Tangkapan layar data yang diduga milik Pertamina sebesar 430,6 megabita. Data ini diunggah di situs web oleh hacker RansomEXX dan hanya bisa diakses melalui peramban TOR. | Foto: Tangkapan layar Cyberthreat.id/Tenri Gobel
Tangkapan layar data yang diduga milik Pertamina sebesar 430,6 megabita. Data ini diunggah di situs web oleh hacker RansomEXX dan hanya bisa diakses melalui peramban TOR. | Foto: Tangkapan layar Cyberthreat.id/Tenri Gobel
Cyberthreat.id - Peneliti senior Trend Micro, Fernando Merces, membagikan temuannya terkait dugaan serangan ransomware yang menimpa perusahaan minyak dan gas bumi negara, Pertamina
Fernando di akun Twittter-nya (@mer0x36) pada 8 Maret 2021 mengunggah temuan terkait dengan catatan tebusan dari peretas RansomEXX. Catatan itu ditujukan kepada Pertamina.
Di tweet-nya, ia juga menyebut akun Twitter Pertamina disertai tangkapan layar dan tautan mengarahkan ke platform analisis perangkat lunak jahat (malware), Virus Total.
"Sampel #RansomExx #ransomware #Linux ELF baru dengan catatan tebusan hardcode untuk @Pertamina perusahaan minyak. Menambahkan ekstensi ".p3rt4m1n4777" ke file terenkripsi," tulis Fernando, dikutip Selasa (30 Maret).
Catatan tebusan yang diduga milik RansomEXX yang ditujukan kepada Pertamina. | Foto: Akun Twitter Fernando Merces
Dalam tangkapan layar tersebut berisikan catatan tebusan dari peretas yang memberitahu Pertamina bahwa datanya terenkripsi dan menyarankan tidak melakukan penggantian nama pada file yang terenkripsi dan diklaim oleh peretas dienkripsi dengan ekstensi “.p3rt4m1n4777”.
Peretas dalam catatan tebusan itu juga menyebutkan bahwa telah mengunduh data dan bersiap untuk mempublikasikannya. Peretas juga memberikan tautan ke situs web berdomain onion yang hanya bisa dibuka melalui peramban TOR.
Tautan dalam catatan tebusan itu ketika dibuka mengarahkan ke situs kebocoran data milik RansomEXX terkait Pertamina yang mana berisikan 430.6 megabita (MB) data. (Baca: Hacker RansomEXX Bocorkan Data yang Diklaim Milik Pertamina Sebesar 430 MB)
Dihubungi Selasa kemarin, Deputy Head dari Master of Information Technology Swiss Germany University (SGU) juga peneliti keamanan siber, Dr Charles Lim, mengatakan gambar yang diunggah Fernando di Twitter, tampaknya seperti catatan tebusan.
Berita Terkait:
Sekadar informasi, catatan tebusan ini biasanya muncul pertama kali setelah sistem terinfeksi oleh ransomware. Catatan tebusan ini sebagai bagian dari cara peretas ransomware meminta tebusan atau memberitahu bahwa data korban di komputer terkunci dan hanya bisa dibuka dengan decryptor milik peretas.
Charles meyakini gambar itu sebagai catatan tebusan karena Fernando adalah seorang peneliti dan kemungkinan telah mengeksekusi malware itu sehingga dapat memperoleh catatan tebusannya.
Karena Fernando memberikan tautan ke Virus Total, Charles pun mencoba melihat apakah benar yang dikatakan Fernando tersebut.
Charles Lim membagikan tangkapan layar atas pantauannya terhadap sampel malware yang telah diunggah di Virus Total dan isinya terlihat tak jauh beda dengan Fernando Merces.
Dari hasil pantauan Charles, sampel malware itu diunggah pertama kali 8 Maret sekitar pukul 08.00 dari Belanda. Charles belum bisa memastikan apakah Fernando yang mengunggahnya atau bukan.
Jika memang benar Fernando mengunggahnya di Virus Total, tidak diketahui dari mana dia mendapatkan sampel malware yang merujuk ke Pertamina itu, lantaran Fernando tidak membahas lebih lanjut terkait temuannya di Twitter.
Lebih lanjut, Charles mengatakan dari deteksi Virus Total, terlihat bahwa sampel itu sebagai malware yang mendeteksi perangkat Linux. RansomEXX akhir tahun lalu memang dikabarkan mengembangkan ransomware versi Linux. (Baca: Geng Hacker RansomEXX Kini Kembangkan Ransomware Versi Linux)
Jika melihat dari Virus Total, beberapa vendor perangkat lunak antivirus menamainya dengan berbeda-beda, tetapi sebagian menamainya sebagai RansomExx.
"Seperti yang dilihat di situ [Virus Total] namanya tidak pernah ada yang sama, biasanya menggunakan nama yang ada di string tadi, di dalam teksnya kebetulan ada nama yang unik, dia kasih nama unik itu," kata Charles yang menjelaskan alasan nama malware itu dideteksi berbeda-beda di Virus Total.
Charles menjelaskan, berdasarkan hasil investigasi Virus Total, sampel itu benar-benar berisi malware. Akan tetapi, apakah malware tersebut yang menyerang Pertamina, sejauh ini belum bisa dipastikan.
Jika berdasarkan deteksi Virus Total, menurut Charles, perlu konfirmasi lagi ke Pertamina apakah benar malware ini yang menyerang Pertamina atau bukan.
Baca:
"Ada baiknya hal tersebut dikonfirmasi ke Pertamina apakah benar malware ini yang menyerang perusahaan tersebut," kata Charles.
Cyberthreat.id sudah menghubungi Senior Vice President Corporate Communication & Investor Relation Pertamina, Agus Suprijanto, tetapi belum mendapat tanggapan baik terkait kebocoran datanya maupun catatan tebusan malware peretas ransomEXX tersebut.
Tak hanya menghubungi Pertamina, Cyberthreat.id juga menghubungi Staf Khusus sekaligus Juru Bicara Kementerian BUMN untuk meminta tanggapan juga tak ada balasan komentar.[]
Redaktur: Andi Nugroho
Share:
