Cyberthreat.id – Light S.A., perusahaan energi listrik di Brasil, diserang geng ransomeware Sodinokibi alias REvil. Peretas meminta uang tebusan sebesar US$ 14 juta atau sekitar Rp 202 miliar.

Dalam pernyataan di sebuah koran lokal Brasil, perusahaan mengonfirmasi serangan ransomware tersebut.

“Perusahaan mengklaim telah menjadi korban serangan virus, tetapi perusahaan merahasiakan motif serangan. Peretas telah menyusup dan mengirim virus yang mengenkripsi semua file di sistem Windows-nya,” demikian pernyataan Light S.A. dalam koran tersebut, seperti dikutip dari Securityaffairs.co, diakses Senin (6 Juli 2020).

Sayangnya, perusahaan tak menjelaskan detail serangan itu. Peneliti keamanan siber di AppGate mengungkapkan dugaan kuat bahwa aktor di balik itu adalah geng REvil.

Peneliti berkesimpulan begitu setelah menganalisis sampel malware yang diduga telah dipakai oleh penyerang. Sampel dikumpulkan secara otomatis oleh AppGate Labs pada 17 Juni 2020 melalui proses perburuan langsung, tulis peneliti.

Ketika kode biner sampel malware itu muncul di sandbox publik, kata peneliti, tampaknya ada internal perusahaan yang mengirimkan cara kerja file jahat itu.

"Tim analisis malware kami memiliki akses ke kode biner yang kemungkinan digunakan dalam serangan itu dan kami dapat mengonfirmasi bahwa sampel berasal dari keluarga Sodinokibi (alias REvil)," demikian laporan AppGate.

Meski mereka tidak dapat mengonfirmasi file yang diteliti sama persis yang digunakan dalam serangan itu, bukti menunjukkan, bahwa sampel dikemas dengan kode biner yang biasa dipakai REvil.

AppGate juga mendapati sebuah unggahan di deep web, hanya bisa diakses dengan browser tertentu, uang tebusan itu berbentuk mata uang kripto Monero. Penyerang meminta dibayar pada 19 Juni. Nilainya setara US$ 7 juta. Karena tak digubris, peretas melipatgandakan tebusan menjadi US$ 14 juta.

Permintaan tebusan | Sumber: AppGate

---

Menurut peneliti AppGate, seluruh serangan terlihat sangat profesional, halaman web bahkan menyertakan dukungan obrolan, di mana korban dapat berbicara langsung dengan penyerang.

Geng Sodinokibi bekerja sebagai model RaaS (ransomware sebagai layanan). Artinya, mereka bisa menyewakan tools peretasan kepada siapa saja dengan imbalan bagi hasil.

Kelompok tersebut juga tampaknya berafiliasi dengan "Pinchy Spider", aktor yang sama di balik ransomware GandCrab, menurut peneliti.

Peneliti AppGate mencatat bahwa sampel malware menggunakan eksploitasi 32-bit dan 64-bit untuk kerentanan CVE-2018-8453 untuk bisa mendapatkan akses hak istimewa.

"Sayangnya, tidak ada dekripsi global untuk ransomware ini, yang berarti bahwa kunci pribadi peretas diperlukan untuk mendekripsi file," AppGate menyimpulkan.

"Selama periode serangan, kami perhatikan bahwa situs web perusahaan dalam kondisi offline, menampilkan pesan eror terkait dengan basis data, yang mungkin terkait dengan serangan itu,” tambah peneliti.[]

Redaktur: Andi Nugroho