Geng ransomware yang diyakini beberapa orang adalah peluncuran kembali REvil dan yang lainnya melacak karena BlogXX telah mengklaim bertanggung jawab atas serangan ransomware bulan lalu terhadap penyedia asuransi kesehatan Australia Medibank Private Limited.
Medibank adalah salah satu perusahaan asuransi kesehatan swasta terbesar di Australia, mencakup lebih dari 3,9 juta orang dan memiliki 4.000 karyawan.
Meskipun hingga saat ini, serangan terhadap Medibank belum dikaitkan dengan kelompok ransomware tertentu, perusahaan tersebut mengonfirmasi bahwa aktivitas jahat tersebut diamati di jaringannya. cocok dengan aktivitas ransomware.
Geng ransomware hari ini mengancam dalam entri baru yang ditambahkan ke situs web kebocoran datanya bahwa mereka akan membocorkan data yang diduga dicuri dari sistem Medibank dalam waktu 24 jam.
Geng tersebut belum mengungkapkan berapa banyak data yang dikeluarkan dari jaringan Medibank dan belum membagikan bukti apa pun untuk memverifikasi klaim ini.
Seorang juru bicara Medibank tidak dapat dimintai komentar ketika dihubungi oleh BleepingComputer sebelumnya hari ini untuk mengkonfirmasi klaim geng ransomware.
Peluncuran ulang REvil?
Asli Geng ransomware REvil ditutup pada Oktober 2021 setelah server Tor-nya dibajak, kabarnya oleh penegak hukum, diikuti oleh Rusia menangkap beberapa anggota geng.
Namun, pada April 2022, situs web Tor asli operasi secara misterius mulai mengarahkan pengunjung ke situs web baru untuk apa yang disebut operasi ‘BlogXX’. Dalam negosiasi pribadi dengan para korban, para pelaku ancaman ini menyebut diri mereka Sodinokibi, nama yang sebelumnya digunakan oleh operasi REvil yang asli.
Selanjutnya, peneliti keamanan telah mengkonfirmasi bahwa enkripsi operasi baru adalah berdasarkan kode sumber dari encryptor REvil.
Karena pengalihan situs web dan kesamaan kode, operasi baru dianggap oleh beberapa orang sebagai peluncuran kembali operasi REvil, baik oleh pengembang atau anggota lain.
Namun, peneliti keamanan Tim Pemburu Malware percaya grup ini adalah BlogXX, operasi yang sama sekali baru.
Medibank menolak untuk membayar uang tebusan
Meskipun Medibank belum mengkonfirmasi kelompok peretas apa yang berada di balik serangan ini, perusahaan mengatakan dalam siaran pers yang diterbitkan hari ini bahwa mereka menolak permintaan tebusan yang dibuat oleh para penyerang.
“Hari ini, kami telah mengumumkan bahwa tidak ada pembayaran uang tebusan yang akan diberikan kepada penjahat yang bertanggung jawab atas pencurian data ini,” kata Medibank.
“Berdasarkan saran ekstensif yang kami terima dari pakar kejahatan dunia maya, kami percaya bahwa hanya ada kemungkinan terbatas membayar uang tebusan untuk memastikan kembalinya data pelanggan kami dan mencegahnya dipublikasikan.”
Perusahaan asuransi kesehatan menambahkan bahwa membayar para penyerang juga kemungkinan akan memotivasi mereka untuk mengejar pelanggan yang terkena dampak pelanggaran data.
Selanjutnya, pembayaran tebusan akan mendorong orang lain untuk menyerang organisasi Australia, menempatkan lebih banyak orang dalam risiko.
“Ada kemungkinan besar bahwa pembayaran membuat lebih banyak orang dalam bahaya dengan menjadikan Australia sebagai target yang lebih besar,” tambah perusahaan itu. “Keputusan ini konsisten dengan posisi Pemerintah Australia.”
Penyerang mengakses data jutaan pelanggan
Awalnya, perusahaan asuransi mengatakan tidak memiliki bukti informasi pelanggan yang diakses atau dicuri. Perusahaan kemudian mengungkapkan bahwa para peretas mengakses beberapa data pelanggannya.
Hari ini, sebelum geng ransomware mulai membocorkan data yang diduga dicuri untuk mendukung klaim mereka dan mencoba memaksa Medibank untuk menegosiasikan kesepakatan, perusahaan mengungkapkan bahwa penyerang memperoleh akses ke informasi sensitif milik jutaan pelanggan.
Ikhtisar lengkap data yang menurut Medibank terungkap dalam pelanggaran tersebut meliputi:
- Nama, tanggal lahir, alamat, nomor telepon, dan alamat email untuk sekitar 9,7 juta pelanggan saat ini dan sebelumnya serta perwakilan resmi
- Nomor Medicare (tetapi bukan tanggal kedaluwarsa) untuk pelanggan asuransi kesehatan ahm (ahm)
- Nomor paspor (tetapi bukan tanggal kedaluwarsa) dan detail visa untuk pelanggan pelajar internasional
- Data klaim kesehatan untuk sekitar 480.000 pelanggan Medibank, ahm, dan internasional
- Detail penyedia layanan kesehatan, termasuk nama, nomor penyedia, dan alamat
Medibank menambahkan bahwa mereka juga percaya bahwa para penjahat dunia maya di balik serangan Oktober tidak memperoleh akses ke informasi keuangan (kartu kredit dan rincian perbankan), dokumen identitas utama (misalnya, SIM), atau data klaim kesehatan untuk layanan tambahan (seperti gigi, fisio, optik dan psikologi).
“Mengingat sifat kejahatan ini, sayangnya kami sekarang percaya bahwa semua data pelanggan yang diakses dapat diambil oleh penjahat,” Medibank ditambahkan.
“Pelanggan harus tetap waspada karena penjahat dapat mempublikasikan data pelanggan secara online atau mencoba menghubungi pelanggan secara langsung.”
H/T AlvieriD
