Cyberthreat.id – Cisco Talos, perusahaan analisis dan riset keamanan siber, menemukan aktivitas ransomware Babuk yang dipaker untuk menargetkan kerentanan pada Microsoft Exchange Server.

Para peneliti melihat indikasi bahwa peretas memanfaatkan web shell (perangkat lunak yang dipakai untuk “jalan belakang” alias backdoor) China berjuluk “Chopper” sebagai peretasan awal, selanjutnya menggunakannya untuk menyebarkan “Babuk”, demikian dikutip dari Security Week, diakses Minggu (7 November 2021).

Pada Agustus lalu, Microsoft mengemukakan bahwa perangkat lunak Exchanger Server-nya menjadi target serangan siber karena mengalami kerentanan. Ada tiga kerentanan yang kemudian dijuluki sebagai “ProxyShell”. (Baca: Setelah Bug ProxyLogon, Microsoft Exchange Server Kini Diserang via ProxyShell, Segera Tambal!)

Tiga kerentanan tersebut, antara lain: CVE-2021-34473 berupa pre-auth confusion yang mengarah ke ACL Bypass yang ditambal pada April lalu melalui patch KB5001779.

Lalu, CVE-2021-34523 berupa peningkatan hak istimewa pada backend “Exchange PowerShell” yang ditambal pada April dengan KB5001779 dan CVE-2021-31207 berupa posth-auth abritrary-file-write yang mengarah pada eksekusi kode jarak jauh (remote code execution/RCE).

Meski sepenuhnya menambal bug tersebut pada Mei lalu, sampai Juli lalu Microsoft tidak menetapkan kode atau identitas CVE untuk kerentanan. Padahal, dengan pengumuman CVE, organisasi yang memakai Exchange Server rentan bisa mencegah eksploitasi di alam liar oleh peretas, tulis BleepingComputer, pada 26 Agustus lalu.

Microsoft saat itu mengatakan bahwa pelanggan harus menginstal setidaknya satu dari pembaruan kumulatif terbaru yang didukung dan semua pembaruan keamanan yang berlaku untuk memblokir serangan ProxyShell.

Sebelumnya sejumlah peneliti keamanan siber juga Badan Keamanan Siber dan Infrastruktur (CISA) AS telah memperingatkan pengguna Microsoft Exchange Server untuk segera menambal bug lantaran adanya aktivitas yang terindikasi mengeksploitasinya pada awal Agustus.

Sejak awal Maret, Exchange Server menjadi target serangan yang diduga oleh peretas China. Serangan ini berimbas ke puluhan ribu organisasi di sejumlah negara. Peretas mengeksploitasi kerentanan zero-day yang secara kolektif dijuluki “ProxyLogon”.

Ancaman Geng Tortilla

Dalam aksi terbaru tersebut, peneliti melihat adanya geng peretas Tortilla, yang telah aktif sejak Juli 2021, mulai menargetkan kelemahan Exchange Server dengan ransomware Babuk. Mereka melihat aktivitas jahat itu pada 12 Oktober lalu.

Tortilla sejak Juli lalu lebih banyak menargetkan korban asal AS, tapi juga mengintai sebagian korban di Brasil, Finlandia, Jerman, Honduras, Thailand, Ukraina, dan Inggris.

Dalam aksi serangan ProxyShell terbaru ini, peneliti mengatakan bahwa peretas menggunakan “teknik rantai infeksi yang agak tidak biasa, di mana modul (paket kode instan) ransomware di-host di pastebin.pl (kloning dari pasetbin.com) untuk diunduh, kemudian di-decode-kan (diubah dalam bahasa jelas) dalam memori sebelum muatan akhir didekripsi dan dieksekusi.

Menurut ThreatPost, Babuk adalah ransomware yang mungkin paling dikenal karena peran utamanya dalam pelanggaran kepolisian Washington D.C. pada April lalu. Geng di belakang malware ini memiliki sejarah singkat, yang baru diidentifikasi pada 2021.

Dalam risetnya yang dikeluarkan Februari lalu, McAfee, perusahaan keamanan siber AS, menemukan bahwa geng di balik Babuk berhasil mendapatkan uang tebusan US$85.000. Salah satu korbannya, Serco, sebuah perusahaan outsourcing pada akhir Januari.

Cisco Talos menemukan eksploitasi “EfsPotato” yang dimodifikasi yang menargetkan kerentanan ProxyShell dan “PetitPotam” yang digunakan untuk intrusi awal.

Setelah dieksekusi, ransomware Babuk mencoba menonaktifkan serangkaian proses di server korban, menghentikan produk cadangan, dan menghapus rekaman volume shadow service (VSS). Selanjutnya, ransomware mengenkripsi semua file di server dan menambahkan ekstensi file .babyk.

Ransomware kemudian menyebarkan catatan tebusan yang menuntut kepada korban pembayaran tebusan US$10.000 dengan imbalan kunci dekripsi.

Sejak Januari 2021, Babuk telah menargetkan sistem Windows dan Linux sejumlah perusahaan dan menggunakan mekanisme pembuatan kunci yang agak rumit untuk mencegah pemulihan file. Namun, alat dekripsi (decryptor) gratis untuk Babuk telah dirilis minggu lalu.

Saran

Untuk menghindari serangan ransomware, peneliti Cisco Talos menyarankan agar organisasi-organisasi yang memakai Exchange Server secara teratur memperbarui server dan aplikasi dengan tambalan (patch) baru dari vendor.

“Tim pertahanan TI harus terus mencari aktivitas yang mencurigakan untuk menghentikan layanan secara tiba-tiba hingga perubahan konfigurasi sistem,” kata Cisco Talos.[]