Liputan6.com, Jakarta Kelompok hacker asal Rusia, REvil, disebut-sebut sebagai pelaku serangan ransomware besar-besaran terhadap penyedia layanan terkelola Kaseya Limited.
Mereka mengklaim telah menginfeksi 1 juta sistem yang terkait dengan layanan Kaseya dan meminta uang tebusan US$ 70 juta atau sekitar Rp 1 triliun dalam bentuk bitcoin untuk membuka kunci dekripsi.
Advertisement
Mengutip laman Threatpost, Selasa (6/7/2021), otoritas federal menyebutkan jumlah perusahaan yang terkena dampak menembus hingga ribuan.
Serangan Kaseya diyakini telah berdampak pada 1.000 perusahaan ketika penyerang menargetkan beberapa perusahaan yang dikenal sebagai penyedia layanan terkelola (managed service provider/MSP), yang mengelola jaringan perusahaan lain.
Dalam kasus serangan Kaseya pada Jumat (2/7/2021), lebih dari seribu perusahaan diyakini terkena dampak serangan ransomware.
Serangan itu sangat besar dan dianggap paling merusak, juga sebagai satu-satunya serangan ransomware global terbesar yang pernah tercatat.
Industri yang terpengaruh adalah layanan keuangan, perjalanan dan liburan, serta sistem komputer sektor publik yang berlokasi di 17 negara.
Toko grosir asal Swedia, Coop, dilaporkan terpaksa menutup 800 tokonya selama lebih dari dua hari karena pemasok perangkat lunak kasirnya terkena dampak serangan ransomware itu.
CISA dan FBI Turun Tangan
Dalam perkembangan terkait, badan federal Amerika Serikat yang dikenal sebagai Cybersecurity and Infrastructure Security Agency (CISA) dan Federal Bureau of Investigation (FBI) menawarkan bantuan kepada mereka yang terkena dampak serangan ransomware tersebut.
"Kami mendorong semua yang mungkin terpengaruh untuk menggunakan mitigasi yang disarankan dan mengikuti panduan Kaseya untuk segera mematikan server VSA. Seperti biasa, kami siap membantu entitas yang terkena dampak," kata FBI pada Sabtu (3/7/2021).
Kemudian, FBI memperbarui panduannya, mendorong perusahaan yang terkena dampak untuk mengikuti mitigasi yang baru dikembangkan.
"Jika merasa sistem Anda telah disusupi sebagai akibat dari insiden ransomware Kaseya, kami mendorong Anda untuk menggunakan semua mitigasi yang disarankan, ikuti panduan dari Kaseya dan CISA untuk segera mematikan server VSA, dan laporkan kompromi Anda ke FBI di ic3.gov," FBI menambahkan.
Pada Minggu, (4/7/2021), REvil memposting pesan ke forum hacker dan mengaku sebagai pelaku serangan ini.
"Pada hari Jumat (02.07.2021) kami meluncurkan serangan terhadap penyedia MSP. Lebih dari satu juta sistem terinfeksi. Jika ada yang ingin bernegosiasi tentang decryptor universal--harga kami adalah $70 000 000 dalam BTC dan kami akan mempublikasikan decryptor publik yang mendekripsi file semua korban, sehingga semua orang akan dapat pulih dari serangan dalam waktu kurang dari satu jam. Jika Anda tertarik dengan kesepakatan tersebut, hubungi kami menggunakan instruksi file 'readme',” tulis REvil.
Advertisement
Metode Serangan
Menurut penelitian mendalam yang dilakukan Kaspersky, kelompok hacker REvil yang juga dikenal sebagai geng ransomware Sodinokibi itu aktif sejak April 2019 setelah geng siber GrandCrab dibubarkan.
"REvil ransomware telah dipromosikan di forum 'bawah tanah' selama tiga tahun dan ini adalah salah satu operasi Ransomware as a Service (RaaS) paling produktif," tulis peneliti Kaspersky.
Peneliti mengatakan pelaku menyerang sistem terlebih dahulu dan menyebarkan dropper berbahaya melalui skrip PowerShell yang dieksekusi via perangkat lunak Kaseya.
"Skrip ini menonaktifkan fitur perlindungan Microsoft Defender untuk Endpoint dan kemudian menggunakan utilitas certutil.exe untuk memecahkan kode executable berbahaya (agent.exe) yang melumpuhkan biner Microsoft (MsMpEng.exe, versi Microsoft Defender yang lebih lama) dan pustaka berbahaya (mpsvc.dll), yang merupakan ransomware REvil. Pustaka ini kemudian dimuat oleh MsMpEng.exe dengan memanfaatkan teknik DLL (T1574.002)," tulis Kaspersky.
Menurut peneliti, lebih dari 5.000 upaya serangan dilakukan oleh REvil di 22 negara.
(Isk/Ysl)