Salah satu platform perdagangan crypto Vietnam terbesar, ONUS, baru-baru ini mengalami serangan cyber pada sistem pembayarannya yang menjalankan versi Log4j yang rentan.
Pelaku ancaman mendekati ONUS untuk memeras sejumlah $5 juta dan mengancam akan mempublikasikan data pelanggan jika ONUS menolak untuk mematuhinya. Setelah penolakan tersebut, pelaku memasang data hampir 2 juta pelanggan ONUS untuk dijual di forum.
Pada tanggal 9 Desember, eksploitasi PoC untuk kerentanan Log4Shell yang terkenal (CVE-2021-44228) bocor di GitHub. Dan, itu mendapat perhatian penyerang oportunistik yang mulai memindai internet secara massal untuk server yang rentan.
Antara 11 dan 13 Desember, pelaku ancaman berhasil mengeksploitasi kerentanan Log4Shell pada server Cyclos dari ONUS dan menanam pintu belakang untuk akses berkelanjutan.
Meskipun ONUS telah menambal instance Cyclos mereka, jendela eksposur memberikan waktu yang cukup bagi pelaku ancaman untuk mengekstrak database sensitif. Basis data ini berisi hampir 2 juta catatan pelanggan termasuk data E-KYC (Know Your Customer), informasi pribadi, dan kata sandi hash.
Alur kerja E-KYC yang digunakan oleh bank dan perusahaan FinTech biasanya melibatkan pengadaan beberapa bentuk dokumen identifikasi dan bukti dari pelanggan, bersama dengan ‘video selfie’ untuk verifikasi otomatis.
Menariknya, kerentanan Log4Shell ada di server kotak pasir yang digunakan “hanya untuk tujuan pemrograman” tetapi memungkinkan penyerang mengakses lebih lanjut ke lokasi penyimpanan data sensitif (ember Amazon S3) dengan data produksi, karena kesalahan konfigurasi sistem.
ONUS kemudian dilaporkan ditampar dengan permintaan pemerasan senilai $ 5 juta yang mereka tolak. Sebagai gantinya, perusahaan memilih untuk mengungkapkan serangan itu kepada pelanggan mereka melalui grup Facebook pribadi.
“Sebagai perusahaan yang mengutamakan keselamatan, kami berkomitmen untuk memberikan transparansi dan integritas kepada pelanggan kami dalam operasi bisnis,” kata CEO ONUS Chien Tran.
“Itulah sebabnya, setelah mempertimbangkan dengan cermat, hal yang benar yang perlu kita lakukan sekarang adalah memberi tahu seluruh komunitas ONUS tentang kejadian ini.”
Peretasan itu sendiri sedikit lebih dari sekadar masalah Log4j saja. Eksploitasi Log4j mungkin merupakan titik masuk bagi penyerang, tetapi kontrol akses yang tidak tepat pada bucket Amazon S3 ONUS memungkinkan penyerang mengakses secara tidak semestinya.
Pada 25 Desember, setelah gagal mengamankan jumlah pemerasan dari ONUS, pelaku ancaman memasang data pelanggan untuk dijual di pasar pelanggaran data,pelaku mengklaim memiliki salinan 395 tabel database ONUS dengan informasi pribadi pelanggan dan kata sandi hash yang mereka miliki.
Sampel juga termasuk gambar yang tidak diedit dari kartu ID pelanggan, paspor, dan klip video selfie yang dikirimkan pelanggan yang diperoleh selama proses KYC.
Rekomendasi CyStack untuk ONUS termasuk menambal kerentanan Log4Shell di Cyclos–seperti yang diinstruksikan oleh vendor, menonaktifkan kredensial AWS yang bocor, mengonfigurasi izin akses AWS dengan benar, memblokir akses publik ke semua bucket S3 yang sensitif, dan memberlakukan batasan tambahan.
Sekarang kerentanan log4j telah dieksploitasi oleh semua jenis pelaku ancaman dari peretas yang didukung negara hingga geng ransomware dan beberapa lainnya untuk menyuntikkan penambang kripto pada sistem yang rentan.
Geng ransomware Conti juga terlihat mengincar server VMWare vCenter yang rentan untuk dieksploitasi.
Pengguna Log4j harus segera meningkatkan ke versi terbaru 2.17.1 (untuk Java 8) yang dirilis kemarin. Versi yang di-backport 2.12.4 (Java 7) dan 2.3.2 (Java 6) yang berisi perbaikan diharapkan akan segera dirilis.
Selengkapnya : Bleeping Computer
