Kaseya Indonesia Klaim Kliennya Aman dari Serangan Ransomware REvil

Cyberthreat.id–Head of Kaseya Indonesia dan Singapura, Asep Suandi, mengatakan, bahwa perusahaan kliennya yang memakai perangkat lunak atau aplikasi Kaseya VSA di Indonesia berjumlah 20 perusahaan yang bergerak di sektor perbankan dan manufaktur.

Ia mengatakan tidak semua nama perusahaan yang tercantum di situs web Global Asia Sinergi (www.asiasinergi.com) adalah pengguna Kaseya VSA. Global Asia Sinergi ialah distributor resmi perangkat lunak Kaseya VSA di Indonesia.

“Tidak semuanya memakai Kaseya, karena kami juga memiliki solusi teknologi lain,” ujar Asep kepada Cyberthreat.id, Senin (5 Juli 2021) malam.

Pernyataan Asep tersebut menanggapi artikel Cyberthreat.id bertajuk “Terkait Serangan ke Kaseya VSA, Bank dan BUMN Indonesia Juga Ditarget Ransomware REvil. Disebutkan dalam artikel bahwa Global Asia Sinergi melayani perusahaan di sejumlah sektor, seperti perusahaan ritel, perbankan, pelayanan pelanggan, pendidikan, kesehatan, dan pendidikan.

Tertulis dalam artikel tersebut sejumlah nama perusahaan kliennya, dikutip dari situs webnya, antara lain Bank BRI, Bank Mayora, Bank Danamon, Sinarmas  MSIGLife, Assa Rent, CIFOR, dan Mitra Integrasi Informatika, dan PT Sentral Mitra Informatika. Lalu, Pertamina, Bukit Asam, Krakatau Steel, Krakatau Osaka Steel, Traveloka, Trakindo CAT, dan Indonesia Power.

Dari nama-nama tersebut, menurut Asep, tidak semuanya memakai perangkat Kaseya, tapi ada yang memakai solusi teknologi lain yang juga ditawarkan oleh Global Asia Sinergi. “Ini biar tidak salah paham,” ujar dia.

Kaseya VSA adalah perangkat manajemen jarak jauh untuk memantau perangkat TI. Dengan tools ini, penyedia solusi TI bisa memantau dan menginstal aplikasi di komputer pelanggannya. Sementara, solusi teknologi lain yang dimaksud Asep, yaitu Invgate, NeuShield, Uila, Unitrends, Hexnode, Soti, dan Miniorange.

Kaseya, perusahaan manajemen jarak jauh TI asal AS, pada Jumat (2 Juli 2021) diserang ransomware REvil/Sodinokibi. Peretas masuk melalui celah kerentanan yang terdapat di perangkat lunak Kaseya VSA. Dari situlah, peretas bisa menyusup ke komputer para pengguna aplikasi tersebut. Insiden ini dijuluki sebagai serangan rantai pasokan (supply chain attack) yang memiliki kemiripan kasus dengan peretasan SolarWinds pada Desember 2020. (Baca: Amerika Kembali Dilanda Peretasan Berjamaah, Dituding Kerjaan Peretas Rusia)

Ia mengatakan, perusahaan yang memakai Kaseya di Indonesia ialah sektor perbankan dan manufaktur, bahkan ada bisnis kecil. Namun, pihaknya mengatakan tak sampai mencatat pelanggan di tingkat bisnis kecil. “Kami hanya melayani di perusahaan besar,” kata dia.

Dari jumlah 20 pelanggan yang memakai aplikasi tersebut, ia mengklaim saat ini dalam kondisi aman dari serangan rantai pasokan (supply chain attack) REvil. “Kami sudah asesmen mendalam selama tiga hari ini, baik perangkat (lunak) cloud maupun on premise di klien tidak terdampak. Kami aman,” tutur Asep.

Berita Terkait:

• Peneliti DigitalX Sebut Penjelasan Kaseya Indonesia Rancu
• Geng Ransomware REvil Diduga Aktor Peretasan Massal Kaseya VSA
• Efek Serangan ke Perangkat Lunak Kaseya VSA, 500 Toko Ritel Coop Tutup

Di Indonesia, hanya satu perusahaan yang memakai aplikasi Kaseya VSA berbasis cloud atau Software-as-a- Service (SaaS), selebihnya adalah aplikasi on-premise. Untuk berbasis cloud, perusahaan klien menginstal aplikasi dari server Kaseya, sedangkan on-premise, pelanggan menginstal aplikasi sendiri, baru kemudian diperbarui dengan mengoneksikan ke server Kaseya.

