Cyberthreat.id – Peneliti keamanan siber menemukan adanya kampanye peretasan massal pertama dengan menggunakan BlueKeep exploit. Namun, exploit tersebut tidak digunakan sebagai worm yang menyebar sendiri.

Menurut peneliti, kelompok peretas tersebut menggunakan demo BlueKeep exploit yang dirilis oleh tim Metasploit pada September lalu. Exploit ini untuk meretas ke dalam siste Windows yang belum ditambal dan berusaha memasang penambang mata uang kripto (cryptocurrency).

Kampanye BlueKeep ini telah terjadi selama dua pekan, tapi baru terlihat oleh peneliti keamanan siber Kevin Beaumont pada 3 November 2019, demikian tulis ZDNet.

Beaumont mengatakan, exploit tersebut ditemukan dalam catatan (log) yang direkam oleh honeypots yang dibuatnya sendiri beberapa bulan lalu. Serangan pertama kali terjadi pada 23 Oktober.

Penemuan Beaumont ini dikonfirmasi oleh Marcus Hutchins dari MalwareTech, peneliti keamanan yang menghentikan wabah ransomware WannaCry dan pakar yang diakui dalam BlueKeep exploit.

Serangan yang ditemukan oleh Beaumont tidak jauh dari skala serangan yang ditakutkan Microsoft pada Mei lalu ketika BlueKeep diibaratkan dengan EternalBlue, exploit WannaCry, NotPetya, dan wabah ransomware Bad Rabbit pada 2017.

Microsoft khawatir BlueKeep akan memicu wabah malware lainnya yang menyebar di seluruh dunia dari sistem yang tidak ditambal ke sistem lain yang tidak ditambal.

Namun, serangan BlueKeep ini sepertinya tidak berhasil. Beaumont mengatakan, serangan itu menabrak 10 dari 11 honeypots yang dia jalankan. Hal ini menunjukkan kode exploit penyerang tidak berfungsi sebagaimana mestinya.

Ini sesuai dengan apa yang dikatakan sebagian besar pakar mengenai BlueKeep selama beberapa bulan terakhir. BlueKeep exploit dapat memiliki konsekuensi yang menghancurkan, tetapi sulit untuk mengeksploitasi tanpa bersinggungan dengan sistem operasi yang memiliki kesalahan Blue Screen of Death (BSOD).

Peneliti menilai kelompok di balik serangan tersebuttampaknya tidak memiliki pengetahuan untuk memodifikasi demo BlueKeep exploit dari tim Metasploit.

BlueKeep adalah sebutan untuk CVE-2019-0708, kerentanan dalam layanan Microsoft RDP (Remote Desktop Protocol). Hanya berdampak pada Windows 7, Windows Server 2008 R2, Windows Server 2008. Tambalan telah tersedia sejak pertengahan Mei 2019.

Demo publik pertama BlueKeep exploit dirilis untuk kerangka pengujian penetrasi Metasploit pada September lalu. Ini dirilis untuk membantu administrator sistem menguji sistem yang rentan, tetapi juga dapat dirancang ulang oleh para peretas. Puluhan exploit privat lainnya sudah ada sejak Juni, dikembangkan oleh perusahaan keamanan siber, tetapi dirahasiakan untuk menghindari membantu penyerang.

Redaktur: Andi Nugroho