Grup ransomware baru dengan nama ‘DarkBit’ telah menyerang Technion – Institut Teknologi Israel, salah satu universitas riset terkemuka di Israel.
Catatan tebusan yang diposting oleh DarkBit dipenuhi dengan pesan yang memprotes PHK teknologi dan mempromosikan retorika anti-Israel, serta kelompok yang menuntut pembayaran $1,7 juta.
Technion Institute sedang memerangi serangan dunia maya
Technion Institute of Technology, salah satu universitas riset publik terkemuka Israel, telah dilanda serangan dunia maya minggu ini.
Institusi akademik yang berbasis di Haifa saat ini sedang melakukan kegiatan tanggap insiden untuk menentukan ruang lingkup dan penyebab insiden tersebut.
“Technion berada di bawah serangan dunia maya. Cakupan dan sifat serangan sedang diselidiki,” kata universitas itu dalam a penyataan dirilis dalam bahasa Ibrani.
“Untuk melakukan proses pengumpulan informasi dan penanganannya, kami menggunakan tenaga ahli terbaik di lapangan, baik di dalam The Technion maupun di luar, serta berkoordinasi dengan otoritas terkait. The Technion secara proaktif memblokir semua jaringan komunikasi pada tahap ini.”
Catatan tebusan dari grup ransomware ‘DarkBit’ baru ditinggalkan di sistem universitas, di mana penyerang meminta 80 Bitcoin atau sekitar US$ 1.745.200 untuk melepaskan dekripsi ke universitas.
Tanggal yang terlihat di PC pada gambar di atas menunjukkan serangan terjadi pada atau sebelum 12 Februari 2023.
BleepingComputer juga mengamati, pada tahap ini, situs web Institut tidak dapat diakses—kemungkinan setelah universitas memblokir semua akses jaringan di tengah serangan.
Meskipun sistem dunia maya Technion mungkin terpengaruh, operasional kampus universitas tetap berjalan seperti biasa.
“Besok hari kerja di kampus akan berjalan seperti biasa, kecuali ujian yang ditunda,” kata Institut.
“Instruksi yang diterbitkan pada pagi hari terkait partisipasi dalam kegiatan publik karena hari libur tetap tidak berubah. Kami akan terus memperbarui jika kami memiliki lebih banyak informasi.”
Siapakah ‘DarkBit’ itu?
Seorang aktor ancaman, karyawan yang tidak puas, aktivis pro-Palestina, atau semua ini?
Geng ‘DarkBit’ yang belum pernah terdengar bermunculan minggu ini dan keberadaannya belum diketahui. Namun, para penyerang memberikan beberapa petunjuk tentang tujuan mereka di catatan tebusan, dan saluran Twitter dan Telegram mereka.
Pendirian DarkBit terhadap “rasisme, fasisme, dan apartheid” dapat menyebabkan aktivitas mereka dianggap hacktivisme pada pandangan pertama, tetapi motif kelompok tersebut tampak beragam.
Dari penggunaan tagar #HackForGood di bio Twitter hingga pesan anti-Israel yang terlihat di catatan tebusan, serta grup yang menyerukan PHK teknologi, sulit untuk mengkategorikan DarkBit dulu.
Saat menyerang Israel karena menjadi “rezim apartheid”, penyerang DarkBit ingin melakukannya mereka membayar untuk “kejahatan perang terhadap kemanusiaan” dan “memecat ahli berketerampilan tinggi”.
“Nasihat yang baik untuk perusahaan teknologi tinggi: Mulai sekarang, berhati-hatilah saat Anda memutuskan untuk memecat karyawan Anda, terutama yang geek. [sic],” kata DarkBit dalam tweet berikutnya.
Bergantung pada bagaimana seseorang menafsirkan kata-katanya, serangan itu tampaknya merupakan cara DarkBit untuk membalas dendam atas PHK yang mungkin melibatkan anggotanya.
Pelaku ancaman tampaknya menyiratkan bahwa memberhentikan karyawan yang sangat teknis tanpa melakukan uji tuntas dapat menimbulkan ancaman terhadap postur keamanan organisasi. Beberapa karyawan yang diberhentikan (dan tidak puas) mungkin memiliki pengetahuan orang dalam yang memungkinkan mereka memperoleh akses yang lebih mudah ke jaringan komputer organisasi bahkan setelah pemutusan hubungan kerja.
“DarkBit telah berubah dari hacktivist, menjadi grup ransomware sekarang menjadi mantan karyawan yang tidak puas dalam satu hari,” komentar analis keamanan siber Dominic Alvieri.
Kelompok tersebut mengancam akan mengenakan penalti 30% di atas permintaan uang tebusan yang sudah signifikan jika universitas tidak setuju untuk membayar. Selain itu, penyerang memperingatkan bahwa mereka akan menjual data yang dicuri setelah lima hari.
BleepingComputer terus memantau situasi dan kami akan memposting pembaruan saat pengembangan berlangsung.
