Kaseya Dapatkan Decryptor Universal Ransomware REvil
Kaseya | Foto: Shutterstock.com
Cyberthreat.id–Kaseya, perusahaan perangkat lunak asal Florida, AS, akhirnya mendapatkan pembuka enkripsi (decryptor) ransomware yang telah mengunci file-file milik para pelanggannya.
Pada serangan 2 Juli lalu, sedikitnya 1.000 bisnis dan organisasi publik mengalami serangan ransomware REvil sehingga membuat layanan mereka tak beroperasi.
Serangan ransomware menyusup lewat perangkat lunak manajemen TI Kaseya VSA. Pola serangan ini dikenal dengan istilah supply chain attack. Yang diserang adalah pemasok perangkat lunaknya, tapi dampaknya menjalar ke semua perusahaan pengguna perangkat lunak tersebut. Pola serangan ini, akhir tahun lalu dialami oleh Solarwinds, di mana penyerang memodifikasi peranti lunaknya bernama Orion, lalu meminta pengguna menginstal versi terbaru yang telah disusupi malware.
Pada Kamis (22 Juli 2021), dikutip dari Associated Press (AP), Juru bicara Kaseya, Dana Liedholm, tak mengatakan bagaimana kunci tersebut diperoleh: apakah membayar uang tebusan yang diminta REvil atau dengan cara lain.
Ia hanya mengatakan bahwa kunci tersebut berasal dari “pihak ketiga yang tepercaya” dan kini perusahaan telah mendistribusikannya ke semua korban.
Perusahaan keamanan siber Emsisoft juga mengonfirmasi bahwa kunci tersebut berfungsi dan menyediakan dukungan untuk pemulihan dari serangan.
Di kalangan analis ransomware muncul beberapa kemungkinan bagaimana decryptor tersebut didapat, antara lain Kaseya membayar, pemerintah yang turun tangan, atau pembayaran dari urunan dana korban yang terkumpul. Yang lebih jauh lagi—dan ini masih spekulasi—bisa saja Rusia yang mengambil kunci dari para penjahat dan menyerahkannya melalui perantara.
Atau, spekulasi lain, mungkin penyerang utama tidak dibayar oleh geng yang menggunakan ransomware sehingga decryptor diberikan gratis.
Jika decryptor universal diserahkan tanpa pembayaran, itu bukan pertama kalinya penjahat ransomware melakukannya. Sebelumnya, geng ransomware Conti yang mengganggu layanan perawatan kesehatan nasional Irlandia pada Mei dan Kedutaan Besar Rusia di Dublin menawarkan "untuk membantu penyelidikan."
Dengan decryptor universal tersebut menjadi kabar baik untuk para korban. Sebab, sejak 13 Juli , bandit malware REvil yang diduga mendapat dukungan dari Rusia, menghilang dari internet. Sejumlah situs webnya baik yang jelas maupun di dark web tak bisa diakses. Biasanya situs web tersebut dipakai REvil bernegosiasi dengan para korban terkait nilai tebusan dan mendapatkan decryptor. (Baca: Situs Web Geng Ransomware REvil Menghilang Misterius)
Dengan menghilangnya REvil tersebut sempat membuat sejumlah korban kebingungan bagaimana memulihkan sistem mereka yang terkena ransomware, tulis ZDNet.
Bahkan, menurut AP, banyak korban yang membangun kembali jaringannya atau memilih memulihkan dari cadangan data. Tak jelas juga berapa banyak korban yang telah membayar uang tebusan sebelum bandit siber itu menghilang diri dari internet.
Jubir Kaseya mengatakan tak bisa memperkirakan berapa kerugian dari serangan siber itu. Juga, tak mau mengomentari apakah ada gugatan hukum yang diajukan perusahaan.
Sementara, Head of Kaseya Indonesia, Asep Suandi, mengatakan, jika melihat informasi yang di situs web Kaseya, hanya para korban yang menerima decryptor.
“Jadi, di Indonesia enggak ada yang dapat,” ujar dia saat dikontak Cyberthreat.id pada Jumat (23 Juli).
Sebelumnya, ransomware REvil juga sempat menargetkan perusahaan BUMN di Indonesia. Namun, Kaseya Indonesia memastikan bahwa serangan ransomware tidak terjadi. (Baca: Terkait Serangan ke Kaseya VSA, Bank dan BUMN Indonesia Juga Ditarget Ransomware REvil)
Dari jumlah 20 pelanggan yang memakai aplikasi Kaseya VSA, ia mengklaim dalam kondisi aman dari serangan REvil. “Kami sudah asesmen mendalam selama tiga hari ini, baik perangkat (lunak) cloud maupun on premise di klien tidak terdampak. Kami aman,” tutur Asep pada 5 Juli lalu.
