Pakar keamanan siber terus bekerja untuk membendung dampak dari apa yang mungkin menjadi satu-satunya serangan ransomware global terbesar yang pernah tercatat. Sebuah afiliasi dari geng REvil Rusia yang terkenal, terkenal karena memeras $US11 juta ($15 juta) dari pengolah daging JBS awal tahun ini, menginfeksi ribuan korban di setidaknya 17 negara pada hari Jumat .
Perusahaan IT yang berbasis di Miami, Kaseya, yang menjadi target awal serangan itu, mengatakan kurang dari 60 pelanggannya "terkena dampak langsung".
Namun dampak penuh dari penyusupan tersebut masih menjadi fokus, sebagian karena perangkat lunak Kaseya yang dikomandoi oleh penjahat cyber digunakan oleh penyedia layanan terkelola, yang menangani pekerjaan TI back-office seperti menginstal pembaruan untuk bisnis lain.
Dalam beberapa kasus, reaksi berantai memberi gangguan yang lebih luas.
Jaringan toko kelontong Coop Swedia harus menutup ratusan toko pada hari Sabtu karena mesin kasirnya dijalankan oleh Visma Esscom, yang mengelola server untuk sejumlah bisnis Swedia dan pada gilirannya menggunakan Kaseya.
JBS Foods membayar setara dengan US$11 juta untuk mengakhiri serangan cyber selama lima hari yang menghentikan operasinya di seluruh dunia bulan lalu.
Brett Callow, pakar ransomware di perusahaan keamanan siber Emsisoft, mengatakan dia tidak mengetahui adanya serangan rantai pasokan ransomware sebelumnya dalam skala ini.
Ada yang lain, tapi jumlahnya cukup kecil, katanya.
FBI mengatakan sedang menyelidiki serangan itu, bersama dengan Cybersecurity and Infrastructure Security Agency federal, tetapi menambahkan bahwa "skala insiden ini mungkin membuat kami tidak dapat menanggapi setiap korban secara individual".
Wakil penasihat keamanan nasional Anne Neuberger kemudian mengeluarkan pernyataan yang mengatakan Presiden Joe Biden telah "mengarahkan sumber daya penuh pemerintah untuk menyelidiki insiden ini", dan mendesak semua orang yang percaya bahwa mereka telah dikompromikan untuk memperingatkan FBI.
Pada hari Sabtu, Biden menyarankan AS akan merespons jika Kremlin terbukti terlibat.
Serangan itu terjadi kurang dari sebulan setelah Biden menekan Presiden Rusia Vladimir Putin untuk berhenti menyediakan tempat yang aman bagi REvil dan geng ransomware lainnya yang serangannya dianggap AS sebagai ancaman keamanan nasional.
Sebagian besar bisnis kecil terpengaruh
Bisnis dan lembaga publik yang terkena serangan terbaru termasuk layanan keuangan, perjalanan dan rekreasi dan sektor publik, tetapi hanya sedikit perusahaan besar yang terlibat, perusahaan keamanan siber Sophos melaporkan.
Penjahat Ransomware masuk ke jaringan dan menabur malware yang melumpuhkan jaringan saat aktivasi dengan mengacak semua data mereka. Korban mendapatkan kunci dekoder saat mereka membayar.
Kepala eksekutif Kaseya Fred Voccola memperkirakan jumlah total korban mencapai ribuan, sebagian besar usaha kecil seperti "praktik gigi, firma arsitektur, pusat operasi plastik, perpustakaan, hal-hal seperti itu".
Mr Voccola mengatakan bahwa hanya antara 50 hingga 60 dari 37.000 pelanggan perusahaan yang dikompromikan.
Namun dia mengatakan 70 persen dari mereka adalah penyedia layanan terkelola yang menggunakan perangkat lunak perusahaan untuk mengelola banyak pelanggan.
Program ini mengotomatiskan penginstalan pembaruan perangkat lunak dan keamanan serta mengelola cadangan dan tugas penting lainnya.
Perusahaan keamanan siber ESET mengidentifikasi korban di setidaknya 17 negara, termasuk Inggris, Afrika Selatan, Kanada, Argentina, Meksiko, Indonesia, Selandia Baru, dan Kenya.
Waktu bukan kebetulan
Peneliti keamanan siber Jake Williams, presiden Rendition Infosec, mengatakan dia sudah bekerja dengan enam perusahaan yang terkena ransomware.
Bukan kebetulan itu terjadi sebelum akhir pekan Empat Juli, ketika staf TI umumnya tipis di AS, tambahnya.
"Tidak ada keraguan dalam pikiran saya bahwa pengaturan waktu di sini disengaja," katanya.
Banyak korban di AS mungkin tidak mengetahuinya sampai mereka kembali bekerja pada hari Senin.
Sebagian besar pelanggan akhir penyedia layanan terkelola "tidak tahu" jenis perangkat lunak apa yang digunakan untuk menjaga jaringan mereka tetap aktif, kata Voccola.
Kaseya mengatakan telah mengirim alat pendeteksi ke hampir 900 pelanggan pada Sabtu malam.
John Hammond dari Huntress Labs, salah satu perusahaan keamanan siber pertama yang membunyikan alarm atas serangan tersebut, mengatakan bahwa dia telah melihat permintaan sebesar US$5 juta dan US$500.000 oleh REvil untuk kunci dekripsi yang diperlukan untuk membuka kunci jaringan yang diacak. Jumlah terkecil yang diminta tampaknya adalah $US45.000.
Ini bukan serangan ransomware pertama yang menargetkan penyedia layanan terkelola.
Pada tahun 2019, para penjahat merusak jaringan 22 kota di Texas melalui satu jaringan. Pada tahun yang sama, 400 praktik dokter gigi AS lumpuh dalam serangan terpisah.