Ransomware Kaseya Infeksi Ribuan Perusahaan, Disebut Serangan Terbesar Sepanjang Sejarah

Dalam perkembangan terkait, badan federal Amerika Serikat yang dikenal sebagai Cybersecurity and Infrastructure Security Agency (CISA) dan Federal Bureau of Investigation (FBI) menawarkan bantuan kepada mereka yang terkena dampak serangan ransomware tersebut.

"Kami mendorong semua yang mungkin terpengaruh untuk menggunakan mitigasi yang disarankan dan mengikuti panduan Kaseya untuk segera mematikan server VSA. Seperti biasa, kami siap membantu entitas yang terkena dampak," kata FBI pada Sabtu (3/7/2021).

Kemudian, FBI memperbarui panduannya, mendorong perusahaan yang terkena dampak untuk mengikuti mitigasi yang baru dikembangkan.

"Jika merasa sistem Anda telah disusupi sebagai akibat dari insiden ransomware Kaseya, kami mendorong Anda untuk menggunakan semua mitigasi yang disarankan, ikuti panduan dari Kaseya dan CISA untuk segera mematikan server VSA, dan laporkan kompromi Anda ke FBI di ic3.gov," FBI menambahkan.

Pada Minggu, (4/7/2021), REvil memposting pesan ke forum hacker dan mengaku sebagai pelaku serangan ini.

"Pada hari Jumat (02.07.2021) kami meluncurkan serangan terhadap penyedia MSP. Lebih dari satu juta sistem terinfeksi. Jika ada yang ingin bernegosiasi tentang decryptor universal--harga kami adalah $70 000 000 dalam BTC dan kami akan mempublikasikan decryptor publik yang mendekripsi file semua korban, sehingga semua orang akan dapat pulih dari serangan dalam waktu kurang dari satu jam. Jika Anda tertarik dengan kesepakatan tersebut, hubungi kami menggunakan instruksi file 'readme',” tulis REvil.

Menurut penelitian mendalam yang dilakukan Kaspersky, kelompok hacker REvil yang juga dikenal sebagai geng ransomware Sodinokibi itu aktif sejak April 2019 setelah geng siber GrandCrab dibubarkan.

"REvil ransomware telah dipromosikan di forum 'bawah tanah' selama tiga tahun dan ini adalah salah satu operasi Ransomware as a Service (RaaS) paling produktif," tulis peneliti Kaspersky.

Peneliti mengatakan pelaku menyerang sistem terlebih dahulu dan menyebarkan dropper berbahaya melalui skrip PowerShell yang dieksekusi via perangkat lunak Kaseya.

"Skrip ini menonaktifkan fitur perlindungan Microsoft Defender untuk Endpoint dan kemudian menggunakan utilitas certutil.exe untuk memecahkan kode executable berbahaya (agent.exe) yang melumpuhkan biner Microsoft (MsMpEng.exe, versi Microsoft Defender yang lebih lama) dan pustaka berbahaya (mpsvc.dll), yang merupakan ransomware REvil. Pustaka ini kemudian dimuat oleh MsMpEng.exe dengan memanfaatkan teknik DLL (T1574.002)," tulis Kaspersky.

Menurut peneliti, lebih dari 5.000 upaya serangan dilakukan oleh REvil di 22 negara.

(Isk/Ysl)