Produsen Motherboard Gigabyte Taiwan Dihantam RansomEXX
Salah satu produk Gigabyte | Foto: Gigabyte
Cyberthreat.id - Produsen perangkat keras komputer asal Taiwan, Gigabyte, dihantam serangan geng ramsomware RansomEXX. Pelaku mengancam akan mempublikasikan 112GB data curian kecuali pihak perusahaan bersedia membayar uang tebusan.
Selain dikenal sebagai produsen motherboard komputer, Gibye juga memproduksi kartu grafis, laptop, dan server pusat data.
Serangan itu terjadi Selasa malam hingga Rabu lalu. Akibatnya, perusahaan terpaksa menutup sistemnya di Taiwan. Insiden itu juga memengaruhi beberapa situs web perusahaan, termasuk situs dukungan pelanggannya.
Pelanggan juga telah melaporkan masalah saat mengakses dokumen dukungan atau menerima informasi terbaru tentang RMA, yang kemungkinan disebabkan oleh serangan ransomware.
Menurut situs berita China United Daily News, Gigabyte mengonfirmasi bahwa mereka mengalami serangan siber yang memengaruhi sejumlah kecil server.
Setelah mendeteksi aktivitas abnormal di jaringan mereka, perusahaan mengatakan telah mematikan sistem TI mereka dan memberi tahu penegak hukum.
Gigabyte memang tidak menyebut kelompok mana yang telah menyerang sistemnya. Namun, temuan Bleeping Computer menyebutkan itu dilakukan oleh geng RansomEXX.
Seperti lazimnya serangan ransomware, pelaku akan meninggalkan catatan di perangkat yang terenkripsi dan meminta korban menghubungi mereka untuk negosiasi tentang uang tebusan yang harus dibayarkan oleh korban.
Dalam catatan tebusan yang juga dilihat oleh BleepingComputer, pelaku ancaman menyatakan, "Halo, Gigabyte (gigabyte.com)!" dan menyertakan tautan ke sebuah halaman non-publik. Tautan itu sama dengan yang didapat Bleeping Computer dari sumber yang tak disebut namanya.
Pada halaman kebocoran non-publik ini, pelaku mengklaim telah mencuri 112 GB data dari jaringan Gigabyte internal serta American Megatrends Git Repository. Di sana, pelaku juga membagikan tangkapan layar dari empat dokumen di bawah NDA yang dicuri selama penyerangan.
Sejauh ini, belum ada keterangan lebih lanjut dari Gigabyte.
Operasi ransomware RansomEXX awalnya dimulai dengan nama Defray pada 2018. Belakangan, pada Juni 2020, namanya diganti menjadi RansomEXX seiring meningkatnya intensitas serangan.
Seperti operasi ransomware lainnya, RansomEXX akan menembus jaringan melalui Remote Desktop Protocol, eksploitasi, atau kredensial yang dicuri.
Setelah mendapatkan akses ke jaringan, mereka akan memanen lebih banyak kredensial karena mereka perlahan-lahan mendapatkan kontrol dari pengontrol domain Windows. Selama penyebaran lateral ini melalui jaringan, geng ransomware akan mencuri data dari perangkat tidak terenkripsi yang digunakan sebagai daya tawar saat negosiasi jumlah uang tebusan.
RansomEXX tidak hanya menargetkan perangkat Windows tetapi juga telah membuat encryptor Linux untuk mengenkripsi mesin virtual yang menjalankan server VMware ESXi.
Selama sebulan terakhir, geng RansomEXX juga menyerang wilayah Lazio Italia dan Corporación Nacional de Telecomunicación (CNT) yang dikelola negara Ekuador.[]
