Tsunami Ransomware Jenis Baru Menghantam Ratusan Perusahaan


Itu mungkin tak terhindarkan bahwa dua ancaman keamanan siber yang dominan saat ini—serangan rantai pasokan dan ransomware—akan bergabung untuk mendatangkan malapetaka. Itulah yang terjadi Jumat sore, ketika kelompok kriminal REvil yang terkenal berhasil mengenkripsi file ratusan bisnis dalam satu gerakan, tampaknya berkat perangkat lunak manajemen TI yang disusupi. Dan itu baru permulaan.

Situasinya masih berkembang dan detail tertentu—yang terpenting, bagaimana penyerang menyusup ke perangkat lunak sejak awal—tetap tidak diketahui. Tapi dampaknya sudah parah dan hanya akan bertambah buruk mengingat sifat targetnya. Perangkat lunak yang dimaksud, Kaseya VSA, populer di antara apa yang disebut penyedia layanan terkelola, yang menyediakan infrastruktur TI untuk perusahaan yang lebih suka melakukan outsourcing hal semacam itu daripada menjalankannya sendiri. Artinya, jika Anda berhasil meretas MSP, Anda tiba-tiba memiliki akses ke pelanggannya. Ini adalah perbedaan antara memecahkan brankas satu per satu dan mencuri kunci kerangka manajer bank.

Sejauh ini, menurut perusahaan keamanan Huntress, REvil telah meretas delapan MSP. Tiga yang bekerja dengan Huntress secara langsung bertanggung jawab atas 200 bisnis yang menemukan data mereka dienkripsi pada hari Jumat. Tidak perlu banyak ekstrapolasi untuk melihat seberapa buruk yang didapat dari sana, terutama mengingat Kaseya ada di mana-mana.

“Kaseya adalah Coca-Cola untuk manajemen jarak jauh,” kata Jake Williams, chief technology officer dari perusahaan respons insiden BreachQuest. “Karena kita akan memasuki liburan akhir pekan, kita bahkan tidak akan tahu berapa banyak korban di luar sana sampai Selasa atau Rabu minggu depan. Tapi itu monumental.”

Terburuk dari Kedua Dunia

MSP telah lama menjadi target populer, terutama peretas negara-bangsa. Memukul mereka adalah cara yang sangat efisien untuk memata-matai, jika Anda bisa mengelolanya. Seperti yang ditunjukkan oleh dakwaan Departemen Kehakiman pada tahun 2018, mata-mata elit APT10 China menggunakan kompromi MSP untuk mencuri ratusan gigabyte data dari lusinan perusahaan. REvil telah menargetkan MSP sebelumnya juga, menggunakan pijakannya ke perusahaan TI pihak ketiga untuk membajak 22 kota Texas sekaligus pada tahun 2019.

Serangan rantai pasokan juga menjadi semakin umum, terutama dalam kampanye SolarWinds yang menghancurkan tahun lalu yang memberi Rusia akses ke beberapa agen AS dan korban lainnya yang tak terhitung jumlahnya. Seperti serangan MSP, peretasan rantai pasokan juga memiliki efek multiplikasi; mencemari satu pembaruan perangkat lunak dapat menghasilkan ratusan korban.

Maka, Anda dapat mulai melihat mengapa serangan rantai pasokan yang menargetkan MSP berpotensi menimbulkan konsekuensi eksponensial. Lemparkan ransomware yang melumpuhkan sistem ke dalam campuran, dan situasinya menjadi semakin tidak dapat dipertahankan. Ini mengingatkan serangan NotPetya yang menghancurkan, yang juga menggunakan kompromi rantai pasokan untuk menyebarkan apa yang pada awalnya tampak seperti ransomware tetapi sebenarnya merupakan serangan negara-bangsa yang dilakukan oleh Rusia. Kampanye Rusia yang lebih baru juga muncul dalam pikiran.

“Ini SolarWinds, tetapi dengan ransomware,” kata Brett Callow, analis ancaman di perusahaan antivirus Emsisoft. “Ketika satu MSP disusupi, itu dapat berdampak pada ratusan pengguna akhir. Dan dalam hal ini tampaknya banyak MSP telah disusupi, jadi…”

Williams dari BreachQuest mengatakan bahwa REvil tampaknya meminta perusahaan korban untuk setara dengan kira-kira $45.000 dalam cryptocurrency Monero. Jika mereka gagal membayar dalam waktu seminggu, permintaannya berlipat ganda. Situs berita keamanan BleepingComputer melaporkan bahwa REvil telah meminta beberapa korban sebesar $ 5 juta untuk kunci dekripsi yang membuka “semua PC dari jaringan terenkripsi Anda,” yang mungkin ditargetkan ke MSP secara khusus daripada klien mereka.

“Kami sering berbicara tentang MSP sebagai kapal induk bagi banyak bisnis dan organisasi kecil-menengah,” kata John Hammond, peneliti keamanan senior di Huntress. “Tetapi jika Kaseya yang terkena, aktor jahat hanya membahayakan semua kapal induk mereka.”

Diposting oleh : SGP Prize