Cyberthreat.id – Perusahaan minyak negara Meksiko, Petrolos Mexicanos (Pemex), mendapat serangan siber akhir pekan lalu. Akibatnya, sistem penagihan perusahaan terkena dampak dan bejalan secara offline.

Selama offline itu, Pemex mengandalkan penagihan secara manual sehingga cukup menghambat pembayaran baik personal maupun dari pemasok, demikian tulis Bloomberg, Selasa (12 November 2019).

Faktur pembelian bahan bakar yang dikirim dari terminal penyimpanan Pemex ke pompa bensin (SPBU) juga dilakukan secara manual.

Serangan tersebut diduga berupa varian ransomware Ryuk tersebut berhasil diatasi. Namun, perusahaan mengklaim telah berhasil mengatasinya.

“Di bagian penyulingan, sejumlah karyawan tidak dapat mengakses email atau internet pada Selasa kemarin dan komputers juga berjalan lebih lambat,” tulis Bloomberg yang mengutip sumber internal Pemex.

Saat insiden terjadi, Pemex langsung meminta sejumlah karyawan untuk tidak mengakses jaringan perusahaan atau sistem teknologi informasi.

“Server macet. Orang-orang tidak bekerja, ”kata seseorang, yang meminta tidak diminta datang karena dia tidak mau berbicara kepada media seperti ditulis Reuters.

Dalam unggahan di Twitter, Pemex mengatakan, serangan siber itu telah diatasi dengan cepat dan hanya berdampak kurang dari lima persen dari keseluruhan sistem komputernya. Serangan itu terjadi pada tanggal 10 November.

Pemex mengatakan, bagian operasional, termasuk produksi dan penyimpanan minyak, tidak terpengaruh dari serangan tersebut.

“Ada indikasi bahwa malware yang digunakan mungkin DoppelPaymer, menurut perusahaan keamanan siber Crowdstrike Inc,” tulis Bloomberg.

DoppelPaymer adalah salah satu bentuk ransomware baru dan pertama kali terlihat untuk serangan pada Juni lalu. Ransomware ini pertama terdeteksi ketika menyerang Kementerian Pertanian Chile dan Kota Edcouch di Texas.

Serangan ransomware ini biasanya dieksekusi terhadap perusahaan besar yang bergerak di bidang kesehatan, sekolah, atau penerbitan.

Crowdstrike pun menemukan sampel DoppelPaymer pada penyimpanan (repositori) berbagi malware yang berisi portal pembayaran untuk uang tebusan 565 Bitcoin (sekitar US$ 4,8 juta). Portal pembayaran itu ditujukan kepada Pemex dalam tenggat waktu 48 jam. Peretas pun mencantumkan alamat email yang bisa dihubungi.

Ketika Reuters menghubungi, peretas menjawab, bahwa Pemex telah melewatkan tenggat untuk “harga khusus”. Namun, peretas memberikan waktu tambahan untuk Pemex segera membayar tebusan Bitcoin.

Menurut Crowdstrike, serangan DoppelPaymer memang cenderung bermotif uang.

Namun, ada sedikit kebingungan tentang bentuk ransomware yang digunakan penyerang. Karena pejabat Pemex mengatakan, “Dalam email internal, perusahaan telah ditargetkan oleh ransomware Ryuk,” tulis Reuters.

Reuters sendiri juga melihat email internal tersebut. Menurut para ahli keamanan siber, ransomware ini biasanya meminta uang tebusan antara US$ 500 juta hingga US$ 1 miliar.

“Kami telah mengambil langkah-langkah di tingkat nasional untuk memerangi ransomware Ryuk yang memengaruhi beberapa server Pemex,” kata pejabat perusahaan itu melalui email kepada Reuters.

Ransomware Ryuk

Menurut Check Point, Ryuk digunakan secara khusus untuk serangan khusus yang ditargetkan terhadap organisasi dan perusahaan besar.

Skema enkripsi yang digunakan oleh Ryuk telah dikembangkan untuk menyerang sumber daya teknologi informasi yang lemah, lalu mengunci sistem dan menekan perusahaan untuk membayar tebusan yang tinggi, demikian seperti ditulis ZDNet.

Uang tebusan, menurut Check Point, berkisar antara 15-50 Bitcoin (BTC), yang setara dengan ratusan ribu dolar. Sebagai gantinya, kunci dekripsi dijanjikan untuk pemulihan akses ke file dan sistem.

Pada Juli, operator Ryuk meminta tebusan US$ 5,3 juta dari New Bedford, Massachusetts, AS setelah menginstal malware pada sistem TI internal kota.

Pemerintah setempat sempat menawar US$ 400.000, tapi mereka akhirnya emilih untuk mengembalikan akses melalui cadangan data.

Crowdstrike, FireEye, Kryptos Logic, dan McAfee—sejumlah perusahaan besar keamanan siber—meyakini bahwa bentuk ransomware khusus tersebut kemungkinan merupakan hasil karya kelompok hacker Rusia berjuluk “Grim Spider”, terkenal dengan motif uang.