Cyberthreat.id - Operasi ransomware yang dikenal sebagai Black Kingdom ditemukan mengeksploitasi kerentanan Microsoft Exchange Server untuk mengenkripsi server korban.

Dikutip dari BleepingComputer, Microsoft menemukan web shells  Black Kingdom di sekitar 1.500 server Microsoft Exchange yang rentan terhadap empat kerentanan layanan emailnya tersebut.

"Web shells ini diamati pada sekitar 1.500 sistem, tidak semuanya dipindahkan ke tahap ransomware,"  kata Tim Intelijen Ancaman Microsoft 365 pada 25 Maret, dikutip dari Bleeping Computer, Jumat (4 April 2021).

Sekedar informasi, dikutip dari laman Microsoft, web shell adalah sepotong kode berbahaya yang sering ditulis dalam bahasa pemrograman pengembang web yang khas yang ditanamkan penyerang pada server web untuk menyediakan akses jarak jauh dan eksekusi kode fungsi server.

Microsoft menyebut penyerang memindai dan mengkompromikan secara massal Exchange Server yang belum ditambal untuk meluncurkan web shell pada pertengahan Maret 2021.

"Mereka memulai lebih lambat dari beberapa penyerang lainnya, dengan banyak gangguan yang terjadi antara 18 Maret dan 20 Maret, menjadi "jendela" (tempat masuk penyerang) ketika masih ada sedikit sistem yang belum ditambal," kata Tim Intelijen Ancaman Microsoft 365.

Ketika para penyerang benar-benar melakukan aksinya, kata Microsoft, operator ransomware mengeksekusi skrip PowerShell melalui web shell mereka yang bertindak sebagai pengunduh dan mekanisme distribusi ransomware.

Hanya saja, Microsoft menemukan sistem yang disusupi belum menerima tindakan lanjutan seperti serangan ransomware yang dioperasikan oleh manusia atau eksfiltrasi data. Karena itu, Microsoft menilai para penyerang ini ingin bertahan lama dalam sistem untuk "menjaga akses mereka dan melakukan tindakan potensial selanjutnya."

Tuntutan tebusan hingga US$10.000
Analis malware Marcus Hutchins merupakan orang yang pertama melihat Black Kingdom atau disebut Microsoft sebagai Pydomer menargetkan Exchange Server selama akhir pekan setelah satu honeypots (sistem jebakan untuk memikat penyerang dan memantau aktivitas mereka) kerentanan Exchange Server mendeteksi aktivitas berbahaya. Marcus adalah mantan hacker asal Inggris yang berjasa menghentikan ransomware WannaCry beberapa tahun lalu.

Sementara itu, dari informasi yang diberikan Michael Gillespie pencipta situs identifikasi ID Ransomware kepada BleepingComputer, pihaknya mulai 18 Maret sudah mendapatkan 30 kiriman terkait Black Kingdom yang datang langsung dari server email yang terdampak.

Jika yang ditemukan Marcus operator ransomware gagal mengenkripsi file apapun di honeypots, yang dikirimkan ke ID Ransomware semuanya berhasil dienkripsi.

Korban dari Pydomer ini berada di Amerika Serikat, Rusia, Kanada, Jerman, Austria, Swiss, Prancis, Israel, Inggris Raya, Italia, Yunani, Australia, dan Kroasia. Hanya saja tidak disebutkan berasal dari sektor apa saja yang ditargetkan oleh Black Kingdom atau Pydomer ini.

Saat mengenkripsi perangkat, peretas ransomware mengenkripsi file menggunakan ekstensi acak dan kemudian membuat catatan tebusan bernama decrypt_file.TxT. Namun, Marcus melihat catatan tebusan yang sedikit berbeda berbeda dalam catatan tebusan yang buat dalam file ReadMe.txt.

Dalam catatan itu, peretas meminta uang tebusan sebesar US$10.000 (Rp145 juta) dalam bentuk bitcoin. Dalam pelacakan oleh BleepingComputer, alamat bitcoin yang kirim peretas hanya menerima satu pembayaran pada 18 Maret, yang telah ditransfer ke alamat lain.

Tak sekedar meminta uang tebusan, peretas dalam catatan tebusannya memperingatkan para korban bahwa datanya telah dicuri sebelum perangkatnya dienkripsi dan data itu akan dipublikasikan jika korban tidak membayar tebusan.

Dalam beberapa serangan, Microsoft mengatakan catatan tebusan tetap ada meski perangkatnya tidak dienkripsi. Tidak diketahui maksud dari penyerang melakukan itu, apakah gagal mengeksfiltrasi atau memang hanya sekedar mengandalkan data yang dicurinya untuk memeras korban.

Meski begitu, Microsoft menilai "catatan tebusan harus ditanggapi dengan serius jika ditemukan, karena penyerang memiliki akses penuh ke sistem dan kemungkinan besar dapat mengekstrak data,"

Ransomware Black Kingdom sebelumnya telah menargetkan perusahaan dengan kerentanan Pulse VPN pada Juni 2020.

Meskipun belum dikonfirmasi apakah ini serangan yang sama dengan pada Juni 2020 ini tetapi Marcus mengatakan malware yang menargetkan Exchange Server berbasis skrip Python yang dikompilasi menjadi Windows yang dapat dieksekusi. Pada Juni 2020 itu juga ransomware Black Kingdom menggunakan malware yang dikodekan dengan Python.

Black Kingdom menjadi ransomware kedua yang ditemukan menargetkan kerentanan Microsoft Exchange Server. Yang pertama adalah ransomware DearCry yang digunakan peretas pada awal Maret. (Lihat: Ransomware DearCry Eksploitasi Kerentanan Microsoft Exchange Server).[]

Editor: Yuswardi A. Suud