Cyberthreat.id - Ratusan perusahaan di Amerika Serikat pada Jumat kemarin (2 Juli 2021) terkena serangan ransomware yang menyusup lewat perangkat lunak manajemen IT milik Kaseya yang berbasis di Miami, Florida.

Pola serangan ini dikenal dengan istilah supply chain attack. Yang diserang adalah pemasok perangkat lunaknya. Namun dampaknya menjalar ke semua perusahaan pengguna perangkat lunak tersebut. Pola serangan ini akhir tahun lalu dialami oleh Solarwinds, di mana penyerang memodifikasi peranti lunak Orion dari Solarwinds, lalu meminta pengguna mengintal versi terbaru yang telah disusupi malware jahat.

Dalam kasus terbaru, laporan Reuters menyebutkan, para penyerang mengubah perangkat lunak Kaseya yang disebut VSA, yang digunakan oleh perusahaan yang mengelola teknologi di bisnis kecil. Penyerang kemudian mengenkripsi file pelanggan penyedia tersebut secara bersamaan.

Perusahaan keamanan Huntress mengatakan sedang melacak delapan penyedia layanan terkelola yang telah digunakan untuk menginfeksi sekitar 200 klien.

Kaseya mengatakan di situsnya sendiri bahwa mereka sedang menyelidiki "potensi serangan" pada VSA, yang digunakan oleh para profesional TI untuk mengelola server, desktop, perangkat jaringan, dan printer.

Kaseya diketahui memiliki 40 ribu pelanggan yang menggunakan produknya, meskipun tidak semua pelanggannya terdampak.

Kaseya mengatakan telah mematikan beberapa infrastrukturnya untuk mencegah dampak yang lebih luas. Perusahaan juga meinta pelanggannya yang menggunakan VSA untuk segera mematikan server mereka.

"Ini adalah serangan rantai pasokan kolosal dan menghancurkan," kata peneliti keamanan senior Huntress John Hammond dalam email, merujuk pada teknik peretas profil tinggi yang membajak satu perangkat lunak untuk membahayakan ratusan atau ribuan pengguna sekaligus.

Hammond menambahkan bahwa karena Kaseya terhubung ke segala hal mulai dari perusahaan besar hingga perusahaan kecil, "Kaseya berpotensi menyebar ke berbagai ukuran atau skala bisnis." Banyak penyedia layanan terkelola menggunakan VSA, meskipun pelanggan mereka mungkin tidak menyadarinya, kata para ahli.

Beberapa karyawan di penyedia layanan mengatakan di papan diskusi bahwa klien mereka telah dipukul sebelum mereka bisa mengirim peringatan.

Reuters tidak dapat menghubungi perwakilan Kaseya untuk komentar lebih lanjut. Huntress mengatakan mereka yakin geng ransomware REvil yang terkait dengan Rusia - kelompok aktor yang sama yang disalahkan oleh FBI karena melumpuhkan pengepakan daging JBS bulan lalu - harus disalahkan atas wabah ransomware terbaru.

REvil - juga dikenal sebagai Sodinokibi - adalah salah satu kelompok penjahat dunia maya yang paling produktif dan menguntungkan di dunia.

Permintaan Tebusan

Seorang eksekutif keamanan swasta yang bekerja merespon serangan itu mengatakan, setelah mengenkripsi sistem, pelaku mengirimkan permintaan uang tebusan berkisar dari beberapa ribu dolar hingga US$ 5 juta atau lebih dalam bentuk Monero, salah satu cryptocurrency yang paling banyak diminta oleh pelaku kejahatan siber selain Bitcoin.

Merespon insiden itu, Badan Keamanan Cybersecurity dan Infrastruktur AS mengatakan "mengambil tindakan untuk memahami dan mengatasi serangan ransomware rantai pasokan baru-baru ini."

Pada pertemuan puncak di Jenewa bulan lalu, Presiden AS Joe Biden mengatakan dia telah mengingatkan Presiden Rusia Vladimir Putin bahwa dia memiliki tanggung jawab untuk mengendalikan serangan siber  semacam itu.

Biden mengatakan dia memberi Putin daftar 16 sektor infrastruktur penting, dari energi hingga air, yang tidak boleh diretas.[]