Kaseya Bantah Bayar Uang Tebusan demi Decryptor Ransomware

Cyberthreat.id – Perusahaan perangkat lunak AS, Kaseya, membantah telah membayar uang tebusan untuk mendapatkan decryptor (kunci pembuka enkripsi) ransomware REvil.

“Kami mengonfirmasi dengan tegas bahwa Kaseya tidak membayar uang tebusan, baik secara langsung maupun tidak langsung melalui pihak ketiga, untuk mendapatkan decryptor,” ujar Kaseya dalam pernyataan terbukanya, Senin (26 Juli 2021).

“Setiap perusahaan harus membuat keputusan sendiri apakah akan membayar uang tebusan, tapi Kaseya memutuskan, setelah berkonsultasi dengan para ahli, tidak bernegosiasi dengan penjahat yang melakukan serangan ini dan kami tidak goyah dari komitmen tersebut,” perusahaan menambahkan.

Pada 21 Juli lali, Kaseya mengumumkan telah mendapatkan decryptor untuk membuka serangan ransomware REvil. Decryptor ini bersifat universal sehingga bisa dipakai oleh pengguna Kaseya VSA yang menjadi korban ransomware. Kala itu mereka menyatakan bahwa decryptor itu didpaat dari pihak ketiga yang tepercaya. Mereka juga bekerja sama dengan perusahaan keamanan Emsisoft untuk membantu para korban. (Baca: Kaseya Dapatkan Decryptor Universal Ransomware REvil)

Saat serangan pada 2 Juli lalu, geng REvil meminta uang tebusan sebesar US$70 juta atau sekitar Rp1 triliun, tapi kemudian menurunkan tawaran menjadi US$50 juta.

Sayangnya, pada 13 Juli lalu, seluruh operasi mereka, tiba-tiba menghilang. REvil yang biasanya memakai situs web terang maupun di dark web untuk berkomunikasi dengan korban tidak aktif kembali. Ini yang sempat membuat para korban gelisah karena bakal kesulitan mendapatkan decryptor.

Tim cepat tanggap siber Emsisoft dan Kaseya mengatakan, sepanjang akhir pekan lalu mulai mengirimkan decryptor kepada sejumlah korban dari 1.500 korban yang terkena serangan, termasuk jaringan supermarket besar di Swedia, Virginia Tech University dan komputer pemerintah lokal di Leonardtown, Maryland. .

Kaseya mengklaim alat itu "telah terbukti 100 persen efektif dalam mendekripsi file yang sepenuhnya dienkripsi dalam serangan itu," ujar perusahaan dikutip dari ZDNet, diakses Selasa (27 Juli 2021).

Di satu sisi, kabar itu disambu baik oleh pelanggan Kaseya, berita lain menyebutkan bahwa ada perjanjian non-disclosure (NDA) yaitu Kaseya memaksa perusahaan korban untuk menandatangani perjanjian demi decryptor.

CNN mengkonfirmasi bahwa Kaseya menginginkan perjanjian kerahasiaan ini. Namun, juru bicara Kaseya Dana Liedholm dan beberapa perusahaan keamanan siber yang terlibat tidak dapat mengomentari perjanjian kerahasiaan.

Mantan Kepala Pejabat Informasi Gedung Putih dan pakar keamanan siber Theresa Payton mengatakan perjanjian kerahasiaan setelah serangan lebih umum terjadi, hanya, meminta NDA dari korban bukanlah praktik setiap insiden siber.

"Ketika sebuah insiden siber berdampak pada banyak korban dalam serangan rantai pasokan, terkadang penasihat hukum akan meminta korban untuk menandatangani NDA untuk memastikan bahwa perbaikan untuk masalah tersebut tidak diungkapkan kepada publik," kata Payton.

Payton menambahkan bahwa alasan di balik meminta perjanjian kerahasiaan tidak selalu jahat dan mendesak perusahaan untuk berkonsultasi dengan pengacara mereka sebelum menandatangani apa pun.

"Jika alasan di balik NDA adalah untuk memastikan bahwa pihak ketiga yang memberikan kunci tidak diungkapkan dan cara dekripsi tersedia tidak diungkapkan, maka NDA sangat masuk akal," kata Payton kepada ZDNet.

Mark Kedgley, CTO di New Net Technologies, mengatakan adanya pernjanjian itu sebagai sesuatu yang sangat langka mengingat Kaseya adalah vendor yang dieksploitasi dan penyedia decyrptor.

Justru, kata dia, adanya perjanjian tak mengungkapkan ke publik "akan mengurangi analisis dan diskusi lebih lanjut tentang serangan itu," ujar dia. Perjanjian tersebut, kata dia, akan menyulitkan komunitas keamanan siber memahami pelanggaran siber tersebut.

Supply chain attack

REvil terdeteksi masuk ke jaringan perusahaan manajemen jarak jauh TI Kaseya pada Jumat (2 Juli). Mereka masuk ke perangkat lunak Kaseya VSA. Dari celah ini, peretas bisa menyusup ke para pengguna perangkat lunak tersebut.

Peretasan ke pelanggan mengakibatkan jaringan supermarket terkemuka asal Swedia, Coop, terkena imbasnya dan terpaksa menutup 500 tokonya lantaran mesin kasir mereka tak bisa berfungsi.

Di Indonesia, sejumlah bank dan perusahaan BUMN yang memakai aplikasi Kaseya VSA juga menjadi sasaran serangan. Kabar baiknya, serangan itu tak sampai mengganggu infrastruktur perusahaan, seperti yang dialami oleh Coop. Padahal, Coop bukanlan target utama, hanya menjadi klien dari pemasok TI Visma EssCom yang menggunakan aplikasi Kaseya VSA. (Baca: Bank dan BUMN Indonesia Juga Ditarget Ransomware REvil)

Coop ialah pelanggan Visma EssCom di Swedia yang mengelola sistem jaringan supermarket pada mesin kasir dan kios pembayaran mandiri. Visma mengonfirmasi mereka terpengaruh oleh serangan siber Kaseya yang memungkinkan ransomware REvil mengenkripsi sistem komputer pelanggannya.

"Serangan tersebut mengakibatkan perangkat lunak Kaseya VSA yang digunakan Visma EssCom dan banyak penyedia layanan lainnya…dapat digunakan untuk menyebarkan ransomware ke klien dan server di lingkungan TI pelanggan," Visma menerangkan.

Insiden seperti itulah yang kemudian dijuluki sebagai serangan rantai pasokan (supply chain attack). Ini karena peretasan ke satu perusahaan kemudian bisa berimbas ke klien perusahaan tersebut dan seterusnya ke bawah jika terdapat celah kerentanan yang bisa disusupi, seperti halnya Coop.

Sekitar belasan negara terpengaruh serangan ke Kaseya, menurut penelitian yang diterbitkan oleh perusahaan keamanan siber ESET.[]