Gigabyte Diduga Terkena Ransomware AvosLocker

Geng ransomware AvosLocker mengklaim bahwa mereka melanggar raksasa teknologi Gigabyte dan telah membocorkan sampel dari apa yang diklaimnya sebagai file yang dicuri dari jaringan perusahaan Taiwan. Itu menawarkan untuk menjual sisanya.

Pada hari Rabu, geng itu memposting “siaran pers” yang mengumumkan bahwa mereka konon telah memusnahkan pembuat motherboard/server, meskipun tidak mengatakan kapan atau bagaimana. File yang bocor, dilihat oleh PrivacySharks dan oleh Threatpost, tampaknya berisi detail rahasia mengenai kesepakatan dengan perusahaan pihak ketiga dan informasi yang dapat diidentifikasi tentang karyawan.

PrivacySharks telah menghubungi AvosLocker untuk informasi lebih lanjut tentang pelanggaran tersebut. Threatpost telah menjangkau Gigabyte tetapi belum mendapat tanggapan.

Di bawah ini adalah tangkapan layar dari pengumuman AvosLocker, yang mengacu pada perjanjian kerahasiaan (NDA) antara Gigabyte dan Barracuda Networks. NDA, yang telah dilihat Threatpost, tertanggal Juni 2007 dan ditandatangani atas nama Barracuda oleh “Drako” – yang, jika asli, mungkin merujuk pada salah satu pendiri Barracuda Dean Drako.

“Gigabyte INC mengalami pelanggaran, dan ini adalah contoh file yang telah kami unduh dari jaringan mereka. Barracuda NDA + daftar direktori lengkap bocor dalam sampel, ”menurut pernyataan AvosLocker.
Notice tentang data Gigabyte yang diklaim diposting di situs kebocoran AvosLocker. Sumber: Leak site.

Apa yang Dibocorkan

Dalam posting hari Kamis, PrivacySharks mengatakan bahwa seorang peneliti keamanan independen yang berafiliasi dengan perusahaan telah melihat konten file 14.9MB yang bocor yang disebut “proof.zip” yang konon dieksfiltrasi dari Gigabyte.

Peneliti mengatakan bahwa ini berisi daftar informasi sensitif berikut:

    • Detail kartu kredit potensial. Untungnya, jika file ini berisi informasi kartu kredit, kartu kredit mungkin kedaluwarsa, karena folder ini berasal dari 2014.

Perincian kata sandi dan nama pengguna.

Detail penggajian karyawan.

Perjanjian HR dengan konsultan serta nama lengkap, gambar, dan CV.

10 PDF dokumen dalam file bernama “Paspor.”

Informasi tentang lebih dari 1.500 kandidat pekerjaan, termasuk nama lengkap, CV, resume, dan lamaran. Ada juga detail Zoom dengan apa yang tampak sebagai informasi pribadi di setiap kandidat.

A folder bernama “Mailchimp” yang berisi informasi Database Akun GSM. Ini dapat mencakup alamat email.

Sebuah folder zip yang berisi NDA dan informasi kesepakatan dengan Barracuda Networks senilai $100,000+.

Selain Barracuda Networks, kebocoran tersebut mencakup berbagai data dari perusahaan terkenal berikut: Amazon, BestBuy, Black Magic, Blizzard, Intel, dan Kingston.

A File .txt bernama “Tree” berisi 133.352 baris nama folder dan file yang dicuri dalam pelanggaran.

Biaya bisnis dari perjalanan seperti “Hawaii 2019”, termasuk uang yang dihabiskan untuk minuman luau, perjalanan Uber, dan tip.

Gambar dari acara perusahaan, termasuk pesta Natal, pesta Halloween, dan “Ulang Tahun Tony”.

