- Brain Cipher, grup ransomware, mengklaim bertanggung jawab atas serangan siber di museum Prancis selama Olimpiade.
- Mereka mengancam akan membocorkan 300 GB data yang dicuri dan menggunakan teknik penyembunyian kode yang kompleks.
pibitek.biz -Brain Cipher, grup ransomware yang terkenal dengan aksi nekatnya, baru-baru ini mengklaim bertanggung jawab atas serangan siber yang terjadi di puluhan museum nasional Prancis selama Olimpiade. Mereka mengancam akan membocorkan 300 GB data yang dicuri. Serangan yang dilakukan pada tanggal 3-4 Agustus ini, menargetkan Le Grand Palais dan sejumlah museum serta institusi lain yang berada di bawah naungan R?union des Mus?es Nationaux ? Grand Palais (RMN-GP). Para penjahat siber ini mengincar sistem yang digunakan untuk mengelola data keuangan dari sekitar 40 institusi yang berada di bawah pengawasan RMN-GP.
2 – Serangan SIM-Swap: Akun SEC Diretas Secara Besar-Besaran 2 – Serangan SIM-Swap: Akun SEC Diretas Secara Besar-Besaran
3 – Pemerintah AS Perkuat Keamanan Digital dengan RPKI dan Bahasa Aman 3 – Pemerintah AS Perkuat Keamanan Digital dengan RPKI dan Bahasa Aman
Brain Cipher, melalui postingan di blog bocoran mereka, tidak membeberkan secara detail tentang jenis data yang berhasil dicuri. Mereka hanya menyatakan bahwa data tersebut berukuran 300 GB dan akan segera dibagikan ke publik. Dalam postingan tersebut, Brain Cipher juga menyertakan timer yang menunjukkan waktu perilisan data, yaitu pada pukul 20.00 UTC. Sejak serangan itu terjadi dan diumumkan ke publik pada tanggal 6 Agustus, belum ada informasi lebih lanjut tentang investigasi polisi ataupun upaya pemulihan yang dilakukan oleh institusi yang terkena dampak.
Le Grand Palais, yang menjadi tuan rumah untuk beberapa cabang olahraga Olimpiade, seperti anggar dan taekwondo, dalam keterangan resminya menyatakan bahwa tidak ada gangguan operasional yang berarti. Mereka juga menegaskan bahwa tidak ada bukti yang menunjukkan bahwa data telah dicuri. Namun, badan keamanan siber dan perlindungan data nasional Prancis, ANSSI dan CNIL, sudah diberitahu tentang kejadian ini. Brain Cipher, yang baru muncul pada Juni lalu, terkenal karena serangannya terhadap pusat data nasional di Indonesia beberapa bulan yang lalu, yang mengakibatkan lebih dari 200 institusi pemerintah terdampak.
Serangan Brain Cipher terhadap museum-museum di Prancis ini menggunakan ransomware yang didesain berdasarkan LockBit 3.0, sebuah software ransomware yang kode sumbernya bocor pada tahun 2022. Banyak grup ransomware pemula menggunakan software yang sama. Hal ini menunjukkan bahwa kedua grup tersebut tidak memiliki hubungan langsung, selain kecenderungan mereka untuk melakukan tindakan kriminal di dunia maya. Software yang bocor ini memberikan keuntungan bagi kelompok ransomware yang baru terbentuk, karena mereka dapat langsung menyerang berbagai organisasi tanpa harus melalui proses pengembangan yang rumit.
Namun, software ini memiliki kelemahan yang besar, yaitu tanda tangannya sudah dikenal luas. Artinya, organisasi yang memiliki sistem pertahanan yang kuat dan selalu diperbarui, biasanya dapat mendeteksi dan mengarantina serangan sebelum terjadi kerusakan yang berarti. Meskipun menggunakan software yang sama, Brain Cipher terbukti memiliki kemampuan yang lebih canggih dibandingkan dengan grup ransomware pemula lainnya. Brain Cipher menggunakan teknik penyembunyian kode yang lebih kompleks sehingga sulit untuk dianalisis dan dilacak.
Brain Cipher menggunakan teknik yang kompleks untuk menyembunyikan dirinya, antara lain menyembunyikan thread dari debugger, menjalankan kode dalam mode tersuspensi, serta mengaktifkan hak akses debug dan keamanan. Hal ini memungkinkan Brain Cipher untuk menghindari deteksi dan menonaktifkan langkah-langkah keamanan. Brain Cipher juga menggunakan teknik obfuscation kode yang membuat proses analisis lebih sulit. Teknik obfuscation yang digunakan oleh Brain Cipher melibatkan instruksi push FFFFFF9Ch; retf.
Instruksi ini mendorong nilai heksadesimal FFFFFF9C ke dalam stack dan kemudian melakukan return far (retf), yang menggunakan nilai dalam stack untuk mengubah pointer instruksi dan register segmen kode. Metode ini memperumit aliran kontrol sehingga sulit bagi alat analisis dan peneliti untuk melacak jalur eksekusi malware. SentinelOne juga mencatat bahwa Brain Cipher menggunakan domain email yang sama (cyberfear[. ]com) untuk berkomunikasi dengan korban seperti kelompok pemula lainnya, seperti Risen dan SenSayQ.
CyberFear memasarkan dirinya sebagai layanan email terenkripsi "anti-mata-mata" yang tidak menggunakan pemeriksaan KYC (Know Your Customer) atau verifikasi telepon. Mereka menyatakan bahwa server mereka berada di "luar negeri" Amerika Serikat dan menerima pembayaran anonim dari lebih dari 50 mata uang kripto. Serangan siber yang dilakukan Brain Cipher merupakan contoh terbaru tentang meningkatnya ancaman siber di dunia. Organisasi di berbagai sektor harus meningkatkan kewaspadaan dan memperkuat sistem keamanan mereka untuk melindungi diri dari serangan ransomware dan ancaman siber lainnya.
