Hati-Hati! Ransomware DearCry Ancam Pengguna Microsoft Exchange

serangan-ransomware-dearcrypt

Hacker Hafnium mulai menyebarkan ransomware DearCry pada sistem korban setelah meretas ke server Microsoft Exchange lokal yang masih belum ditambal, kata Microsoft Kamis malam di AS.

"Microsoft mengamati keluarga baru pelanggan serangan ransomware yang dioperasikan oleh manusia," cuit Manajer Program Keamanan Microsoft Phillip Misner pada pukul 9:19 malam. USET Kamis. "Serangan ransomware yang dioperasikan oleh manusia memanfaatkan kerentanan Microsoft Exchange untuk mengeksploitasi pelanggan."

Tweet Misner datang kurang dari dua jam setelah BleepingComputer melaporkan bahwa pelaku ancaman memanfaatkan kerentanan ProxyLogin zero-day baru di server Microsoft Exchange untuk memasang ransomware DearCry. Pelanggan Microsoft Defender yang menerima pembaruan otomatis sekarang dilindungi dari ransomware ini tanpa harus mengambil tindakan apa pun, menurut Intelijen Keamanan Microsoft.

“Kami telah mendeteksi dan sekarang memblokir keluarga baru ransomware yang digunakan setelah penyusupan awal Server Exchange lokal yang belum ditambal,” Microsoft Security Intelligence mentweet ke 23:53. USET Kamis. “Microsoft melindungi dari ancaman yang dikenal sebagai… DearCry.”

Microsoft mengarahkan pelanggan Exchange Server lokal untuk memprioritaskan pembaruan keamanan yang dirilis minggu ini bagi pelanggan yang tidak dapat memperbarui lingkungan Exchange mereka ke versi di mana Microsoft sudah memiliki patch yang tersedia. Masih ada sekitar 80.000 server lama yang tidak dapat langsung menerapkan pembaruan keamanan terbaru Microsoft, Palo Alto Networks mengatakan kepada BleepingComputer.


Serangan ransomware DearCry pertama kali menjadi perhatian publik pada Kamis sore setelah tweet dari pembuat situs ID-Ransomware Michael Gillespie. “ID Ransomware tiba-tiba menerima pengiriman dengan“ .CRYPT ”dan penanda file” DEARCRY! ” berasal dari IP server Exchange dari AS, CA [Kanada], AU [Australia] jika dilihat sekilas, ”tweet Gillespie pada pukul 16:31. USET Kamis.

Saat diluncurkan, DearCry ransomware akan mencoba mematikan layanan Windows bernama 'msupdate,' yang tampaknya bukan layanan Windows yang sah, kata CEO Advanced Intelligence Vitali Kremez kepada BleepingComputer. Untuk setidaknya satu korban, operator ransomware DearCry meminta uang tebusan sebesar US $ 16.000, menurut BleepingComputer.

Ketika selesai mengenkripsi komputer, BleepingComputer melaporkan bahwa DearCry membuat catatan tebusan sederhana bernama 'readme.txt' yang berisi dua alamat email untuk operator ransomware serta hash unik. BleepingComputer mengatakan ransomware tampaknya tidak memiliki kelemahan yang memungkinkan korban untuk memulihkan file mereka secara gratis.

Lebih banyak kelompok ransomware diharapkan dapat mengeksploitasi kerentanan Microsoft Exchange dalam waktu dekat, menurut John Hultquist, wakil presiden analisis untuk Mandiant Threat Intelligence.

“Meskipun banyak dari organisasi yang masih belum ditambal mungkin telah dieksploitasi oleh pelaku spionase dunia maya, operasi ransomware kriminal dapat menimbulkan risiko yang lebih besar karena mengganggu organisasi dan bahkan memeras korban dengan merilis email yang dicuri,” kata Hultquist dalam sebuah pernyataan. “Operator ransomware dapat memonetisasi akses mereka dengan mengenkripsi email atau mengancam membocorkannya, taktik yang baru-baru ini mereka adopsi.”

Peretasan Microsoft Exchange ini semakin mendesak akhir-akhir ini, dengan ESET mengatakan pada hari Rabu bahwa setidaknya 10 kelompok peretasan tingkat lanjut yang berbeda memanfaatkan kerentanan zero-day. Beberapa kelompok peretasan memperoleh akses ke detail kerentanan sebelum Microsoft merilis tambalannya, yang berarti kemungkinan bahwa mereka membalikkan pembaruan Microsoft yang direkayasa dapat dibuang.

Microsoft sedang mencari tahu apakah kebocoran mungkin telah memicu kompromi server Exchange massal sebelum rilis tambalannya, dua sumber yang mengetahui tanggapan perusahaan mengatakan kepada Bloomberg Jumat. Pada 26 Februari, empat hari sebelum Microsoft merilis tambalannya, penyerang mulai menyusup ke Microsoft Exchange secara massal seolah-olah mereka tahu jendela mereka akan segera ditutup, kata Ryan Kalember dari Proofpoint kepada Bloomberg.

