Pada 3 Juli 2021 kemarin, 200 Perusahaan di Amerika Serikat dan Rantai Swalayan di Swedia terkena serangan Ransomware. Ini merupakan salah satu serangan ransomware terbesar dalam sejarah menyebar ke seluruh dunia pada hari Sabtu kemarin.
Serangan ransomware ini memaksa rantai toko swalayan Swedish Coop untuk menutup semua 800 tokonya karena tidak dapat mengoperasikan mesin kasirnya
Insiden ini berawal dari penyedia layanan remote desktop manajemen, Kaseya VSA. Kaseya memiliki 40.000 pelanggan untuk produknya, meskipun tidak semua menggunakan alat yang terpengaruh.
200 Perusahaan di Amerika Serikat Terserang Ransomware
Penutupan pengecer makanan utama mengikuti serangan yang luar biasa canggih pada hari Jumat terhadap penyedia teknologi AS Kaseya. Geng ransomware yang dikenal sebagai REvil diduga membajak alat manajemen desktop Kaseya VSA dan mendorong pembaruan berbahaya yang menginfeksi penyedia manajemen teknologi yang melayani ribuan bisnis.
Selected Fresh & Frozen Food dan Ratusan bisnis Amerika pada hari Jumat terkena serangan ransomware yang luar biasa canggih. Serangan cyber ini membajak perangkat lunak manajemen teknologi yang banyak digunakan dari pemasok yang berbasis di Miami bernama Kaseya.
Para penyerang mengubah alat Kaseya yang disebut VSA, yang digunakan oleh perusahaan yang mengelola teknologi di bisnis kecil. Mereka kemudian mengenkripsi file pelanggan penyedia tersebut secara bersamaan.
Huntress Labs, salah satu yang pertama membunyikan alarm gelombang infeksi pada klien penyedia, mengatakan Sabtu bahwa ribuan perusahaan kecil mungkin telah terkena.
Insiden Keamanan di Perusahaan Layanan Manajemen IT
Kaseya yang berbasis di Miami mengatakan pihaknya bekerja sama dengan FBI dan hanya sekitar 40 pelanggannya yang terkena dampak secara langsung. Mereka tidak mengomentari berapa banyak dari mereka yang pada gilirannya menyebarkan malware berbahaya ke orang lain.
Dalam sebuah pernyataan pada Sabtu malam, FBI mengatakan sedang berkoordinasi dengan Badan Keamanan Cybersecurity dan Infrastruktur AS untuk menyelidiki hal tersebut. Demikian Presiden Amerika Serikat – Joe Biden – juga telah memerintahkan seluruh pihak untuk menyelidiki serangan cyber tersebut. Sebab, beberapa tahun yang lalu ada serangan ransomware yang mereka curigai di sponsori oleh Rusia.
“Kami mendorong semua yang mungkin terpengaruh untuk menggunakan mitigasi yang direkomendasikan dan bagi pengguna untuk mengikuti panduan Kaseya untuk segera mematikan server VSA,” kata agensi tersebut.
Dampak Dari Serangan Ransomware di 200 Perusahaan di Amerika Serikat
Bisnis yang terkena dampak memiliki file yang dienkripsi dan meninggalkan pesan elektronik yang meminta pembayaran tebusan ribuan hingga jutaan dolar. Perusahaan di Amerika Serikat yang terinfeksi malware dari provider manajemen TI mereka tersebut tidak dapat mengakses perangkat mereka.
Beberapa ahli mengatakan waktu serangan, pada hari Jumat sebelum liburan akhir pekan yang panjang di AS. Modus serangan cyber tersebut ditujukan untuk menyebarkannya secepat mungkin saat karyawan tidak bekerja.
“Apa yang kita lihat sekarang dalam hal korban kemungkinan hanya puncak gunung es,” kata Adam Meyers, wakil presiden senior perusahaan keamanan CrowdStrike.
Presiden Joe Biden mengatakan pada hari Sabtu bahwa dia telah mengarahkan badan-badan intelijen AS untuk menyelidiki siapa yang berada di balik serangan itu.
Menyebar ke Perusahaan di Swedia
Menurut Coop, salah satu rantai grosir terbesar di Swedia, alat yang digunakan untuk memperbarui kasir dari jarak jauh terpengaruh oleh serangan itu. Hal ini menyebabkan layanan kasir terganggu, tidak dapat menerima pembayaran.
“Kami telah memecahkan masalah dan memulihkan sepanjang malam, tetapi telah mengomunikasikan bahwa kami perlu menutup toko hari ini,” kata juru bicara Coop Therese Knapp kepada Televisi Swedia.
