Pialang Informasi Pemerasan-Cum “Group Everest” telah melakukan serangan terhadap serangan terhadap organisasi besar di Timur Tengah, Afrika, Eropa, dan Amerika Utara, dan sekarang memeras korban atas catatan yang dicuri dari departemen sumber daya manusia mereka.
Mei ini, aktor ancaman yang telah lama diabaikan mengiklankan sembilan serangan siber baru. Korban berkisar dari organisasi perawatan kesehatan hingga perusahaan manajemen konstruksi dan fasilitas. Tetapi kemenangan terbesarnya terjadi melawan Coca-Cola, dari mana mencuri catatan yang terkait dengan ratusan karyawan, termasuk informasi pengenal pribadi (PII) seperti nama dan alamat, catatan gaji, dan pemindaian paspor dan visa.
Dalam masing-masing kebocoran ini, para peneliti dari Venarix menemukan file yang berkaitan dengan SAP SuccessFactors, platform manajemen SDM berbasis cloud SAP. Para peneliti percaya serangan itu sah dan memperkirakan bahwa akses awal dalam setiap kasus kemungkinan terjadi melalui penyedia layanan SAP pihak ketiga yang disebut “Solusi Tinta IT.”
Serangkaian kesuksesan Everest
Selain Coca-Cola, korban Everest yang paling menonjol adalah kelompok medis-kelompok rumah sakit bernilai miliaran dolar mengelola lokasi di Namibia, Afrika Selatan, Swiss, dan Uni Emirat Arab (UEA)-dan Departemen Pariwisata dan Budaya di Abu Dhabi (DCTA). Ini juga mencetak pakaian yang lebih kecil, seperti perusahaan pencitraan medis yang berbasis di Brooklyn PDI Health dan bank kecil yang berbasis di Jordan bernama Jordan Kuwait Bank.
Dalam setiap kasus, Everest Group telah menyoroti data curian yang berkaitan dengan karyawan perusahaan. Dengan DCTA, misalnya, ia mengklaim memiliki 12GB dari “data perusahaan internal, terutama sekitar 1.500 catatan dengan informasi sensitif tentang karyawan: paspor dan visa, akta kelahiran dan perkawinan, diploma universitas, dan banyak lagi. Data identitas. Everest Group telah memposting jam hitung mundur di situs bocornya, ditetapkan untuk kedaluwarsa 1 Juni jika DCTA tidak memenuhi tuntutannya.
Data yang ditampilkan dalam kebocoran menunjukkan bahwa serangan ini berkorelasi dengan SAP SuccessFactors. Ditemukan di antara DCTA's Trove: Profil Karyawan SuccessFactors, daftar profil SuccessFactor lain yang tampaknya termasuk karyawan DCTA saat ini atau sebelumnya, dan detail penggajian yang juga tampaknya berasal dari profil SuccessFactors. Data yang dicuri dari perusahaan konstruksi Kaefer mencakup ekspor CSV dari direktori pengguna SuccessFactors. Data kebocoran Coca-Cola mencakup 959 profil karyawan SuccessFactors dalam format PDF.
Utas penghubung tampaknya masih lebih dalam. Dalam satu atau lain bentuk, Venarix menghubungkan setidaknya lima perusahaan yang menjadi korban dengan Ink IT Solutions, integrator SAP yang berbasis di Melbourne, Australia. Dark Reading telah menjangkau solusi SAP dan Ink untuk mengkonfirmasi apa yang mereka ketahui tentang serangan itu. Kisah ini akan diperbarui jika perusahaan memberikan komentar.
Grup Everest yang sulit dipahami
Kelompok Everest pertama kali terlihat pada bulan Desember 2020, tetapi tidak pernah menarik perhatian begitu banyak.
Salah satu alasan untuk ini mungkin tingkat serangan yang lambat namun stabil. Venarix telah mengaitkan 148 insiden cyber yang diketahui dengan grup, rata -rata hanya beberapa bulan sejak awal. Serangan tampaknya oportunistik, yang mempengaruhi organisasi dari berbagai ukuran di berbagai lokasi geografis dan industri. Targetnya yang paling menonjol adalah AT&T, pengadilan distrik AS di Illinois, pemerintah negara bagian Rio Grande do Sul di Brasil, dan Collins Aerospace, mitra NASA.
Alasan lain Everest mungkin melarikan diri dari perhatian adalah karena sulit untuk dijabarkan. Contoh kasus: Sementara insiden DCTA dan Coca-Cola adalah serangan pemerasan, Illinois, Brasil, dan Collins Aerospace adalah semua contoh di mana Everest Group menjual akses awalnya ke aktor ancaman lainnya di web gelap.
“Mereka agak aneh dengan cara tertentu, karena mereka mulai menjual data, dan kemudian mereka pindah ke ransomware, dan kemudian mereka pindah untuk menjual akses awal, dan sekarang mereka kembali menjual data yang dikompromikan,” catat seorang analis cyber sorting yang memilih untuk menjadi anonim untuk cerita ini. “Saya tidak tahu contoh lain dari grup peretasan yang melakukan transisi berkelanjutan antara modus operandi yang berbeda,” tambahnya.
“Mungkin mereka memiliki afiliasi yang bergabung dengan kelompok itu, melakukan apa yang paling mereka ketahui, dan kemudian mereka meninggalkan kelompok. Jadi mereka ditinggalkan dengan afiliasi lain yang tahu hal yang berbeda, dan mereka bekerja dengan set keterampilan yang kemudian mereka miliki di dalam tim,” katanya. Semua pengalihan bentuk ini juga membantu menjelaskan mengapa taktik, teknik, dan prosedur kelompok (TTP) telah sulit dipahami. “Jika mereka stagnan dalam hal taktik apa yang mereka gunakan, mungkin lebih mudah untuk meneliti mereka dari waktu ke waktu. Tetapi karena mereka sering berubah, saya tidak dapat benar -benar menentukan alat tertentu yang mereka gunakan secara konsisten atau metode serangan tertentu yang selalu mereka terapkan.”
Jangan lewatkan podcast rahasia Dark Reading terbaru, Hari saya menemukan grup yang tepat di tempat yang paling tidak mungkindi mana pemburu ancaman Ismael Valenzuela dan Vitor Ventura berbagi cerita tentang trik yang mereka gunakan untuk melacak ancaman terus -menerus dan kejutan yang mereka temukan di sepanjang jalan. Dengarkan sekarang!
_Aleksey_Funtap_Alamy.jpg?disable=upscale&width=1200&height=630&fit=crop&w=300&resize=300,300&ssl=1 "SSH Keys: Kredensial paling kuat yang mungkin Anda abaikan")
