CISA dan FBI Berbagi Panduan untuk Korban Serangan Ransomware Kaseya

Internet Sehat : CISA dan Biro Investigasi Federal (FBI) telah berbagi panduan untuk penyedia layanan terkelola (managed service providers, MSP) dan pelanggan mereka yang terkena dampak serangan ransomware rantai pasokan REvil yang menghantam sistem platform MSP berbasis cloud Kaseya.

Kedua agen federal menyarankan MSP yang terkena serangan Friday REvil untuk memeriksa lebih lanjut sistem mereka untuk tanda-tanda kompromi menggunakan alat deteksi yang disediakan oleh Kaseya selama akhir pekan dan mengaktifkan otentikasi multi-faktor (MFA) pada akun sebanyak mungkin.

Selain itu, MSP juga harus menerapkan daftar yang diizinkan untuk membatasi akses ke aset internal mereka dan melindungi antarmuka admin alat pemantauan jarak jauh mereka menggunakan firewall atau VPN.

CISA dan FBI menyarankan pelanggan MSP yang terkena dampak untuk memastikan cadangan selalu diperbarui dan disimpan di lokasi yang mudah diambil yang terpisah dari jaringan organisasi. Berikutnya kembali ke proses manajemen patch manual yang mengikuti panduan perbaikan vendor, termasuk pemasangan patch baru segera setelah tersedia. Selain itu, menerapkan MFA dan prinsip hak istimewa paling rendah pada akun admin sumber daya jaringan utama.

Kedua agen federal terlibat dalam proses penanganan insiden di seluruh dunia untuk pelanggan Kaseya yang terkena dampak dan mendesak semua MSP yang terkena dampak dan pelanggan mereka untuk mengikuti panduan yang dibagikan di atas.

Dewan Keamanan Nasional Gedung Putih juga mendesak para korban serangan rantai pasokan skala besar ini untuk melaporkan insiden tersebut ke Pusat Pengaduan Kejahatan Internet. Korban juga disarankan untuk mengikuti panduan yang dikeluarkan oleh Kaseya, termasuk mematikan server VSA mereka, serta menerapkan teknik mitigasi CISA dan FBI.

Serangan ransomware REvil besar-besaran menghantam beberapa penyedia layanan terkelola yang menggunakan platform MSP berbasis cloud Kaseya untuk manajemen patch dan pemantauan klien untuk pelanggan mereka. Secara keseluruhan, lebih dari 1.000 pelanggan dari 20 MSP memiliki sistem yang dienkripsi dalam serangan yang direncanakan dengan hati-hati untuk diluncurkan pada Jumat tengah hari karena bertepatan dengan akhir pekan 4 Juli AS, ketika biasanya bagi staf untuk memiliki hari kerja yang lebih pendek.

Untuk menembus server VSA lokal Kaseya, afiliasi REvil di balik serangan tersebut menggunakan kerentanan zero-day (CVE-2021-30116) — Kaseya VSA adalah perangkat lunak RMM (Remote Monitoring and Management).

Kelompok ransomware REvil mengklaim telah mengenkripsi lebih dari 1.000.000 sistem dan pertama-tama menuntut 70 juta dollar AS untuk decryptor universal untuk mendekripsi semua korban serangan Kaseya. Namun, hari ini, operatornya dengan cepat menurunkan harga menjadi 50 juta dollar AS. Tebusan tersebut adalah permintaan tebusan tertinggi hingga saat ini, rekor sebelumnya juga milik REvil, meminta 50 juta dollar AS setelah menyerang pembuat elektronik dan komputer Taiwan Acer.

Sumber : Bleeping Computer

Share Artikel