Jika ada kebocoran, Bloomberg melaporkan itu mungkin berasal dari peneliti independen atau dari salah satu keamanan perusahaan atau mitra pemerintah. Kebocoran itu bisa saja berbahaya atau sebagai alternatif bisa menjadi bagian dari pelanggaran keamanan terpisah, sumber mengatakan kepada Bloomberg.

Peretas Lain Juga Exploitasi Server Microsoft Exchange

Peneliti keamanan di ESET Research mengamati lonjakan di Webshell terinstal yang terkait dengan eksploitasi Exchange Server sejak rilis patch out-of-band Microsoft pada 2 Maret. Webshell ini terdeteksi di lebih dari 5.000 server, para peneliti menambahkan dalam pengumuman ESET Rabu.

ESET menyebut lebih dari 10 grup APT lainnya, tidak termasuk Hafnium, yang terlibat dalam serangan Exchange Server. Grup-grup ini memiliki nama-nama seperti "Centang, LuckyMouse, Calypso, dan Grup Winnti", antara lain.

Seperti Hafnium, grup APT lainnya ini tampaknya sebagian besar menggunakan kelemahan zero-day di Exchange Server untuk melakukan spionase, menjatuhkan Webshell untuk tujuan tersebut. Namun, pengumuman ESET menyertakan garis waktu yang menunjukkan bahwa grup ini juga menggunakan eksploitasi Exchange Server beberapa hari sebelum rilis patch Microsoft 2 Maret, paling cepat 28 Februari.

Berdasarkan timeline-nya, serangan baru yang terlihat minggu ini tidak terjadi karena tambalan Microsoft pada 2 Maret melalui teknik reverse engineering, menurut ESET :

"[Kronologi ESET] ini menunjukkan bahwa beberapa pelaku ancaman memperoleh akses ke detail kerentanan sebelum rilis tambalan, yang berarti kami dapat mengabaikan kemungkinan bahwa mereka membangun eksploitasi dengan reverse engineering dari pembaruan Microsoft."

Cara Mendeteksi dan Menghapus Ransomware DearCry

Selama eksekusinya, DearCry juga menjalankan layanan bernama "msupdate" yang bukan asli sistem operasi Windows. Layanan ini kemudian dihapus ketika ransomware menyelesaikan proses enkripsi. Selain itu, semua drive logis pada sistem operasi Windows, kecuali untuk drive CD-ROM, disebutkan pada sistem korban sehingga ransomware dapat mulai mengenkripsi file menggunakan kunci publik RSA.

Pada Maret 2021, DearCry ransomware terlihat menargetkan file dengan ekstensi file berikut :
.TIF, .TIFF, .PDF, .XLS, .XLSX, .XLTM, .PS, .PPS, .PPT, .PPTX, .DOC, .DOCX, .LOG, .MSG, .RTF, .TEX, .TXT , .CAD, .WPS, .EML, .INI, .CSS, .HTM, .HTML, .XHTML, .JS, .JSP, .PHP, .KEYCHAIN, .PEM, .SQL, .APK, .APP,. BAT, .CGI, .ASPX, .CER, .CFM, .C, .CPP, .GO, .CONFIG, .PL, .PY, .DWG, .XML, .JPG, .BMP, .PNG, .EXE, .DLL, .CAD, .AVI, .H, .CSV, .DAT, .ISO, .PST, .PGD, .7Z, .RAR, .ZIP, .ZIPX, .TAR, .PDB, .BIN, .DB , .MDB, .MDF, .BAK, .LOG, .EDB, .STM, .DBF, .ORA, .GPG, .EDB, .MFS

Kemudian ransomware DearCry akan menginfeksi seluruh file dan mengganti nama ekstensinya menjadi .CRYPT.

Nah bagi kamu yang ingin mendeteksi ransomware terbaru ini, ada software yang harus dicoba dari produk keamanan Sophos yakni Sophos Intercept X Endpoint. Berikut ini adalah fitur unggulan dari produk tersebut :
  • Endpoint Detection & Response
  • Anti-Ransomware
  • Deep Learning Technology
  • Exploit Prevention
  • Managed Threat Response
  • Active Adversary Mitigations
Menurut Sophos, Intercept X Endpoint merupakan jajaran keamanan paling aman dan paling diminati perusahaan yang ingin menjaga data client, ini terlihat dari hitungan persen exploit yang berhasil di blokir sekitar 97% lebih tinggi dibanding produk keamanan lain seperti Symantec, Sentinel One, CrowdStrike, Microsoft dan Trend Micro. Bahkan produk ini mampu memblokir malware berbahaya secara otomatis.

Tidak hanya Sophos, kamu juga bisa melirik produk buatan PaloAlto yang dikenal oleh kalangan IT Security profesional seperti Cortex XDR, Cortex XSOAR dan WildFire.

Posting Komentar

0 Komentar