Ransomware Args saat ini menyerang ribuan perusahaan di seluruh dunia. Serangan terbilang masif karena Args memanfaatkan lubang keamanan di software VMware ESXi.
VMware ESXi sendiri adalah software hypervisor yang mengelola virtualisasi multiple sistem operasi di dalam satu server fisik. Mengingat VMware adalah pemimpin pasar di dunia virtualisasi, ESXi pun digunakan banyak perusahaan di seluruh dunia. Dan ketika ESXi terkena ransomware, seluruh sistem operasi di bawahnya pun menjadi tidak bisa diakses.
Pendek kata, serangan ransomware ini memiliki dampak yang serius.
Ransomware ini sendiri menyerang ESXi versi 7.0, 6.7 dan 6.5. Lubang keamanan yang dieksploitasi hacker ini adalah CVE-2021-21974. Sebenarnya, lubang keamanan ini sudah diketahui sejak tahun 2021, dan sudah ada patch untuk mengatasi lubang keamanan ini. Namun sepertinya masih banyak perusahaan yang belum melakukan update, sehingga ransomware yang dinamakan Args ini berhasil menerobos sistem banyak perusahaan di seluruh dunia.
Menurut Censys Search, setidaknya ada 3200 server di seluruh dunia yang terkena serangan ransomware ini. Korban terbesar berasal dari Perancis, disusul AS, Jerman, Kanada, dan Inggris. Tim Vaksincom menemukan, setidaknya tiga perusahaan Indonesia juga terkena serangan ini.
Ciri-ciri serangan ransomware Args ini adalah munculnya pesan sebagai berikut:
<<<awal pesan ransomware>>>
How to Restore Your Files
Security Alert!!!
We hacked your company
All files have been stolen and encrypted by us
If you want to restore files or avoid file leaks, please send 2.0*** bitcoins to the wallet 1PAFdD9fwqRWG4VcCGuY27VT**********
If money is received, encryption key will be available on TOX_ID:
D6C324719AD0AA50A54E4F8DED8E8220D8698DD67B218B5429466C40E7F72657C015D86C7E4A
Attention!!!
Send money within 3 days, otherwise we will expose some data and raise the price
Don't try to decrypt important files, it may damage your files
Don't trust who can decrypt, they are liars, no one can decrypt without key file
If you don't send bitcoins, we will notify your customers of the data breach by email and text message
And sell your data to your opponents or criminals, data may be made release
note
SSH is turned on
Firewall is disabled
<<<akhir pesan ransomware>>>
Menurut TechCrunch, hacker menuntut uang tebusan 2.06 bitcoin (atau sekitar Rp.712 juta) jika perusahaan ingin terbebas dari ransomware ini. Jika tidak, hacker mengancam akan melakukan triple extortion. Selain menyandera data, hacker mengancam akan menyebarkan data tersebut dan juga memeras mitra bisnis dari korban pertama menggunakan data yang hacker curi.
Semua ancaman tersebut tentu saja bertujuan membuat korban bersedia membayar uang tebusan yang diinginkan.
Cara Terhindar dari Ransomware Args
Pakar security dari Vaksincom, Alfons Tanujaya, menyebut insiden ransomware Args ini menjadi pelajaran penting bagi administrator IT untuk rajin melakukan update. “Karena patch ini sudah ada sejak satu tahun lalu,” ungkap Alfons. Karena itu, langkah awal yang harus dilakukan untuk terhindar dari Args ini adalah melakukan update ke versi terbaru.
Selain itu, Alfons juga menyarankan untuk menonaktifkan SLP (Service Location Protocol) jika tidak digunakan. “Karena layanan ini yang memungkinkan terjadinya eksploitasi,” tambah Alfons. Cara untuk menonaktifkan SLP adalah sebagai berikut:
- Login pada ESXi host.
- Hentikan SLP service dengan perintah: /etc/init.d/slpd stop
- Jalankan perintah untuk menonaktifkan SLP service: esxcli network firewall ruleset set -r CIMSLP -e 0
- Pastikan SLP service tetap non aktif sekalipun sistem di reboot dengan perintah: chkconfig slpd off