Cyberthreat.id – Garmin, pembuat perangkat pelacak GPS juga pencatat rute bersepeda, mengakui telah diserang oleh peretas.

Garmin berdiri pada 1989 oleh sarjana kelistrikan Gary Burrel dan Min H, Kao. Gary asal Kansa adalah lulusan Rensselaer Polytechnic Institute, sedangkan Min lahir di Zhushan, Taiwan, dan meraih gelar doktor teknik kelistrikan di University of Tennessee. Saat ini perusahaan beroperasi di Schaffhausen, Swiss, dengan kantor pusat di Amerika Serikat.

Garmin terkenal dengan layanan navigasi GPS dan teknologi yang dipakai untuk kalangan otomotif, kelautan, penerbangan, kebugaran (fitness), dan aktivitas alam (outdoor).

Pada 27 Juli lalu, perusahaan memberikan pernyataan secara terbuka, sekaligus mengonfirmasi serangan ransomware, tapi tidak menjelaskan nama ransomware. Peretas mengenkripsi sistem Garmin pada 23 Juli lalu.

Perusahaan juga menyatakan, mulai 26 Juli perlahan sejumlah layanan mulai aktif. Garmin Connect bisa diakses dan menyinkronkan lagi ke perangkat kebugaraan meski terbatas. Sinkronisasi ke Strava, aplikasi untuk rute berjalan dan bersepeda, mulai bisa dilakukan.

“Akibatnya, banyak layanan online kami terganggu termasuk fungsi situs web, layanan pelanggan, dan komunikasi perusahaan,” kata Garmin dalam pernyataan pers.

“Kami tidak memiliki indikasi bahwa data pelanggan, termasuk informasi pembayaran dari Garmin Pay diakses, hilang atau dicuri. Selain itu, fungsionalitas produk Garmin tidak terpengaruh, gangguan hanya sebatas akses pada layanan online.”

Berita Terkait:

• Garmin Diserang Peretas Ransomware, Sejumlah Layanan Tak Bisa Berfungsi
• Konfirmasi Serangan Siber, Garmin Sebut Sistemnya Dienkripsi

Berikut ini sejumlah fakta dan dugaan terkait serangan yang didalami Garmin:

Kapan terjadi?

• Serangan siber terjadi pada 23 Juli 2020.
• Layanan Garmin di seluruh dunia berhenti selama lima hari.
• Layanan Garmin yang terganggu, seperti situs web, bagian pelayanan pelanggan (call center), Garmin Pilot, FlyGarmin, Connext Service, Garmin Connect, FltPlan.com, teknologi satelit Garmin inReach, dan Garmin Explore.
• Karena call center tak beroperasi, karyawan tak bisa menjawab telepon pelanggan, membuka email, dan chat daring.

Jenis serangan

• Jenis serangan adalah ransomware. Malware ini biasa mengunci file atau dokumen apa saja (teks, pdf, foto, dll) yang diangap penting peretas. Tak jarang, peretas membuat korban tak bisa mengakses komputernya.
• Geng peretas ini biasanya meminta uang tebusan jika perusahaan ingin data atau komputernya bisa diakses kembali. Uang tebusan biasanya dalam bentuk cryptocurrency, seperti Bitcoin atau Ethereum.
• Karyawan perusahaan menyebut jenis ransomware yang menyerang diduga bernama WastedLocker.
• Sebuah foto komputer yang dipakai karyawan Garmin menunjukkan file-file terenkripsi. File-file tersebut di bagian file ekstensi berubah menjadi [.]garminwasted.
• BleepingComputer mendapatkan sampel WastedLocker.  File yang dienkripsi sama seperti yang ditunjukkan dalam foto yang dikirim ke BleepingComputer oleh karyawan Garmin.

Foto file-file yang terenkripsi di komputer karyawan Garmin. Foto ini diperoleh BleepingComputer dari karyawan Garmin.

Sampel file yang dienkripsi WastedLocker data yang diperoleh BleepingComputer.

Catatan tebusan yang dikirimkan peretas. | Foto-foto: BleepingComputer.

Uang tebusan

• Sumber BleepingComputer mengatakan, peretas meminta uang tebusan sebesar US$ 10 juta. Namun, perusahaan belum mengonfirmasi soal ini.

Siapa geng peretas ini?

• WastedLocker disebut-sebut berkaitan grup kejahatan dunia maya bernama Evil Corp.
• Geng ini terkenal dengan operasi trojan (malware) Dridex. Mereka juga terkenal dengan ransomware Locky dan BitPaymer. (Baca: Varian Baru Dridex yang Mengelabui Antivirus)
• Geng satu ini diduga berpusat di Rusia dan aktif sejak 2017.
• Pada 2019, anggota geng ini digugat oleh Kepolisian AS dan Inggris. Mereka adalah Maksim Yakubets dan Igor Turashev. Keduanya diduga menggunakan Dridex menyerang ratusan bank dan lembaga keuangan di 40 negara. Kerugian dari aksi mereka diduga mencapai US$ 100 juta. (Baca: Buron AS dan Inggris, Hacker Rusia Ini Dihargai US$ 5 Juta).
• Keduanya kini masih buron. Belum ada konfirmasi bahwa penyerang Garmin dilakukan oleh mereka. Yang jelas, penyerang Garmin adalah ransomware bernama WastedLocker.

Apakah mereka mencuri data?

• Tiga perusahaan keamanan siber (Fox-IT, Coverware, Emsisoft) kepada ZDNet, diakses Kamis (30 Juli 2020), mengatakan, Evil Corp adalah geng peretas yang jarang terlibat dalam peretasan pencurian data sebelum mengenkripsi file.
• Evil Corp punya pengalaman serangan ransomware pada 2016. Kala itu, mereka mendistribusikan galur (strain) ransomware bernama Locky dan Bart. Target saat itu konsumen rumahan dengan teknis spamming di internet.
• Pada 2017, geng ini mengembangkan ransomware sendiri bernama BitPaymer—biasa dipakai untuk menyerang perusahaan besar, pemerintahan, dan lembaga kesehatan.
• Awal tahun ini, menurut kajian Fox-IT, Malwarebytes, SentinelOne, dan Symantec, geng ini mulai berubah dari sebelumnya dan menggunakan WastedLocker.
• Garmin menyatakan sejauh ini belum mendapati bukti bahwa ada indikasi data pelanggan, termasuk informasi pembayaran dari Garmin Pay diakses, hilang atau dicuri.[]