Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

LockBit, BlackCat, Swissport, Astaga! Aktivitas Ransomware Tetap Kuat

by

Penegakan hukum, eksekutif C-suite, dan komunitas keamanan telah fokus untuk menghentikan rentetan serangan ransomware. Namun meskipun demikian, langkah-langkah terbaru dari geng LockBit 2.0 dan BlackCat, ditambah pukulan akhir pekan ini di perusahaan logistik darat bandara Swissport, menunjukkan momok masih jauh dari selesai.

Kelompok ransomware telah meningkatkan lebih sedikit serangan dengan permintaan ransomware yang lebih tinggi, Coveware telah melaporkan, menemukan bahwa rata-rata pembayaran ransomware pada kuartal keempat tahun lalu naik 130 persen mencapai $322.168 . Demikian juga, Coveware menemukan lonjakan 63 persen dalam pembayaran tebusan rata-rata, hingga $117.116.

“Pergeseran taktis melibatkan upaya yang disengaja untuk memeras perusahaan yang cukup besar untuk membayar sejumlah uang tebusan ‘permainan besar’ tetapi cukup kecil untuk menjaga biaya operasi serangan dan mengakibatkan perhatian media dan penegakan hukum tetap rendah.”

Grup yang Ingin Menurunkan Profilnya
“Proporsi perusahaan yang diserang dalam ukuran 1.000 hingga 10.000 karyawan meningkat dari 8 persen di Q3 menjadi 14 persen di Q4,” para peneliti menemukan. “Pembayaran tebusan rata-rata hanya dalam ember karyawan ini jauh di utara satu juta dolar, yang menyeret jumlah rata-rata dan median Q4 lebih tinggi.”

Rebranding BlackCat, Ancaman Pemerasan Tiga Kali
BlackCat, juga dikenal sebagai ALPHV, operasi RaaS pemula, sedang meningkat dan dengan cepat merekrut afiliasi, menurut Graham Cluley dari Tripwire kelompok tersebut telah mulai menambahkan tekanan bagi korban mereka untuk membayar dengan tidak hanya mencuri data mereka dan mengancam akan merilisnya, tetapi juga menjanjikan penolakan layanan (DDoS) yang melumpuhkan jika mereka menolak untuk membayar taktik ransomware yang dikenal sebagai “pemerasan tiga kali lipat.”

Pertama kali ditemukan oleh MalwareHunterTeam, operator ransomware BlackCat berkode Rust menyebut diri mereka ALPHV, tetapi MalwareHunterTeam menjuluki mereka BlackCat setelah gambar yang digunakan pada halaman pembayaran yang harus dikunjungi korban di Tor untuk membayar. Laporan tersebut juga mengkonfirmasi bahwa BlackCat pada dasarnya adalah merek ulang, menambahkan anggota grup telah mengonfirmasi bahwa mereka adalah anggota grup BlackMatter/DarkSide sebelumnya.

LockBit 2.0 adalah kelompok lain yang menambahkan tekanan pada korbannya untuk membayar dengan ancaman untuk merilis data pelanggan perusahaan dan itu juga tidak terlalu rendah.

LockBit 2.0 baru-baru ini mengambil kredit untuk melanggar platform pertukaran cryptocurrency playbito.com, pemburu ancaman DarkTracer tweeted. Peneliti juga memposting peringatan dari LockBit2.0 bahwa grup tersebut akan mempublikasikan data pribadi lebih dari 100.000 pengguna platform kecuali uang tebusan dibayarkan pada 21 Februari.

“FBI mencari informasi apa pun yang dapat dibagikan, untuk memasukkan log batas yang menunjukkan komunikasi ke dan dari alamat IP asing, contoh catatan tebusan, komunikasi dengan pelaku ancaman, informasi dompet Bitcoin, file dekripsi, dan/atau sampel jinak. dari file terenkripsi,” kata peringatan FBI, menambahkan bahwa departemen tidak mendorong pembayaran uang tebusan, tetapi memahami keputusan bisnis perlu dibuat untuk menjaga operasi tetap berjalan.

