Microsoft Gagalkan Serangan Ransomware Rhysida yang Menyasar Pengguna Teams
17 Oktober 2025 — Redmond, Washington – Microsoft berhasil menggagalkan gelombang serangan ransomware Rhysida yang menargetkan pengguna Microsoft Teams pada awal Oktober dengan mencabut lebih dari 200 sertifikat digital yang digunakan untuk menandatangani installer Teams palsu.
🎯 Serangan Lewat Installer Palsu Microsoft Teams
Kelompok peretas Vanilla Tempest — juga dikenal sebagai VICE SPIDER atau Vice Society — menjalankan kampanye malvertising dengan menggunakan domain tiruan seperti:
teams-install[.]topteams-download[.]buzzteams-download[.]topteams-install[.]run
Melalui situs-situs palsu tersebut, mereka menyebarkan file berbahaya MSTeamsSetup.exe yang terlihat seperti installer resmi Microsoft Teams, padahal mengandung malware Oyster (juga dikenal sebagai Broomstick atau CleanUpLoader).
Begitu dijalankan, file palsu ini memuat loader yang men-deploy Oyster backdoor, memberi peretas akses jarak jauh untuk mencuri data, mengeksekusi perintah, dan menanam muatan ransomware tambahan.
“Vanilla Tempest adalah aktor kejahatan siber bermotivasi finansial yang berfokus pada penyebaran ransomware dan pencurian data untuk pemerasan,”
jelas Microsoft dalam laporan resminya.
🧠 Teknik Serangan: SEO Poisoning & Iklan Palsu
Serangan ini merupakan lanjutan dari kampanye malvertising akhir September 2025, di mana penyerang memanipulasi iklan mesin pencari (search ads) dan SEO poisoning agar situs palsu muncul di hasil pencarian teratas untuk kata kunci “Microsoft Teams download”.
Dengan tampil seperti situs resmi, korban tanpa curiga mengunduh installer berbahaya yang telah ditandatangani secara sah menggunakan sertifikat dari penyedia seperti SSL.com, DigiCert, dan GlobalSign — teknik yang dikenal sebagai Trusted Signing abuse.
🔐 Langkah Cepat Microsoft
Untuk memutus rantai infeksi, Microsoft segera mencabut lebih dari 200 sertifikat digital yang digunakan untuk menandatangani file malware tersebut, mencegahnya dari eksekusi di sistem Windows yang memverifikasi tanda tangan digital.
Langkah ini menjadi bagian dari inisiatif keamanan berkelanjutan dalam ekosistem Microsoft Trust Program, yang memastikan hanya aplikasi resmi yang lolos proses verifikasi kode.
🦠 Latar Belakang Vanilla Tempest / Vice Society
Kelompok Vanilla Tempest aktif sejak 2021, dan sebelumnya dikenal karena menyerang sektor:
- Pendidikan
- Kesehatan
- Teknologi informasi
- Manufaktur
Mereka telah menggunakan berbagai varian ransomware seperti BlackCat, Quantum Locker, Hello Kitty / Five Hands, dan Zeppelin, sebelum akhirnya beralih ke Rhysida sebagai payload utama sejak pertengahan 2025.
Pada 2022, FBI dan CISA pernah mengeluarkan peringatan bersama setelah Vice Society menyerang Los Angeles Unified School District (LAUSD) — distrik sekolah terbesar kedua di Amerika Serikat.
🛡️ Rekomendasi Microsoft untuk Pengguna
Microsoft menyarankan agar pengguna dan admin TI:
- Selalu mengunduh aplikasi dari situs resmi Microsoft, bukan dari hasil iklan pencarian.
- Menonaktifkan instalasi software tidak terpercaya.
- Memverifikasi tanda tangan digital dan sertifikat pada file installer sebelum menjalankannya.
- Mengaktifkan Microsoft Defender SmartScreen untuk perlindungan dari domain berbahaya.
Sumber: Microsoft
