Ribuan Server Microsoft Exchange Rawan Terinfeksi Ransomware

berita-ransomware-microsoft-exchange

Organisasi yang menggunakan Microsoft Exchange sekarang mengalami masalah keamanan baru yaitu serangan ransomware yang belum pernah terlihat sebelumnya, sedang dipasang di server yang telah terinfeksi oleh peretas yang disponsori negara di China.

Microsoft melaporkan keluarga baru penyebaran ransomware Kamis malam, mengatakan bahwa itu disebarkan setelah kompromi awal server. Nama Microsoft untuk keluarga baru adalah Ransom: Win32 / DoejoCrypt.A. Nama yang lebih umum adalah DearCry.

Perusahaan keamanan Kryptos Logic mengatakan Jumat sore bahwa mereka telah mendeteksi server Exchange yang dikompromikan Hafnium yang kemudian terinfeksi dengan ransomware. Peneliti keamanan Kryptos Logic Marcus Hutchins memberi tahu Ars bahwa ransomware itu adalah DearCry.

“Kami baru saja menemukan 6970 webshell yang terbuka yang terbuka untuk umum dan ditempatkan oleh aktor yang mengeksploitasi kerentanan Exchange,” kata Kryptos Logic. "Shell ini digunakan untuk menyebarkan ransomware." Webshell adalah backdoor yang memungkinkan penyerang menggunakan antarmuka berbasis browser untuk menjalankan perintah dan mengeksekusi kode berbahaya di server yang terinfeksi.


Siapapun yang mengetahui URL ke salah satu webshell publik ini dapat memperoleh kendali penuh atas server yang disusupi. Peretas DearCry menggunakan kerangka ini untuk menyebarkan ransomware mereka. Webshell awalnya dipasang oleh Hafnium, nama yang diberikan Microsoft kepada pelaku ancaman yang disponsori negara yang beroperasi di luar China.

Hutchins mengatakan bahwa serangan itu "dioperasikan oleh manusia", yang berarti peretas menginstal ransomware secara manual di satu server Exchange pada satu waktu. Tidak semua dari hampir 7.000 server terkena DearCry.

“Pada dasarnya, kami mulai melihat pelaku kriminal menggunakan cangkang yang ditinggalkan oleh Hafnium untuk mendapatkan pijakan ke jaringan,” jelas Hutchins.

Penyebaran ransomware, yang menurut pakar keamanan tidak dapat dihindari, menggarisbawahi aspek kunci tentang respons berkelanjutan untuk mengamankan server yang dieksploitasi oleh ProxyLogon. Tidaklah cukup hanya menginstal tambalan. Tanpa menghapus webshell yang tertinggal, server tetap terbuka untuk gangguan, baik oleh peretas yang awalnya memasang backdoor atau oleh sesama peretas lain yang mencari cara untuk mendapatkan akses ke sana.

Sedikit yang diketahui tentang DearCry. Firma keamanan Sophos mengatakan bahwa itu didasarkan pada sistem kriptografi kunci publik, dengan kunci publik yang disematkan dalam file yang memasang ransomware. Itu memungkinkan file dienkripsi tanpa perlu terhubung ke server perintah dan kontrol terlebih dahulu. Untuk mendekripsi data, korban harus mendapatkan kunci pribadi yang hanya diketahui oleh penyerang.

Di antara orang pertama yang menemukan DearCry adalah Mark Gillespie, pakar keamanan yang menjalankan layanan yang membantu peneliti mengidentifikasi jenis malware. Pada hari Kamis, dia melaporkan bahwa, mulai hari Selasa, dia mulai menerima kueri dari server Exchange di AS, Kanada, dan Australia untuk malware yang memiliki string "DEARCRY".

Dia kemudian menemukan seseorang memposting ke forum pengguna di Bleeping Computer mengatakan ransomware sedang diinstal di server yang pertama kali dieksploitasi oleh Hafnium. Bleeping Computer segera mengkonfirmasi firasat itu.

John Hultquist, wakil presiden di firma keamanan Mandiant, mengatakan bahwa membonceng para peretas yang memasang webshell dapat menjadi cara yang lebih cepat dan lebih efisien untuk menyebarkan malware pada server yang belum ditambal daripada mengeksploitasi kerentanan ProxyLogon. Dan seperti yang telah disebutkan, meskipun server ditambal, operator ransomware masih dapat menyusupi mesin saat webshell belum dihapus.

“Kami mengantisipasi lebih banyak eksploitasi kerentanan pertukaran oleh pelaku ransomware dalam waktu dekat,” tulis Hultquist dalam email. “Meskipun banyak dari organisasi yang masih belum ditambal mungkin telah dieksploitasi oleh pelaku spionase dunia maya, operasi ransomware kriminal dapat menimbulkan risiko yang lebih besar karena mengganggu organisasi dan bahkan memeras korban dengan merilis email yang dicuri.”

Posting Komentar

0 Komentar