Serangan Swissport: Ransomware Masih Kuat
Selama akhir pekan, Swissport dijatuhkan oleh serangan ransomware yang menyebabkan penundaan 22 penerbangan dari Zurich, Swiss, menurut juru bicara bandara yang berbicara dengan Der Speigel.

Penelitian terbaru dari Trellix menunjukkan bahwa bergerak maju pada tahun 2022, layanan keuangan akan dibombardir dengan serangan ransomware. Dari kuartal kedua hingga ketiga tahun 2021, serangan terhadap sektor keuangan dan asuransi meningkat sebesar 21 persen, diikuti oleh peningkatan hanya 7 persen pada serangan perawatan kesehatan, catat perusahaan itu.

Sumber : Threat Post

Ransomware Ingin Anda Like dan Subscribe

by

Ransomware telah menjadi masalah endemik di internet. Tidak ada hari yang berlalu tanpa berita utama tentang serangan baru di mana peretas meminta ratusan ribu dolar, atau bahkan jutaan, setelah mengunci korban dari komputer dan server mereka.

Tetapi jenis ransomware baru meminta sesuatu yang sedikit berbeda: berlangganan saluran YouTube.

Ransomware pertama kali ditemukan oleh MalwareHunterTeam, sekelompok peneliti keamanan siber independen.

“HALO SEMUA FILE ANDA TELAH DIKUNCI OLEH RANOMWARE [sic] TAPI CALSE [SIC] ANDA DAPAT MENGAKSES BAK DENGAN SUBSCRIBE MY CHANEL [sic] YOUTUBE,” bunyi pesan yang muncul di layar korban.

Allan Liska, peneliti keamanan siber di Recorded Future mengatakan kepada Motherboard dalam obrolan online bahwa malware itu nyata. Dia mengatakan telah melihat analisis independen dari peneliti lain di forum industri swasta. Liska mengatakan bahwa ransomware “adalah ransomware mesin tunggal, jadi hanya mengenai satu komputer dan tidak menyebar.”

Saluran YouTube yang mereka minta untuk dilanggani oleh para korban hanya memiliki 64 langganan pada saat penulisan. Saluran ini menampilkan sebagian besar video terkait peretasan yang menampilkan logo kelompok peretasan yang kurang dikenal, dan beberapa video yang diambil di tempat yang tampak seperti sekolah.

Dalam pesan tersebut, para peretas menyebut diri mereka sebagai GHOST CYBER TEAM dan mengaku berasal dari Indonesia.

Apakah Anda memiliki informasi lebih lanjut tentang geng ransomware atau jenis ransomware lain? Kami ingin mendengar dari Anda. Anda dapat menghubungi Lorenzo Franceschi-Bicchierai dengan aman di Signal di +1 917 257 1382, Wire/Wickr @lorenzofb, atau email lorenzofb@vice.com.

Tidak jelas apakah ransomware ini hanya lelucon, atau pekerjaan beberapa peretas remaja yang mencari perhatian. Namun sampel ransomware yang ditemukan oleh MalwareHunterTeam terdeteksi sebagai berbahaya oleh beberapa mesin antivirus, menurut VirusTotal, gudang malware.

Sumber : Vice

Raksasa KP Snacks terkena ransomware Conti, pengiriman terganggu

by

KP Snacks, produsen utama makanan ringan Inggris yang populer telah terpukul oleh kelompok ransomware Conti yang mempengaruhi distribusi ke supermarket terkemuka.

Kenyon Produce (KP) Snacks termasuk merek populer seperti PopChips, Skips, Hula Hoops, Penn State pretzels, McCoy’s, Wheat Crunchies, dll.

KP Snacks memiliki lebih dari 2.000 karyawan dan memperkirakan pendapatan tahunan perusahaan lebih dari $ 600 juta, menjadikannya target yang menarik bagi aktor ancaman.

Conti berencana untuk membocorkan dokumen sensitif

Serangan cyber terhadap raksasa makanan ringan Inggris, KP Snacks kini telah meningkat menjadi gangguan rantai pasokan di seluruh Inggris.

Karena serangan itu, pengiriman dari perusahaan ke superstore terkemuka dilaporkan tertunda atau dibatalkan sama sekali. Menurut pemberitahuan yang dikirim ke supermarket oleh KP Snacks, masalah kekurangan pasokan dapat berlangsung hingga akhir Maret.

Sebuah sumber memberi tahu BleepingComputer bahwa jaringan internal perusahaan telah dilanggar dengan aktor ancaman yang mendapatkan akses ke dan mengenkripsi file sensitif, termasuk catatan karyawan dan dokumen keuangan.

Halaman kebocoran pribadi yang dilihat oleh BleepingComputer menunjukkan kelompok ransomware Conti mengaku bertanggung jawab atas serangan itu:

Pada halaman kebocoran pribadi, Conti berbagi sampel laporan kartu kredit, akta kelahiran, spreadsheet dengan alamat karyawan dan nomor telepon, perjanjian rahasia, dan dokumen sensitif lainnya.

Penyedia intel Darknet DarkFeed juga telah memposting kemarin tentang conti ransomware op memberikan perusahaan lima hari sebelum membocorkan lebih banyak data kepemilikan di blog publik mereka.

Tidak jelas apakah KP Snacks saat ini sedang bernegosiasi dengan Conti atau apakah akan membayar uang tebusan.

“Pada hari Jumat, 28 Januari kami menyadari bahwa kami sayangnya menjadi korban insiden ransomware,” kata juru bicara KP Snacks kepada BleepingComputer.

“Segera setelah kami menyadari insiden itu, kami memberlakukan rencana respons cybersecurity kami dan melibatkan perusahaan teknologi informasi forensik terkemuka dan penasihat hukum untuk membantu kami dalam penyelidikan kami.”

Tim TI internal perusahaan bekerja dengan pakar keamanan pihak ketiga untuk menilai situasi.

“Kami terus menjaga rekan kerja, pelanggan, dan pemasok kami menginformasikan perkembangan apa pun dan meminta maaf atas gangguan yang mungkin disebabkannya,” kata perusahaan itu dalam pernyataan mereka kepada kami.

Sumber: Bleepingcomputer

Ransomware BlackCat Melambung ke Puncak

by

BlackCat RaaS, juga dikenal sebagai ALPHV, pertama kali muncul pada pertengahan November dan sudah terbukti kecanggihannya. Itu menjadi geng ransomware profesional pertama yang menggunakan malware berbasis Rust. Sekarang, grup agresif ini sedang menuju puncak, dan mari kita lihat apa yang terjadi.

Unit 42 menyatakan bahwa BlackCat naik ke posisi ketujuh dalam peringkat kelompok ransomware global. Pemeringkatan ini didasarkan pada jumlah korban yang terdaftar di situs kebocoran data grup. Dalam waktu kurang dari sebulan, geng tersebut telah mengumpulkan lebih dari selusin korban yang berlokasi di AS, Jerman, Belanda, Prancis, Spanyol, dan Filipina.

Laporan lain oleh Sentinel Labs menyatakan bahwa kelompok tersebut telah menargetkan organisasi di India dan Australia, dan menuntut pembayaran tebusan antara $400.000 dan $3.000.000 dalam bentuk Bitcoin atau Monero.

Berbagai alasan dapat menjadi faktor dalam munculnya ALPHV RaaS. Beberapa dianataranya adalah:

  • Pemasaran yang efektif untuk afiliasi adalah salah satu alasan utama. Geng meminta afiliasi di forum web gelap populer dan membiarkan mereka menyimpan 80–90% dari pembayaran tebusan.
  • Dengan menggunakan bahasa pemrograman Rust, para pengembang dapat dengan mudah mengkompilasi malware terhadap OS apapun. Menjadi sangat dapat disesuaikan, Rust memungkinkan penyerang untuk mengindividualisasikan serangan.
  • Varonis menemukan bahwa BlackCat secara aktif merekrut mantan operator dari REvil, DarkSide, dan BlackMatter. Mereka mewawancara dan memeriksa afiliasi sebelum menambahkan mereka ke dalam grup.

