Geng ransomware RansomHub berada di balik serangan siber baru-baru ini terhadap raksasa layanan minyak dan gas Halliburton, yang mengganggu sistem TI dan operasi bisnis perusahaan tersebut.
Serangan tersebut menyebabkan gangguan yang luas, dan BleepingComputer diberitahu bahwa pelanggan tidak dapat membuat faktur atau pesanan pembelian karena sistem yang diperlukan sedang mati.
Halliburton mengungkapkan serangan tersebut Jumat lalu dalam pengajuan SEC, menyatakan mereka mengalami serangan siber pada 21 Agustus 2024, oleh pihak tak berwenang.
“Pada tanggal 21 Agustus 2024, Halliburton Company (the “Company”) menyadari bahwa pihak ketiga yang tidak berwenang memperoleh akses ke beberapa sistemnya,” tulis Pengajuan Halliburton ke SEC.
“Ketika Perusahaan mengetahui masalah tersebut, Perusahaan mengaktifkan rencana respons keamanan sibernya dan meluncurkan investigasi internal dengan dukungan penasihat eksternal untuk menilai dan memperbaiki aktivitas yang tidak sah tersebut.”
Perusahaan ini menyediakan berbagai layanan untuk perusahaan minyak dan gas, termasuk konstruksi sumur, pengeboran, rekahan hidrolik (fracking), serta perangkat lunak dan layanan TI. Karena berbagai layanan yang diberikan perusahaan, terdapat banyak sekali konektivitas antara perusahaan dan pelanggannya.
Akan tetapi, perusahaan tersebut belum banyak membagikan perincian tentang serangan itu. Seorang pelanggan di industri minyak dan gas mengatakan kepada BleepingComputer bahwa mereka tidak diberi tahu tentang cara menentukan apakah serangan itu berdampak pada mereka dan bagaimana cara melindungi diri mereka sendiri.
Hal ini menyebabkan pelanggan lain memutuskan hubungan dengan Halliburton karena kurangnya informasi yang dibagikan.
BleepingComputer juga telah diberi tahu bahwa beberapa perusahaan bekerja sama dengan ONG-ISAC—sebuah lembaga yang bertindak sebagai titik pusat koordinasi dan komunikasi untuk ancaman fisik dan keamanan siber terhadap industri minyak dan gas—untuk menerima informasi teknis tentang serangan tersebut guna menentukan apakah mereka juga mengalami pelanggaran.
RansomHub ransomware di balik serangan tersebut
Selama berhari-hari, telah beredar rumor bahwa Halliburton mengalami serangan ransomware RansomHub, dengan pengguna mengklaim hal ini di Reddit dan di situs diskusi PHK, TheLayoff, tempat catatan tebusan RansomHub sebagian diterbitkan.
Ketika BleepingComputer menghubungi Halliburton tentang klaim ini, Halliburton mengatakan mereka tidak memberikan komentar lebih lanjut.
“Kami tidak akan memberikan komentar lebih lanjut dari yang tercantum dalam pengajuan kami. Komunikasi selanjutnya akan dilakukan dalam bentuk 8-K,” kata Halliburton kepada BleepingComputer.
Namun, dalam email tanggal 26 Agustus yang dikirimkan ke pemasok dan dibagikan dengan BleepingComputer, Halliburton memberikan informasi tambahan yang menyatakan bahwa perusahaan tersebut menonaktifkan sistem untuk melindunginya dan bekerja sama dengan Mandiant untuk menyelidiki insiden tersebut.
“Kami menghubungi Anda untuk memberi tahu Anda tentang masalah keamanan siber yang memengaruhi Halliburton,” bunyi surat yang dilihat oleh BleepingComputer.
“Begitu kami mengetahui masalah ini, kami mengaktifkan rencana respons keamanan siber dan mengambil langkah-langkah untuk mengatasinya, termasuk (1) secara proaktif menonaktifkan beberapa sistem untuk membantu melindunginya, (2) melibatkan dukungan penasihat eksternal terkemuka, termasuk Mandiant, dan (3) memberi tahu penegak hukum.”
Mereka juga menyatakan bahwa sistem email mereka terus beroperasi karena dihosting pada infrastruktur Microsoft Azure. Solusi sementara juga tersedia untuk bertransaksi dan menerbitkan perintah pembelian.
Email ini menyertakan daftar IOC yang berisi nama file dan alamat IP yang terkait dengan serangan yang dapat digunakan pelanggan untuk mendeteksi aktivitas serupa di jaringan mereka.
Salah satu IOC ini adalah untuk executable Windows bernama pemeliharaan.exeyang telah dikonfirmasi oleh BleepingComputer sebagai enkripsi ransomware RansomHub.
Setelah menganalisis sampel tersebut, tampaknya ini adalah versi yang lebih baru daripada yang dianalisis sebelumnya, karena mengandung “-tali cmd“argumen baris perintah, yang akan mengeksekusi perintah pada perangkat sebelum mengenkripsi berkas.
Sumber: BleepingComputer
Pusat Ransomware
Operasi ransomware RansomHub diluncurkan pada Februari 2024 dengan klaim sebagai kelompok pemerasan dan pencurian data yang menjual file curian kepada penawar tertinggi.
Namun, segera setelah itu, ditemukan bahwa operasi tersebut juga menggunakan enkripsi ransomware dalam serangan pemerasan ganda, di mana pelaku ancaman membobol jaringan, mencuri data, dan kemudian mengenkripsi berkas.
File yang dienkripsi dan ancaman membocorkan data curian kemudian digunakan sebagai alat untuk menakut-nakuti perusahaan agar membayar tebusan.
Symantec menganalisis enkripsi ransomware dan melaporkan bahwa mereka berdasarkan enkripsi ransomware Knightsebelumnya dikenal sebagai Cyclops.
Operasi Knight mengklaim bahwa mereka menjual kode sumbernya pada bulan Februari 2024 dan menutupnya tepat saat RansomHub diluncurkan. Hal ini membuat banyak peneliti percaya bahwa RansomHub adalah perubahan nama dari operasi ransomware Knight.
Saat ini, FBI merilis peringatan tentang RansomHubberbagi taktik pelaku ancaman dan memperingatkan bahwa mereka telah membobol setidaknya 210 korban sejak Februari.
FBI dan CISA biasanya menerbitkan peringatan terkoordinasi tentang pelaku ancaman segera setelah mereka melakukan serangan yang berdampak besar pada infrastruktur penting, seperti Halliburton. Namun, tidak diketahui apakah peringatan dan serangan tersebut saling terkait.
Sejak awal tahun ini, RansomHub telah bertanggung jawab atas sejumlah serangan besar, termasuk serangan terhadap serikat kredit nirlaba Amerika Bahasa Indonesia: Patelcoitu Bantuan Ritus rantai toko obat, Christie’s rumah lelang, dan penyedia telekomunikasi AS Komunikasi Perbatasan.
Situs kebocoran data operasi ransomware juga dimanfaatkan untuk kebocoran data curian milik Change Healthcare setelah penutupan operasi ransomware BlackCat dan ALPHV.
Dipercaya bahwa setelah BlackCat ditutupbeberapa afiliasinya pindah ke RansomHub, yang memungkinkan mereka untuk dengan cepat meningkatkan serangan mereka dengan aktor ancaman ransomware yang berpengalaman.
