Produsen suku cadang otomotif DENSO telah mengkonfirmasi bahwa mereka mengalami serangan siber pada 10 Maret setelah operasi ransomware Pandora baru mulai membocorkan data yang diduga dicuri selama serangan tersebut.
DENSO adalah salah satu produsen komponen otomotif terbesar di dunia, memasok merek seperti Toyota, Mercedes-Benz, Ford, Honda, Volvo, Fiat, dan General Motors dengan berbagai macam kelistrikan, elektronik, kontrol powertrain, dan berbagai suku cadang khusus lainnya.
DENSO mengkonfirmasi akhir pekan ini bahwa jaringan perusahaan mereka di Jerman dibobol pada 10 Maret 2022. Perusahaan mengklaim telah mendeteksi akses ilegal dan segera merespon untuk memutuskan penyusup dari perangkat jaringan lainnya, membatasi dampaknya hanya pada divisi Jerman.
Gangguan dalam rantai pasokan DENSO akan menyebabkan efek domino dalam produksi mobil di berbagai fasilitas secara global, memukul industri yang sudah berjuang karena kekurangan chip dan penutupan pabrik yang berbasis di Ukraina.
Sementara DENSO menyatakan bahwa serangan siber tidak berdampak pada operasi mereka, geng ransomware Pandora baru mulai membocorkan 1,4 TB file yang diduga dicuri selama pelanggaran jaringan.
Pandora ransomware adalah operasi baru yang diluncurkan pada Maret 2022 yang menargetkan jaringan perusahaan dan mencuri data untuk serangan pemerasan ganda.
Begitu mereka mendapatkan akses ke jaringan, pelaku ancaman akan menyebar secara lateral melalui jaringan sambil mencuri file tidak terenkripsi untuk digunakan dalam tuntutan pemerasan.
Saat mengenkripsi perangkat, ransomware akan menambahkan ekstensi .pandora ke nama file terenkripsi, seperti yang ditunjukkan di bawah ini.
Sumber: BleepingComputer
Saat ransomware mengenkripsi file, Pandora akan membuat catatan tebusan di setiap folder bernama ‘Restore_My_Files.txt’. Catatan tebusan ini menjelaskan apa yang terjadi pada perangkat dan menyertakan alamat email yang dapat dihubungi korban untuk melakukan negosiasi tebusan.
Source: BleepingComputer
Catatan tebusan juga menyertakan tautan ke situs kebocoran data yang digunakan oleh geng ransomware untuk melakukan kampanye pemerasan ganda mereka.
Peneliti keamanan pancak3 percaya bahwa Pandora adalah rebrand dari ransomware Rook karena kesamaan kode dan paket yang digunakan oleh operasi tersebut.
Contoh ransomware Pandora terdeteksi di VirusTotal oleh Intezer sebagai Rook, yang menunjukkan kesamaan kode.
Lebih lanjut, peneliti keamanan Arkbird menemukan bahwa Pandora menggunakan paket yang dapat dieksekusi yang sama dengan ‘NightSky,’ yang merupakan rebranding sebelumnya dari operasi ransomware LockFile/AtomSilo.
Anehnya, Rook juga telah menerbitkan data pada Desember 2021 yang diduga milik DENSO, jadi tidak jelas apakah perusahaan tersebut terkena dua kali oleh operasi ransomware yang sama.
Operasi Ransomware biasanya mengganti nama diri mereka sendiri dengan apa yang oleh komunitas keamanan disebut sebagai ‘rebrand’ dengan harapan hal itu akan membantu mereka menghindari penegakan hukum dan kemungkinan sanksi dari pemerintah.
Namun, kecuali jika pelaku ancaman benar-benar mengubah kode, alat, dan taktik malware mereka, akan selalu ada cara untuk mendeteksi saat geng mengubah citra, membuatnya lebih mudah untuk menautkan ke operasi ransomware sebelumnya.
Jika Pandora adalah rebrand dari Rook, kita mungkin akan melihat operasi berjalan di bawah nama ini untuk beberapa waktu sebelum sekali lagi berganti nama menjadi nama lain, seperti yang telah kita lihat sebelumnya dengan versi lain dari keluarga ransomware ini.
Sumber : Bleeping Computer
