Cyberthreat.id – Pemerintah Administratif Lazio, Italia—yang mencakup wilayah ibu kota, Roma—menjadi korban serangan siber ransomware. Serangan ini mengakibatkan registrasi vaksinasi Covid-19 terganggu karena portal vaksinasi (Salute Lazio) turut terkena dampak.

Serangan terjadi antara Sabtu—Minggu (31 Juli-1 Agustus 2021) dini hari dengan mengenkripsi setiap file di pusat data serta menggangu jaringan TI-nya, demikian tulis BleepingComputer, diakses Rabu (4 Agustus).

“Kami tidak tahu siapa yang bertanggung jawb (atas serangan ini, red) dan apa tujuan mereka,” ujar Nicola Zingaretti, Gubernur Wilayah Administratif Lazio dalam sebuah pernyataan di akun Facebook-nya.

Nicola mengatakan serangant tersebut telah memblokir hampir semua file di pusat data. Namun, ia memastikan bahwa proses vaksinasi tetap berlanjut normal untuk warga yang telah mendaftar.

“Registrasi vaksin saat ini ditunda hingga beberapa hari ke depan. Sistem saat ini dimatikan untuk verifikasi internal dan menghindari penyebaran virus yang diketahui dalam serangan,” ujar dia.

Pemerintah Administrasi Lazio dalam sebuah pernyataan mengutarakan bahwa data kesehatan, keuangan, dan anggaran dalam kondisi aman.

“Ada serangann peretasan yang kuat. Semua sistem dinonaktifkan termasuk portal Salute Lazio dan jaringan vaksin. Semua operasi perlindungan dan verifikasi sedang bekerja,” kata pemerintah setempat. Meski pendaftaran ditunda beberapa hari, pelaksanaan vaksinasi pada 3 Agustus tetap berjalan.

Geng RansomEXX

Serangan ransomware tersebut diduga dilakukan oleh geng RansomEXX. Geng ini yang sebelumnya juga mengklaim telah menyerang perusahaan migas Indonesia, Pertamina. (Baca: Peneliti TrendMicro Beberkan Catatan Tebusan Hacker RansomEXX yang Diduga Serang Pertamina)

Sumber anonim BleepingComputer mengatakan, dalam catatan uang tebusan yang telah diedit, bandit ransomware itu mengatakan, sebagai berikut:

“Halo Lazio! Your files were encrypted. Please don’t try to modify or rename any of encrypted files, because it can result in serious data loss and decryption failure.

Here is your personal link with full information regarding this accident (use Tor browser): http://rnsm777cdsjrsdlbs4v5qoeppu3px6sb2igmb53jzrx7ipcrbjz5b2ad.onion/. Do not share this link te keep this accident confidential.”

Catatan tebusan tidak menyatakan geng ransomware apa yang melakukan serangan, tetapi URL onion yang terdaftar adalah situs Tor yang dikenal untuk operasi geng RansomEXX. Namun, sejauh ini bandit dunia maya tersebut tak memberikan permintaan tebusan.

Halaman negosiasi RansomEXX bersifat unik untuk setiap korban. Jika peretas mencuri data selama serangan, mereka memberikan detail di halaman tersebut, termasuk jumlah data yang dicuri dan tangkapan layar file. Namun, halaman negosiasi itu tidak menunjukkan indikasi bahwa RansomEXX mencuri data apa pun.

Sementara, peneliti keamanan siber independen asal Italia berjuluk JAMESWT di akun Twitter-nya, menyatakan bahwa ada bukti  serangan itu dilakukan oleh geng ransomware LockBit 2.0, tetapi dirinya tidak dapat membagikan informasi lebih lanjut.

Siapa RansomEXX?

Bandit dunia maya ini awalnya meluncurkan operasi mereka dengan nama “Defray” pada 2018. Namun, pada Juni 2020, operasi tersebut berganti nama menjadi “RansomEXX” yang mulai menargetkan perusahaan besar secara lebih aktif.

Mirip dengan operasi ransomware lainnya, RansomEXX akan menembus jaringan menggunakan kerentanan atau kredensial yang dicuri. Setelah mendapatkan akses ke jaringan, mereka diam-diam menyebar melalui jaringan sambil mencuri file tidak terenkripsi untuk upaya pemerasan.

Setelah mendapatkan akses ke pengontrol domain Windows, mereka menyebarkan ransomware di jaringan untuk mengenkripsi semua perangkat.

RansomEXX memiliki sejarah serangan profil tinggi, termasuk jaringan pemerintah Brasil, Departemen Transportasi Texas (TxDOT), Konica Minolta, IPG Photonics, dan CNT Ekuador.[]