Geng Ransomware, Maze, dilaporkan mencuri data sensitif dari cabang AS suatu kelompok teknik terpadu yang bekerja dengan berbagai pemerintah.
Anak perusahaan ST Engineering Aerospace di AS mengalami serangan ransomware yang berhasil mengekstraksi sekitar 1,5TB data sensitif dari perusahaan dan mitra-mitranya.
Menurut sebuah artikel yang diterbitkan oleh The Straits Times pada 6 Juni, perusahaan yang berbasis di Singapura itu diduga diserang oleh geng ransomware terkenal Maze pada bulan Maret, mengutip sebuah analisis oleh perusahaan cybersecurity, Cyfirma.
Laporan tersebut merinci bahwa data yang dicuri oleh para penjahat terkait dengan perincian kontrak dengan berbagai pemerintah, organisasi, dan maskapai penerbangan di seluruh dunia. Tidak ada detail tambahan yang disediakan pada kontennya.
Tidak terdeteksi untuk perangkat lunak antivirus umum
Cointelegraph memiliki akses ke memo internal yang dikeluarkan pada 3 Maret oleh ST Engineering Aerospace, merinci VT San Antonio Aerospace sebagai situs “infeksi ransomware.”
Memo itu merinci bahwa McAfee dan Windows Defender pada awalnya tidak mengidentifikasi serangan ransomware. Mereka berhasil mendeteksi masalah dengan membaca file berganti nama dan terkait “DECRYPT-FILES.txt” yang terletak di folder yang sama dengan file yang dienkripsi.
Ed Onwe, wakil presiden dan manajer umum di VT San Antonio Aerospace, mengatakan hal berikut kepada The Straits Times:
“Penyelidikan kami yang sedang berlangsung menunjukkan bahwa ancaman telah diatasi, dan kami percaya itu akan diisolasi ke sejumlah operasi komersial AS ST Engineering yang terbatas. Saat ini, bisnis kami terus beroperasi. ”
Cyfirma juga meyakinkan bahwa beberapa data yang dicuri berisi informasi tentang kontrak dengan pemerintah negara-negara seperti Peru dan Argentina, dan dengan lembaga-lembaga seperti NASA.
Perusahaan perlu membangun kembali jaringan mereka
Berbicara dengan Cointelegraph, Brett Callow, analis ancaman di lab malware Emsisoft, berkomentar berikut setelah serangan terhadap perusahaan yang berbasis di Singapura:
“Grup Ransomware sering meninggalkan ruang belakang yang, jika tidak diatasi, dapat memberikan akses berkelanjutan ke jaringan dan memungkinkan serangan kedua. Ini salah satu alasan mengapa kami selalu merekomendasikan agar perusahaan membangun kembali jaringan mereka setelah kejadian, bukan sekadar mendekripsi data mereka. ”
Cointelegraph melaporkan pada 6 Juni tentang serangan ransomware yang disebut DopplePaymer yang berhasil menembus jaringan Digital Management Inc yang berbasis di Maryland, atau DMI – perusahaan yang menyediakan layanan IT dan keamanan cyber untuk beberapa perusahaan Fortune 100 dan lembaga pemerintah seperti NASA.
Geng ransomware lain, NetWalker, mengklaim telah mencuri data sensitif, termasuk nama siswa, nomor jaminan sosial, dan informasi keuangan dari tiga universitas AS.
