Geng Ransomware Kini Ikut Serang Server Microsoft SharePoint yang Rentan

Para pelaku ransomware kini bergabung dalam gelombang serangan siber yang menargetkan server Microsoft SharePoint yang belum ditambal. Menurut laporan terbaru dari sektor keamanan, eksploitasi ini memanfaatkan kerentanan lama namun masih banyak ditemukan di lingkungan enterprise — membuka celah besar untuk akses awal ke jaringan perusahaan.

💥 Eksploitasi CVE-2023-29357 dan Variannya

Gelombang serangan terkini memanfaatkan kerentanan CVE-2023-29357, sebuah bug eskalasi hak akses dalam SharePoint Server yang memungkinkan penyerang mendapatkan privilege administrator tanpa autentikasi. Celah ini telah diperbaiki oleh Microsoft pada Juni 2023, namun ribuan server diketahui masih menjalankan versi rentan.

Tim keamanan siber dari Palo Alto Unit 42 dan Rapid7 melaporkan bahwa grup ransomware seperti Clop dan Black Basta mulai mengeksploitasi celah ini sebagai bagian dari taktik initial access sebelum mengenkripsi data.

🔓 Dari Eksploitasi ke Enkripsi: Jalur Serangan Terstruktur

Skema serangan yang digunakan terpantau cukup sistematis:

1. Eksploitasi SharePoint untuk mendapatkan akses admin awal
2. Lateral movement ke sistem lain dalam jaringan perusahaan
3. Eksfiltrasi data sensitif sebagai tekanan tambahan (double extortion)
4. Eksekusi ransomware untuk mengenkripsi sistem vital
5. Penyerang menuntut tebusan dan ancam publikasi data

Serangan ini sangat sulit dideteksi jika hanya mengandalkan solusi endpoint konvensional, karena sebagian besar akses awal terjadi melalui protokol sah dan tool admin internal seperti PowerShell dan PsExec.

📊 Target Utama: Perusahaan Besar dengan Infrastruktur On-Premise

Banyak organisasi besar masih mengandalkan SharePoint untuk kolaborasi internal dan penyimpanan dokumen penting. Server yang berjalan on-premise, terutama yang tidak rutin diperbarui, menjadi target empuk bagi penyerang.

Unit respons insiden menemukan bahwa sebagian besar korban berasal dari sektor:

• Keuangan dan asuransi
• Manufaktur
• Kesehatan
• Pemerintahan lokal dan pendidikan

🛡️ Rekomendasi Keamanan untuk Mitigasi

Untuk mengurangi risiko dari serangan ini, administrator sistem disarankan:

• Segera pasang patch keamanan terbaru untuk SharePoint Server
• Audit akses dan aktivitas anomali pada akun SharePoint dan Active Directory
• Isolasi server kolaboratif dari jaringan utama jika memungkinkan
• Implementasi MFA dan pembatasan PowerShell remote
• Gunakan solusi EDR/XDR dengan kemampuan deteksi lateral movement

⚠️ Ancaman yang Terus Berkembang

Keterlibatan geng ransomware menunjukkan bahwa eksploitasi terhadap aplikasi enterprise seperti SharePoint telah menjadi jalur masuk utama dalam skenario kompromi modern. Ini bukan hanya soal pencurian data — tetapi juga pemusnahan sistem operasional bisnis.

Sumber: Ransomware gangs join attacks targeting Microsoft SharePoint servers