Teknogav.com - Server VMware ESXi merupakan sasaran ransomware global, ribuan server di seluruh dunia pun telah dienkripsi serangan tersebut. Serangan tersebut mengincar produk yang sudah tidak mendapatkan dukungan atau kedaluwarsa alias mengalami End of General Support (EOGS). Berdasarkan data Gartner, VMware mendominasi pasar perangkat lunak infrastruktur virtualisasi global dengan pangsa pasar sebesar 70%. Jadi tak heran jika banyak yang mengalami serangan tersebut di seluruh dunia. Di Indonesia, ada tujuh perusahaan yang mengalami dampak tersebut, yaitu dua pusat data, dua ISP, dua media dan 1 hotel.
Insiden serangan tersebut pun ditanggapi oleh Yudhi Kukuh, IT Security Consultant PT Prosperita Mitra Indonesia. “Banyaknya korban yang jatuh disebabkan pelaku menggunakan backdoor Phyton saat mengeksploitasi VMware. Upaya ini memungkinkan pelaku dapat menginjeksi berbagai macam platform sistem operasi saat melakukan serangan. Situasi ini semakin memudahkan penetrasi ke sistem pengguna,” ucap Yudhi.Baca juga: Ancaman Siber di Asia Tenggara Incar Perangkat Lunak Tanpa Patch
Sasaran pelaku serangan adaalh server VMware ESXi yang belum menggunakan patch kerentanan ekskusi kode jarak jauh berusia dua tahun. Saat ini sistem yang menjadi sasaran adalah hypervisor ESXi versi 6.x dan sebelum 6.7. Masalah limpahan tumpukan pada layanan OpenSLP yang tak diautentikasi yang diketahui sebagai CVE-2021-21974 menyebabkan kelemahan keamanan tersebut.
Penjahat siber dapat menyusup dan menginjeksi guest yang tak diproteksi melalui celah keamanan pada VMware ESXi. Upaya ini dilakukan menggunakan backdoor yang dibangun dengan phyton, sehingga memudahkan untuk menyusup ke berbagai platform sistem opersi. Penjahat siber pun dapat mengakses perangkat dari jarak jauh, dan menyusupkan ransomware ke berbagai platform dengan cepat. Akibatnya, saat ini sudah ada 3.200 server yang berhasil dienkripsi serangan tersebut.
Baca juga: Atasi Risiko Kerentanan yang Diungkap Trend Micro, SHAREit Rilis Patch
Ransomware ESXiArgs
Kerentanan VMware ESXi dieksploitasi untuk menyebarkan ransomware ESXiArgs yang kemudian akan mengenkripsi perangkat korban. File-file yang dienkripsi tersebut merupakan file dengan ekstensi .vmxf, .vmx, .vmdk, .vmsd, dan .nvram, lalu membuat file .args. Pembuatan file .args tersebut dilakukan untuk setiap dokumen terenkripsi dengan metadata. Hal ini dilakukan untuk memungkinkan dekripsi.
Sebagian gelombang besar serangan berkelanjutan yang menggunakan malware ESXiArgs ini telah berhasil mempengaruhi ribuan sasaran yang rentan di seluruh dunia. Secara keseluruhan, jurus ransomware sendiri belum menuai keberhasilan, walau sudah banyak perangkat yang dienkripsi. Data layanan pelacakan pembayaran tebusan ransomware hanya menunjukkan empat pembayaran uang tebusan dengan total nilai USD88 ribu.
Baca juga: Eksploitasi Kerentanan Microsoft Office Meningkat di Q2 2022
Tips Mencegah Eksploitasi VMware
Sejak awal diketahui keberadaan serangan ransomware global yang mengeksploitasi VMware, ESET telah dapat mendeteksi ancaman tersebut dan memblokirnya. Semua perangkat yang sudah dilengkapi dengan antivirus dapat terlindungi dari ancaman tersebut. Biasanya, perangkat yang berhasil dienkripsi adalah perangkat yang tidak dilengkapi dengan proteksi.
Nonaktifkan juga layanan Service Location Protocol (SLP) yang rentan pada hypervisor ESXi jika belum diperbarui. Langkah ini penting agar dapat memblokir serangan masuk. Kerentanan tersebut pun sudah diatasi VMware dengan menyediakan patch, jadi segera instal patch tersebut agar terhindar dari ancaman malware.