Mengambil keuntungan dari kerentanan yang baru diungkapkan dan bahkan ditambal telah menjadi hal yang umum di kalangan penjahat dunia maya, yang menjadikannya salah satu vektor serangan utama untuk ancaman sehari-hari, seperti penambangan crypto, phishing, dan ransomware.
Seperti yang diduga, kerentanan kritis yang baru-baru ini diungkapkan dalam Oracle WebLogic Server yang banyak digunakan sekarang telah terlihat aktif dieksploitasi untuk mendistribusikan varian ransomware yang belum pernah dilihat sebelumnya, yang oleh para peneliti dijuluki " Sodinokibi ."
Akhir pekan lalu, The Hacker News mengetahui tentang deserialisasi kritis terhadap kerentanan eksekusi kode jauh di Oracle WebLogic Server yang dapat memungkinkan penyerang untuk menjalankan perintah sewenang-wenang dari server yang terkena dampak hanya dengan mengirim permintaan HTTP yang dibuat khusus — tanpa memerlukan otorisasi apa pun.
Untuk mengatasi kerentanan ini (CVE-2019-2725), yang mempengaruhi semua versi perangkat lunak Oracle WebLogic dan diberi skor keparahan 9,8 dari 10, Oracle meluncurkan pembaruan keamanan out-of-band pada 26 April, hanya sebuah sehari setelah kerentanan diumumkan dan beberapa serangan di alam liar diamati.
Menurut para peneliti cybersecurity dari tim riset ancaman Cisco Talos, sekelompok peretas yang tidak dikenal telah mengeksploitasi kerentanan ini sejak setidaknya 25 April untuk menginfeksi server yang rentan dengan malware ransomware baru.
serangan ransomware
Sodinokibi adalah varian ransomware berbahaya yang telah dirancang untuk mengenkripsi file dalam direktori pengguna dan kemudian menghapus cadangan salinan bayangan dari sistem dalam upaya untuk mencegah korban memulihkan data mereka tanpa membayar uang tebusan.
Tidak Ada Interaksi Diperlukan untuk Menyebarkan Ransomware
Karena penyerang meningkatkan kerentanan eksekusi kode jarak jauh di Server WebLogic, tidak seperti serangan ransomware biasa, menggunakan ransomware Sodinokibi tidak memerlukan interaksi pengguna.
"Secara historis, sebagian besar varietas ransomware memerlukan beberapa bentuk interaksi pengguna, seperti pengguna membuka lampiran ke pesan email, mengklik tautan jahat, atau menjalankan sepotong malware di perangkat," peneliti menjelaskan dalam posting blog .
"Dalam hal ini, para penyerang hanya memanfaatkan kerentanan Oracle WebLogic, menyebabkan server yang terpengaruh mengunduh salinan ransomware dari alamat IP yang dikendalikan penyerang."
Setelah diunduh, ransomware Sodinokibi mengenkripsi sistem korban dan menampilkan catatan tebusan yang menuntut hingga $ 2.500 dalam Bitcoin. Jumlahnya berlipat ganda menjadi $ 5.000 jika tebusan tidak dibayarkan dalam jumlah hari tertentu — yang mungkin bervariasi dari dua hari hingga enam hari.
Peretas Juga Memasang GandCrab Ransomware
Para peneliti juga mencatat bahwa kira-kira delapan jam setelah menempatkan Sodinokibi pada sistem yang terinfeksi, para penyerang mengeksploitasi kerentanan Server WebLogic yang sama untuk menginstal sepotong ransomware lain yang dikenal sebagai GandCrab ( v5.2 ).
serangan ransomware
"Kami merasa aneh bahwa penyerang akan memilih untuk mendistribusikan ransomware tambahan yang berbeda pada target yang sama," kata para peneliti. "Sodinokibi menjadi rasa baru ransomware, mungkin para penyerang merasa upaya mereka sebelumnya tidak berhasil dan masih mencari uang dengan mendistribusikan Gandcrab."
Penyerang telah mengeksploitasi kerentanan Oracle WebLogic Server di alam liar sejak setidaknya 17 April untuk mendistribusikan cryptocurrency miner dan jenis malware lainnya .
WebLogic Server adalah server aplikasi perusahaan multi-tier berbasis Java yang populer yang biasanya digunakan oleh perusahaan untuk mendukung aplikasi perusahaan, yang membuatnya sering menjadi sasaran penyerang yang mencoba melakukan operasi jahat, seperti menjalankan penambang cryptocurrency dan menginfeksi dengan ransomware.
Organisasi yang menggunakan Oracle WebLogic Server harus memastikan untuk memperbarui instalasi mereka ke versi terbaru dari perangkat lunak sesegera mungkin.
Sumber Artikel : TheHackerNews
