Awas! Email Phishing Berkedok Pembaruan Keamanan Kaseya VSA
Kaseya | Foto: hackerzzz.com
Cyberthrea.id – Kaseya, perusahaan perangkat lunak AS, memperingatkan pelanggan terhadap sebuah email phishing yang sedang didistribusikan oleh penjahat siber.
Email penipuan itu berupa lampiran berbahaya dan tautan yang seolah-olah sebagai pembaruan keamanan pada aplikasi Kaseya VSA.
"Spammer menggunakan berita tentang insiden siber Kaseya untuk mengirimkan pemberitahuan email palsu. Ini adalah email phishing yang mungkin berisi tautan dan/atau lampiran berbahaya," kata perusahaan itu dalam peringatan yang dikeluarkan pada Kamis (8 Juli 2021) malam, dikutip dari BleepingComputer, diakses Minggu (11 Juli).
Perusahaan pun meminta agar siapa saja yang menerima email seperti itu tidak mengklik tautan atau mengunduh lampiran apa pun yang mengklaim berasal dari Kaseya.
“Ke depan, pembaruan email Kaseya tidak akan berisi tautan atau lampiran apa pun,”ujar perusahaan.
Meskipun perusahaan tidak memberikan rincian tambahan mengenai serangan ini, peringatan tersebut sejalan dengan rangkaian email malspam lainnya yang menargetkan pelanggan Kaseya dengan muatan Cobalt Strike.
Sebelumnya, peneliti Malwarebytes Threat Intelligence baru-baru ini menemukan serangkaian serangan phishing yang mencoba memanfaatkan insiden ransomware yang dialami Kaseya. "Distribusi malspam memanfaatkan serangan ransomware ke Kaseya VSA untuk menjatuhkan CobaltStrike," kata Malwarebytes.
Email tersebut berisi lampiran bernama 'SecurityUpdates.exe' serta tautan yang berpura-pura sebagai pembaruan keamanan dari Microsoft untuk menambal kerentanan Kaseya.
Tujuan akhir penyerang adalah untuk menyebarkan Cobalt Strike pada perangkat penerima untuk mengunci mereka dan mencuri informasi sensitif atau mengirimkan lebih banyak muatan malware, tulis Malwarebytes.
Cobalt Strike adalah alat pengujian penetrasi berbayar yang memungkinkan penyerang untuk menyebarkan agen bernama “Beacon” di mesin korban. Beacon mencakup banyak fungsi untuk penyerang, termasuk, eksekusi perintah, pencatatan kunci, transfer file, proxy SOCKS, eskalasi hak istimewa, mimikatz, pemindaian port, dan gerakan lateral, tulis malpedia.
Setelah target menjalankan lampiran berbahaya atau mengunduh dan menjalankan pembaruan Microsoft palsu pada perangkat, penyerang mendapatkan akses jarak jauh yang persisten ke sistem yang sekarang disusupi.
Pada Juni lalu, setelah serangan ransomware ke Colonial Pipeline, penjahat siber juga juga menggunakan pembaruan sistem palsu yang mengklaim membantu memblokir infeksi ransomware.
Serangan ransomware REvil menghantam Kaseya dan sekitar 1.500 pelanggan langsung dan bisnis hilir mereka awal Juli ini.
REvil terdeteksi masuk ke jaringan perusahaan manajemen jarak jauh TI Kaseya pada Jumat (2 Juli). Mereka masuk ke perangkat lunak Kaseya VSA. Dari celah ini, peretas bisa menyusup ke para pengguna perangkat lunak tersebut.
Peretasan ke pelanggan mengakibatkan jaringan supermarket terkemuka asal Swedia, Coop, terkena imbasnya dan terpaksa menutup 500 tokonya lantaran mesin kasir mereka tak bisa berfungsi.
Di Indonesia, sejumlah bank dan perusahaan BUMN yang memakai aplikasi Kaseya VSA juga menjadi sasaran serangan. Kabar baiknya, serangan itu tak sampai mengganggu infrastruktur perusahaan, seperti yang dialami oleh Coop. Padahal, Coop bukanlan target utama, hanya menjadi klien dari pemasok TI Visma EssCom yang menggunakan aplikasi Kaseya VSA.
Berita Terkait:
- Bank dan BUMN Indonesia Juga Ditarget Ransomware REvil
- Kaseya Indonesia Klaim Kliennya Aman dari Serangan Ransomware REvil
- Peneliti DigitalX Sebut Penjelasan Kaseya Indonesia Rancu
Head of Kaseya Indonesia dan Singapura, Asep Suandi, mengatakan, perusahaan yang memakai Kaseya di Indonesia ialah sektor perbankan dan manufaktur, bahkan ada bisnis kecil. Namun, pihaknya mengatakan tak sampai mencatat pelanggan di tingkat bisnis kecil. “Kami hanya melayani di perusahaan besar,” kata dia.
Dari jumlah 20 pelanggan yang memakai aplikasi tersebut, ia mengklaim saat ini dalam kondisi aman dari serangan rantai pasokan (supply chain attack) REvil. “Kami sudah asesmen mendalam selama tiga hari ini, baik perangkat (lunak) cloud maupun on premise di klien tidak terdampak. Kami aman,” tutur Asep pada Senin (5 Juli) malam.
Di Indonesia, hanya satu perusahaan yang memakai aplikasi Kaseya VSA berbasis cloud atau Software-as-a- Service (SaaS), selebihnya adalah aplikasi on-premise. Untuk berbasis cloud, perusahaan klien menginstal aplikasi dari server Kaseya, sedangkan on-premise, pelanggan menginstal aplikasi sendiri, baru kemudian diperbarui dengan mengoneksikan ke server Kaseya.
Dalam situs web help desk Kaseya, Kaseya mengatakan sedang menyiapkan pembaruan keamanan "VSA On-Premises Patch" dan mulai menerapkan ke Infrastruktur VSA SaaS pada Minggu (11 Juli) sore waktu setempat.
