Mengurai Serangan Ransomware Pada Server VMware
Jakarta, 8 Februari 2023. Kabar buruk bagi pengguna VMware di tanah air, serangan ransomware global menargetkan server VMware ESXi telah mengenkripsi ribuan server di seluruh dunia. Momok baru ini mengincar produk kedaluwarsa atau End of General Support (EOGS).
VMware setidaknya menguasai lebih dari 70% pasar global untuk perangkat lunak infrastruktur virtualisasi menurut Gartner, sehingga tidak mengherankan jika korban terus berjatuhan di seluruh dunia. Di Indonesia diketahui 7 perusahaan telah menjadi korban, 1 hotel, 2 media, 2 data center dan 2 ISP.
Baca juga : Pertama Dalam Sejarah, ChatGPT Capai 100 Juta Pengguna Dalam Waktu Singkat
Melihat besarnya korban, IT Security Consultant PT Prosperita Mitra Indonesia, Yudhi Kukuh mengatakan: “Banyaknya korban yang jatuh disebabkan pelaku menggunakan backdoor Phyton saat mengeksploitasi VMware sehingga bisa menginjeksi berbagai macam platform sistem operasi saat melakukan serangan, situasi ini semakin memudahkan penetrasi ke sistem pengguna.”
Table of Contents
Modus Operandi
Pelaku secara aktif menargetkan server VMware ESXi yang belum ditambal terhadap kerentanan eksekusi kode jarak jauh berusia dua tahun. Dengan sistem yang saat ini ditargetkan adalah hypervisor ESXi dalam versi 6.x dan sebelum 6.7.
Kelemahan keamanan disebabkan oleh masalah limpahan tumpukan di layanan OpenSLP yang tidak diauntentikasi. Yang diketahui sebagai CVE-2021-21974
Melalui celah keamanan dalam VMware ESXi tersebut pelaku masuk dan menginjeksi guest yang tidak diproteksi dengan backdoor yang dibangun dengan phyton.
Karena backdoor tersebut ditulis menggunakan phyton, hal ini memudahkannya untuk menyusup berbagai platform sistem operasi, yang memungkinkan pelaku mengakses perangkat dari jarak jauh.
Langkah berikutnya peretas menyusupkan ransomware ke berbagai platform dengan cepat hingga mampu mengenkripsi 3200 server sampai saat ini.
🌐 A new #ransomware attack is spreading like crazy 🚨
Many VMware ESXi servers got encrypted in the last hours with this ransom note 🧐
What’s interesting is that the bitcoin wallet is different in every ransom note. No website for the group, only TOX id 👀 pic.twitter.com/mgyoLxbXvg
— DarkFeed (@ido_cohen2) February 3, 2023
Ransomware ESXiArgs
Pelaku yang memanfaatkan kerentanan pada Vmware ESXi menyebarkan ransomware ESXiArgs untuk mengenkripsi perangkat korban.
Ransomware mengenkripsi file dengan ekstensi .vmxf, .vmx, .vmdk, .vmsd, dan .nvram pada server ESXi yang dikompromikan dan membuat file .args untuk setiap dokumen terenkripsi dengan metadata (kemungkinan diperlukan untuk dekripsi).
Malware ini telah digunakan sebagai bagian dari gelombang besar serangan berkelanjutan yang telah memengaruhi ribuan target rentan di seluruh dunia.
Secara keseluruhan, operasi ransomware belum terlihat menuai banyak keberhasilan mengingat banyaknya perangkat terenkripsi, dengan layanan pelacakan pembayaran tebusan Ransomwhere hanya melaporkan empat pembayaran uang tebusan dengan total $88.000.
Tindakan Pencegahan
Sejak pertama kali diketahui adanya serangan ransomware global eksploitasi VMware, ESET mampu mendeteksi ancaman tersebut dan memblokirnya. Pada dasarnya semua perangkat yang memiliki antivirus akan terlindungi dari ancaman ini. Umumnya perangkat yang disusupi dapat dienkripsi karena tidak memiliki proteksi.
Selain itu, untuk memblokir serangan masuk, admin harus menonaktifkan layanan Service Location Protocol (SLP) yang rentan pada hypervisor ESXi yang belum diperbarui. VMWare sudah menyediakan patch untuk kerentananan ini. Sangat disarankan untuk segera menambal agar dapat menghindari ancaman malware.
Artikel ini juga bisa dilihat di www.bacapikirshare.org sebagai bagian dari edukasi publik seputar keamanan siber
VIDEO TERBARU MURDOCKCRUZ :
