MENU
Untuk Anda
Kanal
About Us
JAKARTA - Peredaran ransomware semakin mengkhawatirkan. Terbaru dilaporkan bahwa ada ransomware bernama Akira yang menargetkan produk Cisco VPN sebagai vektor serangan untuk menembus jaringan dan mengenkripsi data korban.
Seperti dilansir dari Bleeping Computer, Kamis (24/8/2023), Akira sendiri adalah ransomware yang relatif baru yang diluncurkan pada Maret 2023. Akira bekerja dengan menambahkan enkripsi Linux untuk menargetkan mesin virtual VMware ESXi.
Dilaporkan, Akira telah menggunakan akun Cisco VPN yang telah disusupi untuk menembus jaringan perusahaan tanpa perlu membukaback door tambahan atau menyiapkan mekanisme persistensi yang dapat membocorkannya.
Dengan begitu, solusi Cisco VPN yang secara luas diadopsi untuk menyediakan transmisi data terenkripsi yang aman antara pengguna dan jaringan perusahaan, yang biasanya digunakan oleh karyawan untuk kerja jarak jauh, kini menjadi berbahaya.
Sophos pertama kali mencatat penyalahgunaan akun VPN oleh Akira pada bulan Mei, ketika para peneliti menyatakan bahwa geng ransomware menerobos jaringan menggunakan akses VPN menggunakan otentikasi Faktor Tunggal.
Namun, seorang yang dikenal sebagai 'Aura,' membagikan informasi lebih lanjut di Twitter tentang bagaimana mereka merespons beberapa insiden Akira yang dilakukan menggunakan akun Cisco VPN yang tidak dilindungi oleh autentikasi multi-faktor.
Aura menyatakan bahwa karena kurangnya login di Cisco ASA, masih belum jelas apakah Akira memaksakan kredensial akun VPN atau apakah mereka membelinya di pasar web gelap.
Laporan SentimentalOne menemukan bukti Akira menggunakan gateway Cisco VPN dalam kebocoran data yang diposting di halaman pemerasan grup dan mengamati ciri-ciri terkait Cisco VPN setidaknya dalam delapan kasus, yang menunjukkan bahwa ini adalah bagian dari strategi serangan berkelanjutan oleh geng ransomware.
Selain itu, analis SentinelOne WatchTower mengamati Akira menggunakan alat akses jarak jauh sumber terbuka RustDesk untuk menavigasi jaringan yang disusupi, menjadikan mereka kelompok ransomware pertama yang diketahui menyalahgunakan perangkat lunak tersebut.
Karena RustDesk adalah alat yang sah, kehadirannya kemungkinan besar tidak akan menimbulkan kekhawatiran, sehingga alat ini dapat menawarkan akses jarak jauh yang tersembunyi ke komputer yang dibobol.
Dikatakan, keuntungan lain yang didapat dari penggunaan RustDesk antara lain:
- Operasi lintas platform di Windows, macOS, dan Linux, mencakup seluruh rentang penargetan Akira.
- Kemudian Koneksi P2P dienkripsi sehingga kecil kemungkinannya untuk ditandai oleh alat pemantauan lalu lintas jaringan.
- Mendukung transfer file yang dapat memfasilitasi eksfiltrasi data, menyederhanakan toolkit Akira.
TTP lain yang diamati oleh SentinelOne dalam serangan terbaru Akira termasuk akses dan manipulasi database SQL, menonaktifkan firewall dan mengaktifkan RDP, menonaktifkan Perlindungan LSA, dan menonaktifkan Windows Defender.
Perubahan yang tidak terlalu halus ini dilakukan setelah penyerang menunjukkan kehadirannya di lingkungan dan siap untuk melanjutkan ke fase akhir serangannya.
Pada akhir Juni 2023, Avast merilis dekripsi gratis untuk ransomware Akira. Namun, pelaku ancaman telah menambal enkripsi mereka sejak saat itu, dan alat Avast hanya akan membantu korban versi yang lebih lama.
(Saliki Dwi Saputra )