PrivacySharks membagikan sejumlah tangkapan layar yang menunjukkan pohon file dari tempat sampah. Kecuali seseorang membayar untuk membuka kunci file, siapa pun dapat menebak apa yang sebenarnya ada di dalamnya, tetapi menurut Jake Williams, salah satu pendiri dan CTO di firma respons insiden BreachQuest, nama-nama tersebut menunjukkan bahwa aktor ancaman “berfokus pada kualitas” – keberangkatan dari ransomware fokus khas penyerang untuk mengambil apa saja dan segalanya.
“Detail dalam pohon file harus sangat mengkhawatirkan Gigabyte karena mereka mempertimbangkan dampak pelanggaran ini,” kata Williams kepada Threatpost melalui email pada hari Kamis. “Dalam kebanyakan skema pemerasan ganda, pencurian data berfokus pada kuantitas daripada kualitas. Pohon file dari dump ini menunjukkan bahwa dalam kasus ini, aktor ancaman berfokus pada kualitas. … Pohon file (daftar direktori) yang diejek oleh AvosLocker tampaknya merupakan jenis data yang akan berharga bagi banyak penjahat dunia maya.
Williams memperkirakan bahwa pencurian detail kontrak, seperti NDA yang diklaim dengan Barracuda, “tidak diragukan lagi akan merusak hubungan dengan vendor dan menyebabkan kerugian reputasi yang signifikan bagi Gigabyte.”
Sekali lagi, sulit bagi pihak luar untuk mengevaluasi nilai rahasia dagang yang mungkin atau mungkin tidak disertakan dalam dump hanya berdasarkan nama file dan direktori. Williams mengatakan bahwa itu adalah taruhan yang pasti bahwa  Gigabyte sekarang “dengan giat mengevaluasi konten file dalam daftar direktori dan mengevaluasi dampak dari kemungkinan rilisnya”.

Bisakah Serangan Menimbulkan Riak Rantai Pasokan? dan platform Intel. Ini juga memproduksi kartu grafis dan notebook dalam kemitraan dengan AMD dan Nvidia, termasuk chipset Turing Nvidia dan chipset AMD Vega dan Polaris. PrivacySharks menyarankan bahwa jika kebocoran tersebut ternyata menyertakan kunci master Gigabyte – yaitu, kunci yang mengidentifikasi produsen perangkat keras sebagai pengembang asli – pelaku ancaman dapat menggunakannya untuk  memaksa perangkat keras mengunduh driver palsu, pembaruan BIOS, atau lainnya, seperti yang terjadi pada SolarWinds.

At Pada titik ini, para ahli PrivacySharks hanya menemukan dua file .KEY dan beberapa file .CRT, yang menunjukkan bahwa “pelanggaran ini tidak mengandung atau sangat sedikit data dari departemen keamanan/teknologi,” menurut artikel tersebut. “Namun, jika Gigabyte mencabut kunci apa pun dalam waktu dekat, ingatlah kemungkinan ini,” saran PrivacySharks.

Data Baik Baru dan Lama?

Jika file yang bocor ternyata sah, beberapa berasal dari pelanggaran baru, dengan file berasal dari baru-baru ini sebagai May.

“Ini menunjukkan bahwa ini adalah kebocoran baru dengan data baru,” menurut PrivacySharks. “Tidak hanya itu, tetapi tanggal file berarti bahwa beberapa data yang dapat diidentifikasi secara pribadi (seperti informasi orang yang diwawancarai, kata sandi dan kredensial nama pengguna, dll.) Dapat diperbarui, dan oleh karena itu, berisiko disusupi. .”

Kemudian lagi, mereka juga sudah tua, seperti, bertahun-tahun, yang menimbulkan pertanyaan: Mengapa file-file itu masih berkeliaran? Mengapa, jika file-file ini benar-benar data Gigabyte, apakah perusahaan menyimpan data sensitif begitu lama, alih-alih menghapusnya sesuai aturan seperti Peraturan Perlindungan Data Umum (GDPR) Uni Eropa, Privacy Sharks bertanya.

