Dengarkan pendapat dari CIO, CTO, dan eksekutif tingkat C dan senior lainnya tentang data dan strategi AI di Future of Work Summit 12 Januari 2022 ini. Belajarlah lagi

Untuk operator kejahatan dunia maya yang berspesialisasi dalam ransomware, bisnis sudah sangat baik sebelum pengungkapan kerentanan yang mudah dieksploitasi dalam perangkat lunak logging Log4j Apache yang banyak digunakan. Tetapi banyak indikator menunjukkan bahwa karena kerentanan Log4j, yang dikenal sebagai Log4Shell, peluang dalam bisnis ransomware akan semakin berlimpah. Untuk merugikan semua orang.

Para pembela, tentu saja, melakukan semua yang mereka bisa untuk mencegah hal ini terjadi. Namun menurut peneliti keamanan, tanda-tanda telah muncul yang menunjukkan bahwa serangan ransomware tidak dapat dihindari selama beberapa bulan mendatang berkat kelemahan di Log4j, yang diungkapkan lebih dari seminggu yang lalu.

Akses penjualan

Satu indikator yang meresahkan dalam beberapa hari terakhir adalah aktivitas “perantara akses awal”—penjahat dunia maya yang spesialisasinya masuk ke dalam jaringan dan kemudian memasang pintu belakang untuk memungkinkan masuk dan keluar tanpa terdeteksi. Kemudian, mereka menjual akses ini ke operator ransomware yang melakukan serangan sebenarnya—atau terkadang ke pakaian “ransomware-as-a-service”, menurut peneliti keamanan. Operator Ransomware-as-a-service menyewakan varian ransomware kepada penyerang lain, menghemat upaya mereka untuk membuat varian mereka sendiri.

Microsoft melaporkan minggu ini bahwa mereka telah mengamati aktivitas oleh broker akses yang dicurigai, terkait dengan afiliasi ransomware, yang kini telah mengeksploitasi kerentanan di Log4j. Ini menunjukkan bahwa “peningkatan ransomware yang dioperasikan manusia” akan mengikuti sistem Windows dan Linux, kata Microsoft.

Di raksasa keamanan siber Sophos, perusahaan telah melihat aktivitas yang melibatkan percobaan pemasangan pintu belakang Windows yang mengarah ke broker akses, kata Sean Gallagher, peneliti ancaman senior di Sophos Labs.

“Anda dapat berasumsi bahwa mereka kemungkinan besar mengakses broker, atau penjahat dunia maya lainnya yang mungkin menjual akses di samping, ”kata Gallagher kepada VentureBeat.

Aktivitas geng ransomware

Perkembangan terkait lainnya termasuk laporan dari perusahaan cyber AdvIntel bahwa geng ransomware utama, Conti, telah ditemukan mengeksploitasi kerentanan di Log4j untuk mendapatkan akses dan bergerak secara lateral pada server VMware vCenter yang rentan. Dalam sebuah pernyataan menanggapi laporan tersebut, VMware mengatakan bahwa “keamanan pelanggan kami adalah prioritas utama kami” dan mencatat bahwa mereka telah mengeluarkan penasihat keamanan yang diperbarui secara berkala, sementara pengguna juga dapat berlangganan milis pengumuman keamanannya.

“Layanan apa pun yang terhubung ke internet dan belum ditambal untuk kerentanan Log4j (CVE-2021-44228) rentan terhadap peretas, dan VMware sangat merekomendasikan penambalan segera untuk Log4j,” kata perusahaan itu dalam pernyataannya.

Mungkin masih berminggu-minggu atau berbulan-bulan sebelum serangan ransomware pertama yang berhasil dihasilkan dari kerentanan Log4Shell, catat Gallagher. Operator Ransomware seringkali secara perlahan mengekspor data perusahaan untuk jangka waktu tertentu sebelum meluncurkan ransomware yang mengenkripsi file perusahaan, kata Gallagher. Hal ini memungkinkan operator untuk kemudian memeras perusahaan dengan imbalan tidak merilis data mereka di web.

“Mungkin perlu beberapa saat sebelum kita melihat dampak nyata—dalam hal tentang apa yang orang dapatkan aksesnya dan apa dampak ekonomi dari akses itu,” kata Gallagher.

Ancaman yang berkembang

Masalah ransomware telah menjadi jauh lebih buruk tahun ini. Untuk tiga kuartal pertama tahun 2021, SonicWall melaporkan bahwa percobaan serangan ransomware melonjak 148% dari tahun ke tahun. CrowdStrike melaporkan bahwa rata-rata pembayaran ransomware naik 63% pada tahun 2021, mencapai $1,79 juta.

Enam puluh enam persen perusahaan telah mengalami serangan ransomware dalam 12 bulan sebelumnya, menurut laporan terbaru CrowdStrike, naik dari 56% dalam laporan perusahaan tahun 2020.

Serentetan insiden ransomware tingkat tinggi tahun ini termasuk serangan terhadap operator pipa bahan bakar Colonial Pipeline, daging perusahaan pemrosesan JBS Foods, dan perusahaan perangkat lunak manajemen TI Kaseya—semuanya memiliki dampak besar yang jauh melampaui tembok perusahaan mereka.

Pengungkapan kerentanan Log4j telah ditanggapi dengan respon luar biasa dari tim keamanan. Namun tetap saja, kemungkinan serangan ransomware yang melacak kembali ke kelemahannya tinggi, menurut para peneliti.

