• Our Partners:

Microsoft Exchange Server Jadi Target Peretasan Ransomware BlackCat

Microsoft Exchange Server Jadi Target Peretasan Ransomware BlackCat

NESABAMEDIA.COMMicrosoft mengeluarkan pengumuman bahwa serangan siber yang terafiliasi oleh ransomware BlackCat sedang membidik layanan Microsoft Exchange Server, menggunakan eksploitasi yang menargetkan kerentanan yang belum mendapatkan penambalan. 

Setidaknya dalam salah satu kasus yang diamati oleh pakar keamanan Microsoft, pelaku secara perlahan bergerak melalui jaringan korban, mencuri data kredensial, dan kemudian mengekstrak informasi. 

Dua minggu setelah terjadinya kompromisasi awal menggunakan Exchange Server yang belum ditambal sebagai pintu masuknya, pelaku kemudian menyebarkan muatan ransomware BlackCat di seluruh jaringan korban melalui PsExec. 

“Selain pintu masuk umum untuk pelaku ini termasuk aplikasi desktop jarak jauh dan kredensial yang telah disusupi, kami juga melihat pelaku memanfaatkan kerentanan Exchange Server untuk mendapatkan akses ke jaringan target,” ungkap tim dari Defender Threat Intelligence Microsoft 365

Meskipun pihaknya tidak menyebutkan kerentanan mana di layanan Exchange Server yang digunakan untuk akses awal, Microsoft merujuk pada nasihat keamanan yang diterbitkan pada bulan Maret 2021 dengan petunjuk untuk melakukan investigasi dan mengatasi serangan ProxyLogon.

Selain itu, meski Microsoft juga tidak mengungkap nama afiliasi ransomware yang menyebarkan BlackCat dalam kasus tersebut, mereka mengatakan beberapa kelompok kejahatan dunia maya sekarang berafiliasi dengan operasi Ransomware sebagai layanan (RaaS), dan secara aktif menggunakannya dalam berbagai serangan siber. 

Salah satu kelompok, diketahui menjadikan uang sebagai motivasi melakukan serangan, dan kelompok ini terlacak sebagai FIN12, yang sebelumnya juga dikenal telah menyebarkan ransomware Ryuk, Conti dan Hive, dalam serangan yang menargetkan organisasi kesehatan.

Namun diungkap juga bahwa FIN12 biasanya jauh lebih cepat dalam melakukan aksi, karena mereka terkadang melewati langkah pencurian data dan membutuhkan waktu kurang dari dua hari untuk kemudian mengirimkan muatan file enkripsi ke jaringan korban. 

“Kami telah menemukan data bahwa kelompok ini mulai menambahkan ransomware BlackCat dalam daftar pengiriman muatan sejak bulan Maret 2022 ini. Mereka beralih ke BlackCat dari yang sebelumnya menggunakan Hive, dan diduga ini disebabkan oleh wacana publik seputar metodologi enkripsi terakhir,” tambahnya. 

Editor: Muchammad Zakaria

Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
Send this to a friend