Cyware Social

Pembaruan force-install QNAP setelah ransomware DeadBolt mencapai 3.600 perangkat

by

QNAP memaksa-update perangkat Network Attached Storage (NAS) pelanggan dengan firmware yang berisi pembaruan keamanan terbaru untuk melindungi terhadap ransomware DeadBolt, yang telah mengenkripsi lebih dari 3.600 perangkat.

Pada hari Selasa, BleepingComputer melaporkan operasi ransomware baru bernama DeadBolt yang mengenkripsi perangkat QNAP NAS yang terpapar internet di seluruh dunia.

Aktor ancaman mengklaim menggunakan kerentanan zero-day untuk meretas perangkat QNAP dan mengenkripsi file menggunakan ransomware DeadBolt, yang menambahkan ekstensi .deadbolt ke nama file.

Ransomware juga akan menggantikan halaman login HTML biasa dengan catatan tebusan yang menuntut 0,03 bitcoin, senilai sekitar $ 1.100, untuk menerima kunci dekripsi dan memulihkan data.

Geng ransomware DeadBolt juga mencoba menjual rincian lengkap dari dugaan kerentanan zero-day ke QNAP untuk 5 Bitcoin, senilai $ 185.000.

Mereka juga bersedia menjual QNAP kunci dekripsi utama yang dapat mendekripsi semua korban yang terkena dampak dan memberikan informasi tentang dugaan zero-day untuk 50 bitcoin, atau sekitar $ 1,85 juta.

Meskipun tidak mungkin QNAP akan memberikan permintaan pemerasan, banyak pengguna dalam topik forum dukungan DeadBolt kami telah melaporkan berhasil membayar ransomware untuk memulihkan file mereka.

QNAP memaksa-update firmware pada perangkat NAS

Keesokan harinya, QNAP mulai memperingatkan pelanggan untuk mengamankan perangkat NAS mereka yang terpapar Internet terhadap DeadBolt dengan memperbarui ke versi perangkat lunak QTS terbaru, menonaktifkan UPnP, dan menonaktifkan penerusan port.

Malam itu, QNAP mengambil tindakan yang lebih drastis dan memperbarui firmware untuk semua perangkat NAS pelanggan ke versi 5.0.0.1891, firmware universal terbaru yang dirilis pada 23 Desember 2021.

Pembaruan ini juga mencakup banyak perbaikan keamanan, tetapi hampir semuanya terkait dengan Samba, yang tidak mungkin terkait dengan serangan ini.

Pemilik QNAP dan admin TI mengatakan kepada BleepingComputer bahwa QNAP memaksa pembaruan firmware ini pada perangkat bahkan jika pembaruan otomatis dinonaktifkan.

Namun, pembaruan ini tidak berjalan tanpa hambatan, karena beberapa pemilik menemukan bahwa koneksi iSCSI mereka ke perangkat tidak lagi berfungsi setelah pembaruan.

“Hanya berpikir saya akan memberikan semua orang kepala-up. Beberapa QNAPS kami kehilangan koneksi ISCSI tadi malam. Setelah seharian bermain-main dan menarik rambut kami keluar, kami akhirnya menemukan itu karena pembaruan. Itu belum melakukannya untuk semua QNAPs yang kami kelola tetapi kami akhirnya menemukan resolusinya,” kata seorang pemilik QNAP di Reddit.

“Dalam “Storage &Snapshots > ISCSI &Fiber Channel” klik kanan pada Alias Anda (IQN) pilih “Ubah Portal Jaringan >” dan pilih adaptor yang Anda gunakan untuk ISCSI.

Pengguna lain yang telah membeli kunci dekripsi, dan sedang dalam proses dekripsi, menemukan bahwa pembaruan firmware juga menghapus ransomware executable dan layar tebusan yang digunakan untuk memulai dekripsi. Hal ini mencegah mereka dari melanjutkan proses dekripsi setelah perangkat selesai memperbarui.

“Biasanya saya bertanya apakah saya ingin memperbarui, tetapi sekarang itu tidak bertanya kepada saya. Saya hanya berdiri diam saat dekripsi sedang berlangsung dan kemudian saya mendengar bunyi bip dari NAS, dan ketika saya melihat ke dalam menu, itu bertanya kepada saya apakah saya ingin memulai ulang sekarang untuk pembaruan untuk diselesaikan, “seorang pemilik yang kesal memposting di topik dukungan DeadBolt BleepingComputer.

“Saya menekan TIDAK tetapi mengabaikan saya dan mulai menutup semua aplikasi untuk memulai ulang.”

Menanggapi banyak keluhan tentang QNAP yang memaksa pembaruan firmware, perwakilan dukungan QNAP menjawab, menyatakan itu untuk melindungi pengguna dari serangan ransomware DeadBolt yang sedang berlangsung.

Yang tidak jelas adalah mengapa pembaruan paksa ke firmware terbaru akan melindungi perangkat dari ransomware DeadBolt ketika QNAP awalnya mengatakan bahwa mengurangi paparan perangkat di Internet akan mengurangi serangan.

Salah satu kemungkinan adalah bahwa kerentanan yang lebih tua di QTS disalahgunakan untuk melanggar perangkat QNAP dan menginstal DeadBolt dan bahwa upgrade ke firmware ini patch kerentanan.

Pembaruan paksa datang terlambat

Sayangnya, langkah QNAP mungkin sudah terlambat karena peneliti keamanan CronUP dan anggota Intel Curated Germán Fernández menemukan bahwa DeadBolt telah mengenkripsi ribuan perangkat QNAP.

Mesin pencari perangkat internet Shodan melaporkan bahwa 1.160 perangkat QNAP NAS dienkripsi oleh DeadBolt. Censys, meskipun, melukiskan gambar yang jauh lebih suram, menemukan 3.687 perangkat sudah dienkripsi pada saat penulisan ini.

Baik Shodan dan Censys menunjukkan bahwa negara-negara teratas yang terkena dampak serangan ini adalah Amerika Serikat, Prancis, Taiwan, Inggris, dan Italia.

Untuk membuat keadaan menjadi lebih buruk, pemilik QNAP NAS sudah ditargetkan oleh operasi ransomware lainnya bernama Qlocker dan eCh0raix, yang terus-menerus memindai perangkat baru untuk dienkripsi.

Sumber: Bleepingcomputer

Kontraktor Apple dan Tesla Taiwan terkena ransomware Conti

by

Delta Electronics, perusahaan elektronik Taiwan dan penyedia Apple, Tesla, HP, dan Dell, mengungkapkan bahwa mereka adalah korban serangan siber yang ditemukan pada Jumat pagi.

Pada 22 Januari 2022, perusahaan mengatakan insiden itu hanya berdampak pada sistem yang tidak kritis, yang tidak berdampak signifikan pada operasinya. Platform AdvIntel “Andariel” mendeteksi serangan pada 18 Januari.

Saat ini Delta bekerja untuk memulihkan sistem yang rusak selama serangan dan mengatakan telah menyewa jasa pakar keamanan pihak ketiga untuk membantu penyelidikan dan proses pemulihan.

Sementara pernyataan Delta tidak mengatakan siapa yang berada di balik serangan itu, sebuah perusahaan keamanan informasi yang dirahasiakan menemukan sampel ransomware Conti yang disebarkan di jaringan perusahaan, seperti yang dilaporkan pertama kali oleh CTWANT.

Catatan tebusan Delta Electronics Conti (BleepingComputer)

Menurut negosiasi antara Conti dan Delta, operator Conti mengklaim telah mengenkripsi 1.500 server dan 12.000 komputer dari sekitar 65.000 perangkat di jaringan Delta.

Geng ransomware Conti meminta Delta untuk membayar tebusan $15 juta untuk decryptor dan berhenti membocorkan file yang dicuri dari jaringannya. Juga dijanjikan diskon jika perusahaan mau membayar dengan cepat.

Sementara Delta dilaporkan masih bekerja dengan Trend dan tim keamanan Microsoft untuk menyelidiki insiden tersebut dan mengklaim bahwa produksinya tidak terpengaruh, situs webnya masih tidak aktif satu minggu setelah serangan tersebut.

Pelanggan Delta dapat menggunakan domain alternatif ini saat perusahaan menghidupkan kembali situs web utamanya, yang masih down setelah serangan ransomware, seperti yang ditemukan The Record.

“Grup Conti ransomware mengungkapkan bagian pola tertentu dari serangan Delta yang memanfaatkan Cobalt Strike dengan Atera untuk kegigihan seperti yang diungkapkan oleh visibilitas permusuhan platform kami. Tentu saja, serangan ini mengingatkan pada REvil Quanta yang memengaruhi salah satu pemasok Apple,” Vitali Kremez , CEO AdvIntel, mengatakan kepada BleepingComputer.

Conti adalah operasi Ransomware-as-a-Service (RaaS) yang terkait dengan kelompok kejahatan dunia maya Wizard Spider yang berbahasa Rusia.

Sumber : Bleeping Computer

Ransomware LockBit versi Linux menargetkan server VMware ESXi

by

Geng ransomware kini telah mengembangkan taktik mereka untuk membuat enkripsi Linux yang secara khusus menargetkan platform virtualisasi VMware vSphere dan ESXi yang populer selama setahun terakhir.

Meskipun ESXi tidak sepenuhnya Linux, ia memiliki banyak karakteristik yang sama, termasuk kemampuan untuk menjalankan executable ELF64 Linux.

Pada bulan Oktober, LockBit mulai mempromosikan fitur baru dari operasi Ransomware-as-a-Service mereka di forum peretasan RAMP, termasuk encryptor Linux baru yang menargetkan mesin virtual VMware ESXi.

Peneliti Trend Micro menganalisis encryptor Linux geng ransomware dan menjelaskan bagaimana itu digunakan untuk menargetkan instalasi VMWare ESXi dan vCenter.

Seperti encryptor Linux lainnya, LockBits menyediakan antarmuka baris perintah yang memungkinkan afiliasi untuk mengaktifkan dan menonaktifkan berbagai fitur untuk menyesuaikan serangan mereka.

Argumen baris perintah enkripsi LockBit Linux
Sumber: Trend Micro

Yang membuat encryptor linux LockBit menonjol adalah penggunaan luas utilitas baris perintah VMware ESXI dan VMware vCenter untuk memeriksa mesin virtual apa yang sedang berjalan dan untuk mematikannya dengan bersih sehingga tidak rusak saat dienkripsi.

Trend Micro menyatakan bahwa encryptor menggunakan AES untuk mengenkripsi file dan algoritma elliptic-curve cryptography (ECC) untuk mengenkripsi kunci dekripsi.

Dengan meluasnya penggunaan VMware ESXI di perusahaan, semua pembela jaringan dan profesional keamanan harus mengharapkan bahwa setiap operasi ransomware besar telah mengembangkan varian Linux.

Dengan membuat asumsi ini, admin dan profesional keamanan dapat membuat pertahanan dan rencana yang sesuai untuk melindungi semua perangkat di jaringan mereka, bukan hanya perangkat Windows.

Hal ini terutama berlaku untuk operasi LockBit, yang telah menjadi operasi ransomware paling menonjol sejak REvil ditutup dan membanggakan kecepatan dan rangkaian fitur enkripsinya.

