Beberapa hari yang lalu, para pengguna server virtual ESXi dikejutkan oleh berita adanya serangan ransomware yang menyasar server mereka. Tercatat, ada ribuan pengguna VMWare ESXi yang telah menjadi korban dari serangan ransomware tersebut, tujuh diantaranya berasal dari Indonesia.
Sebelum lebih lanjut, VMWare Inc ini adalah sebuah perusahaan teknologi komputasi awan (cloud) dan mesin virtual asal Amerika, dan ESXi sendiri merupakan produk dari VMWare yang berfungsi sebagai server virtualisasi yang dapat digunakan untuk menjalankan dan mengelola beberapa sistem operasi pada satu server, baik OS Windows Server, Mac OS dan Linux VM. Singkatnya, jika menggunakan ESXi, maka perusahaan tidak perlu lagi menginstall masing-masing server yang akan menghabiskan ruang dan daya pada ruang server, cukup dengan 1 server ESXi perusahaan sudah bisa mengakses 3 server yang berbeda.
Masalahnya server ESXi ini memiliki kelemahan (celah keamanan) yang jika berhasil dieksploitasi oleh penjahat siber akan memungkinkan mereka untuk akses sistem ESXi tersebut secara otomatis tanpa perlu mengetahui kredensial server tersebut. Dan akibatnya adalah semua sistem OS yang di virtualisasi di ESXi termasuk data yang terkandung di dalamnya akan bisa diakses.
VMware ESXi Terserang Ransomware
Saat ini VMWare setidaknya menguasai lebih dari 70% pasar global untuk perangkat lunak infrastruktur virtualisasi, tak heran banyak yang menjadi korban dari serangan ransomware ARGS ini. Berdasarkan informasi dari VMware, kerentanan yang dieksploitasi oleh peretas ternyata telah berusia dua tahun dan perusahaan telah mengeluarkan tambalan pada Februari 2021. Oleh karenanya, perusahaan mendesak pengguna perangkat lunak VMware ESXi agar segera menginstal pembaruan.
Beberapa waktu yang lalu, VMware ESXi Terserang Ransomware. Pelaku yang memanfaatkan kerentanan pada VMWare ESXi menyebarkan ransomware ESXiArgs untuk mengenkripsi perangkat korban. Ransomware mengenkripsi file dengan ekstensi .vmxf, .vmx, .vmdk, .vmsd, dan .nvram pada server ESXi yang dikompromikan dan membuat file .args untuk setiap dokumen terenkripsi dengan metadata (kemungkinan diperlukan untuk dekripsi).
Pada dasarnya semua perangkat yang memiliki antivirus akan terlindungi dari ancaman ini. Selain itu, untuk memblokir serangan masuk, admin harus menonaktifkan layanan Service Location Protocol (SLP) yang rentan pada hypervisor ESXi yang belum diperbarui. VMWare sudah menyediakan patch untuk kerentananan ini. Sangat disarankan untuk segera menambal agar dapat menghindari ancaman malware.
Sources :
Comments