Atlantic.Net menyediakan penasihat keamanan ini sebagai item berita. Kami ingin meyakinkan pelanggan kami bahwa Atlantic.Net tidak menggunakan produk ini yang terpengaruh oleh eksploitasi ini secara internal atau dalam penawaran layanan kami.
Mengenai laporan yang beredar tentang serangan ransomware cybercriminal yang berani mengeksploitasi server internal departemen kepolisian Washington DC. Tangkapan layar dari server file internal departemen diunggah ke situs ransomware Babuk Locker dan dipublikasikan ke darknet pada 26 April 2021.
Departemen Kepolisian Metropolitan (MPD) mengatur kota Washington DC. Mereka adalah kepolisian tingkat tinggi yang mengawasi beberapa lokasi pemerintah. Mereka baru-baru ini dipanggil untuk melindungi dari penyerbuan 6 Januari 2021 di Gedung Capitol Amerika Serikat. Penyiar AS berspekulasi bahwa MPD menjadi sasaran karena alasan ini.
Apa yang kami ketahui tentang pelanggaran data?
Peretas memperoleh akses tidak sah ke komputer MPD dan mengunduh lebih dari 250GB file yang sangat sensitif dan tidak terenkripsi. Ini adalah bagian dari serangan siber tingkat lanjut di mana server polisi disusupi pada atau sekitar 19 April 2021.
Geng ransomware menyatakan di situs web mereka bahwa data yang diunduh mencakup informasi tentang informan polisi, geng jalanan DC, dan informasi sensitif tentang petugas polisi yang melayani. MPD mengonfirmasi pelanggaran tersebut pada 27 April, juru bicara Sean Hickman mengatakan, “Kami mengetahui adanya akses tidak sah di server kami.”
Kemudian dilaporkan bahwa MPD bekerja sama dengan FBI untuk melawan ancaman serius yang sedang berlangsung ini. Serangan itu diyakini bermotif finansial. Dalam serangan siber Babuk sebelumnya menerbitkan uang tebusan di situs web mereka, tetapi tidak diketahui untuk apa uang tebusan telah ditetapkan untuk MPD. Babuk memberi waktu 3 hari kepada MPD untuk menanggapi tebusan atau mereka akan mulai merilis informasi sensitif.
Ransomware Babuk dan grupnya sendiri adalah pendatang baru di tempat kejadian, pertama kali menjadi perhatian kami pada Januari 2021. Mereka diketahui telah terlibat dalam setidaknya 5 pelanggaran data perusahaan besar, termasuk perusahaan Inggris Serco Group PLC, pemerintah Inggris. perusahaan jasa.
McAfee telah menyelesaikan analisis teknis mendalam tentang ransomware Babuk. Singkatnya, malware menghapus salinan bayangan dari server, mirip dengan cadangan sistem lokal. File dienkripsi dengan kunci menggunakan algoritme ChaCha yang sangat kuat, membuat kunci tidak mungkin diretas.
Apa kemungkinan penyebab pelanggaran?
Kami masih mempelajari persis bagaimana MPD ditargetkan, karena detailnya tipis di lapangan. Saat kami mempertimbangkan serangan ransomware Babuk sebelumnya, kemungkinan besar serangan tersebut adalah salah satu dari berikut ini:
- Pishing Tombak Email – kampanye phishing biasanya merupakan penyebab nomor satu dari pelanggaran data. Peretas terlibat dengan personel garis depan untuk mendapatkan kepercayaan mereka atau menipu mereka untuk mengunduh lampiran malware dari email. Setelah diunduh, muatan malware dijalankan menggunakan berbagai lapisan kecanggihan untuk menyusupi jaringan korban.
- Aplikasi Menghadapi Publik yang Dapat Dieksploitasi – ini bisa berupa aplikasi, situs web, atau URL apa pun yang terbuka ke internet publik. Setiap aplikasi berpotensi dieksploitasi; inilah mengapa patching dan pembaruan keamanan sangat penting.
- Serangan Desktop Jarak Jauh – vektor serangan lain yang terbukti adalah serangan RDP brute force pada titik akhir yang rentan. Jika sebuah perusahaan secara eksternal menghadapi koneksi desktop jarak jauh, semua yang berdiri di antara peretas dan server adalah nama pengguna dan kata sandi. Jika koneksi RDP diamankan dengan kredensial yang lemah, ini dapat ditebak dengan relatif cepat oleh alat peretasan.
- Penambangan Data/Keylogging/Infostealer – kemungkinan lain, dan meskipun kecil kemungkinannya, kredensial mungkin telah ditemukan di repositori kode online MPD, atau terminal mungkin telah disusupi untuk mencuri kredensial ke komputer polisi.
Apa yang terjadi selanjutnya?
Sejauh ini MPD tetap bungkam, hanya mengkonfirmasi pelanggaran tetapi tidak memberikan komentar tentang konten yang diduga dicuri dari server MPD. Saat ini, sepertinya kita sedang menunggu berakhirnya tenggat waktu 3 hari yang diberikan kepada MPD. Tidak mungkin MPD akan membayar uang tebusan, dan saran FBI biasanya tidak membayar uang tebusan, tetapi mengingat potensi sensitivitas ekstrim dari data yang dikompromikan, terutama daftar kemungkinan informan polisi, Atlantic.Net akan mengawasi bagaimana situasinya.
Jika bisnis Anda mengkhawatirkan keamanan siber, silakan hubungi Atlantic.Net. Kami adalah spesialis dalam Layanan Terkelola, Hosting Cloud Khusus, dan kepatuhan HIPAA. Keamanan infrastruktur kami sangat penting, dan kami bekerja keras untuk memastikan kami memiliki proses keamanan terbaik.