Bocornya VPN Account Fortinet. Ada Perusahaan Indonesia juga!


Melanjutkan artikel PRIMACS sebelumnya, yang mana dikabarkan pada 8 September 2021, terjadi kebocoran data untuk 500.000 (kurang lebih) login name & password untuk VPN Fortinet. Hal ini pertama kali diungkapkan oleh bleepingcomputer.com. Menurut sumber tersebut, data tersebut bocor karena ulah dari grup ransomware yang bernama GROOVE. Setelah berhasil mendapatkan data tersebut, grup tersebut kemudian memposting hasilnya di forum hacker baru bernama RAMP dan siapa saja bisa mendownload data tersebut (for free).


File yang berisi login name dan password ini berada di Dark Web. Dan hasil analisa dari tim bleepingcomputer.com, menunjukkan ada 498,908 users dari 12,856 perangkat. Kemudian, setelah dilakukan pengecekan terhadap IP Address dari perangkat tersebut, dapat dipastikan bahwa perangkat tersebut benar-benar VPN Server Fortinet. Dari sumber yang sama juga, diinfokan dalam grafik bahwa ada sekitar 1.88% data yang bocor, merupakan IP Address berasal dari Indonesia.

Source: https://www.bleepingcomputer.com/news/security/hackers-leak-passwords-for-500-000-fortinet-vpn-accounts/
Gambar: Distribusi Data Bocor VPN Account Fortinet berdasarkan Negara

Tim PRIMACS berhasil mendapatkan informasi IP Address tersebut, dan melihat beberapa IP Address asal Indonesia tersebut milik beberapa perusahaan di Indonesia, dari berbagai macam industri.


Disebutkan oleh advintel.io, bahwa grup ransomware GROOVE beranggotakan orang-orang yang memang specialist di dunia ransomware, yang sering memanfaatkan attack vectors seperti RDP, celah keamanan pada infrastruktur IT, dan celah kemanan pada framework software.


Berdasarkan vektor-vektor tersebut, AdvIntel merekomendasikan untuk mengatasi celah tersebut dengan cara sebagai berikut:

  • Memantau service RDP perusahaan Anda yang dibuka atau dapat diakses secara publik, dan akses RDP yang dijual di blackmarket.

  • Memantau celah keamanan pada infrastruktur IT, terutama Fortinet SSL VPN.

  • Secara cepat melakukan patching dan update terhadap celah keamanan untuk CVE yang dapat dieksploitasi oleh ransomware, khususnya ProxyLogon, CVE server Microsoft Exchange terbaru, dan CVE server OWA.

CVE yang perlu dipantau:

  • CVE-2019-0708 Bluekeep RDP vulnerability

  • CVE-2021-27065 Microsoft Exchange server RCE

  • CVE-2021-26857 Microsoft Exchange server RCE

  • CVE-2020-0796 - SMBGhost “Bluecorona” RCE vulnerability

  • CVE-2019-11510 Pulse VPN vulnerability

  • CVE-2020-0829 Citrix scan vulnerability

  • CVE-2021-21972 - vmware scan vulnerability

  • MS17-010 “Eternalblue” vulnerability

  • CVE-2019-19781 - Citrix netscaler vulnerability

Dan teknik-teknik yang perlu dipantau berdasarkan MITRE ATT&CK:

  • T1562.001: Impair defenses: disable or modify tools

  • T1070.001: Indicator removal on host: clear Windows Event Logs

  • T1041: Exfiltration Over C2 Channel

  • T1486: Data encrypted for impact

  • T1489: Service stop

  • T1490: Inhibit System Recovery

Sepertinya, kasus kebocoran data masih menjadi ancaman yang perlu menjadi perhatian khusus bagi perusahaan. Menilik kebelakang, sebagian dari kasus kebocoran data diakibatkan serangan ransomware dan ada juga akibat lemahnya pertahanan pada sistem keamanan IT sebuah perusahaan. Penting sekali menerapkan sebuah sistem keamanan cyber pada perusahaan. Sudah ada standard atau framework mengenai keamanan informasi maupun cyber yang dapat diadopsi atau diterapkan pada perusahaan, seperti ISO 27001, NIST CSF dan CIS. Sehingga tidak ada lagi kebingungan atau ketidaktahuan mengenai bagaimana cara menerapkan keamanan informasi maupun cyber yang baik dan benar.


Salah satu cara untuk mendapatkan informasi mengenai kebocoran data adalah dengan menggunakan solusi Cyber Threat Intelligence (CTI). PRIMACS mempunyai solusi CTI yang membantu perusahaan dalam melakukan investigasi terhadap ancaman ataupun insiden yang sudah terjadi pada perusahaan. Solusi kami ini adalah DarkTracer.


Saat ini, platform DarkTracer memberikan free trial dan dapat digunakan secara langsung. Anda dapat mengakses fitur Ransomware Monitoring untuk kebutuhan perusahaan Anda. Hubungi segera sales@primacs.co.id untuk informasi lebih lanjut dan follow juga seluruh social media Prima Cyber Solusi, untuk mendapatkan informasi dan juga potongan harga yang menarik lainnya.


Source:

8 views0 comments