VPN atau Virtual Private Network selama ini dianggap sebagai solusi aman untuk mengirim dan menerima data dengan tetap menjaga kerahasiaan dan privasi karena tidak merekam riwayat pencarian. Hanya saja, penggunaan VPN, terutama yang gratis, tetap menyimpan risiko serangan ransomware. Serangan ransomware yang dikenal sebagai Cring sempat melumpuhkan dua pusat manufaktur di Eropa pada Januari lalu.
Anggota tim ICS CERT Kaspersky Lab, Vyacheslav Kopeytsev dalam sebuah email menyatakan pada kuartal pertama tahun ini, Cring menginfeksi produsen di Jerman. Infeksi menyebar ke server hosting database yang digunakan untuk jalur produksi. Imbasnya, proses produksi disetop sementara di dua fasilitas yang berbasis di Italia yang dioperasikan oleh pabrik tersebut selama dua hari.
Serangan ransomware yang terjadi di Eropa sejatinya bukan kejadian pertama. Peneliti mencatat pada 2019 lalu sekitar 480 ribu perangkat terhubung ke internet dan hacker secara aktif mencoba mengeksploitasi kerentanan VPN FortiGate.
Di tahun yang sama, Honda memutuskan untuk menghentikan produksi setelah terinfeksi oleh ransomware WannaCry dan malware yang tidak diketahui. Salah satu produsen aluminium terbesar di dunia, Norsk Hydro dari Norwegia juga menjadi korban serangan ransomware pada tahun 2019 yang mematikan jaringannya di seluruh dunia dan menghentikan aktivitas pabrik.
Eksploitasi Lewat Celah yang Telah Ditambal
Dilansir dari Ars Technica, Kopeytsev mengatakan sejumlah detail serangan menunjukkan bahwa pelaku dengan hati-hati mengalisis infrastruktur organisasi yang disasar dan menyiapkan infrastruktur dan perangkat versi mereka sendiri berdasarkan informasi yang dikumpulkan pada tahap pengintaian.
“Analisis aktivitas penyerang menunjukkan bahwa, berdasarkan hasil pengintaian yang dilakukan pada jaringan organisasi yang diserang, mereka memilih untuk mengenkripsi server yang diyakini akan menyebabkan kerusakan terbesar pada operasional perusahaan,” tulis Kopeytsev dalam sebuah blog.
Cring diketahui menyerang dengan mengeksploitasi celah yang telah lama ditambal dalam VPN yang dijual oleh Fortinet. Kerentanan transversal yang dilacak sebagai CVE-2018-13379 itu memungkinkan penyerang yang tidak terotentikasi untuk mendapatkan file yang berisi nama pengguna dan kata sandi teks biasa untuk VPN. Berbekal dua data tersebut, operator Cring melakukan pengintaian dan menggunakan versi yang disesuaikan dari Mimikatz untuk mengekstraksi kredensial administrator domain yang disimpan dalam memori server.
Penyerang kemudian menggunakan kerangka Cobalt Strike untuk menginstal Cring. Sementara untuk menutupi serangan yang sedang dilakukan, hacker akan menyamarkan file instalasi sebagai software dari Kaspersky Lab atau penyedia solusi keamanan lainnya. Setelah diinstal, Cring akan mengunci data menggunakan enkripsi AES 256-bit dan mengenkripsi menggunakan kunci publik RSA-8192 yang di-hardcore ke dalam ransomware.
Tidak Tambal Celah dan Lalai Instal Antivirus
Dalam catatan Fortinet pada November 2020 diketahui “sebagian besar” perangkat VPN tetap tidak ditambal terhadap CVE-2018-13379. Padahal, FBI mengatakan bahwa CVE-1018-13379 merupakan salah satu dari beberapa kerentanan VPN FortiGate yang kemungkinan secara aktif digunakan oleh hacker untuk melakukan eksploitas dan serangan di masa depan.
Pada kasus serangan di Jerman, Kopeytsev mengatakan pabrikan telah gagal dan lalai menginstal update antivirus. Selain itu, pihak perusahaan juga membatasi akses ke sistem sensitif hanya untuk karyawan tertentu. Tak hanya itu, disebutkan bahwa pejabat perusahaan mengetahui laporan jika alamat IP dari sistem yang mengalami kerentanan dijual di sebuah forum jual beli data.
Merespons hal ini, Fortinet dalam pernyataannya mendesak pelanggan untuk menerapkan upgrade dan mitigasi terkait kerentanan terhadap CVE-2018-13379 yang disebut telah diselesaikan pada Mei 2019.
“Fortinet segera mengeluarkan saran PSIRT dan berkomunikasi langsung dengan pelanggan dan melalui posting blog perusahaan pada beberapa kesempatan pada Agustus 2019, Juli 2020, dan sekali lagi pada April 2021 sangat merekomendasikan upgrade,” tulis pihak Fortinet.
Cegah Serangan Ransomware Bersama Jedi
Serangkaian peristiwa yang terjadi di atas menjadi peringatan bahwa bisnis memerlukan keamanan yang andal. Saatnya lindungi bisnis Anda dari potensi serangan ransomware bersama Jedi Solutions. Managed Security Devices, salah satu solusi milik Jedi akan menjadi solusi keamanan yang fleksibel dan skalabel.
Bermitra dengan perusahaan teknologi global, Jedi juga menawarkan monitoring management selama 24/7, advanced response dari serangan siber, dan mengelola persyaratan compliance. Untuk solusi lengkap Jedi lainnya, silakan kunjungi tautan berikut atau menghubungi kami di info@jedi.id.
Penulis: Ervina Anggraini
Content Writer CTI Group
