Cyberthreat.id - Salah satu brand di bawah naungan operator kapal pesiar Carnival Corporation diserang ransomware pada Sabtu (15 Agustus 2020). Insiden ini disampaikan perusahaan dalam formulir 8-K - formulir pemberitahuan terkait kejadian penting - yang diajukan ke Securities and Exchange Commission (SEC) Amerika Serikat (AS). 

Carnival Corporation adalah operator kapal pesiar terbesar di dunia dengan lebih dari 150.000 karyawan dan 13 juta tamu setiap tahunnya. Beberapa kapal pesiar dibawah Carnival Corporation antara lain Carnival Cruise Line, P&O Australia, P&O Cruises, Princess Cruises, Holland American Line, AIDA, Cunard, dan yang paling mewah Seabourn.

Dalam formulir 8-K, Carnival mengatakan penyerang atau operator dibalik ransomware telah mengakses dan mengenkripsi sebagian dari sistem teknologi informasi sebuah merek yang mereka jalankan.

"Akses tidak sah juga termasuk mengunduh beberapa file data kami," tulis Carnival dilansir BleepingComputer, Senin (17 Agustus 2020).

Kemungkinan besar data sudah dicuri operator dibalik ransomware. Artinya, dampak lain dari serangan ransomware ini adalah pelanggaran data. 

"Kami perkirakan sebelumnya, insiden keamanan itu mencakup akses tidak sah ke data pribadi tamu dan karyawan yang dapat mengakibatkan potensi klaim dari tamu, karyawan, pemegang saham, atau badan pengatur."

Dalam surat pemberitahuannya ke SEC, Carnival tidak menjelaskan operasi ransomware yang meretas jaringannya, baik varian ransomware yang digunakan dalam serangan ini atau merek yang terdampak. Carnival masih melakukan investigasi atas insiden Ransomware dan pelanggaran data ini.

"Segala informasi di luar 8-K tidak akan kami bahas karena saat ini (insiden) masih dalam proses penyelidikan," tulis Carnival dalam keterangan kepada BleepingComputer.

Menurut firma intelijen keamanan siber, Bad Packets, korporasi sekelas Carnival menggunakan perangkat edge gateway yang memungkinkan penyerang mendapatkan akses ke dalam jaringan perusahaan.

Ada dua kemungkinan kerentanan yang disebutkan Bad Packets.

Pertama, kerentanan yang diidentifikasi sebagai CVE-2019-19781, untuk perangkat Citrix ADC (NetScaler). Ketika kerentanan ini dieksploitasi, hacker dapat mengakses jaringan internal perusahaan. Kerentanan ini sudah ditambal pada Januari 2020 lalu.

Kedua, kerentanan diidentifikasi sebagai CVE-2020-2021 yang terdapat di firewall Palo Alto Networks. Kerentanan ini memungkinkan penyerang berbasis jaringan yang tidak diautentikasi untuk melewati otentikasi. Kerentanan ini telah diperbaiki pada Juni 2020. 

Salah satu dari kedua kerentanan ini memungkinkan operator ransomware untuk mendapatkan akses ke jaringan perusahaan secara diam-diam. Artinya, setelah mendapatkan akses, operator meluncurkan serangannya ke komputer lain dan memanen kredensial jaringan.

Tidak diketahui apakah salah satu dari kerentanan ini digunakan dalam serangan ke Carnival. Kerentanan ini biasanya disalahgunakan oleh operator ransomware dalam jenis serangan seperti ini. []

Redaktur: Arif Rahman