Serangan Ransomware Meningkat, Memanfaatkan Celah Keamanan Zyxel

Para ahli keamanan siber baru-baru ini menemukan bahwa ada gelombang serangan baru yang memanfaatkan celah keamanan di perangkat firewall Zyxel untuk menyebarkan ransomware berbahaya yang dikenal dengan nama Helldown. Serangan ini pertama kali terdeteksi pada Agustus 2024 dan dengan cepat menyebar ke berbagai negara di seluruh dunia. Banyak organisasi yang menjadi korban, dan mereka kehilangan akses ke jaringan mereka melalui celah yang ada di sistem keamanan Zyxel. Celah tersebut ditemukan dalam sistem firewall Zyxel yang seharusnya melindungi jaringan mereka dari ancaman dunia maya.

Apa Itu Celah Keamanan yang Dimanfaatkan?

Pada dasarnya, serangan ini memanfaatkan celah berbahaya yang disebut directory traversal vulnerability (CVE-2024-11667), yang ada pada firmware Zyxel ZLD versi 5.00 hingga 5.38. Celah ini memungkinkan penyerang untuk mengunduh atau mengunggah file dengan memanfaatkan URL yang telah dimanipulasi. Dengan cara ini, penyerang bisa mendapatkan akses yang tidak sah ke perangkat dan jaringan korban. Hal ini membuka peluang bagi mereka untuk melancarkan serangan lebih lanjut, seperti memasang malware atau mencuri data penting.

Untungnya, setelah menemukan celah ini, pihak Zyxel segera bertindak dengan merilis pembaruan keamanan untuk mengatasi masalah tersebut. Pembaruan ini juga mencakup perbaikan untuk beberapa celah lainnya yang ditemukan di sistem mereka. Namun, meskipun ada pembaruan, banyak organisasi yang masih menjadi korban serangan ransomware ini. Hal ini menunjukkan bahwa memperbarui perangkat saja tidak selalu cukup untuk mencegah serangan, terutama jika penyerang sudah memiliki akses sebelumnya.

Bagaimana Serangan Ini Berjalan?

Kelompok peretas di balik Helldown ransomware memanfaatkan celah ini dengan cara yang cukup canggih. Proses serangan dimulai dengan mereka mendapatkan akses awal ke jaringan perusahaan yang menjadi target. Setelah itu, mereka melakukan beberapa langkah untuk memperdalam infiltrasi mereka ke dalam sistem yang terinfeksi, di antaranya:

1. Membuat Akun Palsu: Para penyerang membuat akun-akun administratif palsu seperti “SUPPORT87” atau “OKSDW82A”, yang memberi mereka kontrol lebih besar terhadap jaringan yang diserang.
2. Membuat Koneksi Aman (SSL VPN): Mereka juga menciptakan jalur koneksi aman melalui SSL VPN untuk menghindari deteksi dan melindungi identitas mereka.
3. Penyusupan Lebih Dalam: Setelah mengakses jaringan, mereka mulai bergerak lebih dalam, mengambil alih lebih banyak perangkat dan sistem yang ada di jaringan tersebut.
4. Menonaktifkan Keamanan Endpoint: Untuk memastikan tidak ada hambatan, mereka menonaktifkan sistem keamanan yang ada, seperti antivirus atau firewall di endpoint.
5. Mencuri Data Sensitif: Salah satu tujuan utama mereka adalah mencuri data penting, baik itu data pelanggan, dokumen perusahaan, atau informasi sensitif lainnya.
6. Mengenkripsi Data: Setelah berhasil mengakses dan mencuri data, mereka mengenkripsi file penting, menjadikannya tidak dapat diakses oleh pemiliknya tanpa kunci dekripsi.

Akibat dari serangan ini sangat merugikan. Bahkan Zyxel sendiri dilaporkan menjadi salah satu korban serangan Helldown. Selain itu, ada lebih dari 30 korban di seluruh dunia yang tercatat di situs kebocoran data milik Helldown, termasuk lima organisasi besar di Jerman.

Apa yang Harus Dilakukan untuk Melindungi Jaringan?

Zyxel menyarankan beberapa langkah yang dapat dilakukan untuk melindungi perangkat dan jaringan Anda dari serangan semacam ini:

1. Perbarui Firmware: Langkah pertama yang harus dilakukan adalah segera memperbarui perangkat Anda dengan firmware versi terbaru. Pembaruan ini sangat penting untuk menutupi celah keamanan yang ada.
2. Nonaktifkan Akses Jarak Jauh: Jika Anda belum bisa memperbarui perangkat, sementara waktu nonaktifkan akses jarak jauh ke perangkat hingga pembaruan selesai dilakukan.
3. Ikuti Panduan Keamanan Siber: Selalu praktikkan panduan keamanan siber yang baik, seperti menggunakan password yang kuat dan tidak mudah ditebak.
4. Ganti Password Admin: Sebagai langkah tambahan, sangat disarankan untuk mengganti kata sandi admin perangkat Anda untuk memperkuat keamanan.

Mengapa Pembaruan Saja Tidak Cukup?

Meskipun pembaruan keamanan telah dirilis, ada beberapa kasus di mana serangan tetap terjadi meskipun perangkat sudah diperbarui. Hal ini terjadi karena penyerang mungkin telah membuat akun palsu sebelumnya atau sudah mendapatkan akses sebelum pembaruan diterapkan. Akun-akun tersebut memberikan mereka akses terus-menerus ke jaringan, bahkan setelah pembaruan dilakukan.

Serangan ransomware seperti Helldown menunjukkan betapa pentingnya menjaga keamanan perangkat dan sistem kita secara proaktif. Selain hanya mengandalkan pembaruan, organisasi harus memastikan bahwa tidak ada pintu belakang yang tertinggal bagi penyerang. Melakukan langkah-langkah pencegahan seperti memperbarui perangkat, mengganti kata sandi, dan menonaktifkan akses jarak jauh adalah hal-hal yang sangat penting untuk mengurangi risiko serangan. Keamanan siber harus selalu menjadi prioritas, karena serangan dapat datang kapan saja.