Perusahaan Web Hosting Bayar 1 Juta Dollar untuk Mendapatkan File yang di Enkripsi Ransomware – Penyedia web hosting Korea Selatan telah sepakat untuk membayar $ 1 juta pada bitcoin ke peretas setelah ransomware Linux menginfeksi 153 servernya, mengenkripsi 3.400 situs web bisnis dan data yang dihosting di dalamnya.
Menurut sebuah posting blog yang diterbitkan oleh NAYANA, perusahaan web hosting, kejadian malang ini terjadi pada tanggal 10 Juni ketika malware ransomware menyerang server hosting dan penyerangnya meminta 550 bitcoin (lebih dari $ 1,6 juta) untuk membuka file yang dienkripsi.
Namun, perusahaan tersebut kemudian melakukan negosiasi dengan penjahat cyber dan setuju untuk membayar 397,6 bitcoin (sekitar $ 1,01 juta) dalam tiga kali cicilan untuk mendapatkan dekripsi mereka.
Perusahaan hosting telah membayar dua kali cicilan pada saat artikel di blog mereka ditulis dan akan membayar angsuran uang tebusan terakhir setelah memulihkan data dari dua pertiga dari server yang terinfeksi.
Menurut perusahaan keamanan Trend Micro, ransomware yang digunakan dalam serangan tersebut adalah Erebus yang pertama kali ditemukan pada bulan September tahun lalu dan terlihat pada bulan Februari tahun ini dengan kemampuan bypass Control User Account Windows.
Karena server hosting berjalan di kernel Linux 2.6.24.2, periset percaya bahwa Erebus Linux ransomware mungkin telah menggunakan kerentanan yang diketahui, seperti dirty cow exploit; Atau eksploitasi Linux lokal untuk mengambil alih akses root dari sistem.
“Versi Apache NAYANA yang digunakan dijalankan sebagai pengguna nobody (uid = 99), yang mengindikasikan bahwa eksploitasi lokal mungkin juga telah digunakan dalam serangan tersebut,” catat para peneliti.
“Selain itu, situs NAYANA menggunakan versi Apache 1.3.36 dan versi PHP 5.1.4, yang keduanya diluncurkan kembali pada tahun 2006.”
Erebus, ransomware yang terutama menargetkan pengguna di Korea Selatan, mengenkripsi dokumen kantor, database, arsip, dan file multimedia menggunakan algoritma RSA-2048 dan kemudian menambahkannya dengan ekstensi .ecrypt sebelum menampilkan catatan tebusan.
Menurut analisis yang dilakukan oleh para periset Trend Micro, dekripsi file yang terinfeksi tidak mungkin dilakukan tanpa memegang kunci RSA.
Jadi, satu-satunya cara aman untuk mengatasi serangan ransomware adalah pencegahan. Dan ini tentunya mengingatkan kita kembali betapa pentingnya peduli dengan keamanan.
