Di Israel, serangan ransomware terhadap perusahaan swasta menimbulkan jenis baru ancaman keamanan nasional

Setiap minggu sekitar seribu institusi di Israel terkena serangan cyber. Ini adalah rentetan infiltrasi komputer yang konstan. Sebagian besar adalah serangan ransomware, dan motifnya adalah uang.

Sampai saat ini.

Pada tahun 2021, beberapa insiden menampilkan penyerang yang menuntut tebusan, tetapi perilaku mereka bertentangan dengan pencurian ransomware biasa dan menunjukkan bahwa bersembunyi di bawah permukaan, mereka memiliki tujuan yang berbeda. Mereka mengajukan tuntutan mereka dengan penuh semangat, seolah-olah mereka bermaksud kejahatan mereka menjadi tindakan publik. Targetnya terutama perusahaan menengah seperti aplikasi kencan dan perusahaan asuransi, cukup besar untuk menimbulkan kekhawatiran publik tetapi tidak cukup besar untuk memicu tindakan dari negara Israel. Yang paling jelas, kelompok-kelompok di balik serangan itu telah dikaitkan dengan Iran dalam berbagai tingkat.

“Saya menyebut ini sebagai ancaman hibrida. Ada serangan yang dianggap politik-cyber-ofensif, yang dilakukan oleh negara atau oleh aktor non-negara tetapi dengan agenda politik,” kata Gabi Siboni, kepala program keamanan cyber di The Jerusalem Institute for Technique and Safety. “Dan ada penjahat cyber. Tapi apa yang bisa Anda lihat adalah bahwa itu semakin bercampur. ”

Serangan ransomware generasi baru ini menggarisbawahi bagaimana entrance baru dalam konflik antara Iran dan Israel berkembang. Seolah-olah kejahatan keuangan, ransomware telah menjadi alat kenegaraan dengan tujuan geopolitik untuk merusak ikatan sosial masyarakat Israel dan kepercayaan publik pada lembaga-lembaga negara, daripada merusak infrastruktur atau mengambil keuntungan finansial.

Sementara Direktorat Cyber ​​Israel telah mengeluarkan beberapa rekomendasi dan peringatan tentang “gelombang serangan” baru ini, tanggung jawab untuk melindungi sistem komputer pribadi masih berada di tangan perusahaan. Munculnya ransomware geopolitik mengeksploitasi kerentanan struktural: rute untuk merusak kohesi sosial suatu negara melalui serangan geopolitik yang melewati pertahanan negara.

Oktober lalu, dalam apa yang disebut peretasan “Atraf”, Black Shadow, grup yang memiliki tautan ke Iran, meretas server CyberServe, perusahaan internet hosting Israel, mengakses situs internet dan aplikasi pelanggan perusahaan.

Di antara pelanggannya adalah aplikasi kencan LGBTQ, Atraf. Foundation information aplikasi tidak dienkripsi, sehingga memudahkan peretas untuk mendapatkan informasi pribadi yang sangat sensitif. Sebelum meminta uang tebusan, kelompok itu membuang puluhan ribu catatan dari berbagai situs yang telah ditembusnya. Kebocoran tersebut mencakup seribu profil pengguna di database pelanggan Atraf yang mengungkapkan informasi seperti nama, orientasi seksual, kata sandi tidak terenkripsi, lokasi, dan standing HIV.

See also  Ubisoft+ akan hadir di PlayStation Plus yang serba baru

Para penyerang menuntut $ 1 juta sebagai ganti kunci enkripsi dan mengancam akan membocorkan lebih banyak informasi.

Persamaan Ransomware dengan disinformasi sangat mencolok. Sementara sebagian besar serangan ransomware tingkat tinggi terjadi di AS, Inggris, dan Eropa, sebagian besar serangan terjadi di negara-negara yang menghadapi ketidakstabilan politik, seperti di Amerika Latin dan Afrika.

Banyak organisasi penyanderaan digital berasal dari sarang yang sama di mana kampanye disinformasi dihasilkan, seperti Rusia, Ukraina, Korea Utara, dan Filipina. Ransomware melakukan divisi politik yang sama seperti kampanye disinformasi, perdagangan eksploitasi ketidaksetaraan ekonomi, ketakutan akan imigran, dan kebencian rasial untuk merusak kepercayaan publik pada institusi dan kepercayaan pada stabilitas sosial.

