
Bocornya VPN Account Fortinet. Ada Perusahaan Indonesia juga!

Melanjutkan artikel PRIMACS sebelumnya, yang mana dikabarkan pada 8 September 2021, terjadi kebocoran data untuk 500.000 (kurang lebih) login name & password untuk VPN Fortinet. Hal ini pertama kali diungkapkan oleh bleepingcomputer.com. Menurut sumber tersebut, data tersebut bocor karena ulah dari grup ransomware yang bernama GROOVE. Setelah berhasil mendapatkan data tersebut, grup tersebut kemudian memposting hasilnya di forum hacker baru bernama RAMP dan siapa saja bisa mendownload data tersebut (for free).
File yang berisi login name dan password ini berada di Dark Web. Dan hasil analisa dari tim bleepingcomputer.com, menunjukkan ada 498,908 users dari 12,856 perangkat. Kemudian, setelah dilakukan pengecekan terhadap IP Address dari perangkat tersebut, dapat dipastikan bahwa perangkat tersebut benar-benar VPN Server Fortinet. Dari sumber yang sama juga, diinfokan dalam grafik bahwa ada sekitar 1.88% data yang bocor, merupakan IP Address berasal dari Indonesia.

Tim PRIMACS berhasil mendapatkan informasi IP Address tersebut, dan melihat beberapa IP Address asal Indonesia tersebut milik beberapa perusahaan di Indonesia, dari berbagai macam industri.
Disebutkan oleh advintel.io, bahwa grup ransomware GROOVE beranggotakan orang-orang yang memang specialist di dunia ransomware, yang sering memanfaatkan attack vectors seperti RDP, celah keamanan pada infrastruktur IT, dan celah kemanan pada framework software.
Berdasarkan vektor-vektor tersebut, AdvIntel merekomendasikan untuk mengatasi celah tersebut dengan cara sebagai berikut:
Memantau service RDP perusahaan Anda yang dibuka atau dapat diakses secara publik, dan akses RDP yang dijual di blackmarket.
Memantau celah keamanan pada infrastruktur IT, terutama Fortinet SSL VPN.
Secara cepat melakukan patching dan update terhadap celah keamanan untuk CVE yang dapat dieksploitasi oleh ransomware, khususnya ProxyLogon, CVE server Microsoft Exchange terbaru, dan CVE server OWA.
CVE yang perlu dipantau:
CVE-2019-0708 Bluekeep RDP vulnerability
CVE-2021-27065 Microsoft Exchange server RCE
CVE-2021-26857 Microsoft Exchange server RCE
CVE-2020-0796 - SMBGhost “Bluecorona” RCE vulnerability
CVE-2019-11510 Pulse VPN vulnerability
CVE-2020-0829 Citrix scan vulnerability
CVE-2021-21972 - vmware scan vulnerability
MS17-010 “Eternalblue” vulnerability
CVE-2019-19781 - Citrix netscaler vulnerability
Dan teknik-teknik yang perlu dipantau berdasarkan MITRE ATT&CK:
T1562.001: Impair defenses: disable or modify tools
T1070.001: Indicator removal on host: clear Windows Event Logs
T1041: Exfiltration Over C2 Channel
T1486: Data encrypted for impact
T1489: Service stop
T1490: Inhibit System Recovery
Sepertinya, kasus kebocoran data masih menjadi ancaman yang perlu menjadi perhatian khusus bagi perusahaan. Menilik kebelakang, sebagian dari kasus kebocoran data diakibatkan serangan ransomware dan ada juga akibat lemahnya pertahanan pada sistem keamanan IT sebuah perusahaan. Penting sekali menerapkan sebuah sistem keamanan cyber pada perusahaan. Sudah ada standard atau framework mengenai keamanan informasi maupun cyber yang dapat diadopsi atau diterapkan pada perusahaan, seperti ISO 27001, NIST CSF dan CIS. Sehingga tidak ada lagi kebingungan atau ketidaktahuan mengenai bagaimana cara menerapkan keamanan informasi maupun cyber yang baik dan benar.
Salah satu cara untuk mendapatkan informasi mengenai kebocoran data adalah dengan menggunakan solusi Cyber Threat Intelligence (CTI). PRIMACS mempunyai solusi CTI yang membantu perusahaan dalam melakukan investigasi terhadap ancaman ataupun insiden yang sudah terjadi pada perusahaan. Solusi kami ini adalah DarkTracer.
Saat ini, platform DarkTracer memberikan free trial dan dapat digunakan secara langsung. Anda dapat mengakses fitur Ransomware Monitoring untuk kebutuhan perusahaan Anda. Hubungi segera sales@primacs.co.id untuk informasi lebih lanjut dan follow juga seluruh social media Prima Cyber Solusi, untuk mendapatkan informasi dan juga potongan harga yang menarik lainnya.
Source: