MAJALAH ICT – Jakarta. Synology dan Taiwan Computer Emergency Response Team/Coordination Center (TWCERT/CC) mengumumkan keberhasilannya dalam mengatasi serangan ransomware yang baru- baru ini muncul. Serangan kali ini berusaha mencuri kredensial admin pengguna melalui serangan brute-force ke akses login yang berakibat kepada terenkripsinya data pengguna pada beberapa merk NAS (Network Attached Storage). Serangan ini sempat membuat down server C&C pada 22 Juli lalu, sebelum akhirnya bisa diatasi berkat upaya penanganan terkolaborasi bersama organisasi cybersecurity internasional. Berkaca dari pengalaman ini, Synology dan TWCERT/CC menghimbau semua pengguna NAS untuk memperkuat pengaturan sistem keamanan agar data mereka tetap aman.
“Synology selalu menjadikan perlindungan data pengguna sebagai prioritas utama kami,” kata Ken Lee, Manager of Security Incident Response Team di Synology. “Sebagai mitra aktif jangka panjang di organisasi cybersecurity internasional, Synology dapat segera berkolaborasi dengan organisasi cybersecurity internasional saat terjasi serangan siber, mencegahnya sebelum menjadi bencana.”
Synology mulai mendapatkan laporan serangan siber tipe ini dari para pengguna sejak 19 Juli lalu, yang mengindikasikan bahwa data pada NAS pengguna terenkripsi oleh ransomware. Laporan hasil investigasi menunjukkan bahwa sumber serangan bukan berasal dari kelemahan sistem DSM (Disk Station Manager). Alih- alih, ternyata serangan tersebut menargetkan pengguna yang memiliki kata sandi lemah pada akun admin system default. Setelah penyerang mendapatkan akses pada akun pengguna, mereka mulai mengenkripsi data dan meminta tebusan. Pada 22 Juli lalu, belasan pengguna Synology yang terkena serangan ini melaporkannya ke Departemen Dukungan Teknis Global. Synology memperkirakan ada lebih dari sepuluh ribu merek NAS berbeda di seluruh dunia yang mungkin terekspos dan memiliki resiko sehingga berpotensi menjadi target serangan ransomware ini. Di hari yang sama dengan laporan serangan, Synology langsung melakukan pelacakan dan berhasil terhubung ke server C&C penyerang, kemudian di saat yang sama menginformasikan hal ini kepada TWCERT/CC untuk dapat memulai upaya kolaborasi internasional. Pada tanggal 26 Juli, dengan informasi yang diberikan dan diteruskan oleh Synology dan TWCRET/CC, CFCS-DK mengidentifikasi sumber serangan dan melumpuhkan server C&C penyerang.
“TWCERT/CC segera bereaksi dengan cepat, mengumpulkan laporan insiden untuk memulai kolaborasi internasional, dan mengendalikan situasi dari tahap awal kejadian. Semua berkat kemitraan jangka panjang kami,” ujar Joy Chan, Direktur TWCERT/CC. “Kami berharap dapat melihat lebih banyak merk mengikuti jejak Synology untuk membentuk tim keamanan produk dan berinteraksi secara aktif dengan organisasi cybersecurity.”
Meskipun situasi saat ini sudah terkendali, Synology menyarankan semua pengguna NAS – apapun merk-nya, untuk menguatkan sistem keamanan datanya melalui beberapa lagkah berikut:
• Mengaktifkan firewall dan hanya terhubung ke Internet bila perlu.
• Atur verifikasi 2 langkah untuk mencegah upaya login tanpa izin.
• Nonaktifkan akun “admin” pada system default.
• Gunakan kata sandi yang kuat, dan terapkan aturan ini untuk semua pengguna.
• Aktifkan fitur blokir otomatis di panel kontrol untuk memblokir alamat IP yang mengalami banyak kegagalan saat login.
• Jalankan Synology Security Advisor untuk memastikan tidak ada kata sandi yang lemah dalam sistem.
• Lakukan pencadangan multi-versi menggunakan Synology Hyper Backup, mencadangkan data di NAS Anda ke beberapa lokasi penyimpanan, misalnya penyimpanan di tempat, remote folder, dan cloud publik.
Linimasa kejadian:
19 Juli 2019
• Synology menerima laporan dari pengguna yang mengatakan bahwa data pada NAS mereka terenkripsi oleh ransomware.
• Laporan investigasi mengesampingkan kemungkinan bahwa serangan berasal dari kerentanan sistem DSM; alih-alih serangan tersebut diluncurkan menggunakan brute- force.
22 Juli 2019
• Belasan pengguna Synology yang terkena serangan melapor ke Departemen Dukungan Teknis Global.
• Setelah diselidiki, diperkirakan bahwa lebih dari sepuluh ribu merek NAS yang berbeda di seluruh dunia mungkin beresiko dan berpotensi menjadi sasaran serangan ini.
• Synology melacak dan berhasil terhubung ke server C&C penyerang.
• Synology meneruskan informasi ke TWCERT/CC dan meminta untuk melakukan kolaborasi internasional.
26 Juli 2019
• TWCERT/CC melaporkan dan berkolaborasi dengan CFCS-DK di Denmark untuk melumpuhkan server C&C milik penyerang yang telah disesuaikan dengan alamat IP yang bersangkutan.
· Pengamatan lebih lanjut menunjukkan bahwa jumlah pengguna yang diserang mulai menurun.
No comments:
Post a Comment