Server VMware ESXi Diincar Ransomware Baru, Cicada3301



Server VMware ESXi Diincar Ransomware Baru, Cicada3301 - the photo via: techrepublic - pibitek.biz - Medis

the photo via: techrepublic


336-280
TL;DR
  • Kelompok Cicada3301 mengembangkan ransomware untuk menyerang bisnis.
  • Cicada3301 mencuri data penting dan mengenkripsi sistem bisnis dengan ransomware.
  • Bisnis harus waspada terhadap Cicada3301 yang menyerang sistem dan data bisnis.

pibitek.biz -Ransomware semakin canggih dan menjadi ancaman serius bagi bisnis. Para penjahat siber selalu mencari cara baru untuk menyerang sistem, mengacak-acak data, dan meminta uang tebusan. Salah satu target terbaru para penjahat siber adalah server VMware ESXi, yang merupakan sistem penting dalam menjalankan banyak bisnis. Sebuah kelompok penjahat siber yang dikenal sebagai Cicada3301 telah mengembangkan ransomware baru yang dirancang khusus untuk menyerang server VMware ESXi. Mereka mengancam akan membocorkan data perusahaan yang terenkripsi ke publik jika korban tidak membayar uang tebusan.

Kelompok ini telah menargetkan berbagai perusahaan di berbagai sektor, termasuk manufaktur, kesehatan, ritel, dan pariwisata. Cicada3301 adalah nama yang dipilih oleh kelompok penjahat siber ini. Nama ini dipilih untuk menakut-nakuti korban. Nama Cicada3301 sebenarnya diadaptasi dari nama sebuah kelompok yang dikenal karena menciptakan teka-teki dan tantangan online yang rumit. Kelompok aslinya tidak memiliki keterkaitan dengan kelompok ransomware ini. Mereka telah mencuri identitas dan logo kelompok aslinya untuk membangun citra yang menakutkan.

Modus operandi Cicada3301 adalah dengan mendapatkan akses ke jaringan perusahaan, lalu mencuri data dan mengenkripsi data tersebut menggunakan ransomware miliknya. Mereka kemudian meminta uang tebusan untuk memberikan kunci dekripsi. Jika korban tidak membayar uang tebusan, Cicada3301 akan mengancam untuk membocorkan data yang dicuri ke publik. Metode yang digunakan Cicada3301 untuk masuk ke jaringan perusahaan biasanya dengan cara menebak kata sandi atau mencuri kata sandi yang valid, lalu masuk ke jaringan melalui program remote control seperti ScreenConnect.

Setelah berada di dalam jaringan, mereka akan menjalankan ransomware milik mereka. Cicada3301 juga menggunakan teknik yang dikenal sebagai double-extortion, di mana mereka tidak hanya mengenkripsi data, tetapi juga mencuri data dan mengancam untuk membocorkannya ke publik jika uang tebusan tidak dibayar. Cicada3301 menggunakan berbagai teknik untuk mengelabui sistem keamanan dan menghindari deteksi. Misalnya, mereka menggunakan teknik enkripsi yang kuat, seperti ChaCha20, yang sulit dipecahkan. Mereka juga menggunakan teknik yang dikenal sebagai ?sleep?, di mana mereka menunda proses enkripsi untuk menghindari deteksi oleh sistem keamanan.

Teknik enkripsi yang digunakan Cicada3301 adalah ChaCha20. Teknik enkripsi ini menggunakan algoritma kriptografi yang sangat kuat. Data yang terenkripsi dengan ChaCha20 sangat sulit dipecahkan tanpa kunci dekripsi. Cicada3301 juga menggunakan teknik enkripsi selektif, yaitu hanya mengenkripsi sebagian data. Mereka hanya mengenkripsi file-file yang dianggap penting, seperti file dokumen, file gambar, dan file database. Kelompok ini juga melakukan serangan brute-forcing untuk mendapatkan akses ke jaringan perusahaan.

Serangan brute-forcing dilakukan dengan mencoba menebak kata sandi secara acak. Mereka juga mencuri kata sandi yang valid dari berbagai sumber, seperti forum online dan situs web yang diretas. Ransomware Cicada3301 memiliki beberapa kemiripan dengan ransomware BlackCat/ALPHV, yang juga merupakan kelompok ransomware yang terkenal. Kedua ransomware tersebut menggunakan algoritma enkripsi yang sama, ChaCha20, dan memiliki teknik enkripsi yang mirip. Salah satu alasan yang membuat para peneliti mencurigai adanya hubungan antara Cicada3301 dan BlackCat/ALPHV adalah karena BlackCat/ALPHV menghilang setelah gagal membayar komisi kepada salah satu afiliasinya.

Hal ini membuat para afiliasi BlackCat/ALPHV marah dan membocorkan informasi tentang BlackCat/ALPHV ke publik. Cicada3301 mungkin merupakan grup yang sama dengan BlackCat/ALPHV yang berganti nama atau mungkin merupakan kelompok baru yang membeli kode sumber BlackCat/ALPHV setelah BlackCat/ALPHV menghilang. Cicada3301 menggunakan botnet Brutus untuk membantu mereka mendapatkan akses ke jaringan perusahaan. Brutus adalah botnet yang digunakan untuk melakukan serangan brute-forcing dan mencuri informasi login.

Server VMware ESXi adalah target yang menarik bagi para penjahat siber karena server ini merupakan bagian penting dari banyak sistem bisnis. Server ESXi digunakan untuk menjalankan berbagai aplikasi penting, seperti aplikasi email, aplikasi database, dan aplikasi web. Jika server ESXi diretas, maka seluruh sistem bisnis bisa lumpuh. Cicada3301 telah menunjukkan kemampuan mereka dalam menyerang sistem bisnis dan mencuri data penting. Kelompok ini telah mengancam berbagai bisnis di berbagai sektor.

Hal ini menunjukkan bahwa serangan ransomware semakin serius dan para penjahat siber semakin canggih dalam menggunakan berbagai teknik untuk menyerang sistem bisnis. Bagi para pemilik bisnis, serangan ransomware adalah mimpi buruk yang bisa membuat bisnis mereka lumpuh. Mereka harus kehilangan data penting dan harus membayar uang tebusan yang besar. Ada beberapa cara untuk melindungi sistem bisnis dari serangan ransomware, seperti: 1. Melakukan backup data secara teratur dan menyimpannya di tempat yang aman.

Menggunakan software anti-malware yang dapat mendeteksi dan memblokir ransomware. Melatih karyawan tentang cara mengenali dan menghindari serangan ransomware. Melakukan pembaruan sistem secara teratur untuk menutup kerentanan keamanan. Para penjahat siber terus mengembangkan teknik serangan ransomware baru. Mereka menjadi lebih pintar dan lebih agresif dalam menyerang sistem bisnis. Oleh karena itu, para pemilik bisnis harus selalu waspada dan berhati-hati terhadap serangan ransomware.