Situs-situs palsu Bitwarden sedang menyebarkan installer( open-source ) yang diklaim untuk manajer kata sandi yang mengandung malware pencuri kata sandi baru yang disebut ZenRAT oleh peneliti keamanan. Malware ini didistribusikan kepada pengguna Windows melalui situs-situs web yang meniru situs resmi Bitwarden dan mengandalkan typosquatting untuk menipu korban. Pada bulan Agustus ,peneliti keamanan di perusahaan cybersecurity Proofpoint menemukan ZenRAT setelah menerima sampel malware tersebut dari Jérôme Segura, Senior Director of Threat Intelligence di Malwarebytes. Di dalam paket instalasi Bitwarden palsu, peneliti Proofpoint menemukan sebuah executable .NET yang jahat yang merupakan trojan akses jarak jauh dengan fitur pencurian informasi yang mereka sebut sebagai ZenRAT. Situs web jahat tersebut hanya menyediakan paket Bitwarden palsu untuk pengguna Windows, jika tidak, situs tersebut akan mengarahkan ke halaman kloning dari sebuah artikel opensource.com tentang manajer kata sandi tersebut. Peneliti tidak tahu bagaimana korban sampai ke situs Bitwarden palsu, tetapi kampanye phishing melalui iklan Google telah digunakan di masa lalu untuk menargetkan pengguna Bitwarden secara khusus. Manajer kata sandi Bitwarden semakin populer akhir-akhir ini karena dianggap sebagai alternatif yang lebih baik dari produk lain di pasaran1.
Serangan siber tersebut terjadi pada tanggal 26 Agustus 2023, ketika peretas berhasil mendapatkan akses ke server MOVEit yang digunakan NSC untuk mentransfer data antara organisasi dan kliennya. MOVEit adalah solusi transfer file aman yang dikembangkan oleh perusahaan perangkat lunak Ipswitch. NSC mengatakan bahwa mereka segera menonaktifkan server MOVEit setelah mengetahui serangan tersebut, dan meluncurkan penyelidikan forensik dengan bantuan spesialis keamanan siber eksternal2.
NSC mengirimkan pemberitahuan pelanggaran data kepada perguruan tinggi dan universitas yang terkena dampak pada tanggal 8 September 2023, memberi tahu mereka bahwa data siswa mereka mungkin telah terpapar. NSC juga menawarkan layanan pemantauan kredit gratis selama satu tahun kepada siswa yang data pribadinya terdampak. NSC mengatakan bahwa mereka tidak memiliki bukti bahwa data yang dicuri telah digunakan secara tidak sah atau disalahgunakan oleh peretas2.
NSC tidak mengungkapkan identitas peretas atau motif serangan tersebut. Namun, sebuah situs web kebocoran data melaporkan pada awal bulan ini bahwa mereka telah mendapatkan sampel data siswa dari peretas yang diduga, yang mencocokkan jenis data yang dikatakan NSC dicuri. Situs web tersebut mengklaim bahwa peretas menjual data tersebut di pasar gelap dengan harga $100.000.3.
Serangan siber ini menyoroti pentingnya melindungi data pendidikan yang sensitif dari ancaman siber. NSC mengatakan bahwa mereka telah meningkatkan keamanan sistem mereka dan bekerja sama dengan otoritas penegak hukum untuk menyelidiki insiden tersebut lebih lanjut.2.
