Beberapa laporan muncul bahwa sejumlah besar server Elasticsearch menjadi korban serangan ransomware yang cukup potensial. Ransomware adalah jenis malware yang paling menyusakan perusahaan jika berada pada sistem atau jaringannya. Ransomware dapat menyandera sistem, paling sering dengan mengenkripsi atau mencuri data, dan melakukan upaya pemerasan. Menurut sebuah laporan terkahir, biaya kerusakan dari uang tebusan diproyeksikan mencapai Rp. 13.5 Triliun selama periode tahun 2016.

Gelombang Baru Serangan Ransomware Mengincar ElasticSearch

Gelombang baru serangan ransomware yang diamati selama beberapa minggu terakhir menargetkan kerentanan pada database MongoDB. Peneliti keamanan menyebut serangan ini sebagai “ransack,” dan memperkirakan bahwa lebih dari 40.000 database terkena dampak dalam dua minggu pertama.

Sekarang penelitian menunjukkan bahwa server Elasticsearch, yang dianggap rentan sehingga bisa diakses melalui internet publik, terkena serangan ransomware WannaCRYpt0. Sebanyak 2.515 server Elasticsearch telah di hilangkan dan ditebus. Sebanyak 34.298 kasus Elastics search yang rentan masih terbuka. Pada hari-hari berikutnya, jumlah server yang terkena dampak meningkat menjadi lebih dari 5.000. Sebagian besar server Elasticsearch yang rentan terbuka di Amazon Web Services (AWS).

Jika server Elasticsearch diretas, pengguna akan menemukan indeks data yang hilang dan pesan yang berbunyi: “KIRIM 0,2 BTC KE WALLET INI: 0XSlPZ2Pa3o2JOKOWI3ko7LnJ57vWmot0r JIKA ANDA INGIN MEMULIHKAN DATABASE ANDA! KIRIM KE EMAIL INI SERVER SERVER ANDA SETELAH MENGIRIMKAN BITCOIN … “

FBI menekankan bahwa korban harus menolak untuk membayar uang tebusan Bitcoin. Sehingga, pengguna mungkin atau mungkin tidak mendapatkan data mereka kembali tergantung pada proses keamanan yang mereka lakukan jika terjadi serangan. Pada titik ini, tidak jelas siapa yang berada di balik serangan tersebut. Ada yang menyebut Korea Utara di balik serangan ini, akan tetapi kenyataannya tools NSA yang di curi mengakibatkan serangan ini. Sebagian menyatakan bahwa 9000 Server C2 aktif di wilayah ASEAN dan berpusat di NIGERIA.

Serangan Ransomware Menyoroti Kebutuhan Keamanan yang Lebih Baik

Ironisnya, apa yang membuat serangan ini mungkin terjadi bukan karena Elasticsearch itu sendiri tidak aman, karena memang tidak. Serangan ransomware dimungkinkan karena contoh ini telah dikonfigurasi sedemikian rupa sehingga membuat mereka rentan. Ini seperti membiarkan pintu depan terbuka.

Bila digunakan oleh amatir tanpa keterampilan keamanan, Elasticsearch mudah diretas. Orang-orang yang menyebarkan objek khusus di AWS mendapat kesan bahwa AWS melindungi mereka, tapi bukan itu masalahnya. Sementara AWS memberitahu pengguna bagaimana melindungi instance AWast Elasticsearch, pengguna masih perlu melakukan pekerjaan itu sendiri.

Sama seperti serangan yang terjadi pada MongoDB, semua ini tidak akan terjadi jika pemrogramnya telah melindungi instansinya dengan langkah-langkah keamanan dasar sesuai praktik terbaik.

Elasticsearch sering digunakan dalam manajemen log. Biasanya digunakan sebagai bagian dari Elastic Stack atau ELK, yang merupakan bahan utama open source Elasticsearch, Lucene dan Kibana. Karena gratis, perangkat lunak open source, ELK merupakan pilihan awal yang mudah bagi banyak perusahaan startup. Ini adalah perangkat lunak yang bagus dan berguna. Proyek open source ini sangat aktif, dengan ribuan kontribusi kode setiap bulan dan basis kode gabungan yang berkembang sekitar 2,5 juta baris kode.

Pengguna membutuhkan keahlian untuk menerapkan dan menjalankannya secara aman dan efisien. Ini berarti membutuhkan orang-orang dengan keterampilan dan waktu untuk mempertahankan cluster ELK. Jika orang-orang ini pergi, perusahaan harus memiliki cadangan. Jika mereka tidak mau atau dapat berinvestasi dalam sumber daya ini, mereka cenderung mendapat masalah, seperti situasi serangan ransomware terakhir ini.