Di mana disinformasi menggunakan kebisingan dan inkoherensi untuk menabur keraguan dan menyebarkan perpecahan, ransomware melakukan hal serupa: ia juga merupakan agen kekacauan. Ini mungkin terlihat seperti cara untuk menghasilkan uang kripto, tetapi efeknya, sering kali disengaja, jauh lebih mendalam.

Peretasan CyberServe memiliki sedikit kemiripan dengan serangan tebusan klasik. Semuanya sangat umum. Grup tersebut menggunakan Telegram dan RaidForum untuk pengumuman mereka alih-alih menjalin komunikasi secara langsung dengan perusahaan. Biasanya, aktor yang bermotivasi finansial mencari negosiasi pribadi, tetapi grup Telegram yang dijalankan oleh Black Shadows terlihat seperti kampanye publik — lengkap dengan hitungan mundur dan pesan ceria.

‘Sifat gelombang serangan ini sebenarnya adalah untuk menyebarkan ketakutan dan rasa teror pada orang-orang Israel dengan menyerang goal profil tinggi atau yang dapat menarik perhatian media yang cukup.’ kata Lotem Finkelsteen dari Checkpoint, sebuah perusahaan keamanan siber. Ini menjelaskan perilaku publik para penyerang. “Mereka lebih fokus untuk menggemakan serangan, mempermalukan korban dan mengembangkan harapan di pengikut Twitter/Telegram daripada mendapatkan pembayaran finansial.”

Iran dan Israel adalah musuh bebuyutan. Setelah negara Israel muncul pada tahun 1948, Iran adalah negara mayoritas Muslim kedua yang mengakui Israel sebagai negara berdaulat. Iran mencabut pengakuannya setelah revolusi 1979 dan secara teratur mengancam Israel dengan pemusnahan whole. Dunia siber sering kali mencerminkan ketegangan di kehidupan nyata, jadi, begitu teknologi tinggi memasuki kehidupan kita, kedua musuh itu dengan cepat mengambil senjata siber.

Konflik dunia maya yang telah berlangsung lama di negara-negara tersebut telah berubah-ubah, tetapi hingga saat ini, peretasan balas dendam sebagian besar terkonsentrasi pada infrastruktur militer. Ini sedang berubah. Kedua pihak semakin mengincar infrastruktur sipil dan perusahaan swasta. Peretasan baru-baru ini yang dikaitkan dengan Israel termasuk serangan terhadap Universitas Teheran dan pada sistem yang memungkinkan jutaan orang Iran menggunakan kartu yang dikeluarkan pemerintah untuk membeli bahan bakar dengan harga bersubsidi. Iran telah mengejar air Israel. April lalu, enam fasilitas ditargetkan dalam upaya untuk meningkatkan jumlah klorin dalam pasokan air ke tingkat yang sangat tinggi.

See also  Bagaimana Ukraina mempertahankan diri dari serangan siber – pelajaran bagi AS

Menurut Boaz Dolev, CEO perusahaan keamanan siber ClearSky, serangan Black Shadow sebelumnya terhadap perusahaan asuransi Israel, Shirbit, juga membingungkan. Setelah mencuri information perusahaan, penyerang menghapus informasi dari server alih-alih mengenkripsinya. “Ini bukan sesuatu yang dilakukan kelompok ransomware,” katanya. Setelah menuntut $ 1 juta dalam bentuk bitcoin, Black Shadow menolak memberi perusahaan perpanjangan empat jam melewati batas waktu untuk memberikan pembayaran secara penuh.

Seorang negosiator dunia maya Israel, yang meminta anonimitas untuk mempertahankan profil profesional nonpublik, juga meragukan motivasi Black Shadow. “Saya bukan seorang analis cyber, saya seorang negosiator. Yang bisa saya identifikasi dari awal adalah apakah motivasi orang tersebut bersifat politis, yang artinya menimbulkan malapetaka, ketidakpastian dan meruntuhkan kepercayaan publik terhadap sistem. Dengan Shirbit, sangat jelas bahwa itu adalah serangan bermotif politik daripada bermotivasi finansial.”

