Qudsngo – Serangan ransomware yang diduga terhadap perusahaan layanan pusat panggilan Israel Voicenter awal pekan ini menunjukkan motif di luar uang. Para ahli mengatakan bahwa Iran mungkin berada di balik serangan siber terhadap perusahaan yang melayani nama-nama besar di teknologi Israel.

Dalam pesan teks yang didistribusikan secara luas, perusahaan mengatakan bahwa pada hari Sabtu “serangan siber pada sistem kami ditemukan yang dieksekusi oleh sekelompok peretas asing, tetapi sepengetahuan kami tidak ada data yang bocor dari organisasi selama insiden itu.” Meskipun pengumuman perusahaan menyatakan bahwa tidak ada informasi perusahaan yang dilanggar, itu ternyata tidak akurat.

Peretas memposting secara online bahwa dia menawarkan untuk menjual sekitar 15 terabyte informasi dari server perusahaan. Penyedia layanan pusat panggilan berbasis cloud menghitung perusahaan seperti MobileEye, eToro, Check Point, dan Web Serupa di antara kliennya. Perusahaan menghentikan layanan setelah serangan itu, dan memutuskan untuk memutuskan sistemnya.

Di aplikasi perpesanan terenkripsi Telegram, peretas memposting sampel informasi yang mereka miliki, termasuk rekaman panggilan dengan pelanggan dalam berbagai bahasa. Tampaknya penyerang telah mengakses jauh ke dalam server Voicenter; dia bahkan telah memperoleh tangkapan layar dari WhatsApp Web dan percakapan Gmail yang tampaknya terjadi antara karyawan perusahaan.

Pada hari Selasa, penyerang memutuskan untuk maju ke tahap berikutnya dengan mengunggah kartu identitas curian dan rekaman dari kamera video kantor – yang berarti mereka meretas dan mengunduh informasi dari sistem kamera. Peretas tampaknya telah mengambil kendali penuh atas komputer pribadi salah satu karyawan, menyalakan webcam dan memotret kamarnya saat dia bekerja, mengunggahnya dalam sebuah posting yang disebut “Gambar dilihat dari kantor pusat.” Setelah itu, peretas mengunggah beberapa rekaman call center perusahaan.

Mengancam Meyebarluaskan Data Pelanggan

Awalnya, ini tampaknya merupakan serangan ransomware, karena peretas mencari peningkatan jumlah uang sebagai ganti informasi: dari 15 hingga 35 Bitcoin (sekitar $636.150-$1,48 juta.) Namun, ada semakin banyak bukti yang menunjukkan bahwa serangan itu adalah bagian dari kampanye Iran yang tujuannya adalah untuk mempermalukan Israel melalui serangan siber.

Petunjuk pertama adalah waktunya. Dilihat dari tangkapan layar yang diposting peretas, ia tampaknya telah mengakses sistem sejak Juni. Meskipun demikian, ia memutuskan untuk mempublikasikan informasinya pada malam hari raya Yahudi Sukkot. Yang kedua adalah pengumuman pertama peretas menyebutkan sejumlah perusahaan yang menggunakan layanan Voicenter, semuanya Israel.

Perusahaan ini memiliki ribuan pelanggan, termasuk yang asing. Rekamannya juga dalam bahasa Spanyol, Prancis, dan Rusia, namun peretas memilih untuk menekankan klien Israel. Ketiga, modus operandi kelompok peretas yang melakukan penyerangan yang menamakan dirinya Deus itu menaikkan tuntutan tebusan setiap 12 jam.

Dalam serangan cyber besar-besaran terhadap perusahaan asuransi Israel Shirbit, yang dikaitkan dengan Iran, metode serupa digunakan. Petunjuk keempat adalah bahwa peretas sekarang meminta lima Bitcoin, bukan 35 yang semula mereka minta, sehingga kompromi mungkin menunjukkan bahwa motifnya tidak murni finansial.

Mereka juga memasang pemberitahuan bahwa data tersebut akan dijual sebelum masa negosiasi dengan Voicenter berakhir. Moty Cristal, seorang negosiator yang telah membantu sejumlah perusahaan melalui serangan siber, menulis di akun Twitter-nya bahwa “modus operandi peretas tidak menyerupai serangan ekonomi.

Dia memposting kebocoran di Forum Raid, yang sebenarnya bukan zona perdagangan, tetapi lebih dari papan buletin ekspresif. Cristal mengatakan bahwa saluran Telegram peretas mirip dengan yang terlihat di peretasan Israel lainnya, termasuk saluran Shirbit dan Universitas Bar Ilan, yang dibuat untuk “mempermalukan” korban.

Ini jarang terjadi dalam serangan dengan motif ekonomi. Iran mungkin berada di balik serangan siber ini, itu berarti mereka mendapatkan keuntungan dari perang siber yang mereka lakukan terhadap Israel.

Memeriksa dan Mengamankan server

Nitzan Gutman, pendiri Voicenter, mengatakan bahwa mereka sekarang berada di pusat data kami di Petah Tivka, membongkar setiap server dan mencari tanda-tanda serangan.

Kami sedang dalam tahap pemulihan serangan, dan berusaha untuk membuat semua sistem kembali ke atas. Lebih dari 15 karyawan telah mengerjakan ini selama 36 jam berturut-turut. Gutman menekankan bahwa karena GDPR (peraturan privasi dan perlindungan data) UE,  perusahaan tidak menyimpan informasi kartu kredit atau detail pribadi dalam sistemnya, “tetapi pelanggan mungkin memiliki informasi tersebut.” Dia menambahkan bahwa beberapa klien perusahaan memilih untuk mengenkripsi rekaman percakapan mereka.

Gutman menambahkan bahwa situasi Voicenter berbeda dengan Shirbit, perusahaan asuransi Israel yang terkena serangan siber besar-besaran tahun lalu, karena fokus perusahaannya pada keamanan informasi di tengah maraknya penipuan di industri telekomunikasi.

Dia juga mencatat bahwa perusahaan diasuransikan terhadap serangan siber dan bahwa mereka menerima bantuan dari perusahaan Cyber ​​Time yang juga terlibat dalam serangan siber Universitas Bar Ilan bulan lalu. “Ini adalah server yang tidak aktif dan tidak terhubung ke sistem kami yang digunakan untuk meng-host situs web di masa lalu.

Setelah awal [serangan siber], kami mencoba melihat apakah ada kemungkinan untuk mendapatkan versi lama dengan cepat. dari situs web kami yang di-host di sana.” Seorang juru bicara Voicenter mengatakan, “Penting untuk dicatat bahwa sebelum acara dimulai, situs web kami berada di server aman dengan sertifikat SSL (A+) tertinggi. Meskipun tidak berarti apa-apa, situs tersebut telah dihapus.”