Perusaan Pemasok Energi Di Kolombia Jadi Korban Ransomware BlackCat

Cyberthreat.id – Perusahaan energi Kolombia Emppresas Públicas de Medellín (EPM) menjadi korban serangan ransomware BlackCat atau ALPHV yang berdampak pada operasi perusahaan dan layanan online perusahaan.

EPM merupakan salah satu penyedia energi, air, dan gas publik terbesar di Kolombia, memberikan layanan kepada 123 kotamadya. Perusahaan menghasilkan pendapatan lebih dari $25 miliar pada tahun 2022 dan dimiliki oleh Kota Medellin di Kolombia.

Dikutip dari Bleeping Computer, perusahaan memberi tahu sekitar 4.000 karyawan untuk bekerja dari rumah, dengan infrastruktur TI turun dan situs web perusahaan tidak lagi tersedia. EPM mengungkapkan kepada media lokal bahwa mereka menanggapi insiden keamanan dunia maya dan menyediakan metode alternatif bagi pelanggan untuk membayar layanan.

Sementara itu, kantor Kejaksaan kemudian mengonfirmasi kepada EL COLOMBIANO bahwa ransomware berada di balik serangan terhadap EPM yang menyebabkan perangkat dienkripsi dan data dicuri. Namun, operasi ransomware di balik serangan itu tidak diungkapkan.

BlackCat sendiri telah mengklaim berada dibalik serangan tersebut. Mereka juga mengatakan telah mencuri data perusahaan selama serangan tersebut.

BleepingComputer juga telah melihat sampel encryptor dan catatan tebusan dari serangan EPM dan telah mengkonfirmasi bahwa mereka berasal dari operasi ransomware BlackCat.

Meskipun catatan tebusan yang dibuat dalam serangan tersebut menyatakan bahwa pelaku ancaman mencuri berbagai macam data, perlu dicatat bahwa ini adalah teks persis yang digunakan di semua catatan tebusan BlackCat dan tidak khusus untuk EPM. Namun, penemuan lebih lanjut menunjukkan bahwa peretas mungkin mencuri cukup banyak data dari EPM selama penyerangan.

Peneliti keamanan Chili Germán Fernández menemukan sampel baru-baru ini dari alat pencurian data 'ExMatter' BlackCat, yang diunggah dari Kolombia ke situs analisis malware. ExMatter adalah alat yang digunakan dalam serangan ransomware BlackCat untuk mencuri data dari jaringan perusahaan sebelum perangkat dienkripsi. Data ini kemudian digunakan sebagai bagian dari upaya pemerasan ganda geng ransomware.

“Ketika alat ini dijalankan, itu akan mencuri data dari perangkat di jaringan dan menyimpannya di server yang dikendalikan penyerang di dalam folder yang dinamai menurut nama komputer Windows tempat alat itu dicuri,” kata Fernández.

Saat menganalisis alat ExMatter, Fernández menemukan bahwa alat itu mengunggah data ke server jarak jauh yang tidak cukup aman, memungkinkan setiap pengunjung untuk melihat data yang tersimpan di dalamnya.

Dalam varian ExMatter dari Kolombia, data diunggah ke berbagai folder yang dimulai dengan 'EPM-,' seperti yang ditunjukkan di bawah ini. Fernández memberi tahu BleepingComputer bahwa nama komputer ini cocok dengan format penamaan komputer yang dikenal yang digunakan oleh Empresas Públicas de Medellín.

Meskipun tidak jelas berapa banyak total data yang dicuri, Fernández mengatakan kepada BleepingComputer bahwa ada lebih dari 40 perangkat yang terdaftar di situs tersebut.

BleepingComputer telah menghubungi EPM untuk mempelajari lebih lanjut tentang serangan itu dan berapa banyak data yang dicuri, tetapi tanggapan tidak segera tersedia.

Ini bukan pertama kalinya serangan ransomware menargetkan perusahaan energi Kolombia. Pada tahun 2020, Grup Enel mengalami serangan ransomware dua kali di tahun yang sama.

Kolombia juga mengalami peningkatan serangan selama beberapa bulan terakhir, dengan sistem perawatan kesehatan negara yang terganggu bulan lalu oleh serangan RansomHouse di Keralty, sebuah organisasi perawatan kesehatan multinasional.