ISP Terbesar Argentina Diserang Ransomware, Geng Sodinokibi Minta Tebusan US$ 7,5 Juta
Ilustrasi | Foto: freepik.com
Cyberthret.id – Peretas (hacker) ransomware menyandera jaringan internal Telecom Argentina, salah satu penyedia layanan internet terbesar di Negeri Tango tersebut.
Mereka meminta uang tebusan senilai US$ 7,5 juta (sekitar Rp 111 miliar) jika perusahaan ingin membuka file yang telah dienkripsi.
Insiden itu terjadi selama akhir pekan lau, Sabtu (18 Juli), dan dianggap sebagai salah satu peretasan terbesar di Argentina, tulis ZDNet, diakses Selasa (21 Juli 2020).
Sumber internal perusahaan mengatakan, peretas merusak jaringan setelah mereka berhasil mendapatkan kontrol atas Domain Admin internal. Dari situlah, mereka menyebar dan menginstal muatan ransomware ke ke sekitar 18.000 workstation.
Namun, serangan itu tidak mempengaruhi konektivitas internet ke pelanggan ISP juga tidak berimbas pada layanan TV kabel dan telepon tetap. Hanya, banyak situs resmi perusahaan tak bisa diakses pada hari kejadian.
Sejak kejadian itu, sejumlah karyawan berbagi informasi di media sosial untuk menerangkan rincian tentang serangan dan bagaimana ISP mengelola insiden.
Dalam sebuah gambar yang dibagikan, ISP telah mendeteksi intrusi tersebut dan segera mengingatkan kepada karyawan untuk membatasi penggunaan jaringan perusahaan.
Karyawan juga diminta untuk tidak terhubung ke jaringan VPN internal dan tidak membuka email yang berisi file arsip.
Siapa geng peretas ini?
ZDNet menuliskan, penyerang diduga REvil (Sodinokibi), komplotan peretas ransomware yang terkenal di dunia maya. Di halaman web yang diarahkan oleh peretas menunjukkan permintaan tebusan 109345,35 koin Monero (sekitar US$ 7,53 juta.
Peretas mengancam jumlah tersebut akan berlipat ganda setelah tiga hari. Ini menjad salah satu tuntutan tebusan terbesar yang diminta dalam serangan ransomware tahun ini, tulis ZDNet.
Telecom Argentina belum mengomentari insiden itu, ketika dihubungi oleh pers lokal, dan tidak mengatakan apakah pihaknya bermaksud untuk membayar permintaan tebusan.
Media lokal juga melaporkan bahwa ISP meyakini titik masuk peretas adalah lampiran email jahat yang diterima oleh salah satu karyawannya, tetapi ini umumnya tidak sesuai dengan modus operandi normal geng REvil.
Menurut laporan dari perusahaan keamanan Advanced Intel, selama setahun terakhir, geng REvil telah mengkhususkan diri dalam melakukan intrusi berbasis jaringan, menargetkan peralatan jaringan yang belum ditambal sebagai titik masuk ke organisasi korban, dan sebelum menyebar secara lateral melalui jaringan perusahaan.
Sebelumnya, operator REVil menargetkan Pulse Secure dan Citrix VPN dan sistem gateway perusahaan sebagai titik masuk.
Perusahaan intelijen ancaman, Bad Packets, mengatakan, Telecom Argentina tidak hanya menjalankan server Citrix VPN, tetapi juga menjalankan Citrix yang rentan terhadap bug keamanan CVE-2019-19781.
Ini juga serangan kedua geng REvil terhadap jaringan penyedia layanan internet. Geng REvil juga menargetkan Sri Lanka Telecom, penyedia telepon tetap terbesar di Sri Lanka, pada Mei lalu.[]