Perangkat Lunak Open Source dan Kerentanan Keamanan

ELK adalah perangkat lunak bebas. Namun ingatlah arti kata tentang bebas: ‘Perangkat lunak bebas’ adalah masalah kebebasan, bukan harga. Untuk memahami konsep tersebut, Anda harus memikirkan ‘bebas’ seperti ‘kebebasan berbicara’, bukan seperti ‘makan siang gratis’. ‘

Apakah perusahaan membayar layanan pengelolaan log atau menjalankan ELK, satu pendekatan tidak harus lebih baik dari yang lain. Bagi beberapa perusahaan, akan masuk akal untuk menjalankan solusi pengelolaan log in-house-built berdasarkan ELK, atau bahkan yang dibangun dari nol. Bagi orang lain, solusi yang disampaikan mungkin yang terbaik.

Apapun itu, perusahaan dan tim perlu hati-hati mengevaluasi apakah open source masuk akal untuk bisnis dan memastikan dapat mampu mendukung penyebaran dengan tepat tanpa menambah risiko. Jika faktor-faktor ini tidak ditimbang atau diselesaikan dengan benar, jumlah serangan ransomware Elasticsearch akan terus bertambah dan menjadi usaha yang menguntungkan bagi para hacker. Perusahaan akan memerlukan layanan backup yang dapat mengenali perilaku data sebagai solusi mengatasi ransomware ketimbang membayar uang tebusan. Sebab, dengan membayar uang tebusan maka sama saja perusahaan anda akan menjadi sasaran empuk di masa datang.

Serangan Ransomware Meningkat Ganda Pada Tahun 2017. Apakah Anda Siap?

Sebuah laporan baru-baru ini menemukan bahwa serangan ransomware meningkat empat kali lipat pada tahun 2016, dan cenderung meningkat dua kali lipat pada tahun 2017. Tidak mengherankan, sebuah survei menunjukkan bahwa 48 persen organisasi telah terkena ransomware pada tahun lalu. Dan saat kami menyoroti posting blog baru-baru ini, aplikasi dan database cloud generasi mendatang dengan cepat menjadi sasaran menarik bagi para penjahat siber.

Penyerang menargetkan data penting atau operasi sekarang, bukan hanya file. Beberapa contoh dari dua minggu terakhir menyoroti tren ini:

  • Sebuah departemen kepolisian di Texas kehilangan bukti delapan tahun kebelakang untuk menindak lanjuti ransomware. File, termasuk video surveillance dan body cam, hilang secara permanen. Proses backup departemen dimulai setelah file-file itu terinfeksi, sehingga backup tidak dapat dipulihkan.
  • Kamera pengawasan polisi Washington, D.C. terkena serangan saat delapan hari sebelum pelantikan Presiden Trump. Ransomware membuat kamera offline selama empat hari sampai perangkat lunak dapat di install ulang.
  • Sebuah hotel mewah di Austria memberikan uang tebusan kepada penyerang setelah sistem kunci kamarnya dinonaktifkan. Serangan ransomware memaksa hotel untuk membayar uang tebusan sehingga para tamu bisa kembali ke kamar mereka.

Penyerang semakin pandai dan memilih target berharga dalam bisnis. Ini hanya masalah waktu sebelum ransomware berhasil menyerang aplikasi berbasis cloud yang berjalan pada platform ini. Terutama untuk Bank Perkreditan Rakyat dan Bank Pembangunan Daerah serta Perusahaan Startup Fintech, anda harus bersiap dalam menghadapi serangan cyber yang akan memusingkan kepala anda.

Strategi Keamanan Tingkat Lanjut Dalam Menghadapi Serangan Ransomware

Strategi keamanan berlapis berarti menggunakan seperangkat alat keamanan untuk mengenali dan mengisolasi perangkat lunak perusak. Tapi itu saja tidak cukup. Departemen Keamanan Dalam Negeri mengeluarkan peringatan tahun lalu yang menyoroti peran kunci yang dimainkan, yakni cadangan dalam mempertahankan diri dari uang ransom:

Melakukan backup data dan rencana pemulihan untuk semua informasi penting. Lakukan dan uji backup secara teratur untuk membatasi dampak kehilangan data atau sistem dan untuk memperlancar proses pemulihan. Perhatikan bahwa backup yang terhubung ke jaringan juga dapat dipengaruhi oleh ransomware. Backup kritis harus di isolasi dari jaringan untuk perlindungan optimal.

Seperti contoh polisi Texas menunjukkan, pulih dari cadangan tidak akan berfungsi jika cadangan itu sendiri terinfeksi

Backup data dan file bisnis yang berversi sangat penting untuk pemulihan. Di situlah sebagian besar solusi cadangan gagal, terutama untuk aplikasi dan database generasi mendatang yang tidak dapat digunakan untuk membuat salinan cadangan yang konsisten di cluster database karena sifat terdistribusinya. Yang lebih penting lagi, mengingat banyaknya data yang diolah oleh aplikasi ini, sangat penting bahwa tidak ada hambatan terhadap pergerakan data masuk dan keluar dari cluster untuk aplikasi backup yang konsisten.

Oleh karena itu, perusahaan akan membutuhkan layanan cloud backup yang dapat mengenali perilaku data dalam menghadapi serangan ransomware dan serangan cyber lainnya. Jangan biarkan bisnis anda terhenti hanya karena penjahat cyber meminta uang tebusan.