Jenis Server VPN Ini Rawan Diserang Ransomware

Cyberthreat.id- Jenis server Pulse Secure Virtual Private Network (VPN) dilaporkan sedang diincar oleh para penjahat siber untuk dibobol dan kemudian meminta tebusan. Terutama, server yang belum ditambal dan dibentengi sengan sistem security yang kuat.

Demi membobol jenis server tersebut, para penjahat dunia maya menggunakan ransomware REvil (Sodinokibi), demi mendapatkan pijakan dan menonaktifkan antivirus yang terdapat pada server tersebut.

Peneliti keamanan asal Inggris, Kevin Beaumont,  mendesak organisasi yang menggunakan Pulse Secure VPN untuk segera menambal demi menghadapi serangan ransomware yang disebut sebagai sebuah pertandingan besar.

Pasalnya  para penjahat siber  dapat dengan mudah menggunakan mesin pencari Shodan.io Internet of Things (IoT) untuk mengidentifikasi server VPN yang rentan.

Sebelumnya, Ransomware REvil (Sodinokibi) digunakan untuk melakkukan serangan bulan lalu kepada penyedia pusat data AS yang terdaftar di NASDAQ, CyrusOne dan terhadap beberapa penyedia layanan yang dikelola, seperti sebanyak 20 pemerintah daerah Texas, dan lebih dari 400 kantor dokter gigi.

“Karena penjahat telah menggunakannya untuk mengenkripsi sistem bisnis penting dan menuntut sejumlah besar uang. Strain ransomware, ditemukan pada bulan April, awalnya digunakan kerentanan di Oracle WebLogic untuk sistem menginfeks1,” kata Beaumount, seperti dikutip dari ZDNet, Senin, (6 Desember 2019).

Saat ini, server Pulse Secure VPN yang ditargetkan dengan REvil belum diterapkan dengan tambalan.  Hal itu telah mendapat peringatan dari US CISA, US National Security Agency, dan National Cybersecurity Centre Inggris pada bulan Oktober 2019.

Beaumont juga mencatat bug Pulse Secure VPN sangat buruk, karena memungkinkan penyerang jarak jauh, tanpa kredensial yang valid untuk terhubung dari jarak jauh ke jaringan perusahaan, menonaktifkan otentikasi multi-faktor, dan melihat log dan kata sandi yang di-cache dari jarak jauh dalam teks biasa, termasuk Active Directory kata sandi akun.

Tak hanya itu, disebutkan, dua insiden yang terdeteksi dalam seminggu terakhir menggunakan strategi dasar yang sama, yaitu mendapatkan akses ke jaringan, ambil kontrol admin domain, dan kemudian gunakan media player open-source VNC untuk bergerak di sekitar jaringan.

Setelah itu, semua alat keamanan titik akhir dinonaktifkan dan REvil (Sodinokibi) didorong ke semua sistem melalui PsExec, utilitas administratif jarak jauh Windows yang memungkinkan pengguna untuk meluncurkan perintah-perintah interaktif pada sistem jarak jauh dan alat-alat yang memungkinkan remote seperti IpConfig.

Menurut pemindaian  oleh perusahaan keamanan Bad Packers pada 4 Janauari 2020, terdapat 3.825 server VPN Aman Pulsa yang belum ditambal karena cacat CVE-2019-11510. Dan, lebih dari 1.300 dari server VPN rentan itu berbasis di AS.