Ransomware DearCry Microsoft Exchange Server

Ransomware DearCry Akhirnya Dilepaskan Ke Komputer Korban Pembobolan Microsoft Exchange

NESABAMEDIA.COMPara peretas akhirnya mulai menyebarkan ransomware DearCry pada sistem korban setelah berhasil melakukan pembobolan ke server Microsoft Exchange yang belum mendapatkan penambalan dan perbaikan. Hal tersebut diungkapkan sendiri oleh pihak Microsoft beberapa hari yang lalu. 

“Microsoft telah menemukan sebuah serangan virus ransomware yang menyerang para pelanggan. Ransomware yang dikendalikan oleh peretas itu memanfaatkan kerentanan pada layanan Microsoft Exchange, untuk mengeksploitasi para pelanggan kami,” ungkap kepala manajer keamanan Microsoft, Phillip Misner. 

Informasi dari Microsoft itu muncul kurang dari dua jam setelah BleepingComputer melaporkan bahwa aktor serangan sedang memanfaatkan eksploit ProxyLogin Zero Day terbaru di server Microsoft Exchange untuk menyusupkan ransomware DearCry. 

Pengguna Microsoft Defender yang telah mendapatkan pembaruan otomatis, kini disebutkan sudah terlindungi dari ransomware ini, tanpa harus mengambil tindakan lain, seperti yang diungkapkan oleh pihak intelijen keamanan Microsoft. 

“Kami telah mendeteksi dan memblokir sebuah jenis ransomware baru yang digunakan setelah terjadinya serangan pada server Microsoft Exchange yang belum diperbaiki dan ditambal. Microsoft memberikan perlindungan terhadap sebuah serangan yang bernama DearCry,” begitu bunyi cuitan yang diunggah oleh akun intelijen keamanan Microsoft. 

Pihak Microsoft pun mendesak para pelanggannya dengan segera melakukan pembaruan untuk menambal dan memperbaiki celah keamanan di server layanan Exchange mereka. Diketahui, setidaknya masih ada 80 ribu server lama yang belum dan tidak bisa secara langsung menerapkan pembaruan keamanan terbaru dari Microsoft. 

Serangan ransomware DearCry ini pertama kali diungkap ke publik tidak lama sebelum Microsoft memberikan pernyataan resminya. Michael Gillespie, pemilik situs ID-Ransomware adalah yang pertama kali mengungkap ransomware jenis baru ini. 

“Situs ID-Ransomware tiba-tiba mendapatkan banyak pengiriman file berekstensi .CRYPT dan penanda file DEARCRY, yang berasal dari IP Server Exchange di Amerika, Kanada dan Australia,” kata Gillespie. 

Saat dibuka, ransomware DearCry ini akan mencoba untuk mematikan layanan Windows bernama msupdate, yang tampaknya bukan sebuah layanan Windows yang resmi. Salah seorang yang menjadi korban dari serangan ransomware ini, mengatakan bahwa dirinya diminta uang tebusan sebesar USD16 ribu. 

Catatan Tebusan Ransomware DearCry

Catatan Tebusan Ransomware DearCry

Ketika ransomware itu berhasil melakukan enkripsi pada komputer korban, DearCry akan membuat sebuah catatan tebusan bernama readme.txt, yang berisi dua alamat email sebagai alamat tujuan penyerahan tebusan. Hingga sekarang ini, belum diketahui kelemahan dari DearCry ini yang bisa digunakan para korban untuk memulihkan file mereka tanpa harus membayarkan tebusan. 

Leave a Reply

Send this to a friend