Serangan ransomware Kaseya memulai perlombaan untuk meretas penyedia layanan – peneliti
Ini adalah ringkasan yang dibuat oleh AI, yang mungkin memiliki kesalahan. Untuk konteksnya, selalu rujuk artikel selengkapnya.
Perangkat lunak Kaseya melayani banyak penyedia layanan terkelola – perusahaan yang menawarkan layanan cloud untuk bisnis kecil – yang berarti kerentanan Kaseya juga dapat mengekspos setiap pelanggan.
Serangan ransomware pada bulan Juli yang melumpuhkan sebanyak 1.500 organisasi dengan menyusupi perangkat lunak manajemen teknologi dari sebuah perusahaan bernama Kaseya telah memicu perlombaan di antara para penjahat yang mencari kerentanan serupa, kata pakar keamanan siber.
Afiliasi dari geng ransomware terkemuka berbahasa Rusia yang dikenal sebagai REvil menggunakan dua kelemahan besar pada perangkat lunak dari Kaseya yang berbasis di Florida untuk membobol sekitar 50 penyedia layanan terkelola (MSP) yang menggunakan produknya, kata penyelidik.
Kini setelah para penjahat melihat betapa dahsyatnya serangan MSP, “mereka sudah melakukannya, mereka sudah bergerak maju dan kita tidak tahu ke mana,” kata Victor Gevers, kepala lembaga nirlaba Dutch Vulnerability Disclosure Institute, yang memperingatkan Kaseya. kelemahan sebelum serangan.
“Ini akan terjadi lagi dan lagi.”
Gevers mengatakan para penelitinya menemukan kerentanan serupa di lebih banyak MSP. Dia menolak menyebutkan nama perusahaan-perusahaan tersebut karena mereka belum menyelesaikan semua permasalahannya.
Penyedia layanan terkelola mencakup perusahaan seperti IBM dan Accenture yang menawarkan perangkat lunak populer versi cloud dan perusahaan spesialis yang didedikasikan untuk industri tertentu. Mereka biasanya melayani usaha kecil dan menengah yang tidak memiliki kemampuan teknologi internal dan sering kali mengutamakan keamanan.
Namun MSP juga merupakan sarana yang efektif untuk ransomware karena mereka memiliki akses luas ke banyak jaringan pelanggannya. Perangkat lunak Kaseya melayani banyak MSP, sehingga serangan berlipat ganda sebelum Kaseya dapat memperingatkan semua orang, mengenkripsi data dengan cepat, dan meminta uang tebusan sebanyak $5 juta per korban.
Bisnis MSP telah berkembang selama pandemi virus corona seiring dengan peningkatan pesat dalam pekerjaan jarak jauh.
“Di situlah Anda menemukan akses tepercaya ke sistem pelanggan,” kata Chris Krebs, pemimpin pertama Badan Keamanan Siber dan Infrastruktur (CISA) Departemen Keamanan Dalam Negeri AS, yang menjadikan ransomware sebagai prioritas utama. “Ini adalah pendekatan yang jauh lebih ekonomis untuk melancarkan serangan terobosan. Dan sulit bagi pelanggan untuk mempertahankannya.”
Bugcrowd Inc, salah satu dari beberapa platform tempat peneliti dapat melaporkan kerentanan, juga melihat kelemahan keamanan sama buruknya dengan Kaseya, kata CEO Bugcrowd Ashish Gupta, mungkin karena MSP telah berkembang begitu cepat.
“Waktu untuk memasarkan merupakan permintaan yang sangat tinggi, dan terkadang kecepatan menjadi musuh keamanan,” kata Gupta.
Penyedia layanan telah menjadi sasaran sebelumnya – yang paling dramatis adalah tersangka peretas pemerintah Tiongkok yang menyerang perusahaan-perusahaan teknologi besar dalam serangkaian pelanggaran yang dikenal sebagai Pelompat Awan.
REvil menyerang lebih dari 20 kota di Texas dua tahun lalu melalui penyedia bersama tetapi hanya meminta total uang tebusan sebesar $2,5 juta, kata Andy Bennett, yang saat itu menjabat sebagai pejabat negara bagian yang mengelola respons tersebut.
Ketika para pemeras REvil meminta dana sebesar $70 juta untuk memperbaiki semua kerugian di Kaseya, katanya, “aspirasi mereka jelas lebih besar sekarang, dan pendekatan mereka lebih terukur.” Tidak jelas berapa jumlah uang tebusan yang akhirnya dibayarkan atau berapa banyak bisnis yang terkena dampaknya.
Meningkatnya serangan ransomware telah menyebabkan Presiden AS Joe Biden memperingatkan Presiden Rusia Vladimir Putin bahwa Amerika Serikat akan bertindak sendiri melawan geng peretas terburuk yang beroperasi di wilayah Rusia kecuali pihak berwenang dapat mengendalikan mereka.
Pada tanggal 22 Juli, Kaseya mengatakan sebuah perusahaan keamanan telah mengembangkan kunci dekripsi universal tanpa membayar para penjahat, memicu spekulasi bahwa Putin membantu atau bahwa lembaga AS meretas REvil.
CISA mencoba menyampaikan pesan kepada MSP dan pelanggan mereka tentang risiko dan apa yang harus dilakukan untuk mengatasinya, kata Eric Goldstein, asisten direktur eksekutif untuk keamanan siber.
Kurang dari dua minggu setelah serangan Kaseya pada 2 Juli CISA pedoman yang dikeluarkan untuk praktik terbaik di kedua sisi persamaan. CISA juga menawarkan penilaian risiko gratis, pengujian penetrasi, dan analisis arsitektur jaringan.
“Organisasi perlu menyelidiki keamanan MSP mereka,” kata Goldstein. “Pertimbangan yang lebih luas di sini adalah pentingnya bagi organisasi besar dan kecil untuk memahami hubungan kepercayaan yang mereka miliki dengan entitas yang memiliki koneksi di lingkungan mereka.” – Rappler.com
