Kisah aksi hacking ini bukan merupakan transkrip dari serial Mr. Robot atau CSI Cyber maupun Scorpion. Ini aksi hacking beneran terjadi dan sampai saat ini masalahnya belum selesai dan bahkan semakin menarik di ikuti.
Minggu lalu, Jaringan Kereta Bawah tanah (Muni) di Kota San Fransisco di hack dimana sekitar 2.212 server yang ada, di enkripsi dengan Ransomware. Tidak hanya server saja, hacking ini juga menyasar sampai ke komputer klien pemesanan tiket di loket-loket. Ini salah satu penampakan pesan hacker di salah satu mesin loket di SF:
“You hacked. ALL Data Encrypted. Contact for Key (cryptom27@yandex.com) ID: 601. Enter Key:” itulah pesan yang tampil di hampir semua komputer loket San Fransisco Muni Railway. Dan, pesan untuk administratornya seperti ini:
if You are Responsible in MUNI-RAILWAY !
All Your Computer’s/Server’s in MUNI-RAILWAY Domain Encrypted By AES 2048Bit!
We have 2000 Decryption Key !
Send 100BTC to My Bitcoin Wallet , then We Send you Decryption key For Your All Server’s HDD!!
We Only Accept Bitcoin , it’s So easy!
you can use Brokers to exchange your money to BTC ASAPit’s Fast way!
Hacker Muni-Railway ini meminta tebusan 100 bitcoin untuk mendapatkan decryption key semua server (2000an server) yang terkena hack, berikut dengan ancaman lain yaitu mengumbar 30 Giga database pekerja di Muni railway.
San Francisco People ride for free two days ! welcome !
But if ugly hacker’s attack to Operational Railways System’s , whats’ happen to You?
Anyone See Something like that in Hollywood Movies But it’s Completely Possible in Real World!
It’s Show to You and Proof of Concept , Company don’t pay Attention to Your Safety !
They give Your Money and everyday Rich more! But they don’t Pay for IT Security and using very old system’s !
We Hacked 2000 server/pc in SFMTA including all payment kiosk and internal Automation and Email and …!
We Gain Access Completely Random and Our Virus Working Automatically ! We Don’t Have Targeted Attack to them ! It’s wonderful !
If some Hacker Try to Hack Your Transportation Infrastructure Target-Based , it’s Have More Impact!
We Don’t live in USA but I hope Company Try to Fix it Correctly and We Can Advise Them But if they Don’t , We Will Publish 30G Databases and Documents include contracts , employees data , LLD Plans , customers and … to Have More Impact to Company To Force Them to do Right Job!
JAVA & Bug yang dimanfaatkan Hacker
Usut punya usut, menurut Arstechnica bug yang dimanfaatkan para hacker untuk menyerang SFMTA (San Fransisco Transit Agency) adalah bug dari Oracle WebLogic Server (CVE-2015-4852) yang sudah sekitar setahun lalu diketahui. Ternyata, bug yang sama pernah dimanfaatkan untuk merusak jaringan di sebuah rumah sakit di kota Maryland, AS pada April 2016 yang lalu. Selain menyerang vulnerabilities dari WebLogic, hacker secara khusus (masih menurut Arstechnica) menggunakan ransomware HDDCryptor dan Mamba dalam aksi minggu lalu itu.
Backup, backup, backup!
SFMTA dan kontraktor jaringan mereka, Cubic Transportation System, tidak menuruti permintaan hacker dan melakukan restore backup untuk semua server dan desktop yang terkena ransomware. Meskipun demikian, mereka membutuhkan waktu setidaknya dua hari (Sabtu, Minggu) setelah aksi hack 25 November itu terdeteksi.
“Existing backup systems allowed us to get most affected computers up and running this morning, and our information technology team anticipates having the remaining computers functional in the next two days.”
Si Hacker kena Hack balik?
Hari ini, kisah paling tragis dari aksi hacking jaringan kereta diatas, terungkap. Hacker yang menjadi otak dibalik aksi minggu lalu itu akhirnya malah kena hack balik!
Diungkap oleh om Brian Krebs, orang yang sama yang menemukan keanehan saat menjadi penumpang di jaringan kereta tersebut dan kebetulan seorang pakar keamanan. Menurut beliau, BEBERAPA ORANG bahkan berhasil masuk ke inbox si hacker (cryptom27@yandex.com) dan mengetahui percakapan si empunya dengan banyak orang. Heuheu
“Emails from the attacker’s inbox indicate some victims managed to negotiate a lesser ransom. China Construction of America Inc., for example, paid 24 Bitcoins (~$17,500) on Sunday, Nov. 27 to decrypt some 60 servers infected with the same ransomware — after successfully haggling the attacker down from his original demand of 40 Bitcoins. Other construction firms apparently infected by ransomware attacks from this criminal include King of Prussia, Pa. based Irwin & Leighton; CDM Smith Inc. in Boston; Indianapolis-based Skillman; and the Rudolph Libbe Group, a construction consulting firm based in Walbridge, Ohio.”
Kebanyakan email yang ada di inbox hacker diatas berisi soal penawaran dari banyak perusahaan China, Amerika dan Eropa untuk menawar tebusan.
So, kita tunggu saja update dari aksi hacking ini. Siapa tahu seminggu dua minggu lagi ada update!
Sumber berita:
- Gizmodo: http://gizmodo.com/it-looks-like-the-san-fransisco-muni-hack-was-worse-tha-1789443579
- Arstechnica: http://arstechnica.com/security/2016/11/san-francisco-transit-ransomware-attacker-likely-used-year-old-java-exploit/
- Techrunch: https://techcrunch.com/2016/11/29/san-francisco-muni-hacker-gets-hacked-back/