Polisi Federal Australia mengklaim telah mengidentifikasi penjahat dunia maya di balik serangan ransomware Medibank, yang membahayakan data pribadi 9,7 juta pelanggan.

Komisaris AFP Reece Kershaw mengatakan pada hari Jumat bahwa agensi mengetahui identitas individu yang bertanggung jawab atas serangan terhadap perusahaan asuransi kesehatan swasta terbesar di Australia. Dia menolak menyebutkan nama individu tetapi mengatakan AFP percaya bahwa mereka yang bertanggung jawab atas pelanggaran tersebut berada di Rusia, meskipun beberapa afiliasinya mungkin berada di negara lain.

Dalam sebuah tweet, Perdana Menteri Australia Anthony Albanese, yang data Medibank-nya dicuri, mengatakan AFP mengetahui di mana para peretas berada dan berupaya membawa mereka ke pengadilan.

Kershaw mengatakan bahwa intelijen polisi menunjuk ke “kelompok penjahat dunia maya yang berafiliasi secara longgar” yang kemungkinan besar bertanggung jawab atas pelanggaran data signifikan sebelumnya di seluruh dunia, tetapi tidak menyebutkan nama korbannya.

“Penjahat dunia maya ini beroperasi seperti bisnis dengan afiliasi dan rekan yang mendukung bisnis tersebut,” tambahnya, menunjuk ke ransomware sebagai operasi layanan seperti LockBit. Pada hari Kamis, seorang warga Rusia-Kanada ganda yang terkait dengan operasi LockBit ditangkap di Kanada.

Peretas di balik pelanggaran Medibank sebelumnya telah dikaitkan dengan geng kejahatan dunia maya Rusia REvil, juga dikenal sebagai Sodinokibi. Situs kebocoran web gelap REvil yang dulunya tidak berfungsi sekarang mengalihkan lalu lintas ke situs baru yang menampung data Medibank yang dicuri, dan peretas di balik pelanggaran tersebut juga telah diamati menggunakan varian malware enkripsi file REvil.

Kedutaan Besar Rusia di Canberra dengan cepat menolak tuduhan bahwa peretas Medibank berbasis di Rusia. “Untuk beberapa alasan, pengumuman ini dibuat bahkan sebelum AFP menghubungi pihak Rusia melalui saluran komunikasi profesional yang ada,” kata kedutaan dalam sebuah pernyataan pada hari Jumat. “Kami mendorong AFP untuk menghubungi lembaga penegak hukum Rusia masing-masing.”

Layanan keamanan federal Rusia FSB (sebelumnya KGB) mengatakan pada bulan Januari bahwa REvil “tidak ada lagi” setelah beberapa penangkapan dilakukan atas permintaan pemerintah AS. Pada bulan Maret, Yaroslav Vasinskyi berkewarganegaraan Ukraina, diduga sebagai anggota kunci grup REvil yang terkait dengan serangan terhadap vendor perangkat lunak AS Kaseya, diekstradisi dari Polandia ke AS untuk menghadapi dakwaan.

“Bahkan setelah serangkaian operasi penegakan hukum terhadap REvil, geng dan afiliasinya tampaknya masih terus kembali, berdasarkan analisis sampel ransomware REvil terbaru,” Roman Rezvukhin, kepala analisis malware dan tim pemburu ancaman di Group-IB , memberi tahu TechCrunch.

Kershaw mengatakan pada hari Jumat bahwa AFP, bersama dengan mitra internasional seperti Interpol, akan mengadakan pembicaraan dengan penegak hukum Rusia tentang orang-orang ini.

“Penting untuk dicatat bahwa Rusia mendapat manfaat dari pembagian intelijen dan data yang dibagikan melalui Interpol, dan dengan itu muncul tanggung jawab dan akuntabilitas,” kata Kershaw. “Kepada para penjahat: Kami tahu siapa Anda, dan terlebih lagi, AFP memiliki beberapa catatan penting dalam hal membawa pelaku kejahatan luar negeri kembali ke Australia untuk menghadapi sistem peradilan.”

Sementara AFP telah berhasil mengekstradisi orang dari Polandia, Serbia, dan Uni Emirat Arab dalam beberapa tahun terakhir untuk menghadapi tuntutan pidana di Australia, mengekstradisi peretas Rusia kemungkinan akan menjadi tantangan. Pada tahun 2018, Presiden Rusia Vladimir Putin menyatakan bahwa “Rusia tidak mengekstradisi warganya kepada siapa pun.”

Terlepas dari tindakan AFP, pelanggaran Medibank terus memburuk menyusul keputusannya untuk menolak membayar permintaan uang tebusan penjahat dunia maya. Pada hari Kamis, blog web gelap penyerang memposting lebih banyak data yang dicuri, termasuk file sensitif terkait aborsi dan penyakit terkait alkohol. Penjahat dunia maya mengklaim bahwa mereka awalnya mencari uang tebusan sebesar $10 juta dari Medibank sebelum mengurangi jumlah tersebut menjadi $9,7 juta, atau $1 per pelanggan yang terpengaruh, kata blog tersebut.

“Sayangnya, kami mengharapkan penjahat terus merilis data pelanggan yang dicuri setiap hari,” kata CEO Medibank David Koczkar pada hari Jumat. “Ini adalah orang-orang nyata di balik data ini dan penyalahgunaan data mereka sangat disesalkan dan dapat membuat mereka enggan mencari perawatan medis.”