Kekhawatiran Kebocoran Data Pensiun Pemerintah Afrika Selatan Memicu Penyelidikan

Diterbitkan Ulang Oleh Plato

Followers: 0

Pejabat pemerintah Afrika Selatan sedang menyelidiki laporan bahwa geng ransomware mencuri dan kemudian membocorkan data sensitif sebesar 668GB secara online data pensiun nasional.

Dugaan kompromi data Badan Penyelenggara Pensiun Pemerintah (GPAA) pada 11 Maret belum terkonfirmasi secara publik, namun kejadian tersebut sudah membuat berita nasional di Afrika Selatan. Dana Pensiun Pegawai Pemerintah Afrika Selatan (GEPF) turun tangan untuk menyelidiki klaim geng kejahatan dunia maya LockBit yang terkenal kejam.

GEPF adalah dana pensiun terkemuka di Afrika Selatan, yang nasabahnya mencakup 1.2 juta pegawai pemerintah saat ini serta 473,000 pensiunan dan penerima manfaat lainnya.

“GEPF bekerja sama dengan GPAA dan otoritas pengawasannya, Perbendaharaan Nasional, untuk menetapkan kebenaran dan dampak dari pelanggaran data yang dilaporkan dan akan memberikan pembaruan lebih lanjut pada waktunya,” dana pensiun menjelaskan dalam pernyataan publik.

Tidak Diamankan dengan Benar?

GPAA dilaporkan meyakinkan GEPF bahwa mereka telah bertindak untuk mengamankan sistem saat penyelidikan pelanggaran sedang berlangsung. Namun, penyelidikan awal menunjukkan bahwa klaim LockBit mungkin terkait dengan a insiden keamanan yang dialami GPAA pada bulan Februari.

Badan tersebut mengklaim upaya untuk meretas sistemnya pada 16 Februari tidak berhasil, namun klaim tersebut mendapat kecaman setelah dugaan kebocoran LockBit. GPAA mengatakan dalam sebuah postingan publik pada tanggal 21 Februari bahwa mereka mematikan sistem dan mengisolasi sistem yang berpotensi terkena dampak sebagai respons terhadap apa yang mereka sebut sebagai upaya untuk “mendapatkan akses tidak sah ke sistem GEPF.”

Badan tersebut mengatakan sistem administrasinya tidak dilanggar.

“Sepertinya langkah yang tepat telah diambil untuk memastikan keamanan data setelah insiden tersebut dengan mengamankan server yang disusupi,” kata Matt Aldridge, konsultan solusi utama di OpenText Cybersecurity. “Namun, insiden ini menimbulkan kekhawatiran mengenai keseluruhan postur keamanan dan ketahanan sistem organisasi.”

Setelah Operasi Cronos

Serangan nyata terhadap GPAA terjadi hanya beberapa minggu setelahnya Penghapusan Operasi Cronos, upaya yang dipimpin oleh penegak hukum untuk mengganggu operasi LockBit dan afiliasi ransomware-as-a-service-nya.

LockBit dan mitranya menerima pukulan dari tindakan ini namun sejak itu melanjutkan serangan menggunakan enkripsi baru dan infrastruktur yang dibangun kembali, termasuk a lokasi kebocoran baru.

Amir Sadon, direktur penelitian di Sygnia, sebuah konsultan respons insiden, mengatakan LockBit juga membuat situs kebocoran data baru dan merekrut “penguji pena berpengalaman.”

“Adaptasi LockBit yang cepat menggarisbawahi tantangan dalam menetralisir ancaman siber secara permanen, terutama ancaman siber yang memiliki kemampuan operasional dan organisasi yang canggih,” ujarnya.

Pakar lain memperingatkan bahwa kebocoran data dari GPAA mungkin berasal dari serangan yang sebenarnya terjadi sebelum penghapusan Operasi Cronos pada 19 Februari, jadi akan terlalu terburu-buru untuk menyimpulkan bahwa LockBit sudah kembali ke kekuatan operasional penuhnya.

“Badan Administrasi Pensiun Pemerintah (GPAA) melaporkan adanya percobaan pelanggaran pada 16 Februari – sebelum pengumuman penghapusan,” kata James Wilson, analis intelijen ancaman dunia maya di ReliaQuest. “Oleh karena itu, masuk akal jika LockBit menggunakan serangan lama sebagai dasar klaim ini untuk memproyeksikan citra bahwa mereka telah mempertahankan kapasitas ancamannya.”

LockBit adalah grup ransomware paling produktif secara global, dan sejauh ini merupakan geng ransomware paling aktif di Afrika Selatan, menyumbang 42% serangan di sana dalam 12 bulan terakhir, menurut penelitian Malwarebytes yang dibagikan kepada Dark Reading.

Kelompok Ransomware seperti LockBit mencoba membangun merek untuk menarik afiliasi dan memastikan korban membayar. “Sejak Operasi Cronos, LockBit telah bekerja keras untuk [kembali] mendapatkan kepercayaan dari afiliasi, sehingga kebocoran tersebut akan digunakan sebagai cara untuk menunjukkan bahwa mereka melanjutkan 'bisnis seperti biasa',” kata Tim West, direktur, ancaman intelijen dan penjangkauan di WithSecure.

Pelaku Ransomware seperti mereka yang berada di balik LockBit pada dasarnya mengeksploitasi dua teknik untuk menyusup ke perusahaan: memanfaatkan akun sah dan menargetkan kerentanan dalam aplikasi yang dapat diakses oleh publik.

Mereka biasanya mencuri salinan data korban sebelum mengenkripsinya untuk mendapatkan dua bentuk pengaruh selama negosiasi tebusan. Kemudian mereka menuntut pembayaran sebagai imbalan atas data tersebut, dan mengancam akan menyebarkan informasi tersebut melalui situs pembocor jika uang tebusan tidak dibayarkan.

Menggagalkan Serangan Ransomware

Mengadopsi strategi pertahanan proaktif sangat penting untuk mempertahankan diri dari semakin besarnya ancaman yang ditimbulkan oleh serangan ransomware. Misalnya, menambahkan autentikasi multifaktor (MFA) menambah langkah verifikasi tambahan, sehingga mempersulit upaya penyerang untuk mengeksploitasi akun atau kerentanan yang disusupi.

Cadangan terkini yang diuji secara berkala, perlindungan titik akhir, dan kemampuan deteksi ancaman, semuanya memperkuat sistem terhadap serangan ransomware. Dan mengelola kerentanan serta memitigasi potensi dampaknya sebelum dapat ditambal juga memperkuat sistem terhadap ransomware.

Christiaan Beek, direktur senior analisis ancaman di Rapid7, mengatakan “menjaga pengawasan terhadap firewall dan VPN sangatlah penting, karena keduanya merupakan titik masuk yang menarik bagi akses tidak sah.”

Beek menambahkan bahwa manajemen dan antarmuka administratif aplikasi publik juga harus diamankan.