HARIANTERKINI.COM – Microsoft menyatakan beberapa kelompok ransomware telah memulai modus baru serangan pada dua pekan pertama April 2020. Peretas secara khusus menargetkan sektor kritis yang sedang menghadapi krisis pandemi Covid-19.
“Sejauh ini serangan telah mempengaruhi organisasi bantuan, perusahaan medis, manufaktur, transportasi, lembaga pemerintah dan penyedia perangkat lunak khusus pendidikan,” demikian keterangan Microsoft Threat Protection Intelligence dalam blognya baru-baru ini.
Untuk mendapatkan akses ke jaringan target, kampanye ransomware baru-baru ini mengeksploitasi sistem yang menghadapi internet dengan kelemahan-kelemahan berikut:
- Remote Desktop Protocol (RDP) atau Virtual Desktop endpoint tanpa multi-factor authentication (MFA)
- Platform lama yang tidak lagi mendapatkan pembaruan keamanan, seperti Windows Server 2003 dan Windows Server 2008. Ini diperburuk dengan penggunaan password yang lemah
- Server web yang salah konfigurasi, termasuk IIS, perangkat lunak catatan kesehatan elektronik (Electronic Health Record/EHR), server cadangan, atau server manajemen sistem
- Sistem Pengendali Pengiriman Aplikasi Citrix (ADC) yang dipengaruhi oleh CVE-2019-19781
- Sistem Pulse Secure VPN dipengaruhi oleh CVE-2019-11510.
Belum jelas berapa jumlah organisasi yang terdampak ransomware. Namun, Microsoft menyebut penggunaan ransomware dalam periode dua pekan tersebut menyebabkan peningkatan dalam volume serangan ransomware.
Analisa Microsoft mengatakan banyak dari serangan ransomware dimulai dengan eksploitasi perangkat serta jaringan yang rentan saat menggunakan internet.
“Serangan tersebut menghasilkan berbagai muatan, tetapi mereka semua menggunakan teknik yang sama dengan yang diamati dalam kampanye ransomware yang dioperasikan manusia yaitu pencurian kredensial dan gerakan lateral, berpuncak pada penyebaran muatan ransomware,” tulis Microsoft.
Setelah muatan ransomware berhasil mengenkripsi suatu file, operator akan meminta uang tebusan untuk men-dekripsi file itu. Ketika korban membayar uang tebusan demi membuka file, operator dibalik ransomware tidak langsung menghapus muatan ransomware-nya.
Menurut Microsoft, para penyerang ini sering mempertahankan kendali atas beberapa endpoint setelah menyebarkan ransomware. Tujuannya untuk meluncurkan serangan ransomware di masa depan setelah uang tebusan dibayarkan.
Microsoft juga mencatat sejumlah muatan ransomware yang paling banyak digunakan oleh penyerang pada bulan April, diantaranya RobbinHood, Vatet loader, NetWalker, PonyFinal, Maze, REvil, Paradise, RagnarLocker, MedusaLocker serta LockBit.
Sektor-sektor kritis sangat disarankan untuk menerapkan protokol keamanan yang ketat serta memberikan edukasi karyawan/staf menjadi sangat penting. Pasalnya, mengklik tautan menjadi salah satu vektor infeksi yang paling efektif
Baca Berita Terbaru: Piala Dunia U20 2021, FIFA Minta 6 Stadion Dibenahi dan Dimonitor
