3 Perusahaan Indonesia Jadi Korban Ransomware, Diminta Tebus Bitcoin
Serangan ransomware ARGS menyasar pengguna server virtualisasi VMWare dan memakan korban ribuan server ESXi di dunia. Ada tiga perusahaan pengguna VMWare ESXi di Indonesia yang menjadi korban ransomware.
Spesialis Keamanan Teknologi Vaksincom Alfons Tanujaya mengatakan serangan ransomware merupakan hal yang paling ditakuti administrator IT.
Ia menjelaskan server ESXi memiliki kelemahan (celah keamanan) yang jika berhasil di eksploitasi akan memungkinkan akses sistem ESXi tersebut secara otomatis tanpa perlu mengetahui kredensial server tersebut.
"Akibatnya adalah semua sistem OS yang di virtualisasi di ESXi termasuk data yang terkandung di dalamnya akan bisa diakses," kata Alfons dalam keterangan pers, Selasa (7/2).
Dalam kasus enkripsi ransomware ARGS ini, file virtualisasi akan dienkripsi dan diganti menjadi ekstensi .args.
Setelah sukses mengenkripsi, ransomware ini akan menampilkan pesan permintaan tebusan. Korban diancam untuk mengirim sejumlah uang dalam bentuk Bitcoin. Jika tidak mengirimkan uang dalam tiga hari, maka pelaku akan mengekspos data dan menaikkan harga tebusan.
Bila korban tidak mengirimkan Bitcoin, pelaku akan memberitahu konsumen korban akan kebocoran data. Data mungkin dijual kepada pesaing atau kriminal.
Alfons menyatakan bahwa hingga saat ini pengguna VMWare ESXi di seluruh dunia menjadi korban ransomware ARGS.
Jumlah korban tertinggi berasal dari Perancis, Amerika Serikat, Jerman, Kanada dan Inggris.
Menurut pantauan Vaksincom, setidaknya ada tiga pengguna VMWare ESXi di Indonesia yang turut menjadi korban ransomware args ini.
Adapun, pengguna VMWare ESXi yang rentan menjadi target dari serangan ini adalah versi 7.0, 6.7 dan 6.5. Celah keamanan yang dieksploitasi oleh ransomware ini adalah CVE-2021-21974.
Alfons menjelaskan bahwa yang diserang oleh ransomware adalah sistem ESXi. Sehingga apapun sistem operasi yang di virtualisasi oleh sistem ESXi akan dienkripsi, baik OS Windows, Mac OS maupun Linux.
Sistem tersebut berfungsi sebagai server virtualisasi, "maka satu server ESXi ini biasanya lebih mengelola kombinasi dari berbagai OS seperti Windows server, Windows workstation, Mac OS dan Linux," katanya.
Jika server ESXi berhasil dieksploitasi, tidak hanya OS yang akan dienkripsi, tetapi semua data yang terkandung dalam OS tersebut juga akan ikut terenkripsi.
Alfons menyarankan hal ini menjadi perhatian pada administrator untuk disiplin melakukan backup data penting secara teratur.
"Jika anda mengelola server ESXi dan menjadi korban enkripsi ransomware ini, hubungi vendor antivirus atau sekuriti anda untuk membantu proses recovery dan proses pencegahan eksploitasi dan aksi ransomware," kata Alfons.
Disarankan untuk menggunakan antivirus yang handal dan solusi yang dapat melakukan restore data sekalipun sudah di enkripsi oleh Vaksin Protect.
Untuk menghindari serangan ransomware ARGS ini, pengguna server ESXi perlu melakukan update versi server ESXi yang digunakan sebagai berikut :
- ESXi versi 7.0 update minimal ke versi ESXi70U1c-17325551
- ESXi versi 6.7 update minimal ke versi ESXi670-202102401-SG
- ESXi versi 6.5 update minimal ke versi ESXi650-202102101-SG
Selain itu, Alfons menyarankan untuk menonaktifkan SLP (Service Location Protocol) services jika tidak diperlukan. Karena layanan ini disebut memungkinkan sarana eksploitasi.
Cara menonaktifkan SLP services dengan langkah sebagai berikut :
- Login pada ESXi host.
- Hentikan SLP service dengan perintah: /etc/init.d/slpd stop
- Jalankan perintah untuk menonaktifkan SLP service: esxcli network firewall ruleset set -r CIMSLP -e 0
- Pastikan SLP service tetap non aktif sekalipun sistem di reboot dengan perintah: chkconfig slpd off
