Security

Kelompok Scattered Spider Luncurkan Gelombang Serangan ke Server VMware ESXi

July 28, 2025
1 minute read
Kelompok Scattered Spider Luncurkan Gelombang Serangan ke Server VMware ESXi
Kelompok Scattered Spider Luncurkan Gelombang Serangan ke Server VMware ESXi

Kelompok peretas bernama Scattered Spider dilaporkan sedang melakukan kampanye peretasan besar-besaran terhadap server VMware ESXi, menargetkan infrastruktur virtualisasi perusahaan dengan tujuan utama: eskalasi akses dan pencurian data skala besar. Aktivitas ini terdeteksi oleh berbagai peneliti keamanan dan dinilai sangat berisiko mengingat posisi ESXi sebagai tulang punggung banyak sistem TI enterprise.

Target: Virtualisasi di Level Infrastruktur

VMware ESXi adalah hypervisor populer yang digunakan secara luas untuk menjalankan mesin virtual di pusat data perusahaan. Dengan berhasil menembus sistem ini, pelaku bisa mengakses berbagai server virtual sekaligus, termasuk domain controller, server email, dan basis data sensitif lainnya.

Scattered Spider—juga dikenal sebagai UNC3944—dikenal menggunakan taktik social engineering canggih, rekayasa SIM swap, dan pencurian kredensial untuk mendapatkan akses awal. Setelah masuk ke jaringan korban, mereka kemudian menyusup lebih dalam hingga mencapai lapisan virtualisasi seperti ESXi.

Taktik dan Teknik Serangan

Menurut laporan, kelompok ini memanfaatkan akses awal yang diperoleh melalui akun VPN atau portal internal yang disusupi, lalu melancarkan serangan terhadap antarmuka manajemen ESXi. Mereka diketahui mematikan agent keamanan, menjalankan perintah esxcli, dan bahkan menghapus snapshot VM untuk menghilangkan jejak serta mempercepat enkripsi dalam serangan ransomware.

Beberapa korban juga melaporkan bahwa pelaku menghindari enkripsi penuh, dan lebih memilih menyalin data sensitif untuk dijual atau digunakan sebagai leverage pemerasan (double extortion).

Ancaman yang Terus Berkembang

Scattered Spider sebelumnya dikaitkan dengan serangan terhadap perusahaan besar di sektor telekomunikasi, layanan cloud, dan hiburan. Kelompok ini termasuk salah satu aktor ancaman yang berbahasa Inggris, relatif muda usianya, namun sangat adaptif dan terorganisir. Mereka juga dikenal menggunakan alat umum seperti AnyDesk, Mimikatz, dan malware bernama POWSSHNET.

Meskipun tidak selalu menjalankan ransomware, mereka kerap berafiliasi dengan kelompok seperti BlackCat/ALPHV, yang dikenal aktif dalam serangan siber berprofil tinggi.

Rekomendasi Mitigasi

Administrator sistem disarankan untuk:

  • Segera memeriksa log aktivitas ESXi dan portal manajemen internal.
  • Menerapkan autentikasi multi-faktor (MFA) di semua sistem akses jarak jauh.
  • Memisahkan jaringan manajemen ESXi dari jaringan produksi dan publik.
  • Menonaktifkan akses shell jarak jauh jika tidak diperlukan.
  • Meningkatkan pemantauan pada akun yang memiliki hak akses administratif tinggi.

Serangan terhadap lapisan virtualisasi seperti ini menunjukkan betapa pentingnya keamanan pada infrastruktur dasar TI, yang jika dilanggar, dapat berdampak luas dan menghancurkan.

Sumber: Scattered Spider is running a VMware ESXi hacking spree

Tags
July 28, 2025
1 minute read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button