Cyberthreat.id–Finastra, perusahaan teknologi finansial (fintech) asal Inggris, menyatakan, server-nya telah diserang geng ransomware pada Jumat (20 Maret 2020) pagi. Perusahaan mengklaim sejauh ini belum ada bukti data pelanggan atau karyawan telah dicuri.

"Kami sangat percaya bahwa insiden ini serangan ransomware, tapi belum ada bukti bahwa data pelanggan atau karyawan diakses atau di-exfiltrasi, kami juga tidak percaya jaringan klien kami terpengaruh," kata Chief Operating Officer Finastra Kata Tom Kilroy, seperti dikutip dari BleepingComputer, Jumat.

Finastra adalah perusahaan yang menyediakan perangkat lunak dan layanan keuangan untuk sekitar 9.000 pelanggan di 130 negara, termasuk 90 dari 100 bank teratas di seluruh dunia. Perusahaan juga memiliki sekitar 10.000 karyawan yang bekerja di 42 kantor di dunia.

Setelah mengetahui serangan itu, perusahaan mematikan sejumlah server dan segera memulai penyelidikan internal dengan bantuan perusahaan forensik digital. “Untuk melindungi pelanggan dan karyawan, kami memutuskan untuk menghentikan server kami. Ini, tentu saja, berdampak pada beberapa pelanggan kami. Tapi, kami telah menguhubungi langsung mereka yang mungkin terpengaruh." kata Tom.

Meski memiliki program keamanan standar industri, perusahaan tengah meninjau ulang sistem informasinya. Perusahaan menyatakan, akan memberikan informasi terbaru jika penyelidikan telah selesai.

Sayangnya, Finastra enggan membeberkan metode serangan ransomware tersebut. Namun, sebelumnya perusahaan intelijen ancaman siber, Bad Packets, mengatakan, telah mendeteksi adanya kerentanan pada server Pulse Secure VPN yang belum ditambal (CVE-2019-11510)—server itu juga dipakai oleh Finastra.

Ransomware adalah perangkat lunak jahat (malware) yang biasa dipakai hacker untuk menyerang dan mengunci (enkripsi) jaringan atau komputer korban. Serangan terbesar yang pernah terjadi di dunia ialah WannaCry pada 2017; Indonesia juga termasuk target serangan WannaCry dengan korban rumah sakit di Jakarta.

Penjahat ransomware biasa meminta uang tebusan jika korban ingin kunci pembuka (decryptor). Jika tidak membayar uang tebusan, mereka mengancam data dihapus; baru-baru ini, mereka mengubah taktik dengan mengancam menjual data yang dicuri di forum hacker. Pembayaran uang tebusan biasa dilakukan dalam bentuk mata uang kripto yaitu Bitcoin. Tahun lalu termasuk tahun serangan ransomware di dunia, terlebih di AS, karena banyak pemerintah kota dan swasta di Paman Sam yang menjadi korban ransomware.

Menurut Bad Packets, jika kerentanan itu dieksploitasi, penyerang jarak jauh dapat mengakses ke semua pengguna aktif,  kredensial teks biasa, dan menjalankan perintah mana suka (arbitrer).

BleepingComputer mencatat bahwa kerentanan pada server Pulse Secure VPN telah dipakai sebagai celah masuk geng ransomware Sodinokibi (REvil) ketika menjatuhkan jaringan Travelex pada 31 Desember 2019.

Pada Januari, Badan Keamanan Cybersecurity dan Infrastruktur (CISA) AS memperingatkan perusahaan untuk segera menambal server Pulse Secure VPN guna memblokir serangan yang mencoba mengeksploitasi kerentanan eksekusi kode jarak jauh (RCE).

Pada bulan yang sama, Bad Packets menyatakan, Finastra memiliki empat server Citrix ADC (NetScaler) yang rentan terhadap serangan yang menargetkan kerentanan kritis CVE-2019-1978, sebuah kelemahan yang secara aktif dieksploitasi oleh para peretas mulai 17 Januari untuk menanam backdoors dan memblokir upaya eksploitasi berikutnya.

Untungnya, Citrix merilis semua perbaikan yang diperlukan untuk mengamankan Citrix Application Delivery Controller (ADC), Citrix Gateway, dan Citrix SD-WAN WANOP.[]

Redaktur: Andi Nugroho