Geng Ransomware DearCry Eksploitasi Kerentanan Microsoft Exchange Server

Tenri Gobel
 Jumat, 12 Maret 2021 - 11:31 WIB   3455

Ilustrasi | Foto: Unsplash

Cyberthreat.id – Sebuah perangkat lunak jahat jenis ransomware baru berjuluk “DearCry” terdeteksi menargetkan kerentanan pada perangkat lunak pengelola email, Microsoft Exchange Server.

Temuan tersebut diungkapkan oleh Michael Gillespie, pembuat situs web indentifikasi ransomware, ID Ransomware di akun Twitter-nya (@demonslay335).

"ID Ransomware mendapatkan kiriman tiba-tiba ".CRYPT" dan penanda file 'DEARCRY!' berasal dari IP server Exchange dari AS (Amerika Serikat), CA (Kanada), AU (Australia) jika dilihat sekilas," tulis Michael, dikutip dari BleepingComputer, diakses Jumat (12 Maret 2021).

Michael mendapatkan kiriman berupa catatan tebusan dan jenis file yang terenkripsi pada 9 Maret lalu.

Dalam tangkapa layar yang dibagikan di Twitter-nya, tampaknya peretas ransomware itu mulai 9 Maret lalu menargetkan Exchange Server dan mengenkripsinya menggunakan ransomware “DearCry”.

Setelah timnya meninjaunya, Michael mendapati bahwa pengguna tersebut mengirimkan hampir semuanya dari peladen (server) Microsoft Exchange Server.

Pada tanggal yang sama dengan Michael menerima catatan itu, seorang korban membuat topik di forum BleepingComputer. Ia mengatakan ransomware “DearCry” terinstal setelah peretas mengeksploitasi kerentanan zero-day pada Microsoft Exchange—hanya pernyataan korban ini belum dikonfirmasi lebih lanjut.

Sekadar informasi, ada empat kerentanan zero-day pada Microsoft Exchange yang baru ditemukan pada Januari 2021. Empat kerentanan itu dilabeli CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, dan CVE-2021-27065. Microsoft pun telah menerbitkan pembaruan keamanan.

Baca: 

Menurut peneliti keamanan siber Advanced Intels, Vitali Kremez, ransomware DearCry mencoba mematikan layanan Windows bernama “msupdate” ketika diluncurkan pertama kali.

Jika merujuk pada laman Microsoft, "msupdate' dapat digunakan untuk memulai proses pembaruan untuk aplikasi Microsoft yang diproduksi untuk Mac, seperti Office.

Alat “msupdate” terutama dirancang untuk memberi administrator TI kontrol yang lebih tepat ketika pembarun diterapkan.

Setelah itu, ransomware akan mulai mengenkripsi file di komputer. Saat mengenkripsi file, peretas menambahkan ekstensi diakhir nama file dengan .CRYPT. Seperti gambar di bawah ini:

Michael mengatakan kepada BleepingComputer bahwa ransomware menggunakan AES-256 + RSA-2048 untuk mengenkripsi file dan menambahkan "DEARCRY!" string ke awal setiap file yang dienkripsi.

Setelah selesai mengenkripsi komputer korban, ransomware meninggalkan catatan tebusan sederhana di desktop Windows yang dinamai "readme.txt".

Catatan tebusan itu berisikan dua alamat email untuk peretas dan hash unik, yang menurut Michael adalah hash MD4 dari kunci publik RSA.

Untuk membuka enkripsi DearCry tampaknya tak ada cara lain selain korban membayar tebusan kepada peretas agar menerima kunci membuka enkripsi (decryptor).

Meski DearCry tidak 100 persen dikonfirmasi terinstal melalui kerentanan Microsoft Exchange, menurut BleepingComputer, hal tersebut menjadi dasar yang seharusnya dapat mendorong untuk menambal atau menerapkan pembaruan keamanan yang telah dirilis oleh Microsoft.

Menurut data baru yang dibagikan oleh perusahaan keamanan siber Palo Alto Networks, puluhan ribu peladen Microsoft Exchange telah ditambal selama tiga hari terakhir. Namun, Palo Alto masih menemukan 80.000 server lama yang tidak dapat secara langsung menerapkan pembaruan keamanan terkini.

“Saya belum pernah melihat tingkat tambalan keamanan sebesar ini untuk sistem apa pun, apalagi yang digunakan secara luas seperti Microsoft Exchange,” kata Matt Kraning, Kepala Petugas Teknologi, Cortex di Palo Alto Networks.

Karena itu, semua organisasi sangat disarankan untuk menerapkan penambalan secepat mungkin. Pasalnya, itu tidak hanya akan melindungi email dari pencurian, tetapi juga dari ransomware.[]

Redaktur: Andi Nugroho

Tags