Raksasa Logistik Toll Group Kembali Diserang Ransomware
Ilustrasi
Cyberthreat.id - Perusahaan logistik dan transportasi Australia, Toll Group, kembali dihantam ransomware untuk kedua kalinya dalam empat bulan terakhir. Serangan berdampak pada operasional bisnis seperti keterlambatan pengiriman.
Sebelumnya, Toll Group dilanda ransomware Mailto, tapi kali ini mereka diserang ransomware yang relatif baru, dikenal sebagai Nefilim yang menargetkan sistemnya.
"Dari penyelidikan sejauh ini, kami mengkonfirmasi insiden ini adalah serangan ransomware," demikian pernyataan Toll Group di website-nya.
Serangan kedua ini tidak terkait dengan insiden ransomware yang dialami Toll Group 31 Januari lalu. Perusahaan menegaskan tidak akan membayar tebusan.
"Dan pada tahap ini tidak ada bukti yang menunjukkan bahwa data telah diambil dari jaringan kami."
Toll Group anak perusahaan dari Japan Post Holdings. Perusahaan ini dikenal lewat jasa pengiriman yang beroperasi di lebih dari 1.200 lokasi di 50 negara. Layanan Toll Group sering digunakan raksasa e-commerce seperti eBay untuk mengangkut komoditas massal, suku cadang penting, dan pasokan medis.
Setelah mendeteksi aktivitas yang tidak biasa di beberapa servernya, perusahaan langsung mematikan sistem IT tertentu pada Senin (4 Mei 2020). Inilah yang menyebabkan keterlambatan dan gangguan operasional.
Sebagian pengiriman barang tidak terpengaruh dan pengiriman paket berjalan sesuai jadwal. Portal perusahaan MyToll yang digunakan untuk membuat pengiriman dan pemesanan pickup masih tetap offline.
"Kami mohon maaf atas gangguan dan menghargai kesabaran Anda.” tulis perusahaan melalui Twitter, Selasa (5 Mei 2020).
Toll Group mengatakan telah melibatkan Australian Cyber Security Centre (ACSC) dalam mengatasi insiden sekaligus melaporkan secara berkala mengenai perkembangan insiden.
Ransomware Nefilim
Peneliti dari Recorded Future, Allan Liska, menyebut ransomware Nefilim baru saja ditemukan. Kemungkinan besar, kata dia, Nefilim menyebar melalui Remote Desktop Protocol (RDP), mirip dengan keluarga ransomware lain seperti Nemty, Crysis, dan SamSam.
"Hacker di balik Nefilim mendapatkan akses melalui server RDP yang rentan, meskipun ada laporan yang belum dapat diverifikasi bahwa mereka telah memperluas serangan," kata Liska.
Lebih lanjut, Liska mengatakan RDP adalah jalur pengembangan umum bagi para pelaku ransomware baru.
"Mereka mulai dengan server RDP terbuka atau rentan lalu kemudian berkembang ke metode serangan lainnya."
Kode Nefilim juga memiliki kesamaan dengan ransomware Nemty, meskipun terdapat beberapa perbedaan penting. Misalnya, Nefilim tidak memiliki komponen Ransomware-as-a-Service (RaaS) serta tidak ada bukti bahwa hacker yang sama berada di belakang dua strain itu.
"Kelompok di belakang Nemty menghentikan operasi publik dan beralih ke model pribadi."
Nefilim sebelumnya diduga telah menghantam perusahaan lain pada bulan ini. Sky News awal pekan ini menurunkan laporan Nefilim menyerang dan memeras produsen pakaian di Sri Lanka, MAS Holdings.
MAS Holdings diketahui memproduksi pakaian dalam untuk merek seperti Victoria's Secret, Nike dan Ivy Park Beyonce. Menurut laporan, operator Nefilim berhasil mencuri 300 GB file data pribadi dan memposting beberapa dokumen sebagai bukti.
Apa yang dilakukan operator Nefilim mirip dengan yang dipopulerkan kelompok ransomware seperti Maze. Modusnya adalah mengancam korban dengan merilis data yang telah dicuri.
"Dengan mengancam akan merilis data, hacker mencoba untuk memberikan tekanan kepada korban. Memaksa korban untuk membayar tebusan. Ini seperti ancaman hibrida dari serangan ransomware dan pelanggaran data. Para ahli memprediksi modus seperti ini akan terjadi selama beberapa bulan ke depan." []
Redaktur: Arif Rahman