Negosiator dunia maya ini baru-baru ini menemukan serangan mencurigakan yang serupa terhadap perusahaan-perusahaan Israel. Di satu perusahaan, dia mulai bernegosiasi dengan grup peretas bernama “Pay2Key.” Pada awalnya, itu tampak seperti serangan tebusan biasa, tapi kemudian dia melihat tanda bahaya. Misalnya, grup tersebut adalah aktor yang sebelumnya tidak dikenal namun mereka menggunakan bahasa agresif yang tidak biasa.

Namun demikian, perusahaan memutuskan untuk membayar uang tebusan. Pay2Key tidak menyediakan decryptor information. Untuk mencapai puncak dalam industri tebusan, reputasi penting. Mengambil tebusan dan sebagai imbalannya tidak memberikan kunci dekripsi sehingga perusahaan dapat mengambil datanya sangat buruk untuk bisnis yang berulang.

Setelah beberapa kali bertemu dengan aktor ransomware yang tidak biasa, negosiator dunia maya mulai melihat lebih dekat ancaman yang mereka ajukan. Analisis teknis serangan Pay2Key oleh perusahaan keamanan siber Dolev, ClearSky memperkirakan “dengan keyakinan menengah hingga tinggi” bahwa Pay2Key adalah operasi baru yang dilakukan oleh kelompok Iran bernama Fox Kitten, Ancaman Persisten Tingkat Lanjut, nama untuk aktor buram, biasanya terkait dengan pemerintah, yang memperoleh akses tidak sah ke jaringan komputer dan tetap tidak terdeteksi. Pay2Key diyakini telah memulai gelombang serangan terhadap puluhan perusahaan Israel pada Juli dan Agustus 2020.

See also  Apa arti kepemilikan Twitter oleh Elon Musk bagi 'kebebasan berbicara' di platform?

Serangan tidak terbatas pada Israel. FBI dan Badan Keamanan Siber dan Infrastruktur Keamanan AS baru-baru ini mengidentifikasi kelompok Ancaman Persisten Tingkat Lanjut baru yang terkait dengan rezim Iran yang terlibat dalam “penghapusan atau enkripsi information, ransomware, dan pemerasan” di AS dan Australia.

Bahkan, kelompok lain yang terkait dengan Iran memiliki modus operandi yang tidak biasa. Pada Juni 2021, sebuah grup bernama Deus mengklaim telah memperoleh 15 terabyte information dari Voicenter, sebuah perusahaan name middle. Knowledge tersebut berisi informasi yang tidak hanya milik Voicenter tetapi juga 8.000 perusahaan yang menggunakan layanan mereka. Peretas memposting sampel informasi, kamera keamanan dan rekaman webcam, foto, kartu identitas, pesan WhatsApp, e-mail, dan panggilan telepon.

Mereka menggunakan saluran publik, mengajukan tuntutan tebusan setiap 12 jam, dan mengumumkan bahwa information tersebut akan dijual bahkan sebelum masa negosiasi berakhir. Dengan cara ini, kelompok ancaman persisten tingkat lanjut Iran memainkan permainan poker ransomware: mencoba menimbulkan kerusakan sosial dan politik maksimum tanpa memicu pembalasan negara.

Perusahaan-perusahaan Israel enggan untuk mengakui serangan dunia maya dari kelompok-kelompok Iran justru karena publisitas dapat menimbulkan kegugupan dan keraguan tentang kekerasan cangkang pertahanan Israel melawan musuhnya yang kuat. Namun, kurangnya transparansi ini juga menciptakan kerentanan, kata pakar keamanan siber Israel. “Kami masih belum memiliki cukup informasi untuk menghubungkan kelompok-kelompok ini dengan pemerintah Iran, tetapi bahkan jika hubungan langsung ini ada, alat tebusan yang digunakan dalam serangan ini cukup konvensional dan kecil,” kata Einat Myron, pakar keamanan siber di Israel.

“Perusahaan menengah pasti dapat melakukan pekerjaan yang lebih baik dalam melindungi mereka,” kata Myron. “Mungkin menghindari bermain-main dengan permainan aktor asing bisa menjadi motivasi baru bagi pemilik bisnis untuk mulai serius dalam perlindungan information.” – Ilmupendidik.com

Masho Lomashvili adalah peneliti di Coda Story.

Artikel ini telah diterbitkan ulang dari Coda Story dengan izin.