Sejak Kaseya Terkena Ransomware, Penyedia Layanan Terkelola Mulai Aktif Ditarget

Cyberthreat.id – Kalangan peneliti keamanan siber mengamati serangan siber ke penyedia layanan terkelola (managed services providers/MSP) mulai aktif ditarget sejak Kaseya, penyedia MSP asal Florida, AS didera ransomware.

“Sekarang para penjahat melihat serangan ke MSP begitu kuat. Mereka terlihat sibuk dan telah berpindah. Kami tidak tahu di mana,” kata Victor Gevers, Head of Dutch Institute for Vulnerability Disclosure, organisasi keamanan siber nirlaba yang sebelumnya melaporkan adanya kelemahan pada Kaseya VSA, perangkat lunak manajemen TI milik Kaseya.

Gevers memperingatkan insiden siber seperti Kaseya bisa terjadi lagi. “Ini akan terjadi lagi, dan lagi,” ujar dia memperingatkan ekskalasi serangan siber ke perangkat lunak MSP, dikutip dari Reuters, Rabu (4 Agustus 2021).

Menurut Gevers, tim penelitinya telah menemukan beberapa kerentanan di MSP, tapi dirinya menolak memberitahukan nama perusahaan tersebut karena celah keamanan tersebut belum diperbaiki (unpatched).

Bugcrowd Inc, salah satu dari beberapa platform pelaporan kerentanan, juga telah melihat kelemahan keamanan seburuk Kaseya, kata Kepala Eksekutif Bugcrowd Ashish Gupta.

Sebelumnya, Kaseya pada awal Juli lalu mendapatkan serangan ransomware dari geng REvil. Mereka menggunakan kelemahan yang ada di perangkat lunak Kaseya VSA untuk menginfeksi komputer pelanggan. Sedikitnya 1.500 organisasi yang menjadi klien Kaseya terkena imbas serangan tersebut. REvil dan afiliasinya diketahui mengeksploitasi kerentanan Kaseya VSA untuk membobol 50 MSP yang menggunakan perangkat lunak tersebut.

Bisnis MSP berkembang pesat sejak pandemi virus corona karena banyak perusahaan yang melakukan pekerjaan secara jarak jauh. Sejumlah perusahaan MSP, sebagai contoh IBM dan Accenture, biasanya melayani perusahaan kecil dan menengah yang tidak memiliki kemampuan infrastruktur TI dan keamanan. MPS juga menawarkan versi cloud dari perangkat lunak populer dan perusahaan spesialis yang ditujukan untuk bidang industri tertentu.

Pada dasarnya, MSP mengawasi dan melindungi jaringan, aplikasi, dan lainnya yang tidak bisa dilakukan oleh perusahaan klien. Mereka memberikan pemantauan 24 jam selama sepekan.

Sejak kasus Kaseya, peneliti melihat penyerang mulai memanfaatkan kerentanan MSP. Ini lantaran daya efeknya yang luas di banyak jaringan perusahaan klien MSP. Sebut saja, perangkat Kaseya VSA yang dipakai oleh banyak MSP.

Ketika Kaseya diinfeksi, serangan menjadi berlipat ganda dan dengan cepat mengenkripsi data dan menuntut tebusan sebanyak US$ 5 juta per korban. “Ini pendekatan yang jauh lebih ekonimis untuk meluncurkan serangan. Dan sulit bagi pelanggan untuk bertahan,” ujar Chris Krebs, mantan Kepala Badan Keamanan Siber dan Keamanan Infrastruktur (CISA) Departemen Keamanan Dalam Negeri AS mengomntar tentang serangan MSP.

Sejak kasus Kaseya, CISA mengeluarkan pedoman untuk praktik seperti penilaian risiko gratis, pengujian pentesting, dan analisis arsitektur jaringan.

"Organisasi perlu melihat keamanan MSP mereka," kata Eric Goldstein, Asisten Direktur Eksekutif untuk Keamanan Siber CISA.

"Penting bagi organisasi besar dan kecil untuk memahami hubungan kepercayaan yang mereka miliki dengan entitas yang memiliki koneksi ke lingkungan mereka,” ia menambahkan.[]