Server Microsoft SharePoint Jadi Target Baru Serangan Ransomware, Pakar Peringatkan Risiko Besar di Lingkungan Korporat

Setelah sebelumnya Microsoft Exchange menjadi pusat serangan siber, kini giliran Microsoft SharePoint Server yang menjadi sasaran empuk pelaku ransomware. Laporan terbaru dari kalangan peneliti keamanan mengungkap bahwa kelompok peretas mulai mengeksploitasi celah di layanan kolaborasi ini untuk mendapatkan akses awal ke jaringan perusahaan sebelum menyebarkan ransomware.

SharePoint: Target Bernilai Tinggi dalam Infrastruktur TI 📁

Microsoft SharePoint digunakan secara luas oleh perusahaan besar sebagai platform manajemen dokumen, intranet, dan sistem kerja kolaboratif. Posisi strategisnya dalam infrastruktur membuat SharePoint menjadi target ideal bagi aktor ancaman, karena:

• Mengandung data sensitif internal perusahaan
• Terkoneksi langsung dengan layanan Microsoft 365 dan Active Directory
• Sering dijalankan di server on-premises yang belum sepenuhnya diperbarui

Menurut pakar keamanan, SharePoint yang dikonfigurasi lemah atau tidak terpatch dengan baik dapat menjadi pintu masuk utama untuk serangan lateral movement di dalam jaringan perusahaan.

Eksploitasi Celah CVE Lama dan Teknik Web Shell

Penyerang dilaporkan memanfaatkan kerentanan SharePoint yang telah lama diketahui, seperti CVE-2019-0604 dan CVE-2023-29357, untuk mengunggah web shell dan mendapatkan kendali jarak jauh atas sistem. Setelah berhasil masuk, mereka dapat memantau lalu lintas internal, mencuri kredensial, dan mempersiapkan peluncuran ransomware secara bertahap.

Beberapa serangan bahkan menggunakan metode Living-off-the-Land (LotL), yakni memanfaatkan alat sistem Windows yang sah seperti PowerShell dan certutil untuk menghindari deteksi antivirus.

Terhubung dengan Operasi Ransomware Berprofil Tinggi

Meskipun belum ada satu grup yang dikaitkan langsung, pola serangan menunjukkan kemiripan dengan taktik dari kelompok ransomware ternama seperti Clop, Black Basta, dan LockBit. Serangan terhadap SharePoint umumnya menjadi bagian dari fase awal kompromi sebelum pelaku menyebarkan enkripsi ransomware ke seluruh jaringan korban.

Beberapa laporan forensik menyebut bahwa SharePoint sering dimanfaatkan untuk menyimpan atau menyamarkan file enkripsi dan skrip, menjadikannya simpul penting dalam rantai serangan.

Rekomendasi Mitigasi untuk Admin TI

Para pakar menyarankan agar organisasi segera:

• Memastikan semua patch keamanan SharePoint telah diterapkan
• Membatasi akses internet langsung ke server SharePoint on-premises
• Menerapkan segmentasi jaringan dan kontrol akses berbasis peran
• Mengaktifkan logging tingkat lanjut dan pemantauan terhadap aktivitas file abnormal
• Menggunakan proteksi EDR/XDR yang mampu mendeteksi aktivitas LotL

Organisasi juga disarankan untuk memeriksa jejak aktivitas web shell, melakukan audit sistem secara menyeluruh, dan memperkuat kontrol autentikasi untuk akun admin SharePoint.

Sumber: Microsoft SharePoint servers also targeted in ransomware attacks