Serangan Ransomware incar infrastruktur VMware ESXi diketahui mengikuti pola yang sudah ada, terlepas dari malware enkripsi file yang disebarkan.
Platform virtualisasi adalah komponen inti dari infrastruktur TI perusahaan, namun platform tersebut sering kali mengalami kesalahan konfigurasi dan kerentanan yang melekat, menjadikannya target yang menguntungkan dan sangat efektif untuk disalahgunakan oleh pelaku ancaman.
Melalui upaya respons insiden yang melibatkan berbagai keluarga ransomware seperti
- LockBit.
- HelloKitty.
- BlackMatter.
- RedAlert (N13V).
- Scattered Spider.
- Akira.
- Cactus.
- BlackCat.
- Cheerscrypt.
Diketahui bahwa serangan dari ransomware di atas terhadap lingkungan virtualisasi semua mengikuti rangkaian tindakan yang serupa.
Langkah-langkah Serangan yang Dilakukan
Berikut adalah langkah-langkah yang dilakukan ransomware incar infrastruktur VMware ESXi:
- Memperoleh akses awal melalui serangan phising, pengunduhan file berbahaya, dan eksploitasi kerentanan yang diketahui pada aset yang terhubung ke internet.
- Meningkatkan hak istimewa mereka untuk mendapatkan kredensial untuk host ESXi atau vCenter menggunakan serangan brute force atau metode lainnya.
- Memvalidasi akses mereka ke infrastruktur virtualisasi dan menggunakan ransomware.
- Menghapus atau mengenkripsi sistem cadangan, atau dalam beberapa kasus, mengubah kata sandi, untuk mempersulit upaya pemulihan.
- Mengeksfiltrasi data ke lokasi eksternal seperti Mega.io, Dropbox, atau layanan hosting mereka sendiri.
- Memulai eksekusi ransomware untuk mengenkripsi folder “/vmfs/volumes” pada sistem file ESXi
- Menyebarkan ransomware ke server dan stasiun kerja non-virtualisasi untuk memperluas cakupan serangan.
Untuk memitigasi risiko yang ditimbulkan oleh ancaman tersebut, perusahaan-perusahaan disarankan untuk:
- Memastikan adanya pemantauan dan pencatatan yang memadai.
- Menciptakan mekanisme cadangan yang kuat.
- Menerapkan langkah-langkah otentikasi yang kuat.
- Dan memperkuat lingkungan serta menerapkan pembatasan jaringan untuk mencegah pergerakan lateral.
Perkembangan tersebut seiring dengan operasi yang sedang berlangsung sejak awal Maret 2024 yang menggunakan iklan berbahaya di mesin pencari.
Yang umum digunakan untuk mendistribusikan penginstal trojan untuk WinSCP dan PuTTY melalui domain yang salah ketik dan pada akhirnya menginstal ransomware.
Pemasang palsu ini bertindak sebagai saluran untuk melepaskan perangkat pasca-eksploitasi Sliver, yang kemudian digunakan untuk mengirimkan lebih banyak muatan, termasuk Cobalt Strike Beacon yang dimanfaatkan untuk penyebaran ransomware.
Aktivitas ini memiliki taktik yang tumpang tindih dengan serangan ransomware BlackCat sebelumnya yang menggunakan malvertising sebagai vektor akses awal sebagai bagian dari kampanye berulang yang mengirimkan malware Nitrogen.
Kampanye ini secara tidak proporsional mempengaruhi anggota tim TI, yang kemungkinan besar mengunduh file trojan sambil mencari versi yang sah.
Baca juga: Serangan ESXiArgs pada Server VMware 101 |
Serangan Ransomware
Eksekusi malware yang berhasil kemudian memberikan pelaku pijakan yang lebih tinggi dan menghambat analisis dengan mengaburkan maksud dari tindakan administratif selanjutnya.
Pengungkapan ini juga menyusul munculnya keluarga ransomware baru seperti Beast, MorLock, Synapse, dan Trinity, dengan grup MorLock yang secara ekstensif memburu perusahaan-perusahaan Rusia dan mengenkripsi file tanpa mengeksfiltrasinya terlebih dahulu.
Untuk memulihkan akses ke data, pelaku menuntut uang tebusan yang cukup besar, yang jumlahnya bisa mencapai puluhan dan ratusan juta rubel.
Gejolak dalam dunia ransomware juga disertai oleh penjahat dunia maya yang mengiklankan Virtual Network Computing (hVNC) yang tersembunyi dan layanan akses jarak jauh seperti Pandora dan TMChecker yang dapat digunakan untuk eksfiltrasi data, menyebarkan malware tambahan, dan memfasilitasi serangan ransomware.
Beberapa broker akses awal (IAB) dan operator ransomware menggunakan [TMChecker] untuk memeriksa data yang telah disusupi untuk mengetahui keberadaan kredensial yang valid ke VPN perusahaan dan akun email.
Kebangkitan TMChecker secara bersamaan sangatlah penting karena secara substansial menurunkan hambatan biaya masuk bagi pelaku ancaman yang ingin mendapatkan akses perusahaan berdampak tinggi baik untuk eksploitasi primer atau untuk dijual ke musuh lain di pasar sekunder.
Sumber berita: