Peretas 'Path' menembus sistem untuk menyerang enkripsi data

Memperluas "mimpi buruk" malware enkripsi data

Serangan siber terhadap sistem VNDIRECT, sebuah perusahaan yang berada di 3 besar pasar saham Vietnam, yang terjadi pada pagi hari tanggal 24 Maret kini pada dasarnya telah teratasi. Data telah didekodekan dan sistem pencarian Akun Saya telah kembali beroperasi.

VNDIRECT melaporkan bahwa insiden pada 24 Maret dilakukan oleh kelompok penyerang profesional, yang menyebabkan semua data perusahaan terenkripsi. Serangan malware enkripsi data - ransomware - selalu menjadi mimpi buruk bagi bisnis dan organisasi di seluruh dunia dalam beberapa tahun terakhir, karena konsekuensi serius yang dapat ditimbulkannya. Para ahli juga menyamakan ransomware dengan "mimpi buruk" dan "hantu" di dunia maya.

Sesuai peta jalan yang diumumkan VNDIRECT kepada pelanggan dan mitra, unit operasional akan terus membuka kembali sistem, produk, dan utilitas lainnya secara bertahap. Unit ini berencana untuk memeriksa perkembangannya di bursa saham pada 28 Maret.

Namun, dari analisis para pakar keamanan informasi, terlihat bahwa kerja keras tim teknologi VNDIRECT dan para ahli dalam memindai kerentanan dan memperbaiki masalah secara menyeluruh masih panjang. Ransomware bukanlah bentuk serangan siber yang baru, tetapi sangat rumit, membutuhkan banyak waktu untuk membersihkan data, memulihkan sistem sepenuhnya, dan mengembalikan operasi normal.

"Untuk sepenuhnya memperbaiki serangan ransomware, terkadang unit operasi harus mengubah arsitektur sistem, terutama sistem cadangan. Oleh karena itu, dengan insiden yang dialami VNDIRECT, kami memperkirakan pemulihan sistem akan memakan waktu lebih lama, bahkan berbulan-bulan," ujar Direktur Teknis NCS, Vu Ngoc Son.

Bapak Nguyen Minh Hai, Direktur Teknis Fortinet Vietnam, mengatakan bahwa tergantung pada tingkat keparahan serangan, kemampuan untuk mempersiapkan terlebih dahulu, dan efektivitas rencana respons, waktu yang diperlukan untuk memulihkan sistem setelah serangan ransomware dapat sangat bervariasi, dari beberapa jam hingga beberapa minggu untuk pemulihan total, terutama dalam kasus yang membutuhkan pemulihan data dalam jumlah besar.

“Bagian dari proses pemulihan ini mencakup memastikan bahwa malware enkripsi data telah dihapus sepenuhnya dari jaringan dan tidak ada pintu belakang yang tertinggal yang dapat memungkinkan penyerang mendapatkan kembali akses,” kata Nguyen Minh Hai.

Para ahli juga berkomentar bahwa, selain menjadi "peringatan" bagi unit-unit yang mengelola dan mengoperasikan sistem informasi penting di Vietnam, serangan siber terhadap VNDIRECT juga sekali lagi menunjukkan tingkat bahaya ransomware.

Lebih dari 6 tahun yang lalu, WannaCry dan varian malware enkripsi datanya menyebabkan banyak bisnis dan organisasi "berjuang" ketika mereka dengan cepat menyebar ke lebih dari 300.000 komputer di hampir 100 negara dan wilayah di seluruh dunia , termasuk Vietnam.

Dalam beberapa tahun terakhir, bisnis selalu khawatir tentang serangan ransomware. Tahun lalu, dunia maya Vietnam mencatat banyak serangan ransomware dengan konsekuensi serius; di mana, terdapat kasus di mana peretas tidak hanya mengenkripsi data untuk meminta tebusan, tetapi juga menjual data tersebut kepada pihak ketiga untuk memaksimalkan jumlah uang yang dikumpulkan. Menurut statistik NCS, pada tahun 2023, tercatat hingga 83.000 komputer dan server di Vietnam diserang oleh ransomware.

‘Jalur’ umum untuk menembus sistem

Tim teknologi VNDIRECT bekerja sama dengan para pakar keamanan informasi untuk menerapkan solusi guna memulihkan sistem sepenuhnya sekaligus memastikan keamanan sistem. Penyebab insiden dan 'jalur' yang digunakan peretas untuk menembus sistem masih dalam penyelidikan.

Menurut Bapak Ngo Tuan Anh, CEO SCS Smart Network Security Company, untuk menyerang enkripsi data, peretas seringkali memilih untuk menembus server yang berisi data penting dan mengenkripsinya. Ada dua cara yang sering digunakan peretas untuk menembus sistem unit, yaitu secara langsung melalui kerentanan dan kelemahan sistem server; atau memilih untuk "berkeliling" melalui komputer administrator dan dari sana mengambil alih kendali sistem.

Berbicara kepada VietNamNet , Tn. Vu The Hai, Kepala Departemen Pemantauan Keamanan Informasi, Perusahaan VSEC juga menunjukkan beberapa kemungkinan bagi peretas untuk menyusup dan memasang malware ke dalam sistem: Memanfaatkan kerentanan yang ada pada sistem untuk mengambil kendali, memasang malware; mengirim email dengan file terlampir yang berisi malware untuk mengelabui pengguna di sistem terbuka, mengaktifkan malware; masuk ke sistem dari kata sandi yang bocor atau kata sandi pengguna sistem yang lemah.

Pakar Vu Ngoc Son menganalisis bahwa dengan serangan ransomware, peretas sering memasuki sistem melalui sejumlah cara seperti pemeriksaan kata sandi, mengeksploitasi kerentanan sistem, terutama kerentanan zero-day (kerentanan yang belum ditambal oleh produsen - PV).

Perusahaan keuangan biasanya harus memenuhi standar regulasi, sehingga kemungkinan penemuan kata sandi hampir mustahil. Kemungkinan yang paling mungkin adalah serangan melalui kerentanan zero-day. Akibatnya, peretas mengirimkan segmen data penyebab kesalahan dari jarak jauh yang menyebabkan perangkat lunak berada dalam kondisi tak terkendali saat diproses.

Selanjutnya, peretas menjalankan eksekusi kode jarak jauh dan mengambil alih kendali server layanan. Dari server ini, peretas terus mengumpulkan informasi, menggunakan akun administratif yang diperoleh untuk menyerang server lain di jaringan, dan akhirnya menjalankan alat enkripsi data untuk pemerasan," analisis pakar Vu Ngoc Son.

Pelajaran 2 - Para ahli menunjukkan cara menanggapi serangan ransomware

Tanggal 15 April merupakan batas waktu bagi perusahaan sekuritas untuk menyelesaikan peninjauan dan penilaian keamanan informasi serta menerapkan langkah-langkah untuk mengatasi risiko dan kelemahan sistem, termasuk sistem yang melayani transaksi sekuritas daring.