatan Nasional Inggris juga menjadi korban WannaCry, rumah sakit dan fasilitas kesehatan terpaksa membatalkan janji temu dan mengalihkan pasien karena sistem komputer dikunci oleh ransomware. Para peretas juga mengeksploitasi target yang lebih kecil, mengenkripsi file dari masing-masing komputer, meminta mata uang kripto senilai $300 hingga $600 untuk merilis file tersebut. Perusahaan risiko siber Cyence saat itu menghitung bahwa perkiraan kerugian akibat peretasan tersebut adalah sekitar USD4 miliar.
Serangan ransomware pada bulan Desember 2021 terhadap perusahaan manajemen tenaga kerja Kronos (sebelumnya dikenal sebagai Kronos, sekarang Ultimate Kronos Group atau UKG) menargetkan fitur Kronos Private Cloud. Layanan berbasis cloud ini digunakan oleh banyak bisnis untuk mengelola hal-hal seperti pembayaran, kehadiran, dan data lembur.
Hingga postingan ini dibuat, identitas penyerang masih belum dapat dikonfirmasi, namun diketahui bahwa mereka mencuri data klien dan meminta pembayaran dari perusahaan. Setelah UKG memenuhi tuntutan penyerang, diketahui bahwa pelanggaran data berdampak pada lebih dari 8.000 organisasi termasuk rumah sakit, pabrik, dan usaha kecil yang mengandalkan UKG untuk penggajian dan penjadwalan karyawan.
Serangan ransomware ini tampaknya terkait dengan Trojan perbankan Kronos tahun 2014, yang mana kode berbahaya tersebut akan menargetkan sesi browser untuk memperoleh kredensial login secara tidak sah dengan menggunakan kombinasi injeksi web dan keylogging. Rincian teknis serangan ini tidak pernah dirilis; namun demikian, dilaporkan bahwa UKG membayar jumlah yang tidak diketahui kepada para penyerang.
Dampak hukum dari serangan ini sangat terasa setelah kejadian tersebut. Serangan tersebut mengakibatkan tuntutan hukum dari perusahaan-perusahaan yang terkena dampak yang meminta kompensasi atas kerusakan, dan pada bulan Juli 2023, UKG mencapai penyelesaian USD6 juta dengan karyawan yang terkena dampak dari perusahaan-perusahaan tersebut.
6. Colonial Pipeline
Dianggap sebagai “ancaman keamanan nasional” oleh pemerintahan Joe Biden, serangan ransomware tahun 2021 ini merupakan insiden yang mengganggu pasokan bahan bakar di sepanjang Pantai Timur Amerika Serikat. Colonial Pipeline, salah satu pemasok bahan bakar terbesar dan terpenting di negara ini, mengangkut bensin, solar, bahan bakar jet, dan bahan bakar pemanas rumah, dari Texas ke wilayah Timur Laut.Serangan itu dilakukan oleh kelompok jahat yang dikenal sebagai DarkSide, yang memperoleh akses tidak sah melalui kata sandi yang terbuka untuk akun VPN (penggunaan ulang kata sandi). Para penyerang menyebarkan ransomware yang mengenkripsi data Colonial Pipeline dan meminta pembayaran uang tebusan dalam mata uang kripto sebagai imbalan atas kunci dekripsi.
Perusahaan memitigasi dampaknya dengan mematikan sistemnya, yang menyebabkan gangguan pada pasokan bahan bakar, menyebabkan pembelian panik dan kekurangan bahan bakar, serta lonjakan harga. Perusahaan akhirnya membayar uang tebusan. Sekitar $4,4 juta telah dibayarkan dan sistem dipulihkan; dengan bantuan Departemen Kehakiman, lebih dari separuh pembayaran telah diperoleh kembali.
7. Travelex
Foto/AP
Seperti yang terlihat sebelumnya di postingan ini, REvil terlibat dalam beberapa serangan paling menguntungkan selama beberapa tahun terakhir. Pada bulan Desember 2019, perusahaan penukaran mata uang terkemuka di dunia, Travelex, terkena serangan besar yang mengeksploitasi kerentanan di server Pulse Secure VPN milik perusahaan tersebut.
Ransomware Sodinokibi menyebabkan sistem komputer perusahaan lumpuh dan mengenkripsi data, sehingga Travelex tidak dapat mengakses file-filenya. Tidak bisa dikatakan kesalahannya hanya bergantung pada penyedia Pulse Secure saja. Mereka telah mengidentifikasi dan menambal kerentanan tersebut pada bulan April 2019, namun Travelex gagal menerapkan patch tersebut ke servernya, sehingga membuka peluang bagi para pencari kerentanan seperti REvil.
Serangan itu merusak Travelex secara parah dan selamanya. Meskipun penyerang meminta uang tebusan sebesar USD6 juta, perusahaan akhirnya membayar USD2,3 juta. Ia juga berhasil mendapatkan kembali akses ke datanya. Namun, Travelex mengalami masalah dengan sistem dan offline selama hampir dua minggu. Setelah mitranya yang gagal seperti bank dan jaringan supermarket, dan karena ancaman investigasi Peraturan Perlindungan Data Umum (GDPR), serta kesulitan keuangan lainnya, Travelex terpaksa menjualnya pada tahun 2020.
