Follow Us

facebookyoutube_channeltwitter

Ribuan VMware ESXi Menjadi Korban Ransomware Args, Awas Data Bocor!

Wahyu Subyanto - Selasa, 07 Februari 2023 | 18:00
Ilustrasi serangan ransomware
169435664

Ilustrasi serangan ransomware

Nextren.com - Salah satu mimpi buruk yang paling ditakuti administrator adalah menjadi korban ransomware. Kali ini, mimpi buruk itu menghampiri administrator pengguna server virtualisasi VMWare ESXi.

ESXi adalah server virtualisasi yang dapat digunakan untuk menjalankan dan mengelola berbagai sistem operasi pada satu server baik OS Windows server/ workstation, Mac OS dan Linux VM termasuk data yang dikelola server tersebut.

Masalahnya server ESXi ini memiliki kelemahan (celah keamanan) yang jika berhasil di eksploitasi akan memungkinkan akses sistem ESXi tersebut secara otomatis tanpa perlu mengetahui kredensial server tersebut.

Dan akibatnya adalah semua sistem OS yang di virtualisasi di ESXi termasuk data yang terkandung di dalamnya akan bisa diakses.

Dalam kasus enkripsi ransomware ARGS ini, file virtualisasi akan dienkripsi dan diganti menjadi ekstensi .args. Setelah sukses mengenkripsi, ransomware ini akan menampilkan pesan permintaan tebusan sebagai berikut :

How to Restore Your FilesSecurity Alert!!!We hacked your companyAll files have been stolen and encrypted by usIf you want to restore files or avoid file leaks, please send 2.0*** bitcoins to the wallet 1PAFdD9fwqRWG4VcCGuY27VT**********If money is received, encryption key will be available on TOX_ID: D6C324719AD0AA50A54E4F8DED8E8220D8698DD67B218B5429466C40E7F72657C015D86C7E4AAttention!!!Send money within 3 days, otherwise we will expose some data and raise the priceDon't try to decrypt important files, it may damage your filesDon't trust who can decrypt, they are liars, no one can decrypt without key fileIf you don't send bitcoins, we will notify your customers of the data breach by email and text messageAnd sell your data to your opponents or criminals, data may be made releasenoteSSH is turned onFirewall is disabled

Sampai saat artikel ini tulis, ribuan pengguna VMWare ESXi di seluruh dunia menjadi korban ransomware ARGS. dengan korban tertinggi dari Perancis, Amerika Serikat, Jerman, Canada dan Inggris. (lihat gambar 1)

Negara korban ransomware args
Alfons

Negara korban ransomware args

Menurut pantauan Vaksincom, setidaknya ada 3 pengguna VMWare ESXi di Indonesia yang turut menjadi korban ransomware args ini.

  • i**s budget bandara dengan IP 175.176.166.***
  • PT. Indonesia ***net Plus dengan IP 124.158.167.***
  • PT. A***hia Thuba Jaya dengan IP 103.148.192.***
Catatan:IP di atas adalah milik ISP dan mungkin di kelola oleh institusi lain dan hal ini tidak menunjukkan bahwa ISP pemilik IP tersebut yang bertanggung jawab dalam pengelolaan server IP tersebut.

Pengguna VMWare ESXi yang rentan menjadi target dari serangan ini adalah versi 7.0, 6.7 dan 6.5. Adapun celah keamanan yang dieksploitasi oleh ransomware ini adalah CVE-2021-21974.Sebagai catatan, yang diserang oleh ransomware ini adalah sistem ESXi sehingga apapun sistem operasi yang di virtualisasi oleh sistem ESXi ini akan di enkripsi apakah itu OS Windows, Mac OS maupun Linux. Dan karena berfungsi sebagai server virtualisasi, maka satu server ESXi ini biasanya lebih mengelola kombinasi dari berbagai OS seperti Windows server, Windows workstation, Mac OS dan Linux.Jika server ESXi ini berhasil di eksploitasi, maka selain OS yang akan dienkripsi. Semua data yang terkandung dalam OS tersebut juga akan ikut terenkripsi. Karena itu harap menjadi perhatian pada administrator untuk disiplin melakukan backup data penting secara teratur. Jika anda mengelola server ESXi dan menjadi korban enkripsi ransomware ini, hubungi vendor antivirus atau sekuriti anda untuk membantu proses recovery dan proses pencegahan eksploitasi dan aksi ransomware. Gunakan antivirus yang handal dan solusi yang dapat melakukan restore data sekalipun sudah di enkripsi oleh seperti Vaksin Protect.

Untuk menghindari serangan ransomware ARGS ini, pengguna server ESXi perlu melakukan update versi server ESXi yang digunakan sebagai berikut :

  • ESXi versi 7.0 update minimal ke versi ESXi70U1c-17325551
  • ESXi versi 6.7 update minimal ke versi ESXi670-202102401-SG
  • ESXi versi 6.5 update minimal ke versi ESXi650-202102101-SG
Selain itu, disarankan untuk menonaktifkan SLP (Service Location Protocol) services jika tidak diperlukan karena layanan ini yang memungkinkan sarana eksploitasi ini dengan langkah sebagai berikut :

  1. Login pada ESXi host.
  2. Hentikan SLP service dengan perintah :/etc/init.d/slpd stop
  3. Jalankan perintah untuk menonaktifkan SLP service :esxcli network firewall ruleset set -r CIMSLP -e 0
  4. Pastikan SLP service tetap non aktif sekalipun sistem di reboot dengan perintah :chkconfig slpd off
Jika Anda ingin tahu lebih jauh tentang hal ini, informasi lebih detail dapat diakses di sini.

(Alfons Tanujaya, Pakar Keamanan Siber Vaksincom)

Editor : Nextren

Baca Lainnya





PROMOTED CONTENT

Latest

x