Ribuan VMware ESXi Menjadi Korban Ransomware Args, Awas Data Bocor!

Nextren.com - Salah satu mimpi buruk yang paling ditakuti administrator adalah menjadi korban ransomware. Kali ini, mimpi buruk itu menghampiri administrator pengguna server virtualisasi VMWare ESXi.

ESXi adalah server virtualisasi yang dapat digunakan untuk menjalankan dan mengelola berbagai sistem operasi pada satu server baik OS Windows server/ workstation, Mac OS dan Linux VM termasuk data yang dikelola server tersebut.

Masalahnya server ESXi ini memiliki kelemahan (celah keamanan) yang jika berhasil di eksploitasi akan memungkinkan akses sistem ESXi tersebut secara otomatis tanpa perlu mengetahui kredensial server tersebut.

Dan akibatnya adalah semua sistem OS yang di virtualisasi di ESXi termasuk data yang terkandung di dalamnya akan bisa diakses.

Dalam kasus enkripsi ransomware ARGS ini, file virtualisasi akan dienkripsi dan diganti menjadi ekstensi .args. Setelah sukses mengenkripsi, ransomware ini akan menampilkan pesan permintaan tebusan sebagai berikut :

How to Restore Your FilesSecurity Alert!!!We hacked your companyAll files have been stolen and encrypted by usIf you want to restore files or avoid file leaks, please send 2.0*** bitcoins to the wallet 1PAFdD9fwqRWG4VcCGuY27VT**********If money is received, encryption key will be available on TOX_ID: D6C324719AD0AA50A54E4F8DED8E8220D8698DD67B218B5429466C40E7F72657C015D86C7E4AAttention!!!Send money within 3 days, otherwise we will expose some data and raise the priceDon't try to decrypt important files, it may damage your filesDon't trust who can decrypt, they are liars, no one can decrypt without key fileIf you don't send bitcoins, we will notify your customers of the data breach by email and text messageAnd sell your data to your opponents or criminals, data may be made releasenoteSSH is turned onFirewall is disabled

Sampai saat artikel ini tulis, ribuan pengguna VMWare ESXi di seluruh dunia menjadi korban ransomware ARGS. dengan korban tertinggi dari Perancis, Amerika Serikat, Jerman, Canada dan Inggris. (lihat gambar 1)

Alfons

Negara korban ransomware args

Menurut pantauan Vaksincom, setidaknya ada 3 pengguna VMWare ESXi di Indonesia yang turut menjadi korban ransomware args ini.

• i**s budget bandara dengan IP 175.176.166.***
• PT. Indonesia ***net Plus dengan IP 124.158.167.***
• PT. A***hia Thuba Jaya dengan IP 103.148.192.***

Pengguna VMWare ESXi yang rentan menjadi target dari serangan ini adalah versi 7.0, 6.7 dan 6.5. Adapun celah keamanan yang dieksploitasi oleh ransomware ini adalah CVE-2021-21974.Sebagai catatan, yang diserang oleh ransomware ini adalah sistem ESXi sehingga apapun sistem operasi yang di virtualisasi oleh sistem ESXi ini akan di enkripsi apakah itu OS Windows, Mac OS maupun Linux. Dan karena berfungsi sebagai server virtualisasi, maka satu server ESXi ini biasanya lebih mengelola kombinasi dari berbagai OS seperti Windows server, Windows workstation, Mac OS dan Linux.Jika server ESXi ini berhasil di eksploitasi, maka selain OS yang akan dienkripsi. Semua data yang terkandung dalam OS tersebut juga akan ikut terenkripsi. Karena itu harap menjadi perhatian pada administrator untuk disiplin melakukan backup data penting secara teratur. Jika anda mengelola server ESXi dan menjadi korban enkripsi ransomware ini, hubungi vendor antivirus atau sekuriti anda untuk membantu proses recovery dan proses pencegahan eksploitasi dan aksi ransomware. Gunakan antivirus yang handal dan solusi yang dapat melakukan restore data sekalipun sudah di enkripsi oleh seperti Vaksin Protect.

Untuk menghindari serangan ransomware ARGS ini, pengguna server ESXi perlu melakukan update versi server ESXi yang digunakan sebagai berikut :

• ESXi versi 7.0 update minimal ke versi ESXi70U1c-17325551
• ESXi versi 6.7 update minimal ke versi ESXi670-202102401-SG
• ESXi versi 6.5 update minimal ke versi ESXi650-202102101-SG

1. Login pada ESXi host.
2. Hentikan SLP service dengan perintah :/etc/init.d/slpd stop
3. Jalankan perintah untuk menonaktifkan SLP service :esxcli network firewall ruleset set -r CIMSLP -e 0
4. Pastikan SLP service tetap non aktif sekalipun sistem di reboot dengan perintah :chkconfig slpd off

(Alfons Tanujaya, Pakar Keamanan Siber Vaksincom)