Cyberthreat.id -  Sebuah rumah sakit pendidikan milik Universitas New Jersey (UHNJ), Amerika Serikat, terpaksa harus membayar uang tebusan sebesar US$ 670 ribu atau setara hampir Rp10 miliar untuk mencegah penyebaran 240 GB data yang dicuri peretas, termasuk data pasien.

Serangan terhadap rumah sakit terjadi awal September oleh operasi ransomware yang dikenal sebagai SunCrypt yang menyusup ke jaringan, mencuri file yang tidak dienkripsi, dan kemudian mengunci semua data sehingga tidak bisa diakses. (Baca: Rumah Sakit Universitas Ini Diserang Ransomware SunCrypt, 48 Ribu Dokumen Bocor).

Setelah operator SunCrypt secara terbuka memposting arsip 48.000 dokumen milik UHNJ, perwakilan rumah sakit menghubungi pelaku melalui portal pembayaran web gelap mereka untuk merundingkan penghentian publikasi data pasien lebih lanjut.

BleepingComputer yang melihat percakapan antara pihak rumah sakit dan pelaku serangan menyebutkan terjadi negosiasi hangat yang aneh antara kedua pihak.

Setelah sampel data pribadi rumah sakit yang dicuri dipublikasikan di situs kebocoran data SunCrypt, rumah sakit tersebut menghubungi pelaku melalui situs pembayaran Tor. Pelaku kemudian meminta tebusan US$ 1,7 juta. Namun, dengan alasan situasi pandemi Covid-19, pelaku mengatakan nilainya masih bisa dinegosiasikan.

Karena hanya dua server UHNJ yang datanya dienkripsi, pihak rumah sakit mengatakan lebih peduli terhadap data pasien. Karena itu, mereka bersedia membayar uang tebusan untuk mencegah datanya dirilis lebih jauh.

"Kami ingin mencegah kebocoran data kami lebih lanjut dan itulah mengapa kami di sini berbicara dengan Anda," kata UHNJ kepada operator ransomware.

Tidak sepenuhnya jelas informasi apa yang terkandung dalam file yang dicuri, tetapi operator ransomware mengklaim memiliki "scan ID, DOB, SSN, jenis penyakit."

Setelah serangkaian negosiasi bolak-balik, mereka menyetujui tebusan sebesar US$ 672.744, atau 61,90 bitcoin. Rumah sakit mengirimkan pembayaran ke alamat bitcoin yang diberikan.

Rekaman blockchain bitcoin menunjukkan catatan yang memperlihatkan ada pengiriman 61,9 bitcoin ke alamat bitcoin pelaku serangan pada 19 September.

Setelah negosiasi selesai, operator ransomware mengatakan kepada UHNJ, "Kamu juga melakukan pekerjaan dengan baik. Manajemen kami berhutang kepada kami."

Sebagai bagian dari negosiasi, operator ransomware setuju untuk memberikan decryptor untuk membuka kuncian data, semua data yang dicuri, laporan keamanan, dan membuat perjanjian untuk tidak mengungkapkan data yang dicuri atau menyerang UHNJ lagi.

Menurut laporan keamanan yang diterima oleh UHNJ, jaringan mereka telah disusupi setelah seorang karyawan terkena jebakan penipuan phishing dan memberikan kredensial jaringan mereka.

Operator ransomware kemudian menggunakan kredensial jaringan yang dicuri ini untuk masuk ke server Citrix UHNJ dan mendapatkan akses ke jaringan.[]