Perusahaan Perangkat Lunak Yang Diretas Untuk Menyebarkan Ransomware

Perusahaan Perangkat Lunak Yang Diretas Untuk Menyebarkan Ransomware – Selama 21 tahun, perusahaan perangkat lunak Kaseya bekerja dalam ketidakjelasan relatif setidaknya sampai penjahat dunia maya mengeksploitasinya pada awal Juli untuk serangan ransomware besar-besaran yang mengganggu bisnis di seluruh dunia dan meningkatkan ketegangan diplomatik AS-Rusia .

Perusahaan Perangkat Lunak Yang Diretas Untuk Menyebarkan Ransomware

computer-training-software – Namun ternyata peretasan baru-baru ini bukanlah masalah keamanan siber besar pertama yang menimpa perusahaan yang berbasis di Miami dan produk intinya, yang digunakan tim TI untuk memantau dan mengelola sistem komputer tempat kerja dan perangkat lain dari jarak jauh.

“Rasanya sedikit seperti déjà vu,” kata Allie Mellen, analis keamanan di Forrester Research.

Pada tahun 2018, misalnya, peretas berhasil menyusup ke alat jarak jauh Kaseya untuk menjalankan operasi “cryptojacking”, yang menyalurkan kekuatan komputer yang terkena untuk menambang cryptocurrency seringkali tanpa disadari oleh korbannya.

Baca Juga : Apa Gunanya Mempelajari Komputer Dan Cara Menggunakannya?

Itu adalah pelanggaran yang kurang berbahaya daripada serangan ransomware baru-baru ini, yang tidak mungkin terlewatkan karena melumpuhkan sistem yang terpengaruh sampai pemiliknya membayar. Tapi juga mengandalkan produk Virtual System Administrator, atau VSA, Kaseya, sebagai sarana untuk mendapatkan akses ke perusahaan yang mengandalkannya.

Serangan ransomware 2019 juga masuk ke komputer melalui komponen perangkat lunak tambahan perusahaan lain ke Kaseya VSA, menyebabkan kerusakan yang lebih terbatas daripada serangan baru-baru ini. Beberapa ahli telah mengaitkan serangan sebelumnya dengan beberapa peretas yang sama yang kemudian membentuk REvil, sindikat berbahasa Rusia yang disalahkan atas serangan terbaru.

Dan pada tahun 2014, pendiri Kaseya sendiri menggugat perusahaan dalam perselisihan tanggung jawab atas kelemahan keamanan VSA yang memungkinkan peretas meluncurkan skema cryptocurrency terpisah. Kasus pengadilan tampaknya tidak pernah dilaporkan sebelumnya di luar penyebutan singkat tahun 2015 dalam sebuah posting blog teknis. Pada saat itu, para pendiri menyangkal bertanggung jawab atas kerentanan, menyebut tuduhan perusahaan terhadap mereka sebagai “pernyataan palsu.”

Hampir semua masalah keamanan Kaseya memiliki akar penyebab kerentanan pengkodean yang dipahami dengan baik yang seharusnya ditangani sebelumnya, kata pakar keamanan siber Katie Moussouris, pendiri dan CEO Luta Security.

“Kaseya perlu dibentuk, seperti halnya seluruh industri perangkat lunak,” katanya. “Ini adalah kegagalan untuk memasukkan pelajaran yang diajarkan bug kepada Anda. Kaseya, seperti banyak perusahaan, gagal mempelajari pelajaran itu.”

Banyak serangan mengandalkan setidaknya sebagian pada apa yang dikenal sebagai injeksi SQL, teknik yang digunakan peretas untuk menyuntikkan kode berbahaya ke dalam kueri web. Ini adalah teknik lama yang menurut Mellen telah dianggap sebagai “masalah yang terpecahkan” di dunia keamanan siber selama satu dekade.

“Ini menunjuk pada masalah keamanan produk kronis dalam perangkat lunak Kaseya yang tetap tidak tertangani tujuh tahun kemudian,” katanya. “Ketika organisasi memilih untuk mengabaikan tantangan keamanan, insiden berlanjut, dan, seperti dalam kasus ini, menjadi lebih buruk.”

Kaseya telah mencatat bahwa itu telah lama menjadi target karena banyak pelanggan langsungnya adalah “penyedia layanan terkelola” yang menampung infrastruktur TI untuk ratusan, jika bukan ribuan, bisnis lain.

“Dalam bisnis yang kami jalani, dan jumlah titik akhir yang kami kelola di seluruh dunia, seperti yang Anda duga, kami menangani keamanan dengan sangat serius,” Ronan Kirby, presiden operasi perusahaan Eropa, mengatakan pada konferensi keamanan siber Belgia, Kamis. “Anda menyerang perusahaan, Anda masuk ke perusahaan. Anda menyerang penyedia layanan, Anda masuk ke semua pelanggan mereka. Anda masuk ke Kaseya, itu proposisi yang sangat berbeda. Jadi jelas kami adalah target yang menarik.”

Kaseya menolak menjawab pertanyaan dari The Associated Press tentang peretasan sebelumnya atau sengketa hukum yang melibatkan pendirinya.

Mark Sutherland dan Paul Wong mendirikan Kaseya di California pada tahun 2000. Mereka sebelumnya bekerja sama dalam sebuah proyek yang melindungi akun email pekerja intelijen AS di Badan Keamanan Nasional, menurut akun di situs web perusahaan.

