SonicWall | Foto: arctecinc.com
Cyberthreat.id – Bandit ransomware HelloKitty ditengarai mengeksploitasi kerentanan yang sebelum telah dikeluarkan tambalan (patch) pada perangkat keras SonicWall Secure Mobile Access (SMA) 100 dan Secure Remote Access (SRA).
Peringatan itu dikeluarkan oleh Badan Keamanan Siber dan Keamanan Infrastruktur (CISA) Departemen Keamanan Dalam Negeri AS setelah SonicWall juga mengeluarkan notifikasi keamanan mendesak. SonicWall juga mengirim email peringatan serupa ke pelanggan tentang risiko serangan ransomware yang ditargetkan.
CISA mendesak pengguna dan administrator TI segera memutakhirkan perangkat ke firmware terbaru atau memutuskan semua peralatan yang habis masa pakai (firmeware)-nya, tulis BleepingComputer, diakses Senin (19 Juli 2021).
“Eksploitasi ini menargetkan kerentanan yang lama diketahui dan ditambal di versi firmware terbaru yang dirilis awal 2021,” kata SonicWall.
CISA dan SonicWall memang tak memberitahu nama ransomware yang menyerang, tapi perusahaan keamanan siber, CrowdStrike mengonfirmasi bahwa serangan yang sedang berlangsung terkait dengan geng HelloKitty.
Selama ini HelloKitty, dikenal sejak November 2020, berupa ransomware yang dioperasikan manusia. Jejak bandit ini seperti serangan ke sistem pengembang game populer, CD Projekt Red dan mengklaim mencuri kode sumber Cyberpunk 2077, Witcher 3, Gwent, dan game lainnya.
Peneliti CrowdStrike, Heather Smith, mengatakan, kerentanan yang ditargetkan oleh HelloKitty dilacak sebagai CVE-2019-7481. Sebelumya, Smith dan rekan peneliti Hanno Heinrichs pada Juni lalu juga mengindentifikasi peretas “eCrime” yang memanfaatkan kerentanan lawas VPN SonicWall (kerentanan ini dilacak sebagai CVE-2019-7481) yang memengaruhi perangkat Secure Remot Access (SRA) 4600.
Sementara, laporan perusahaan keamanan siber, Coveware, menyebutkan, peretas ransomware Babuk juga menargetkan VPN SonicWall yang kemungkinan mengeksploitasi kerentanan berlabel tasi CVE-2020-5135. Kerentanan ini telah ditambal pada Oktober 2020, tetapi masih "disalahgunakan secara besar-besaran oleh kelompok ransomware hari ini," menurut Coveware.
Bandit siber lain
Bandit siber “UNC2447” yang dilacak oleh perusahaan keamanan siber Mandiant juga telah mengeksploitasi kerentanan zero-day (CVE-2021-20016) di perangkat VPN SonicWall SMA 100 Series untuk menyebarkan jenis ransomware baru yang dikenal sebagai FiveHands (varian DeathRansom seperti HelloKitty).
Serangan mereka menargetkan beberapa target Amerika Utara dan Eropa sebelum SonicWall merilis patch pada akhir Februari 2021.
Kerentanan yang sama juga disalahgunakan pada Januari dalam serangan yang menargetkan sistem internal SonicWall dan kemudian dieksploitasi tanpa pandang bulu di alam liar.
Pada Maret lalu, analis ancaman Mandiant menemukan tiga kerentanan zero-day lainnya di produk SonicWall lokal dan host Email Security (ES).
Tiga bug ini juga secara aktif dieksploitasi oleh geng UNC2682 ke sistem backdoor menggunakan web shell “BEHINDER” yang memungkinkan mereka untuk bergerak secara lateral melalui jaringan korban dan mengakses email dan file.
"Musuh memanfaatkan kerentanan ini, dengan pengetahuan mendalam tentang aplikasi SonicWall, untuk menginstal pintu belakang, mengakses file dan email, dan bergerak secara lateral ke jaringan organisasi korban," kata peneliti Mandiant saat itu.
Sumber : https://cyberthreat.id/read/12106/Bandit-Ransomware-HelloKitty-Aktif-Targetkan-Perangkat-SonicWall-Segera-Perbarui-Firmware