Shamoon, Malware Penghapus Data Bidik Infrastruktur Desktop Virtual

Program sabotase siber yang menghapus data 30 ribu komputer di perusahaan minyak Arab Saudi pada 2012 lalu kini kembali lagi. Serangan yang baru ini bahkan menargetkan server host virtual desktop.

Info Komputer - - What's New -

Malware yang diketahui bernama Shamoon atau Disttrack ini merupakan bagian dari keluarga program destruktif yang dikenal sebagai penghapus disk. Peranti yang sama juga pernah digunakan pada 2014 lalu untuk menyerang Sony Pictures Entertainment di AS dan pada 2013 menyerang beberapa bank dan organisasi

broadcasting di Korea Selatan. Shamoon pertama kali terpantau selama 2012 lalu ketika ada serangan siber yang menyerang Saudi Aramco.

Malware ini menyebar ke komputer lain pada jaringan lokal menggunakan kredensial yang dicuri dan mengaktifkan fungsionalitas penghapusan disk pada tanggal yang telah dikonfigurasikan.

Pada November tahun lalu, peneliti keamanan dari Symantec melaporkan temuan versi anyar dari Shamoon yang telah digunakan pada gelombang baru serangan terhadap sasaransasaran di Arab Saudi. Versi ini dikonfigurasikan untuk mulai menimpa data hard disk pada Kamis 17 November pukul 20.45 waktu setempat di Arab Saudi, tak lama setelah sebagian besar pekerja di negara tersebut memulai waktu akhir pekan mereka.

Sementara itu, para peneliti dari Palo Alto Networks menemukan lagi varian Shamoon yang berbeda dengan yang dilihat oleh Symantec dan mungkin digunakan terhadap target di Saudi Arabia. Melalui posting blog

nya, peneliti Palo Alto menyebut jika versi ketiga ini memiliki tanggal untuk mematikan—hari untuk menghapus data—pada 29 November dan berisi akun kredensial hardcoded spesifik untuk organisasi yang ditargetkan.

Beberapa dari akun kredensial itu adalah akun domain Windows. Namun beberapa username

default dan password menyasar Huawei FusionCloud, solusi infrastruktur desktop virtual (VDI). Produk VDI seperti Huawei FusionCloud memungkinkan perusahaan menjalankan instalasi

desktop yang tervirtualisasi di dalam pusat data. Pengguna kemudian mengakses PC virtual dari thin client, membuat manajemen workstation di berbagai cabang dan kantor menjadi jauh lebih mudah.

Rupanya penyerang di balik kampanye Shamoon (versi) terakhir ini menyadari bahwa organisasi yang ditargetkan menggunakan produk Huawei VDI, dan menyadari bahwa tidak akan cukup dengan hanya menghapus PC virtual menggunakan domain kredensial Windows yang tercuri.

“Fakta bahwa para penyerang Shamoon memiliki username dan

password dapat menunjukkan bahwa mereka dimaksudkan untuk memperoleh akses ke teknologi di organisasi yang ditargetkan untuk meningkatkan dampak dari serangan merusak mereka,” kata para peneliti Palo Alto Networks. “Jika benar, ini merupakan pengembangan besar dan organisasi harus mempertimbangkan menambahkan pengamanan tambahan dalam melindungi kredensial terkait dengan penyebaran VDI mereka,” imbuh peneliti tersebut.

Sejauh ini, teknik tersebut hanya ditemukan dalam serangan siber yang ditargetkan dengan tujuan utamanya adalah kerusakan data yang bisa dengan mudah diadopsi oleh pencipta

ransomware di masa depan.

Naskah: INDAH PM Foto: CoreQ.Staticword.ne

Newspapers in Indonesian

Newspapers from Indonesia

© PressReader. All rights reserved.