Penting juga untuk diingat bahwa sebanyak kita menonton geng ransomware, mereka juga mengawasi kita kembali.

Ini berarti bahwa mereka memantau umpan sosial peneliti dan jurnalis untuk taktik, pertahanan, dan kerentanan terbaru yang kemudian dapat mereka gunakan terhadap target perusahaan.

Selengkapnya : Bleeping Computer

VMware: Patch Server Horizon Terhadap Serangan Log4j yang Sedang Berlangsung!

by

VMware mendesak pelanggan untuk menambal kerentanan keamanan Log4j kritis yang berdampak pada server VMware Horizon yang terpapar internet yang ditargetkan dalam serangan yang sedang berlangsung.

Setelah eksploitasi yang berhasil, aktor ancaman menyebarkan cangkang web khusus ke dalam layanan VM Blast Secure Gateway untuk mendapatkan akses ke jaringan organisasi, menurut laporan NHS Digital baru-baru ini tentang sistem VMware Horizon yang diserang dengan eksploitasi Log4Shell.

Hal ini memungkinkan mereka untuk melakukan berbagai kegiatan berbahaya, termasuk exfiltration data dan penyebaran payload malware tambahan seperti ransomware.

Microsoft juga memperingatkan dua minggu lalu tentang aktor ancaman berbahasa China yang dilacak sebagai DEV-0401 yang menyebarkan ransomware Night Sky di server VMware Horizon yang terpapar internet menggunakan eksploitasi Log4Shell.

Dalam sebuah email ke Bleeping Computer hari ini, VMware mengatakan mereka sangat mendesak pelanggan untuk menambal server Horizon mereka untuk bertahan melawan serangan aktif ini.

“Bahkan dengan Peringatan Keamanan VMware dan upaya berkelanjutan untuk menghubungi pelanggan secara langsung, kami terus melihat bahwa beberapa perusahaan belum ditambal,” kerry Tuttle, Manajer Komunikasi Korporat VMware, mengatakan kepada BleepingComputer.

“Produk VMware Horizon rentan terhadap kerentanan Apache Log4j / Log4Shell yang kritis kecuali ditambal atau dikurangi dengan benar menggunakan informasi yang diberikan dalam penasihat keamanan kami, VMSA 2021-0028, yang pertama kali diterbitkan pada 10 Desember 2021, dan diperbarui secara teratur dengan informasi baru.”

“Pelanggan yang belum menerapkan patch atau solusi terbaru yang disediakan penasihat keamanan VMware berisiko dikompromikan – atau mungkin telah dikompromikan – oleh aktor ancaman yang memanfaatkan kerentanan Apache Log4shell untuk secara aktif mengkompromikan lingkungan Horizon yang tidak ditambal dan menghadap internet.”

Admin memperingatkan untuk tidak lengah

Seruan VMware untuk bertindak mengikuti peringatan serupa yang dikeluarkan pekan lalu oleh Pusat Cybersecurity Nasional Belanda (NCSC), mendesak organisasi Belanda untuk tetap waspada dalam menghadapi ancaman yang sedang berlangsung yang diwakili oleh serangan Log4j.

Badan pemerintah Belanda memperingatkan bahwa aktor jahat akan terus mencari server yang rentan yang dapat mereka langgar dalam serangan yang ditargetkan dan meminta organisasi untuk menerapkan pembaruan keamanan Atau tindakan mitigasi jika diperlukan.

Menurut Shodan, ada puluhan ribu server VMware Horizon yang terpapar internet, yang semuanya perlu ditambal terhadap upaya eksploitasi Log4j.

“VMware sangat menyarankan agar pelanggan mengunjungi VMSA-2021-0028 dan menerapkan panduan untuk Horizon. VMware memprioritaskan keamanan pelanggan kami karena kami terus menanggapi dampak industri dari kerentanan Apache Log4j.”

Sumber: Bleepingcomputer