7. Pemerintah Kosta Rika
Foto/AP
Pada bulan April 2022, serangan siber terhadap pemerintah Kosta Rika dilakukan dengan sangat kejam sehingga dinyatakan sebagai “darurat nasional”. Para penyerang pertama kali menembus Kementerian Keuangan, mengenkripsi file dan melumpuhkan dua sistem penting: layanan pajak digital dan sistem TI pengawasan bea cukai. Grup ransomware Conti mengklaim bertanggung jawab atas serangan ini dan meminta uang tebusan sebesar USD10 juta sebagai imbalan atas pengembalian data pembayar pajak dan tidak menyerang entitas pemerintah lainnya.
Namun, pemerintah Kosta Rika menolak membayar uang tebusan, sehingga menyebabkan beberapa institusi lain terkena dampaknya. Kementerian Sains, Inovasi, Teknologi & Telekomunikasi, dan Kementerian Tenaga Kerja & Jaminan Sosial, serta Dana Jaminan Sosial Kosta Rika. Akibatnya, 672 GB file curian diunggah ke situs Conti.
Serangan Conti diyakini terkait dengan serangan kedua yang dilakukan oleh kelompok operasi ransomware-as-a-service Hive. Hal ini menargetkan dan mempengaruhi sistem layanan kesehatan di Kosta Rika dengan memaksa mereka menutup Catatan Kesehatan Digital Tunggal dan Sistem Pengumpulan Terpusat. Seperti serangan pertama, pemerintah menolak membayar uang tebusan sebesar $5 juta. Pemulihan dari serangan membutuhkan waktu dan sumber daya, menerima bantuan dari Microsoft dan pemerintah Amerika Serikat, Israel, dan Spanyol untuk memungkinkan pemulihan layanan Kosta Rika.
9. Pemerintah Ukraina
Serangan NotPetya, yang terjadi pada tahun 2017, berdampak pada beberapa negara di dunia, namun salah satu serangan tersebut diduga menargetkan Ukraina karena motivasi politik. NotPetya memiliki beberapa kemiripan dengan virus Petya pada tahun 2016, dan menggunakan taktik yang sama seperti serangan WannaCry yang terkenal, yaitu mengeksploitasi perangkat yang belum ditambal, menyebar melalui jaringan, dan mengenkripsi data.Serangan ini juga menimpa master boot record (MBR) dengan muatan berbahaya dan membuat komputer yang terinfeksi tidak dapat dioperasikan. Namun, itu bukanlah ransomware itu sendiri. Pesan NotPetya yang meminta uang tebusan tidak benar, karena tidak ada kemungkinan nyata untuk mendapatkan kunci dekripsi bahkan setelah pembayaran selesai. Tanpa kunci dekripsi, data dienkripsi secara permanen, file tidak dapat dipulihkan, dan kerusakan permanen terjadi.
Instansi pemerintah, bisnis, dan infrastruktur penting Ukraina terganggu. Investigasi selanjutnya oleh lembaga pemerintah dari Amerika Serikat, Inggris, dan negara lain mengaitkan serangan tersebut dengan militer Rusia, khususnya GRU (intelijen militer Rusia). Investigasi menunjukkan ketegangan geo-politik antara Rusia dan Ukraina masih terlihat hingga saat ini.
10. WannaCry
Pada bulan Mei 2017, serangan ransomware WannaCry menjadi berita utama sebagai salah satu serangan siber paling luas dan terkenal dalam sejarah karena berdampak pada organisasi dan individu di seluruh dunia. Rupanya, geng peretas jahat Lazarus Group melakukan serangan tersebut, yang menargetkan komputer yang menjalankan sistem operasi Microsoft Windows dan mengeksploitasi kerentanan dengan peretasan yang disebut EternalBlue, yang telah dicuri dan dibocorkan oleh kelompok The Shadow Brokers.Beberapa bulan sebelum serangan terjadi, Microsoft telah merilis patch untuk mengatasi kerentanan tersebut, namun banyak organisasi dan individu gagal memperbarui dan menerapkan patch tersebut, sehingga membuat mereka terkena risiko.
Sekitar 230.000 komputer di lebih dari 150 negara terkena dampaknya dalam beberapa hari setelah WannaCry dirilis. Dampaknya sangat dirasakan oleh organisasi seperti perusahaan seluler Spanyol Telefónica, di mana komputer yang terinfeksi menampilkan jendela pop-up yang meminta pembayaran melalui mata uang digital.
Layanan Kesehatan Nasional Inggris juga menjadi korban WannaCry, rumah sakit dan fasilitas kesehatan terpaksa membatalkan janji temu dan mengalihkan pasien karena sistem komputer dikunci oleh ransomware. Para peretas juga mengeksploitasi target yang lebih kecil, mengenkripsi file dari masing-masing komputer, meminta mata uang kripto senilai $300 hingga $600 untuk merilis file tersebut. Perusahaan risiko siber Cyence saat itu menghitung bahwa perkiraan kerugian akibat peretasan tersebut adalah sekitar USD4 miliar.
tulis komentar anda