Pemerintah membalikkan keadaan terhadap geng ransomware REvil dengan mendorongnya secara offline – sumber
Spesialis penegakan hukum dan intelijen dunia maya meretas infrastruktur jaringan komputer REvil dan mendapatkan kendali atas setidaknya beberapa server mereka
Kelompok Ransomware REvil sendiri diretas dan dipaksa offline oleh operasi multi-negara minggu ini, menurut tiga pakar siber sektor swasta yang bekerja dengan Amerika Serikat dan seorang mantan pejabat.
Mantan mitra dan rekan geng kriminal pimpinan Rusia bertanggung jawab atas serangan siber pada bulan Mei di Colonial Pipeline yang menyebabkan kekurangan gas yang meluas di Pantai Timur AS. Korban langsung REvil termasuk pengepakan daging terkemuka JBS. Situs web “Happy Blog” milik kelompok kriminal tersebut, yang digunakan untuk membocorkan data korban dan memeras perusahaan, tidak lagi tersedia.
Para pejabat mengatakan serangan kolonial tersebut menggunakan perangkat lunak enkripsi yang disebut DarkSide, yang dikembangkan oleh mitra REvil.
Kepala strategi keamanan siber VMWare, Tom Kellermann, mengatakan aparat penegak hukum dan intelijen menghentikan kelompok tersebut untuk menjadikan perusahaan lain sebagai korban.
“FBI, bekerja sama dengan Cyber Command, Secret Service, dan negara-negara serupa, telah benar-benar terlibat dalam tindakan mengganggu yang signifikan terhadap kelompok-kelompok ini,” kata Kellermann, penasihat Dinas Rahasia AS untuk investigasi kejahatan dunia maya. “REvil berada di urutan teratas dalam daftar.”
Seorang tokoh kepemimpinan yang dikenal sebagai “0_neday,” yang membantu memulai kembali operasi kelompok tersebut setelah penutupan sebelumnya, mengatakan server REvil diretas oleh pihak yang tidak disebutkan namanya.
“Server telah disusupi, dan mereka mencari saya,” tulis 0_neday di forum kejahatan dunia maya akhir pekan lalu, yang pertama kali ditemukan oleh perusahaan keamanan Recorded Future. “Semoga beruntung semuanya; Aku pergi.”
Upaya pemerintah AS untuk menghentikan REvil, salah satu dari puluhan geng ransomware terburuk yang bekerja sama dengan peretas untuk menembus dan melumpuhkan perusahaan di seluruh dunia, semakin cepat setelah kelompok tersebut menyusupi perusahaan manajemen perangkat lunak AS Kaseya pada bulan Juli.
Pelanggaran tersebut membuka akses ke ratusan pelanggan Kaseya sekaligus, yang menyebabkan banyak panggilan darurat untuk menangani insiden dunia maya.
Kunci dekripsi
Setelah serangan terhadap Kaseya, FBI memperoleh kunci dekripsi universal yang memungkinkan mereka yang terinfeksi melalui Kaseya memulihkan file mereka tanpa membayar uang tebusan.
Namun penegak hukum awalnya menahan kunci tersebut selama berminggu-minggu sementara staf REvil, the FBI kemudian mengakuinya.
Spesialis penegakan hukum dan intelijen dunia maya mampu meretas infrastruktur jaringan komputer REvil dan mendapatkan kendali atas setidaknya beberapa server mereka, menurut tiga orang yang mengetahui masalah tersebut.
Setelah situs web yang digunakan kelompok peretas untuk melakukan bisnis menjadi offline pada bulan Juli, juru bicara utama kelompok tersebut, yang menyebut dirinya “Tidak Dikenal”, menghilang dari Internet.
Ketika anggota geng 0_neday dan lainnya memulihkan situs tersebut dari cadangan bulan lalu, dia tanpa sadar memulai kembali beberapa sistem internal yang sudah dikendalikan oleh penegak hukum.
“Geng ransomware REvil memulihkan infrastruktur cadangan dengan asumsi bahwa infrastruktur tersebut tidak disusupi,” kata Oleg Skulkin, wakil kepala laboratorium forensik di perusahaan keamanan Group-IB yang dipimpin Rusia. “Ironisnya, taktik favorit geng tersebut, yaitu mengkompromikan cadangan, malah merugikan mereka.”
Cadangan yang andal adalah salah satu pertahanan terpenting terhadap serangan ransomware, tetapi cadangan tersebut tidak boleh dihubungkan dari jaringan utama, jika tidak, cadangan tersebut juga dapat dienkripsi oleh pemeras seperti REvil.
Juru bicara Dewan Keamanan Nasional Gedung Putih menolak berkomentar secara spesifik mengenai operasi tersebut.
“Secara umum, kami melakukan upaya ransomware yang dilakukan oleh seluruh pemerintah, termasuk mengganggu infrastruktur dan pelaku ransomware, bekerja sama dengan sektor swasta untuk memodernisasi pertahanan kami, dan membangun koalisi internasional untuk meminta pertanggungjawaban negara-negara yang menampung pelaku ransomware,” kata orang itu. .
FBI menolak berkomentar.
Seseorang yang mengetahui peristiwa tersebut mengatakan bahwa mitra asing pemerintah AS melakukan operasi peretasan yang menembus arsitektur komputer REvil. Seorang mantan pejabat AS, yang enggan disebutkan namanya, mengatakan operasi tersebut masih aktif.
Keberhasilan ini berasal dari tekad Wakil Jaksa Agung AS Lisa Monaco bahwa serangan ransomware terhadap infrastruktur penting harus diperlakukan sebagai masalah keamanan nasional yang serupa dengan terorisme, kata Kellermann.
Pada bulan Juni, Wakil Kepala Jaksa Agung John Carlin mengatakan kepada Reuters Departemen Kehakiman telah meningkatkan penyelidikan terhadap serangan ransomware ke prioritas yang sama.
Tindakan tersebut memberikan dasar hukum bagi Departemen Kehakiman dan lembaga lainnya untuk mencari bantuan dari badan intelijen AS dan Departemen Pertahanan, kata Kellermann.
“Sebelumnya, Anda tidak bisa meretas forum-forum ini, dan militer tidak ingin melakukan apa pun terhadap hal itu. Sejak itu, sarung tangan telah dilepas.” – Rappler.com
