Ransomware Menghantam Perusahaan Pipeline Lain—dan 70GB Data Bocor


Ketika peretas ransomware menghantam Colonial Pipeline bulan lalu dan mematikan distribusi gas di sebagian besar Pantai Timur Amerika Serikat, dunia terbangun dengan bahaya gangguan digital dari industri pipa petrokimia. Sekarang tampaknya bisnis lain yang berfokus pada pipeline juga dihantam oleh kru ransomware pada waktu yang hampir bersamaan, tetapi tetap merahasiakannya—bahkan ketika 70 gigabyte file internalnya dicuri dan dibuang ke dark web.

Sebuah grup yang mengidentifikasi dirinya sebagai Tim Xing bulan lalu memposting ke situs web gelapnya kumpulan file yang dicuri dari LineStar Integrity Services, sebuah perusahaan yang berbasis di Houston yang menjual layanan audit, kepatuhan, pemeliharaan, dan teknologi kepada pelanggan pipa. Data tersebut, pertama kali terlihat online oleh grup transparansi gaya WikiLeaks Distributed Denial of Secrets, atau DDoSecrets, mencakup 73.500 email, file akuntansi, kontrak, dan dokumen bisnis lainnya, sekitar 19 GB kode perangkat lunak dan data, dan 10 GB sumber daya manusia. file yang mencakup pindaian SIM karyawan dan kartu Jaminan Sosial. Dan sementara pelanggaran tersebut tampaknya tidak menyebabkan gangguan pada infrastruktur seperti insiden Colonial Pipeline, peneliti keamanan memperingatkan bahwa data yang tumpah dapat memberikan peta jalan kepada peretas untuk menargetkan lebih banyak saluran pipa. LineStar tidak menanggapi permintaan komentar.

DDoSecrets, yang melakukan praktik menjaring data yang dibocorkan oleh kelompok ransomware sebagai bagian dari misinya untuk mengekspos data yang dianggap layak untuk pengawasan publik, menerbitkan 37 gigabyte data perusahaan ke situs kebocorannya pada hari Senin. Grup tersebut mengatakan berhati-hati untuk menyunting data dan kode perangkat lunak yang berpotensi sensitif—yang menurut DDoSecrets dapat memungkinkan peretas lanjutan untuk menemukan atau mengeksploitasi kerentanan dalam perangkat lunak pipa—serta materi sumber daya manusia yang bocor, dalam upaya untuk meninggalkan karyawan LineStar. ‘ informasi yang sensitif dan dapat diidentifikasi secara pribadi.

Tetapi file yang tidak diedit, yang telah ditinjau oleh WIRED, tetap online. Dan mereka mungkin menyertakan informasi yang dapat memungkinkan tindak lanjut penargetan saluran pipa lainnya, kata Joe Slowik, peneliti intelijen ancaman untuk perusahaan keamanan Gigamon yang telah berfokus pada keamanan infrastruktur kritis selama bertahun-tahun sebagai mantan kepala respons insiden di Los Alamos National Labs. Sementara Slowik mencatat bahwa masih belum jelas informasi sensitif apa yang mungkin disertakan dalam kebocoran 70 GB, ia khawatir bahwa itu dapat mencakup informasi tentang arsitektur perangkat lunak atau peralatan fisik yang digunakan oleh pelanggan LineStar, mengingat LineStar menyediakan teknologi informasi dan perangkat lunak sistem kontrol industri. ke pelanggan pipa.

“Anda dapat menggunakannya untuk mengisi banyak data penargetan, tergantung pada apa yang ada di sana,” kata Slowik. “Ini sangat memprihatinkan, mengingat potensi bahwa ini bukan hanya tentang informasi SIM orang atau item terkait SDM lainnya, tetapi berpotensi data yang terkait dengan pengoperasian jaringan ini dan fungsionalitasnya yang lebih penting.”

Tim Xing adalah pendatang baru di ekosistem ransomware. Tetapi sementara grup itu menulis namanya dengan karakter Cina di situs web gelapnya—dan berasal dari kata Mandarin untuk “bintang”—ada sedikit alasan untuk percaya bahwa grup itu adalah Cina berdasarkan nama itu saja, kata Brett Callow, seorang ransomware- peneliti terfokus dengan perusahaan antivirus Emsisoft. Callow mengatakan dia melihat Tim Xing menggunakan versi merek baru dari malware Mount Locker untuk mengenkripsi file korban, serta mengancam untuk membocorkan data yang tidak terenkripsi sebagai cara untuk memeras target agar membayar. Dalam kasus LineStar, Tim Xing tampaknya telah menindaklanjuti ancaman itu.

Kebocoran itu pada gilirannya dapat menjadi batu loncatan bagi peretas ransomware lainnya, yang sering menyisir tempat pembuangan data web gelap untuk mendapatkan informasi yang dapat digunakan untuk menyamar sebagai perusahaan dan menargetkan pelanggan mereka. “Jika Anda mencuri data dari perusahaan saluran pipa, itu memungkinkan Anda membuat email spearphishing yang cukup konvensional ke perusahaan saluran pipa lain,” kata Callow. “Kami benar-benar tahu bahwa kelompok melakukan itu.”

Diposting oleh : SGP Prize