Peretas Minta Rp 1 Triliun untuk Pulihkan Data Kaseya
5 Juli 2021Tim keamanan siber di Amerika Serikat (AS) bekerja cepat untuk membendung dampak dari satu serangan ransomware global terbesar yang pernah tercatat hingga saat ini. Gang kriminal di dunia maya kali ini meminta uang tebusan kepada Kaseya, sebuah perusahaan perangkat lunak di Miami, Florida, yang memiliki ribuan pelanggan.
Awalnya REvil, gang kriminal tersebut, menuntut uang tebusan hingga 5 juta dolar AS (Rp 72,3 miliar) kata para peneliti. Namun pada Minggu (04/07) malam waktu setempat, peretas yang disebut-sebut terafiliasi dengan Rusia ini diketahui menuntut uang tebusan sebesar $70 juta atau sekitar Rp 1 triliun yang dibayarkan dalam bentuk mata uang kripto untuk memulihkan data yang mereka sandera, demikian menurut sebuah posting di situs dark web.
Tuntutan itu diposting di sebuah blog yang biasanya digunakan oleh REvil yang termasuk salah satu di antara pemeras paling produktif di dunia kriminalitas di internet.
Allan Liska analis dari perusahaan keamanan siber, Recorded Future, mengatakan pesan yang diposting itu "hampir pasti" datang dari kepemimpinan inti REvil.
Fred Voccola, CEO Kaseya, memperkirakan jumlah kliennya yang menjadi korban peretasan bisa mencapai ribuan, kebanyakan dari mereka adalah usaha kecil seperti "praktik dokter gigi, firma arsitektur, praktik operasi plastik, perpustakaan, hal-hal seperti itu," ujar Fred Voccola. Perusahaannya mengotomatiskan instalasi pembaruan perangkat lunak dan keamanan dan mengelola cadangan dan tugas-tugas penting lainnya bagi klien mereka.
Sebelumnya, FBI mengatakan dalam sebuah pernyataan bahwa mereka tengah menyelidiki serangan itu. Namun besaran skala serangan "mungkin membuat kami tidak dapat menanggapi setiap korban secara individual," ungkap FBI.
Deputi Penasihat Keamanan Nasional, Anne Neuberger, mengeluarkan pernyataan yang mengatakan Presiden AS Joe Biden telah "mengarahkan sumber daya penuh untuk menyelidiki insiden ini" dan mendesak semua orang yang meyakini bahwa mereka telah jadi korban untuk menghubungi FBI.
Perusahaan dari berbagai negara terkena dampak
Perusahaan keamanan siber, ESET, mengidentifikasi korban peretasan kali ini setidaknya berasal dari 17 negara, termasuk Inggris Raya, Afrika Selatan, Kanada, Argentina, Meksiko, Indonesia, Selandia Baru, dan Kenya.
Sejumlah besar bisnis dan lembaga publik yang dikompromikan oleh serangan tersebut bergerak di bidang layanan keuangan, perjalanan dan rekreasi dan sektor publik. Penjahat ransomware menyusup ke jaringan dan menabur malware yang melumpuhkan sistem dengan mengacak semua data. Korban mendapatkan akan kunci untuk memulihkan data saat mereka membayar.
Jaringan pasar swalayan asal Swedia, Coop, mengatakan sebagian besar dari 800 tokonya akan karena lumpuhnya pemasok perangkat lunak kasir mereka. Jaringan apotek Swedia, jaringan pompa bensin, kereta api negara bagian dan penyiar publik SVT juga terkena serangan itu.
Termasuk di antara korban yang dilaporkan adalah dua perusahaan besar layanan teknologi informasi asal Belanda yakni VelzArt dan Hoppenbrouwer Techniek. Namun sebagian besar korban ransomware tidak secara terbuka melaporkan serangan atau mengungkapkan jika mereka telah membayar uang tebusan.
Kaseya mengatakan telah mengirim alat pendeteksi ke hampir 900 pelanggan pada Sabtu (03/07) malam.
"Serangan ini jauh lebih besar dari yang mereka perkirakan dan mendapat banyak perhatian. REvil berkepentingan untuk segera mengakhirinya," kata analis siber Allan Liska. "Ini adalah mimpi buruk untuk dikelola."
Kaseya telah diperingatkan sebelumnya
Peneliti Belanda mengatakan mereka memperingatkan Kaseya tentang potensi serangan ini dan mengatakan para penjahat menggunakan apa yang disebut sebagai zero day, yakni istilah dalam industri tersebut untuk adanya "lubang keamanan" yang tidak diketahui dalam perangkat lunak.
Fred Voccola, CEO Kaseya, tidak mengonfirmasi atau menyebutkan rincian serangan tersebut, namun ia mengatakan bahwa itu bukanlah phishing. "Tingkat kecanggihan di sini luar biasa," ujar Voccola.
Voccola juga yakin bahwa penyelidikan lebih lanjut akan menunjukkan bahwa para peretas tidak hanya meretas kode Kaseya, tetapi juga mengeksploitasi kerentanan dalam perangkat lunak pihak ketiga.
Ini bukan serangan ransomware pertama yang memanfaatkan penyedia layanan pengelola. Pada tahun 2019, para penjahat merusak jaringan di 22 kota di Texas melalui satu jaringan. Pada tahun yang sama, 400 praktik dokter gigi AS lumpuh dalam serangan berbeda.
Salah satu peneliti kerentanan keamanan siber asal Belanda, Victor Gevers, mengatakan timnya khawatir tentang produk seperti VSA yang ditawarkan Kaseya. "Semakin banyaknya produk yang digunakan untuk menjaga keamanan jaringan menunjukkan kelemahan struktural," tulisnya dalam sebuah blog pada hari Minggu.
Siapa REvil?
Aktif sejak April 2019, REvil menyediakan 'jasa' yang mereka sebut sebagai ransomware-as-a-service. Ini berarti mereka mengembangkan perangkat lunak yang melumpuhkan jaringan dan menyewakannya kepada pihak yang yang disebut afiliasi untuk kemudian menginfeksi target dan mendapatkan bagian terbesar dari tebusan yang mereka minta.
Pejabat AS mengatakan geng ransomware paling kuat ini berbasis di Rusia dan negara-negara sekutunya. Mereka beroperasi dengan mendapatkan toleransi Kremlin dan terkadang berkolusi dengan dinas keamanan Rusia.
Kantor berita Reuters menghubungi kelompok ini untuk meminta komentar namun tidak ada tanggapan sejauh ini.
Serangan ransomware yang dieksekusi REvil pada hari Jumat (02/07), adalah salah satu yang paling dramatis dalam serangkaian peretasan. Biasanya para peretas yang meminta uang tebusan cenderung lebih menyukai target tunggal bernilai tinggi seperti yang terjadi pada sebuah perusahaan pengepakan daging asal Brasil, JBS. Bulan lalu, produksi JBS sempat terganggu ketika REvil menyerang sistemnya. JBS mengatakan akhirnya membayar peretas $11 juta.
ae/hp (Reuters, AP)