Tetapi lebih dari setahun setelah menjual Kaseya pada Juni 2013, catatan pengadilan menunjukkan bahwa Sutherland, Wong dan dua mantan eksekutif puncak lainnya menuntut perusahaan itu untuk mendapatkan kembali $5,5 juta dalam pembelian kembali saham yang mereka katakan ditolak secara tidak adil.

Inti perselisihan adalah serangan oleh peretas yang menggunakan VSA Kaseya sebagai saluran untuk menyebarkan malware penambangan Litecoin yang secara diam-diam membajak kekuatan komputer korban untuk menghasilkan uang bagi peretas dengan memproses pembayaran cryptocurrency.

Kaseya secara terbuka mengungkapkan serangan tersebut dalam pemberitahuan Maret 2014 kepada pelanggan. Secara pribadi, itu menyalahkan kepemimpinan perusahaan sebelumnya karena tidak memperingatkan tentang “kerentanan serius” dalam perangkat lunak Kaseya. Ini berusaha untuk menghilangkan mereka dari $ 5,5 juta akhir dari harga akuisisi untuk mengkompensasi hilangnya bisnis dan reputasi yang rusak.

Para pendiri, pada gilirannya, menyalahkan kepemimpinan baru karena mengurangi keahlian pengkodean dan menghilangkan sistem “perbaikan terbaru” untuk memperbaiki bug dengan cepat, menurut gugatan dari Sutherland, Wong, mantan CEO Gerald Blackie dan mantan Chief Operating Officer Timothy McMullen.

Mereka juga berpendapat bahwa teknik injeksi SQL yang digunakan oleh para peretas sangat umum dan “melekat dalam kode komputer mana pun” yang menggunakan bahasa pemrograman SQL.

“Memastikan bahwa setiap bagian dari kode akses database kebal terhadap injeksi SQL pada dasarnya tidak mungkin,” kata gugatan mereka. Mellen dan Moussouris sama-sama menolak pernyataan itu.

“Itu adalah pernyataan yang berani dan terbukti salah,” kata Moussouris. “Ini menyoroti fakta bahwa mereka tidak memiliki pengetahuan keamanan dan kecanggihan untuk melindungi penggunanya.”

Tak satu pun dari penggugat atau pengacara mereka menanggapi permintaan komentar. Mereka sepakat untuk membatalkan kasus tersebut pada Desember 2013, hanya sebulan setelah mereka mengajukannya. Tidak jelas bagaimana penyelesaiannya. Kaseya diadakan secara pribadi.

Profil LinkedIn untuk Sutherland dan Wong mencantumkan mereka sebagai pensiunan. Blackie kemudian menjadi CEO penyedia perangkat lunak kendali jarak jauh lain yang berbasis di Miami, Pilixo, di mana ia bergabung dengan McMullen. Pilixo tidak membalas permintaan komentar.

Kerentanan baru yang memengaruhi VSA Kaseya termasuk yang dieksploitasi oleh geng ransomware REvil ditemukan tahun ini oleh kelompok peneliti keamanan siber Belanda yang mengatakan bahwa mereka secara rahasia memperingatkan Kaseya pada awal April. “ Di tangan yang salah, kerentanan ini bisa menimbulkan kompromi beberapa besar pc yang diatur oleh Kaseya VSA,” tutur Dutch Institute for Vulnerability Disclosure dalam suatu posting web minggu kemudian yang menarangkan garis durasi tindakannya.

Beberapa di antaranya Kaseya diperbaiki pada bulan Mei, termasuk kelemahan injeksi SQL lainnya, tetapi kelompok Belanda itu mengatakan yang lain masih belum ditambal ketika ransomware mulai menyerang ratusan bisnis pada awal Juli. Kaseya mengatakan hingga 1.500 bisnis telah dikompromikan sebagai akibat dari serangan itu. Kaseya pada hari Minggu meluncurkan patch untuk kerentanan yang digunakan dalam serangan REvil.

Dengan Kaseya dalam sorotan, penanggap keamanan siber yang membantu klien yang terkena serangan ransomware 2 Juli menemukan apa yang dia sebut kelalaian keamanan Kaseya yang mencolok: kerentanan di portal pelanggan yang menghadap publik yang telah diidentifikasi pada tahun 2015 tetapi tidak diperbaiki.

Baca Juga : Memulai dengan Kode Visual Studio dan Membangun Situs Web HTML

Alex Holden dari Hold Security mengatakan dia memberi tahu Kaseya dan portal itu segera diturunkan. Tetapi kerentanan itu mengganggunya, katanya, karena memberikan akses kepada pengguna yang tidak diautentikasi ke file konfigurasi yang sangat dilindungi di server web Microsoft yang sering berisi kata sandi dan dapat memberikan akses ke fungsi inti.

Moussouris mengatakan ada pola sindikat ransomware yang mengejar kelemahan perangkat lunak yang mudah dideteksi. “Ini utang teknis kolektif di seluruh dunia dan geng ransomware adalah penagih utang teknis,” katanya. “Mereka mengejar organisasi seperti Kaseya” dan lainnya yang belum berinvestasi dalam keamanan yang lebih baik.