Kelompok peretas di balik ransomware Akira kembali melancarkan gelombang serangan baru yang kali ini menargetkan perangkat firewall SonicWall, memanfaatkan kerentanan lama yang belum ditambal. Serangan ini membuka akses VPN tanpa autentikasi, memungkinkan penyerang menyusup ke dalam jaringan internal perusahaan secara diam-diam.
๐ฅ Eksploitasi Kerentanan CVE-2019-7481
Menurut laporan terbaru, kelompok Akira mengeksploitasi celah keamanan CVE-2019-7481, sebuah kerentanan yang ditemukan pada SonicOS versi 8.0.0.0 ke atas. Celah ini memungkinkan akses remote ke layanan SSL VPN tanpa memerlukan kredensial โ sebuah celah yang telah ditambal sejak 2019, namun masih banyak sistem yang belum diperbarui.
Dengan memanfaatkan celah tersebut, pelaku dapat melewati sistem autentikasi, mengakses jaringan internal, dan menjalankan berbagai teknik eskalasi untuk mencapai domain controller.
๐ฅ Akses Langsung Tanpa Phishing
Berbeda dengan metode umum seperti email phishing, gelombang serangan ini justru menunjukkan peningkatan penggunaan eksploitasi langsung terhadap perangkat jaringan. Hal ini menunjukkan pergeseran strategi kelompok ransomware dalam menjangkau target bernilai tinggi.
Begitu berada di dalam jaringan, operator Akira biasanya akan:
- Mencuri kredensial administrator
- Mengeksekusi skrip pencurian data (exfiltration)
- Mengenkripsi sistem penting
- Meninggalkan catatan tebusan (ransom note) dan mengancam publikasi data
๐ Siapa yang Berisiko?
Perangkat SonicWall yang menjalankan versi lawas dari SonicOS dan belum menerapkan pembaruan keamanan sangat rentan terhadap serangan ini. Penyerang juga dilaporkan menggunakan alat eksploitasi otomatis untuk memindai perangkat yang memiliki layanan SSL VPN terbuka ke internet.
Mengingat banyaknya firewall yang digunakan di sektor publik dan perusahaan besar, potensi dampaknya bisa luas jika tidak segera diatasi.
๐ ๏ธ Rekomendasi Keamanan
Para administrator sistem disarankan untuk segera:
- Memastikan perangkat firewall tidak menjalankan versi SonicOS yang rentan
- Memblokir akses SSL VPN dari internet jika tidak diperlukan
- Menerapkan autentikasi multi-faktor (MFA) di semua layanan VPN
- Melakukan audit log untuk mendeteksi anomali aktivitas VPN
- Mengaktifkan fitur alert dan pemantauan lalu lintas jaringan real-time
๐ Akira Semakin Agresif
Sejak awal 2023, ransomware Akira telah dikaitkan dengan serangkaian serangan tingkat tinggi terhadap sektor pendidikan, manufaktur, dan layanan publik. Dengan semakin canggihnya taktik yang digunakan โ termasuk eksploitasi zero-day dan bypass autentikasi โ kelompok ini menjadi salah satu ancaman paling serius dalam lanskap keamanan siber saat ini.
Sumber: Surge of Akira ransomware attacks hits SonicWall firewall devices