Cyberthreat.id – Perusahaan keamanan siber asal Rusia, Kaspersky, mendeteksi adanya geng peretas ransomware yang mengeksploitasi kerentanan di server VPN.

Kaspersky menyelidiki kasus tersebut dalam serangan yang menimpa sebuah organisasi, tak disebutkan namana, di Eropa.

“Serangan berhasil mengenkripsi server kontrol industri dengan ransomware. Akibatnya, operasional industri sementara berhenti,” menurut laporan ZDNet, portal berita cybersecurity, diakses Jumat (9 April 2021).

Kaspersky mengatakan, serangan itu dilakukan oleh geng ransomware Cring. Geng ini muncul pertama kali pada Januari lalu dan mengeksploitasi kerentanan di server Fortigate VPN (CVE-2018-13379).

---

Berita Terkait:

• FBI dan CISA Ingatkan Hacker Negara Incar Kerentanan di Server Fortinet FortiOS

---

Fortinet sendiri telah mengeluarkan tambalan keamanan untuk kerentanan tersebut pada tahun lalu, tapi peretas tampaknya masih bisa memindai sejumlah organisasi yang belum menerapkan pembaruan keamanan.

Dengan mengeksploitasi aplikasi VPN yang belum ditambal, penyerang dapat mengakses nama pengguna dan kata sandi dari jarak jauh, memungkinkan mereka untuk masuk ke jaringan secara manual.

Dari situlah, menurut Kaspersky, penyerang mengunduh “Mimikatz”, aplikasi sumber terbuka untuk melihat dan menyimpan kredensial otentikasi, dan menggunakannya untuk mencuri nama pengguna dan kata sandi tambahan.

Selanjutnya, malware tersebut bergerak secara lateral di sekitar jaringan dan juga menggunakan “Cobalt Strike”, perangkat lunak penetrasi sah yang disalahgunakan oleh penyerang, untuk mendapatkan kontrol tambahan atas sistem yang terinfeksi.

Dengan bantuan skrip PowerShell yang berbahaya, Kaspersky menuturkan, penyerang dapat mengenkripsi semua sistem yang telah disusupi di seluruh jaringan dengan ransomware Cring.

Pada titik itulah, sebuah catatan dari penyerang member tahu korban bahwa jaringan mereka telah dienkripsi dengan ransomware. Mereka meminta korban membayar dalam Bitcoin jika ingin memulihkan jaringannya.

Sejauh ini, Kaspersky belum memberikan informasi bagaimana penanganannya. Namun, perusahaan menegaskan penyebab utama serangan itu karena lalau dalam menerapkan patch keamanan pada VPN.

Faktor lain yang memungkinkan penyerang untuk menyebarkan ransomware di jaringan, yaitu kurangnya pembaruan keamanan tepat waktu pada perangkat lunak antivirus yang seharusnya melindungi jaringan.

Untuk membantu melindungi jaringan dari serangan ransomware Cring, disarankan agar server Fortigate VPN ditambal dengan pembaruan keamanan yang relevan.

Juga, disarankan agar akses VPN dibatasi untuk mereka yang membutuhkannya karena alasan operasional. Lalu, port yang tidak perlu dibuka ke web, sebaiknya ditutup.

Peneliti juga menyarankan agar sistem kritis dicadangkan secara offline. Jika insiden terburuk terjadi dan jaringan menjadi korban serangan ransomware, organisasi masih bisa memulihkan sistem tanpa perlu mengeluarkan uang tebusan kepada peretas.

Sebelumnya, Fortinet mengatakan, kerentanan CVE-2018-13379 merupakan kerentanan lama yang telah diperbaiki pada Mei 2019. Fortinet juga telah mengeluarkan nasihat keamanan dan memberitahu pelanggan melalui unggahan di blog perusahaan pada Agustus 2019 dan Juli 2020.

Setelah penyelesaian itu, Fortinet juga memperbaiki kerentanan CVE-2019-5591 pada Juli 2019 dan CVE-2020-12812 pada Juli 2020.[]