Kantor berita Swedia TT mengatakan teknologi Kaseya digunakan oleh perusahaan Swedia Visma Esscom. Layanan tersebut mengelola server dan perangkat untuk sejumlah bisnis Swedia.
Layanan kereta api negara bagian dan jaringan apotek juga mengalami gangguan.
“Mereka telah terpapar infeksi malware dalam berbagai tingkatan,” kata kepala eksekutif Visma Esscom Fabian Mogren kepada TT.
Menteri Pertahanan Peter Hultqvist mengatakan kepada televisi Swedia bahwa serangan itu “sangat berbahaya” dan menunjukkan bagaimana badan-badan bisnis dan negara perlu meningkatkan kesiapsiagaan mereka.
“Dalam situasi geopolitik yang berbeda, mungkin aktor pemerintah yang menyerang kita dengan cara ini untuk menutup masyarakat dan menciptakan kekacauan,” katanya.
Kaseya Menutup Layanan Terdampak Mawalre
Kaseya mengatakan di situsnya sendiri bahwa mereka sedang menyelidiki “potensi serangan” pada VSA, yang digunakan oleh para profesional TI untuk mengelola server, desktop, perangkat jaringan, dan printer.
Mereka terpaksa menutup beberapa infrastrukturnya sebagai tanggapan dan mendesak pelanggan yang menggunakan VSA di tempat mereka untuk segera mematikan server mereka.
Perusahaan keamanan Huntress mengatakan sedang melacak delapan penyedia layanan terkelola yang telah digunakan untuk menginfeksi sekitar 200 klien Perusahaan di Amerika Tersebut. Demikian Kaseya Corp juga telah bekerjasama dengan Fire Eye dan beberapa badan keamanan lain termasuk FBI untuk melacak akto serangan tersebut.
“Ini adalah serangan rantai pasokan yang kolosal dan menghancurkan,” kata peneliti keamanan senior Huntress John Hammond dalam email, merujuk pada teknik peretas profil tinggi yang membajak satu perangkat lunak untuk membahayakan ratusan atau ribuan pengguna sekaligus.
Hammond menambahkan bahwa karena Kaseya terhubung ke segala hal mulai dari perusahaan besar hingga perusahaan kecil, “Kaseya berpotensi menyebar ke berbagai ukuran atau skala bisnis.” Banyak penyedia layanan terkelola menggunakan VSA, meskipun pelanggan mereka mungkin tidak menyadarinya, kata para ahli.
Beberapa karyawan di penyedia layanan mengatakan di papan diskusi bahwa klien mereka telah terkena serangan tersebut sebelum mereka mendapatkan peringatan dari penyedia jasa layanan IT yang mereka gunakan.
Jangan Layani Permintaan Tebusan
Seorang eksekutif keamanan swasta yang bekerja pada upaya tanggapan mengatakan bahwa permintaan tebusan yang menyertai enkripsi berkisar dari beberapa ribu dolar hingga $5 juta atau lebih.
Kerusakan proses pembaruan menunjukkan peningkatan yang nyata dalam kecanggihan dari sebagian besar serangan ransomware. Serangan cyber seperti ini memanfaatkan celah keamanan seperti sandi umum tanpa autentikasi dua faktor.
Email yang dikirim ke peretas yang meminta komentar tidak segera dikembalikan. Dalam sebuah pernyataan, Badan Keamanan Cybersecurity dan Infrastruktur AS mengatakan “mengambil tindakan untuk memahami dan mengatasi serangan ransomware rantai pasokan baru-baru ini” terhadap produk VSA Kaseya.
Serangan rantai pasokan telah merayap ke puncak agenda keamanan siber. Terutama setelah Amerika Serikat menuduh peretas beroperasi atas arahan pemerintah Rusia dan merusak alat pemantauan jaringan yang dibangun oleh perusahaan perangkat lunak Texas SolarWinds.
Apa yang dapat kita ambil jadi pelajaran?
Selain provider manajemen IT harus selalu melakukan upaya pengamanan dengan sistem zero trust networking, para pengguna layanan juga harus melakukan beberapa hal. Antara lain:
- Memiliki cadangan untuk semua file dan transaksi di tempat yang berbeda.
- Memberikan edukasi kepada karyawan agar tidak lantas langsung klik suatu link, walau itu pembaruan.
- Mencegah karyawan melakukan update melalui administrasi hak akses.
Setelah terkena serangan ransomware, jika perusahaan pengguna memiliki cadangan maka operasional dapat kembali pulih hanya dalam waktu beberapa jam. Akan tetapi, jika cadangan tersebut masih terinfeksi malware maka ada kemungkinan perangkat tidak dapat diakses lagi.
Oleh karena itu, gunakan layanan backup di tempat lain yang dapat mendeteksi malware sehalus mungkin.
