Paige Henley
Diterbitkan di: 13 Februari 2025
Sebuah perusahaan perangkat lunak Asia Selatan menjadi korban serangan cyber utama pada akhir 2024 ketika peretas mengeksploitasi kelemahan kritis di Pan-OS Firewall Palo Alto Networks (CVE-2024-0012). Kerentanan ini, dinilai 9,3 pada skala CVSS, memungkinkan penyerang untuk mem -bypass otentikasi dan mengambil kendali penuh atas sistem manajemen firewall.
Setelah mendapatkan akses, para penyerang mencuri kredensial administratif dan kredensial cloud Amazon S3 dari server Veeam. Mereka mengesampingkan data sensitif sebelum menggunakan ransomware RA World, menuntut tebusan $ 2 juta, dengan penurunan penawaran $ 1 juta untuk pembayaran cepat.
Apa yang membuat serangan ini tidak biasa adalah penggunaan alat spionase yang biasanya dikaitkan dengan peretas yang disponsori negara Cina. Para peneliti menemukan bahwa para penyerang menggunakan Plugx (Korplug), sebuah pintu belakang yang terkait dengan kelompok spionase seperti Mustang Panda. Malware disembunyikan di dalam Toshiba yang dapat dieksekusi, menggunakan teknik canggih untuk menghindari deteksi.
Kejadian ini menyoroti tren yang berkembang di mana peretas negara-negara menggunakan ransomware sebagai senjata finansial dan alat untuk gangguan. Secara historis, kelompok spionase Cina menghindari ransomware, tetapi serangan ini menunjukkan pergeseran strategi yang mirip dengan taktik cyber Korea Utara.
Untuk melindungi dari ancaman ini, organisasi yang menggunakan firewall Palo Alto Networks harus:
- Patch segera untuk memperbaiki CVE-2024-0012.
- Batasi akses ke antarmuka manajemen firewall.
- Pantau tanda -tanda intrusi, terutama aktivitas kredensial yang tidak biasa.
Palo Alto Networks telah merilis pembaruan firmware dan alat deteksi untuk mengurangi risiko, tetapi para ahli keamanan siber memperingatkan bahwa serangan hibrida yang memadukan spionase dan kejahatan dunia maya sedang meningkat.