“Beberapa data yang bocor mempertanyakan bagaimana Gigabyte menyimpan dan menggunakan data, ”tulisan itu menyarankan. “Misalnya, kami sangat terkejut menemukan sejumlah besar data yang dapat diidentifikasi tentang pelamar kerja, termasuk CV dan resume, yang biasanya mencakup data pribadi seperti tanggal lahir, alamat email, dan nomor telepon.

“Sebagai aturan praktis, perusahaan tidak boleh menyimpan data kandidat setelah proses perekrutan selesai, dan kebocoran data Gigabyte menunjukkan alasannya, karena informasi ini dapat jatuh ke tangan yang salah. Untuk alasan ini, UE memiliki undang-undang GDPR yang mewajibkan perusahaan untuk menghapus data seperti ini.”

Twice Bitten, Twice Not Paying?

Ini akan menjadi hit kedua Gigabyte dalam beberapa bulan. Pada bulan Agustus, dilaporkan sebagai korban serangan siber dari perusahaan ransomware bernama RansomEXX, meskipun perusahaan tidak mengidentifikasi nama penyerang.

Penyerang mengancam akan melepaskan 112GB data yang mencakup dokumen berharga dan rahasia dari Intel, AMD, dan Megatren Amerika. Belum jelas apakah serangan Agustus terkait dengan serangan baru-baru ini oleh AvosLocker.

Jumlah permintaan tebusan tidak dirilis. Juga tidak ada tanda bahwa Gigabyte membayar berapa pun jumlahnya. Pada saat itu, Gigabyte memberi tahu The Record bahwa mereka telah mengisolasi server yang terpengaruh, memberi tahu penegak hukum, dan memulai penyelidikan.
Oliver Tavakoli, CTO di perusahaan keamanan siber AI Vectra, mengatakan kepada Threatpost pada hari Kamis bahwa, meskipun sulit untuk mengetahui sejauh mana AvosLocker pelanggaran dari sampel, itu tidak terlihat seserius pelanggaran Agustus. “Itu tidak termasuk tanda-tanda hal-hal yang akan dianggap sebagai kekayaan intelektual,” katanya melalui email. “Kebocoran file terkait SDM tentu saja bisa memalukan, tetapi saya tidak membayangkan bahwa janji untuk tidak membocorkannya akan menghasilkan tebusan yang signifikan.” target juicy bersedia membayar lebih dari dolar beaucoup. Pada bulan Mei, REvil meminta tebusan $50 juta dari pembuat komputer Acer. Itu berlanjut dengan copy-paste sebulan kemudian, meluncurkan serangan berani pada Apple hanya beberapa jam sebelum peluncuran produk barunya yang heboh,  lagi-lagi menuntut bayaran $50 juta yang besar.

AvosLocker dan Lelangnya Gimmick

Seperti yang dilaporkan Cyble pada bulan Juli, AvosLocker adalah ransomware baru kelompok yang telah menginfeksi mesin Windows dengan malware yang terutama didistribusikan melalui kampanye email spam atau iklan yang funky.

Awal bulan ini, geng dilaporkan mengubah situsnya untuk menciptakan cara melelang data korban bandel yang menolak membayar uang tebusan. Ini bukan geng ransomware pertama yang melakukan aksi ini, yang dimaksudkan untuk menambahkan sekrup lain ke langkah pemerasan ganda tidak hanya membekukan sistem korban tetapi juga mengancam akan mempublikasikan data curian jika mereka tidak membayar. Faktanya, geng ransomware lain membuat titik tekanan tambahan pada tahun 2020, termasuk geng ransomware REvil.

Tapi para ahli ransomware mengatakan bahwa ancaman lelang tidak nyata dan tidak boleh dianggap serius.

Ini hanya bentuk intimidasi korban, dan “yang sangat berkualitas rendah” pada saat itu, menurut kepala penelitian Yelisey Boguslavskiy di perusahaan pencegahan risiko cyber Advanced Intelligence.

