Platform Kripto Terbesar Vietnam Tolak Bayar Tebusan Ransomware US$5 Juta

Cyberthreat.id - Salah satu platform perdagangan kripto Vietnam terbesar, ONUS, baru-baru ini mengalami serangan siber pada sistem pembayarannya yang menjalankan versi Log4j yang rentan.

Tak lama kemudian, pelaku ancaman meminta ONUS membayar  sejumlah US$5 juta dan mengancam akan mempublikasikan data pelanggan jika ONUS menolak membayar uang tebusan.

ONUS ternyata memilih menolak membayarnya. Pelaku kemudian menawarkan data hampir 2 juta pelanggan ONUS untuk dijual di forum.

Pada tanggal 9 Desember, eksploitasi PoC untuk kerentanan Log4Shell yang terkenal (CVE-2021-44228) bocor di GitHub. Dan, itu mendapat perhatian penyerang oportunistik yang mulai memindai internet secara massal untuk server yang rentan.

Antara 11 dan 13 Desember, pelaku ancaman berhasil mengeksploitasi kerentanan Log4Shell pada server Cyclos dari ONUS dan menanam pintu belakang untuk akses berkelanjutan.

Cyclos menyediakan berbagai solusi perangkat lunak point-of-sale (POS) dan pembayaran, dan seperti kebanyakan vendor, menggunakan versi log4j yang rentan dalam perangkat lunak mereka.

Meskipun Cyclos mengeluarkan nasihat pada tanggal 13 dan dilaporkan memberi tahu ONUS untuk menambal sistem mereka, sudah terlambat.

Meskipun ONUS telah menambal instance Cyclos mereka, jendela eksposur memberikan waktu yang cukup bagi pelaku ancaman untuk mengekstrak database sensitif.

Basis data ini berisi hampir 2 juta catatan pelanggan termasuk data E-KYC (Know Your Customer), informasi pribadi, dan kata sandi hash.

Alur kerja E-KYC yang digunakan oleh bank dan perusahaan FinTech biasanya melibatkan pengadaan beberapa bentuk dokumen identifikasi dan bukti dari pelanggan, bersama dengan 'video selfie' untuk verifikasi otomatis.

Menariknya, kerentanan Log4Shell ada di server kotak pasir yang digunakan "hanya untuk tujuan pemrograman" tetapi memungkinkan penyerang mengakses lebih jauh ke lokasi penyimpanan data sensitif (amazon S3) dengan data produksi, karena kesalahan konfigurasi sistem.

ONUS kemudian dilaporkan mendapat permintaan pemerasan senilai US$ 5 juta yang mereka tolak. Sebagai gantinya, perusahaan memilih mengungkapkan serangan itu kepada pelanggan mereka melalui grup Facebook pribadi.

"Sebagai perusahaan yang mengutamakan keselamatan, kami berkomitmen untuk memberikan transparansi dan integritas kepada pelanggan kami dalam operasi bisnis," kata CEO ONUS Chien Tran seperti dilansir Bleeping Computer, Rabu..

"Itulah sebabnya, setelah mempertimbangkan dengan cermat, hal yang benar yang perlu kita lakukan sekarang adalah memberi tahu seluruh komunitas ONUS tentang kejadian ini."

Bucket Amazon S3 yang salah dikonfigurasi

Peretasan itu sendiri sedikit lebih dari sekadar masalah Log4j saja. Eksploitasi Log4j mungkin merupakan titik masuk bagi penyerang, tetapi kontrol akses yang tidak tepat pada bucket Amazon S3 ONUS memungkinkan penyerang mengakses secara tidak semestinya.

"Peretas mengambil keuntungan dari kerentanan dalam kumpulan perpustakaan di sistem ONUS untuk masuk ke server kotak pasir (hanya untuk tujuan pemrograman)," jelas ONUS.

"Namun, karena masalah konfigurasi, server ini berisi informasi yang memberi orang jahat akses ke sistem penyimpanan data kami (Amazon S3) dan mencuri beberapa data penting. Ini mengarah pada risiko bocornya informasi pribadi sejumlah besar pengguna. "

Informasi pelanggan yang diambil oleh pelaku ancaman meliputi:

- Nama
- Email dan nomor telepon
- Alamat
- informasi KYC
- Kata sandi terenkripsi
- Riwayat transaksi
- Dan beberapa informasi terenkripsi lainnya

Perusahaan cybersecurity CyStack, yang menyediakan layanan untuk ONUS, telah melakukan penyelidikan menyeluruh dan merilis temuan mereka tentang mekanisme serangan dan pintu belakang yang ditanam oleh para penyerang.
Hampir 2 juta catatan pelanggan disiapkan untuk dijual

Pada 25 Desember, setelah ONUS menolak membayar uang tebusan, pelaku ancaman memasang data pelanggan untuk dijual di pasar pelanggaran data.

Pelaku  mengklaim memiliki salinan 395 tabel database ONUS dengan informasi pribadi pelanggan dan kata sandi hash yang mereka miliki.

Sampel data  termasuk gambar yang tidak diedit dari kartu ID pelanggan, paspor, dan klip video selfie yang dikirimkan pelanggan yang diperoleh selama proses KYC.

"Kami dengan tulus meminta maaf dan berharap  pengertian Anda," kata ONUS.

"Ini juga merupakan kesempatan bagi kami untuk mengevaluasi diri, meningkatkan dan menyempurnakan sistem lebih lanjut untuk memastikan keamanan pengguna kami, terutama selama transisi dari VNDC ke ONUS."

Rekomendasi CyStack untuk ONUS termasuk menambal kerentanan Log4Shell di Cyclos–seperti yang diinstruksikan oleh vendor, menonaktifkan kredensial AWS yang bocor, mengonfigurasi izin akses AWS dengan benar, memblokir akses publik ke semua bucket S3 yang sensitif, dan memberlakukan batasan tambahan.

Sekarang kerentanan log4j telah dieksploitasi oleh semua jenis pelaku ancaman dari peretas yang didukung negara hingga geng ransomware dan beberapa lainnya untuk menyuntikkan penambang kripto pada sistem yang rentan.

Geng ransomware Conti juga terlihat mengincar server VMWare vCenter yang rentan untuk dieksploitasi.

Pengguna Log4j harus segera meningkatkan ke versi terbaru 2.17.1 (untuk Java 8) yang dirilis kemarin. Versi yang di-backport 2.12.4 (Java 7) dan 2.3.2 (Java 6) yang berisi perbaikan diharapkan akan segera dirilis. []