Pejabat keamanan dunia maya AS dan Inggris telah memperingatkan bahwa peretasan program transfer file yang populer di kalangan perusahaan oleh geng pemeras dunia maya Rusia dapat berdampak luas secara global. Korban awal pencurian data termasuk BBC, British Airways, dan pemerintah Nova Scotia.
“Ini mungkin salah satu pelanggaran paling signifikan dalam beberapa tahun terakhir,” kata Brett Callow, seorang analis di perusahaan keamanan siber Emsisoft. “Kami akan memiliki pemahaman yang lebih baik tentang betapa pentingnya hal ini karena lebih banyak detail muncul tentang jumlah dan jenis organisasi yang terpengaruh.”
Sindikat ransomware Cl0p mengumumkan di web gelapnya Selasa malam bahwa korbannya – yang katanya berjumlah ratusan – memiliki waktu hingga 14 Juni untuk menghubungi untuk menegosiasikan uang tebusan atau membuang data yang dicuri secara online.
Program yang dieksploitasi, MOVEit, banyak digunakan oleh bisnis untuk berbagi file dengan aman. Perusahaan induk pembuatnya di Amerika, Progress Software, memperingatkan pelanggan tentang pelanggaran tersebut pada 31 Mei dan mengeluarkan tambalan. Tetapi peneliti keamanan siber mengatakan lusinan, jika bukan ratusan, perusahaan mungkin telah secara diam-diam mengekstraksi data sensitif saat itu.
“Tidak diragukan lagi ada organisasi yang bahkan tidak tahu bahwa mereka sedang terpengaruh,” kata Caitlin Condon, manajer senior penelitian keamanan di perusahaan keamanan siber Rapid7, mencatat bahwa MOVEit sangat populer di Amerika Utara.
“Kami telah melihat berbagai macam organisasi yang terpengaruh oleh serangan ini di seluruh layanan kesehatan, layanan keuangan, teknologi, manufaktur, asuransi, pemerintah, dan lainnya,” kata Condon melalui email, menambahkan bahwa lebih banyak bisnis diharapkan mengungkapkan pencurian data, terutama “sebagai persyaratan pelaporan peraturan mulai berlaku”.
Diminta untuk mengkonfirmasi identitas beberapa korban yang dilaporkan, juru bicara Cl0p mengatakan dalam pertanyaan email dari Associated Press: “Kami belum memeriksa file perusahaan, seperti yang dapat Anda lihat di situs web kami; kami telah memberi perusahaan kesempatan untuk memutuskan privasi mereka sebelum tindakan kami.”
Zellis, penyedia layanan penggajian terkemuka di Inggris yang melayani British Airways, BBC, dan ratusan lainnya, adalah salah satu pengguna yang terpengaruh. Zellis mengatakan pada hari Senin bahwa “sejumlah kecil” pelanggannya terpengaruh oleh apa yang disebut profesional keamanan siber sebagai pelanggaran rantai pasokan karena kompromi dari satu vendor perangkat lunak dapat berdampak besar.
“Kami telah memberi tahu rekan-rekan yang informasi pribadinya telah disusupi untuk memberikan dukungan dan saran,” kata British Airways dalam sebuah pernyataan.
BBC, yang mempekerjakan sekitar 22.000 orang di seluruh dunia, mengatakan sedang bekerja sama dengan Zellis untuk menetapkan sejauh mana pelanggaran tersebut. Penyiar mengatakan dalam email yang dikirim ke semua staf dan pekerja lepas Inggris pada hari Senin bahwa data termasuk tanggal lahir, nomor asuransi nasional dan alamat rumah telah diungkapkan. Namun dikatakan bahwa detail rekening bank tampaknya tidak disusupi, dan “tidak ada bukti bahwa data tersebut sedang dieksploitasi”.
Boots rantai bahan kimia Inggris, yang mempekerjakan lebih dari 50.000 orang, juga mengatakan telah membuat staf mengetahui peretasan tersebut.
Pemerintah Nova Scotia mengkonfirmasi pada hari Minggu bahwa itu termasuk di antara para korban dan mengatakan beberapa data warga telah terungkap. Otoritas kesehatan provinsi Kanada menggunakan MOVEit untuk berbagi informasi sensitif dan rahasia.
University of Rochester mengeluarkan pernyataan Jumat lalu yang menyatakan bahwa itu termasuk di antara para korban, tetapi juru bicara Sara Miller tidak akan mengonfirmasi bahwa itu menggunakan MOVEit atau mendiskusikan data apa yang dicuri.
‘Data yang Sangat Sensitif’
“Apa yang mengganggu tentang MOVEit adalah bahwa MOVEit digunakan hampir secara eksklusif oleh organisasi perusahaan untuk berbagi data yang sangat sensitif satu sama lain,” kata Jared Smith, seorang analis ancaman di perusahaan keamanan siber SecurityScorecard. Pada dasarnya, perusahaan yang tidak mempercayai Dropbox atau Google Drive cukup aman untuk bisnis mereka.
Dan itu secara khusus berarti jenis data sensitif yang “menambah lebih banyak bahan bakar ke dalam ekosistem pencurian identitas yang sudah ada,” kata Alex Heid, kepala peneliti di Security Scorecard.
Perusahaan menemukan 2.500 server MOVEit yang rentan di 790 organisasi, termasuk 200 lembaga pemerintah. Smith mengatakan tidak mungkin memecah lembaga-lembaga itu berdasarkan negara. Tidak diketahui berapa banyak server MOVEit yang rentan diretas.
Peretas secara aktif mencari target, menembusnya, dan mencuri data setidaknya sejak 29 Maret, kata Smith.
Cl0p adalah salah satu sindikat kejahatan dunia maya paling produktif di dunia dan ini bukan pertama kalinya ia melanggar program transfer file untuk mendapatkan akses ke data yang kemudian dapat digunakan untuk memeras perusahaan. Kasus lain termasuk server GoAnywhere pada awal 2023 dan perangkat Aplikasi Transfer File Accellion pada 2020 dan 2021.
Dalam penasehat bersama yang dikeluarkan Rabu, Badan Keamanan Siber dan Infrastruktur AS dan FBI mengatakan Cl0p diperkirakan telah “mengkompromikan lebih dari 3.000 organisasi yang berbasis di AS dan 8.000 organisasi global”.
“Karena kecepatan dan kemudahan (yang) dieksploitasi kerentanan ini dan berdasarkan kampanye mereka sebelumnya, FBI dan CISA berharap untuk melihat eksploitasi luas layanan perangkat lunak yang belum ditambal di jaringan pribadi dan publik.”
Cl0p mengklaim itu tidak memeras pemerintah, kota, atau lembaga polisi, tetapi pakar keamanan dunia maya mengatakan itu kemungkinan taktik untuk mencoba menghindari konflik langsung dengan penegak hukum dan bahwa geng yang bermotivasi finansial tidak dapat dipercaya untuk memenuhi janjinya untuk merilis data menghapus apa dicuri dari target tersebut.