Alat deteksi peretasan

Di pembaruan informasi penanganan insiden siber, Kaseya mengatakan sedang mengembangkan tambalan kerentanan (patch) baru untuk klien lokal secara paralel dengan pemulihan Pusat Data SaaS.

"Kami menerapkan di SaaS terlebih dahulu karena kami mengontrol setiap aspek lingkungan itu. Setelah itu dimulai, kami akan menerbitkan jadwal untuk mendistribusikan tambalan untuk pelanggan lokal," ujar Kaseya di situs webnya, Kaseya.com. 

Kaseya juga telah merilis "alat deteksi kompromi" (compromise detection tool) yang dapat diunduh di tautan berikut: VSA Detection Tools.zip. Alat ini menganalisis sistem (server VSA atau titik akhir terkelola) dan menentukan apakah ada indikator peretasan (IoC). 

"Semua server VSA lokal harus tetap offline hingga instruksi lebih lanjut dari Kaseya tentang kapan aman untuk memulihkan operasi. Patch akan diperlukan untuk diinstal sebelum memulai ulang VSA dan serangkaian rekomendasi tentang cara meningkatkan postur keamanan Anda," tulis Kaseya.

Kaseya juga menyarankan agar pelanggan yang mengalami ransomware dan menerima notifikasi dari penyerang "jangan mengklik tautan apa pun karena  bisa saja itu telah dipersenjatai malware".

Sebelumnya, perusahaan keamanan siber berbasis di Jakarta, DigitalX, menemukan adanya serangan ransomware REvil yang menargetkan perusahaan yang memakai perangkat Kaseya VSA di Indonesia.

Peneliti DigitalX, Fajar Ramadhan, kepada Cyberthreat.id, mengatakan, lebih dari lima perusahaan terdeteksi menjadi target serangan berdasarkan telemetri perangkat lunak antivirus yang diinstal perusahaan tersebut. Ia tidak menyebutkan nama-nama perusahaan tersebut. Yang jelas, mereka ada yang bergerak di sektor perbankan, juga ada perusahaan negara (BUMN).

Minta tebusan

Informasi yang didapat Reuters, diakses Senin (5 Juli 2021), dari unggahan di situs web di dark web yang biasa dipakai REvil, geng peretas tersebut meminta uang tebusan kepada Kaseya sebesar US$70 juta atau sekitar Rp1 triliun jika perusahaan ingin mendapatkan decryptor (kunci pembuka enkripsi). Jika tak dibayar, mereka mengancam akan mempublikasikan data curiannya di dark web.

Sekadar diketahui, ransomware adalah serangan perangkat lunak jahat yang mengunci/mengenkripsi file atau sistem komputer milik korban. Untuk membuka enkripsi itu dibutuhkan yang namanya decryptor. Namun,tidak selalu decryptor ini berfungsi untuk memulihkan serangan dan tak ada jaminan bahwa peretas mengembalikan atau tidak merusak data curian itu.

Pejabat eksekutif di Kaseya mengatakan perusahaan telah mengetahui adanya permintaan uang tebusan, tetapi tidak jelas apakah mereka memutuskan untuk membayarnya atau tidak.

Sekitar belasan negara terpengaruh serangan ke Kaseya, menurut riset perusahaan keamanan siber ESET.

Sementara, Ross McKerchar, kepala petugas keamanan informasi di perusahaan keamanan siber Sophos Group Plc, mengatakan, sejumlah organisasi yang terkena dampak, antara lain sekolah, badan sektor publik kecil, organisasi perjalanan dan rekreasi, serikat kredit dan akuntan.

REvil diduga kuat merupakan hacker yang beroperasi di Rusia, termasuk penjahat siber paling produktif di dunia maya. Mereka memiliki sejumlah afiliasi dalam bekerja sehingga menyulitkan pelacakan siapa yang melakukan peretasan.

Baca:

• Geng Hacker Ransomware REvil/Sodinokibi, Si Pembobol Kelas Kakap
• REvil/Sodinokibi Berpenghasilan Rp 1,5 Triliun Sepanjang 2020

REvil adalah dalang serangan ke pabrik daging sapi terbesar di dunia, JBS pada awal Juni lalu. JBS sendiri mengakui membayar uang tebusan sebesar Rp156,46 miliar. Dalam sejarah REvil, uang tebusan yang diajukan ke korban selalu dalam jumlah besar, di kisaran ratusan miliar rupiah. Tak heran, sepanjang 2020, mereka hacker paling produktif dengan pendapatan Rp1,5 triliun.[]