TEMPO.CO, Jakarta - Serangan ransomware ARGS menyasar pengguna server virtualisasi VMWare dan memakan korban ribuan server ESXi di dunia. Menurut pengamat keamanan siber dari Vaksincom, Alfons Tanujaya, perusahaan Indonesia juga termasuk sebagai korban. “Ada 3 perusahaan pengguna VMWare ESXi di Indonesia yang turut menjadi korban,” tulis Alfons, Selasa, 7 Februari 2023.

Alfons menjelaskan ESXi adalah server virtualisasi yang dapat digunakan untuk menjalankan dan mengelola berbagai sistem operasi pada satu server. Baik itu OS Windows server/workstation, MacOS maupun Linux VM.

Masalahnya, server ESXi ini memiliki kelemahan atau celah keamanan yang jika berhasil di eksploitasi akan memungkinkan sistem ESXi tersebut diakses secara otomatis--tanpa perlu mengetahui kredensial server tersebut. Dampaknya adalah semua sistem OS yang di virtualisasi di ESXi termasuk data yang terkandung di dalamnya akan bisa diakses.

"Salah satu mimpi buruk yang paling ditakuti administrator adalah menjadi korban ransomware, dan kali ini mimpi buruk ini menghampiri administrator pengguna server virtualisasi VMWare ESXi," kata Alfons.

Dalam kasus enkripsi ransomware ARGS ini, file virtualisasi akan dienkripsi dan diganti menjadi ekstensi .args. Setelah sukses mengenkripsi, ransomware ini akan menampilkan pesan permintaan tebusan sebagai berikut :

<<>>

How to Restore Your Files

Security Alert!!!

We hacked your company

All files have been stolen and encrypted by us

If you want to restore files or avoid file leaks, please send 2.0*** bitcoins to the wallet 1PAFdD9fwqRWG4VcCGuY27VT**********

If money is received, encryption key will be available on TOX_ID:

D6C324719AD0AA50A54E4F8DED8E8220D8698DD67B218B5429466C40E7F72657C015D86C7E4A

Attention!!!

Send money within 3 days, otherwise we will expose some data and raise the price

Don't try to decrypt important files, it may damage your files

Don't trust who can decrypt, they are liars, no one can decrypt without key file

If you don't send bitcoins, we will notify your customers of the data breach by email and text message

And sell your data to your opponents or criminals, data may be made release

note

SSH is turned on

Firewall is disabled

<<>>

Korban Ransomware dari Prancis sampai Indonesia

Saat, Alfons menuturkan, ribuan pengguna VMWare ESXi di seluruh dunia menjadi korban ransomware ARGS. Terbesar ada di Prancis, Amerika Serikat, Jerman, Kanada dan Inggris. Ia memperlihatkan tabel korban per negara teratas yaitu Prancis (290), Amerika (238), Jerman (131), Canada (120) dan Inggris (55).

Menurut pantauan Vaksincom, setidaknya ada 3 pengguna VMWare ESXi di Indonesia yang turut menjadi korban ransomware args ini, yaitu i*** b***** b****** dengan IP 175.176.166.***, I******** C***** P*** dengan IP 124.158.167.***, dan A****** T**** J*** dengan IP 103.148.192.***.

Dengan catatan, IP di atas adalah milik ISP dan mungkin di kelola oleh institusi lain. Atau, hal ini tidak menunjukkan bahwa ISP pemilik IP tersebut yang bertanggung jawab dalam pengelolaan server IP tersebut.

Pengguna VMWare ESXi yang rentan menjadi target dari serangan ini, Alfons melanjutkan, adalah versi 7.0, 6.7, dan 6.5. Adapun celah keamanan yang dieksploitasi oleh ransomware ini adalah CVE-2021-21974.

Alfons memberi catatan bahwa yang diserang oleh ransomware ini adalah sistem ESXi sehingga apapun sistem operasi yang divirtualisasi oleh sistem ESXi ini akan dienkripsi. Apakah itu OS Windows, Mac OS, maupun Linux. Karena berfungsi sebagai server virtualisasi, maka satu server ESXi biasanya lebih mengelola kombinasi dari berbagai OS seperti Windows server, Windows workstation, Mac OS dan Linux.

Tips Hadapi Ransomware

Jika server ESXi ini berhasil di eksploitasi, maka semua data yang terkandung dalam OS tersebut juga akan ikut terenkripsi. Ia berharap administrator disiplin melakukan backup data penting secara teratur. Ia juga menyarankan menggunakan antivirus yang andal dan solusi yang dapat melakukan restore data sekalipun sudah di enkripsi oleh seperti Vaksin Protect.

Untuk menghindari serangan ransomware ARGS ini, pengguna server ESXi perlu melakukan update versi server ESXi yang digunakan. Selain itu, disarankan untuk menonaktifkan SLP (Service Location Protocol) services jika tidak diperlukan karena layanan ini yang memungkinkan sarana eksploitasi.

Baca Pilihan Editor: Google Luncurkan Chatbot Bard Tandingan ChatGPT

CATATAN.

Artikel ini telah diubah pada Jumat 24 Februari 2023, pukul 17.35 WIB, dengan menuliskan ulang identitas 3 pengguna VMWare ESXi di Indonesia yang turut menjadi korban ransomware args, beserta catatan yang menyertai di alinea berikutnya. Penulisan sebelum dan setelah perubahan ini mengikuti petunjuk narasumber.