“Ini hanyalah sebuah tombol di situs web,” kata Boguslavskiy kepada Threatpost pada hari Kamis.

lelang memang ada – [forum Exploit menjadi] kasus yang paling patut dicontoh,” katanya. “Namun, pada tahun-tahun keberadaan forum, tidak pernah ada kasus ketika aktor datang ke Exploit dengan [penawaran] yang mirip dengan yang dibuat oleh grup RaaS [ransomware as-a-service].”

Sederhananya, “tidak ada yang di bawah tanah telah menawarkan file curian, karena ini bukan yang bersedia dibayar oleh para aktor,” kata Boguslavskiy. “Tombol lelang benar-benar palsu. Tidak ada kemungkinan siapa pun akan menggunakannya hanya karena tidak berguna.”

Same Old Same Old

Boguslavskiy mengatakan bahwa kasus seperti ini menjadi “sangat khas untuk ransomware pasca-2020/2021.”

Serangan semacam itu datang dari kelompok yang lebih kecil atau kelompok dengan biasa-biasa saja keterampilan yang “percaya bahwa mereka dapat memeras uang tebusan hanya dengan mencuri dan mempublikasikan data di blog yang memalukan,” katanya. “Namun, pemerasan semacam itu hanya berfungsi sebagai pengganda kekuatan atau komponen integral dari operasi ransomware holistik yang lebih besar yang dibangun untuk memaksimalkan risiko bagi korban jika mereka tidak membayar.”

AdvIntel menggunakan Conti sebagai contoh: Sementara grup RaaS mencuri data dan mengancam untuk mempublikasikannya, Conti mengintegrasikan metodologi ke dalam konteks yang lebih besar, yang digambarkan Boguslavskiy sebagai mengunci dan mengenkripsi jaringan, menghapus cadangan, menyelidiki jaringan selama berminggu-minggu untuk mengidentifikasi informasi paling penting dan melakukan negosiasi cerdas.

“Dengan kata lain, ransomware kelompok pasti dapat memanfaatkan eksfiltrasi data untuk mendapatkan bayaran, namun hanya jika mereka melakukannya dengan cara yang sangat cerdas, strategis, dan canggih,” jelasnya. “Dan ini tidak terjadi dengan AvosLocker dan/atau 80 persen RaaS pada lanskap saat ini (perbedaan besar dari 2019/2020 ketika lebih banyak grup seperti Conti).”

Ini seperti operasi jantung, katanya: “Grup seperti AvosLocker, REvil, atau LockBit mencoba melakukan operasi tanpa memiliki keterampilan dan peralatan, dan akibatnya, mereka tidak mendapatkan uang tebusan.”

Ancaman Sederhana Membuang Berkas Jangan Menakut-nakuti Korban

“Mereka percaya bahwa ancaman sederhana membuang kumpulan file di blog akan memaksa korban untuk membayar,” kata Boguslavskiy, tapi itu sebagian besar karena media telah dua tahun menakut-nakuti tentang ransomware yang, pada kenyataannya, tidak tahan uji bau.

“[Itu] sama sekali tidak benar,” katanya, dan itu dibuktikan dengan fakta bahwa sejumlah besar data tidak penting dari ratusan perusahaan dibuang ke blog memalukan kelompok ransomware seperti SunCrypt atau LockBit.

Apa lagi yang akan dilakukan penjahat dengan itu?

“Mereka membuangnya di sana karena mereka tidak dibayar. Kelompok-kelompok ini mengharapkan pembayaran besar karena setelah mencuri beberapa file mereka merasa mahakuasa, tetapi pada kenyataannya, bagi mereka, semuanya berakhir bukan dengan ledakan tetapi rengekan (untuk membuatnya lebih puitis), ketika mereka dibiarkan dengan $0 di akun mereka dan tidak ada yang bisa dilakukan selain membuang file di TOR,” komentar Boguslavskiy.

102121 16:20 UPDATE: Menambahkan masukan dari Oliver Tavakoli dan Jake Williams dan informasi tentang serangan ransomware RansomEXX Agustus 2021.

Wagiman Wiryosukiro

Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

You may also like...

%d bloggers like this: