Serangan zero-day pada software management IT Kaseya memberi dampak berantai bagi pengguna perangkat lunak tersebut, pelanggan mereka ikut menjadi korban serangan ransomware REvil yang menghantam sistem platform MSP berbasis cloud mereka.
Secara keseluruhan, lebih dari 1.000 pelanggan dari 20 MSP memiliki sistem mereka yang dienkripsi dalam serangan yang direncanakan dengan hati-hati, yang diluncurkan pada Jumat tengah hari, bertepatan dengan akhir pekan 4 Juli AS, ketika biasanya bagi karyawan untuk memiliki hari kerja yang lebih pendek.
Untuk menembus server VSA lokal Kaseya, afiliasi REvil di balik serangan tersebut menggunakan kerentanan zero-day (CVE-2021-30116) Kaseya VSA adalah perangkat lunak RMM (Remote Monitoring and Management).
Saat itu menurut para peneliti di Dutch Institute for Vulnerability Disclosure (DIVD). Kaseya sedang dalam proses patching. Namun, afiliasi REvil mendapatkan rincian kerentanan dan berhasil mengeksploitasinya sebelum Kaseya mulai memberikan perbaikan kepada pelanggannya.
Kelompok ransomware REvil mengklaim telah mengenkripsi lebih dari 1.000.000 sistem dan menuntut $70 juta untuk decryptor universal untuk mendekripsi semua korban serangan Kaseya. Namun belum lama ini, operatornya dengan cepat menurunkan harga tebusan menjadi $50 juta.
Ini adalah permintaan tebusan tertinggi hingga saat ini, rekor sebelumnya juga milik REvil, meminta $50 juta setelah menyerang Acer.
Menyikapi situasi yang menimpa Kaseya, FBI dan CISA mengeluarkan panduan untuk Manage Service Provider (MSP)
Kedua agen federal menyarankan MSP yang terkena serangan Friday REvil untuk memeriksa lebih lanjut sistem mereka untuk tanda-tanda kompromi menggunakan alat deteksi yang disediakan oleh Kaseya selama akhir pekan dan mengaktifkan otentikasi multi-faktor (MFA) pada akun sebanyak mungkin.
Selain itu, MSP juga harus menerapkan daftar yang diizinkan untuk membatasi akses ke aset internal mereka dan melindungi antarmuka admin alat pemantauan jarak jauh mereka menggunakan firewall atau VPN.
Daftar lengkap rekomendasi yang dibagikan oleh CISA dan FBI untuk MSP yang terkena dampak meliputi:
-
- Unduh Alat Deteksi Kaseya VSA. Alat ini menganalisis sistem (server VSA atau titik akhir terkelola) dan menentukan apakah ada indikator kompromi (IoC).
-
- Aktifkan dan terapkan autentikasi multifaktor (MFA) pada setiap akun tunggal yang berada di bawah kendali organisasi, kemudian aktifkan dan terapkan MFA untuk layanan yang dihadapi pelanggan.
-
- Menerapkan daftar yang diizinkan untuk membatasi komunikasi dengan kemampuan pemantauan dan pengelolaan jarak jauh (RMM) ke pasangan alamat IP yang diketahui, dan/atau
-
- Tempatkan antarmuka administratif RMM di belakang jaringan pribadi virtual (VPN) atau firewall pada jaringan administratif khusus.
Pelanggan MSP yang terkena serangan disarankan untuk menggunakan dan menerapkan MFA sedapat mungkin dan melindungi cadangan data mereka dengan menempatkannya di sistem yang memiliki celah udara.
CISA dan FBI menyarankan pelanggan MSP yang terkena dampak untuk:
-
- Pastikan cadangan data selalu diperbarui dan disimpan di lokasi yang mudah diambil yang terpisah dari jaringan organisasi;
-
- Kembali ke proses manajemen patch manual yang mengikuti panduan perbaikan vendor, termasuk pemasangan patch baru segera setelah tersedia;
-
- Terapkan MFA dan prinsip hak istimewa paling rendah pada akun admin sumber daya jaringan utama.
Korban juga disarankan untuk mengikuti panduan yang dikeluarkan oleh Kaseya, termasuk mematikan server VSA mereka, serta menerapkan teknik mitigasi CISA dan FBI.
Endpoint Detection and Response (EDR)
Zero day adalah serangan yang kehadirannya tidak terduga, satu lubang keamanan saja cukup untuk membuat seluruh dunia menderita. ESET menanggapi situasi keamanan dunia digital yang terancam oleh ancaman zero day, sejak jauh-jauh hari telah menyiapkan teknologi Endpoint Detection and Response atau EDR.
Teknologi EDR ini dapat ditemukan dalam ESET Dynamic Threat Defense (EDTD) dan ESET Enterprise Inspector (EEI), keduanya bisa menjadi solusi dalam menghadapi ancaman zero day bahkan ransowmare.
secara singkat dapat dijelaskan bahwa EDTD memiliki cakupan yang sangat luas dalam memproses berbagai sampel yang belum dikonfirmasi potensinya dan mengolahnya dalam cloud sandbox menggunakan teknologi EDR. Hasilnya dikirim ke seluruh endpoint di seluruh dunia.
Sedangkan EEI cakupan terbatas pada jaringan perusahaan, sampel yang diambil berasal dari seluruh endpoint yang dimiliki perusahaan dan diproses menggunakan teknologi EDR, sampel yang diketahui mencurigakan akan ditindaklanjuti oleh admin.