“Jika Anda adalah afiliasi atau operator ransomware saat ini, Anda tiba-tiba memiliki akses ke semua sistem baru ini,” kata Gallagher. “Anda memiliki lebih banyak pekerjaan di tangan Anda daripada yang Anda tahu apa yang harus dilakukan sekarang.”

Kerentanan yang meluas

Banyak aplikasi dan layanan yang ditulis dalam Java berpotensi rentan terhadap Log4Shell, yang dapat mengaktifkan eksekusi jarak jauh dari kode oleh pengguna yang tidak diautentikasi. Para peneliti di raksasa keamanan siber Check Point mengatakan mereka telah mengamati upaya eksploitasi kerentanan Log4j di lebih dari 44% jaringan perusahaan di seluruh dunia.

Sementara itu, penemuan oleh perusahaan siber Blumira menyarankan mungkin ada vektor serangan tambahan di kelemahan Log4j, di mana tidak hanya server yang rentan—tetapi juga individu yang menjelajahi web dari mesin dengan perangkat lunak Log4j yang belum ditambal di dalamnya—mungkin menjadi rentan. (“Pada titik ini, tidak ada bukti eksploitasi aktif,” kata Blumira.)

Upaya pengiriman ransomware telah dilakukan menggunakan kerentanan di Log4j. Bitdefender dan Microsoft minggu ini melaporkan percobaan serangan, menggunakan keluarga ransomware baru yang disebut Khonsari, yang mengeksploitasi kelemahan tersebut. Microsoft juga mengatakan bahwa kelompok Iran yang dikenal sebagai Fosfor, yang sebelumnya telah menyebarkan ransomware, telah terlihat “memperoleh dan membuat modifikasi eksploitasi Log4j.”

Pada saat tulisan ini, belum ada pengungkapan publik tentang pelanggaran ransomware yang berhasil yang mengeksploitasi kerentanan di Log4j.

“Kami belum tentu melihat penyebaran ransomware langsung, tetapi hanya masalah waktu,” kata Nick Biasini, kepala penjangkauan di Cisco Talos, dalam email minggu ini. “Ini adalah kerentanan dengan tingkat keparahan tinggi yang dapat ditemukan di banyak produk. Waktu yang diperlukan untuk semuanya ditambal sendiri akan memungkinkan berbagai kelompok ancaman untuk memanfaatkan ini dalam berbagai serangan, termasuk ransomware.”

Bagaimana dengan Kronos?

Sejauh ini, masih belum ada indikator apakah terakhir Serangan ransomware hari Sabtu terhadap Kronos Private Cloud memiliki koneksi ke kerentanan Log4j atau tidak. Serangan itu terus dirasakan secara luas, dengan gaji yang berpotensi tertunda bagi pekerja di banyak perusahaan yang menggunakan perangkat lunak untuk penggajian mereka.

Dalam pembaruan hari Jumat, perusahaan induk dari bisnis, Ultimate Kronos Group (UKG), mengatakan bahwa pertanyaan apakah Log4j merupakan faktor masih dalam penyelidikan—meskipun perusahaan mencatat bahwa ia dengan cepat mulai menambal kerentanan.

“Segera setelah kerentanan Log4j baru-baru ini dilaporkan ke publik, kami memulai proses patching cepat di seluruh UKG dan anak perusahaan kami, serta pemantauan aktif rantai pasokan perangkat lunak kami untuk setiap saran perangkat lunak pihak ketiga yang mungkin terpengaruh oleh ini kerentanan,” kata perusahaan itu. “Kami sedang menyelidiki apakah ada hubungan atau tidak antara insiden keamanan Kronos Private Cloud baru-baru ini dan kerentanan Log4j.”

Perusahaan tidak memiliki komentar lebih lanjut ketika dicapai oleh VentureBeat pada hari Jumat.

Secara hipotetis, bahkan jika serangan itu diaktifkan oleh kerentanan Log4j, “sangat mungkin” bahwa UKG mungkin tidak akan pernah dapat menunjukkannya dengan tepat, Gallagher dicatat.

“Ada banyak waktu ketika Anda tidak memiliki cara untuk mengetahui titik akses awal untuk operator ransomware,” katanya. “Pada saat mereka selesai, Anda mengaduk-aduk abu dengan penggaruk mencoba menemukan apa yang terjadi. Terkadang Anda dapat menemukan bagian yang memberi tahu Anda . Dan terkadang Anda tidak melakukannya. Sangat mungkin, jika itu Log4j, mereka tidak akan tahu.”

VentureBeat

    Misi VentureBeat adalah menjadi alun-alun kota digital bagi para pengambil keputusan teknis untuk memperoleh pengetahuan tentang teknologi dan transaksi transformatif. Situs kami memberikan informasi penting tentang teknologi data dan strategi untuk memandu Anda saat Anda memimpin organisasi Anda. Kami mengundang Anda untuk menjadi anggota komunitas kami, untuk mengakses:

    • informasi terkini tentang topik yang Anda minati
    • buletin kami

        pemikiran yang terjaga keamanannya- konten pemimpin dan akses diskon ke acara berharga kami, seperti Transform 2021: Belajarlah lagi

          fitur jaringan, dan banyak lagi

        Menjadi anggota

Baca selengkapnya