Terkait Serangan ke Kaseya VSA, Bank dan BUMN Indonesia Juga Ditarget Ransomware REvil
Kaseya | Foto: hackerzzz.com
Cyberthreat.id–Riset perusahaan keamanan siber berbasis di Jakarta, DigitalX, menemukan lebih dari lima perusahaan di sektor perbankan dan badan usaha milik negara menjadi target geng peretas ransomware REvil.
Temuan tersebut menyusul serangan siber yang melanda perusahaan perangkat lunak Amerika Serikat, Kaseya, pada Jumat (2 Juli 2021).
Kabar baiknya, BUMN dan perbankan tersebut tidak mengalami gangguan secara infrastruktur. Peneliti keamanan siber DigitalX, Fajar Ramadhan, saat dihubungi Cyberthreat.id, Senin (5 Juli 2021), mengatakan, pelanggan Kaseya di Indonesia sebatas mendeteksi serangan yang muncul di radar perangkat lunak antivirus yang dipakainya.
Penelusuran Cyberthreat.id, di Indonesia, perangkat lunak Kaseya didistribusikan oleh Global Asia Sinergi. Di situs webnya, perusahaan melayani dukungan di sejumlah sektor, seperti perusahaan ritel, perbankan, pelayanan pelanggan, pendidikan, kesehatan, dan pendidikan.
Berita Terkait:
- Amerika Kembali Dilanda Peretasan Berjamaah, Dituding Kerjaan Peretas Rusia
- Geng Ransomware REvil Diduga Aktor Peretasan Massal Kaseya VSA
- Efek Serangan ke Perangkat Lunak Kaseya VSA, 500 Toko Ritel Coop Tutup
Sementara klien mereka termasuk perusahaan-perusahaan besar, sebut saja Bank Mayora, Bank Danamon, Traveloka, Krakatau Osaka Steel, Trakindo CAT, Sinarmas MSIGLife, Assa Rent, CIFOR, Mitra Integrasi Informatika, dan PT Sentral Mitra Informatika.
Lalu, yang termasuk perusahaan BUMN, seperti Bank BRI, Pertamina, Bukit Asam, Krakatau Steel, dan Indonesia Power (anak perusahaan PLN).
Namun, Fajar tak bisa mengatakan dari sejumlah klien tersebut mana saja yang menjadi target ransomware. Ia hanya mengatakan, di antara yang disebutkan oleh Cyberthreat.id tersebut termasuk yang menjadi target serangan.
Kasus serupa 2019
Menurut Fajar, serangan yang dialami oleh Kaseya mirip yang dialami oleh perusahaan TI AS, SolarWinds dan perangkat lunak ConnectWise Manage.
Serangan keduanya termasuk dalam kategori serangan ranti pasokan (supply chain attack). Peretasan SolarWinds terjadi pada Desember 2020 yang memanfaatkan celah pada perangkat lunak bernama Orion. Peretas menggunakan kedok pembaruan Orion palsu untuk menanam malware ke komputer pelanggan. Dalam kasus ini, perusahaan menyatakan sedikitnya 18.000 pelanggan terkena dampak.
Sementara, kasus yang menimpa perusahaan TI ConnectWise terjadi pada 2019. Peretas yang melakukan serangan yaitu GandCrab, sebelum akhirnya berganti nama REvil. Dalam kasus ini, GandCrab juga menyalahgunakan kerentanan pada Kaseya VSA plugin yang dipasang di perangkat ConnectWise Manage, dikutip dari ZDNet, portal berita keamanan siber.
Fajar mengatakan, Kaseya VSA merupakan perangkat lunak pemantauan dan manajemen jarak jauh (remote management) yang juga mirip dengan Orion SolarWinds dan ConnectWise Managed. Dengan perangkat lunak ini, siapa saja yang memiliki akses bisa menginstal aplikasi apa pun di komputer klien via aplikasi manajemen jarak jauh tersebut.
Menyangkut Kaseya VSA, perangkat lunak ini ada yang berbasis cloud juga ada yang on-premise. Untuk berbasis cloud, perusahaan klien menginstal aplikasi dari server Kaseya, sedangkan on-premise, pelanggan menginstal aplikasi sendiri, baru kemudian diperbarui dengan mengoneksikan ke server Kaseya.
Kasus yang terjadi saat ini, kata Fajar, aplikasi Kaseya VSA memiliki celah yang dipakai geng peretas REvil untuk menjatuhkan ransomware. Dari situ, mereka kemudian mengumpulkan informasi data korban dan membuat tebusan jika tak ingin data tersebut dijualbelikan. Kepada Kaseya, geng REvil meminta uang tebusan sebesar US$70 juta (Rp 1 triliun) dalam bentuk Bitcoin.
Saran
Fajar menyarankan bagi perusahaan-perusahaan yang memakai Kaseya VSA untuk pertama-tama yaitu mematikan peladen (server) on-premise Kaseya hingga menunggu tambalan keamanan (patch) dikeluarkan oleh perusahaan.
Sementara, Kaseya sendiri juga telah mematikan peladen Software-as-a-Service (SaaS) berbasis cloud mereka.
“Kedua, diusahakan untuk meng-update perangkat lunak antivirus,” ujar dia. Hal ini untuk mendeteksi apakah terjadi aktivitas mencurigakan atau tidak terkait Kaseya VSA.
Fajar juga mengatakan, saat ini di kalangan peneliti keamanan siber juga masih meneliti lebih lanjut terkait serangan rantai pasokan tersebut. Terlebih, ada dugaan celah yang terdapat perangkat lunak antivirus Windows Defender juga bisa dimanfaatkan untuk menyebarkan ransomware REvil.[]
