- Bling Libra mencuri data dengan kredensial curian.
- Serangan Bling Libra menggunakan kredensial AWS untuk akses data.
- Bling Libra melakukan serangan dengan mengancam publikasi data curian.
pibitek.biz -Kelompok peretas yang terkenal dengan nama "ShinyHunters" tidak lagi puas hanya mencuri data dan menjualnya di forum gelap. Mereka sekarang memainkan permainan yang lebih berbahaya: pemerasan. Dengan menggunakan ancaman dan batas waktu, mereka memaksa korban untuk membayar tebusan agar data mereka tidak dipublikasikan. "Bling Libra", alias ShinyHunters, telah menjadi nama besar di dunia kejahatan siber. Mereka terkenal karena berhasil membobol Ticketmaster dan mencuri data pribadi lebih dari 560 juta pelanggan, yang kemudian mereka jual di BreachForums.
2 – Pemerintah AS Perkuat Keamanan Digital dengan RPKI dan Bahasa Aman 2 – Pemerintah AS Perkuat Keamanan Digital dengan RPKI dan Bahasa Aman
3 – Aplikasi ChatGPT untuk Windows: Kelebihan dan Kekurangan 3 – Aplikasi ChatGPT untuk Windows: Kelebihan dan Kekurangan
Namun, kini mereka telah meningkatkan taktik mereka, beralih dari penjualan data curian ke pemerasan yang lebih agresif. Para peneliti dari Unit 42 di Palo Alto Networks telah mengungkap detail terbaru tentang cara kerja "Bling Libra". Sejak kemunculannya pada tahun 2020, kelompok ini dikenal karena mengumpulkan kredensial login yang sah untuk kemudian menyerang infrastruktur basis data dan mencuri informasi pribadi (PII). Meskipun menggunakan cara yang sama untuk mendapatkan akses awal, Bling Libra kini telah menerapkan taktik "double-extortion" yang biasanya dikaitkan dengan kelompok ransomware.
Mereka pertama-tama mencuri data dari korban, kemudian mengancam untuk mempublikasikannya secara online jika tebusan tidak dibayar. Dalam kasus yang diselidiki oleh Unit 42, Bling Libra mengincar lingkungan Amazon Web Services (AWS) milik sebuah organisasi. Mereka menggunakan kredensial curian untuk masuk ke jaringan dan melakukan pengintaian. "Meskipun hak akses yang terkait dengan kredensial yang diretas membatasi dampak pelanggaran, Bling Libra berhasil menyusup ke lingkungan AWS organisasi dan melakukan operasi pengintaian", kata para peneliti dalam sebuah postingan blog.
Mereka menggunakan alat seperti Amazon Simple Storage Service (S3) Browser dan WinSCP untuk mengumpulkan informasi tentang konfigurasi S3 bucket, mengakses objek S3, dan menghapus data. Bling Libra mendapatkan kredensial AWS dari file sensitif yang terpapar di internet, yang berisi berbagai macam kredensial. Mereka "secara khusus mengincar kunci akses AWS yang terpapar milik pengguna manajemen identitas dan akses (IAM) dan beberapa kredensial terpapar lainnya", tulis para peneliti. Kredensial tersebut memungkinkan para penyerang untuk mengakses akun AWS tempat pengguna IAM berada, dan melakukan panggilan AWS API untuk berinteraksi dengan S3 bucket dalam konteks kebijakan AmazonS3FullAccess, yang memungkinkan semua izin pengguna.
Dalam kasus ini, penyerang cukup mengintai di jaringan selama sekitar satu bulan sebelum melancarkan serangan. Mereka mencuri data dan menghapusnya dari lingkungan, meninggalkan catatan pemerasan yang memberi organisasi satu minggu untuk membayar tebusan. Bling Libra juga membuat S3 bucket baru, yang kemungkinan digunakan untuk "mengolok-olok organisasi tentang serangan tersebut", kata para peneliti. Serangan Ticketmaster yang terungkap pada bulan Juni lalu sangat menonjol karena jumlah data yang berhasil dicuri oleh Bling Libra.
Kelompok itu mengklaim bahwa lebih dari setengah juta catatan yang dicuri termasuk informasi pribadi seperti nama, email, alamat, dan detail kartu pembayaran parsial. Pada bulan yang sama, kelompok itu juga mengaku bertanggung jawab atas serangan terpisah terhadap perusahaan serupa di Australia, Ticketek Entertainment Group (TEG); seperti Ticketmaster, serangan itu terjadi pada bulan Mei. Kelompok ini telah dikaitkan dengan beberapa pelanggaran data besar yang memengaruhi puluhan juta catatan data.
Dalam banyak kasus, Bling Libra menyerang target akhirnya melalui penyedia layanan cloud pihak ketiga. Dalam kasus Ticketmaster dan lainnya, penyedia tersebut adalah Snowflake, dan penyerang menggunakan kredensial akun cloud yang sah yang rentan karena tidak mengaktifkan otentikasi multifaktor (MFA). Kurangnya MFA dan "tren yang mengkhawatirkan tentang kredensial yang terlalu permisif" adalah tema umum tidak hanya dalam cara Bling Libra dan penyerang lainnya mendapatkan akses ke lingkungan cloud, tulis para peneliti.
Seiring dengan semakin banyak organisasi yang memindahkan operasi penting mereka ke cloud, para pembela harus menyelesaikan masalah dasar seputar otentikasi dan izin agar dapat mencegah kompromi oleh aktor yang berpengalaman, kata mereka. Unit 42 merekomendasikan agar organisasi selalu menggunakan MFA sebisa mungkin untuk menghindari skenario akses awal yang dimanfaatkan oleh Bling Libra dalam serangan tersebut. Menggunakan solusi IAM yang aman yang membatasi izin pengguna hanya untuk proses dan aset yang mereka butuhkan (terlepas dari kebijakan IAM individual di setiap akun) juga dapat mencegah penyerang mengakses data sensitif, kata para peneliti.
