February 10, 2023 - Herza Cloud

ESXiArgs Ransomware, ransomware baru yang menargetkan server VMware ESXi, telah menyebar dalam skala besar di seluruh dunia, termasuk diantaranya beberpaa perusahaan di Indonesia juga terdampak. Penyerang memanfaatkan kerentanan eksekusi kode jarak jauh CVE-2021-21974, yang sebelumnya ditangani dan diungkapkan dalam peringatan keamanan VMware pada Februari 2021, untuk mendapatkan akses dan menyebarkan ESXiArgs.

1. Ikhtisar ESXiArgs Ransomware

Sangfor FarSight Labs baru-baru ini mengamati ransomware baru yang menargetkan server VMware ESXi, dijuluki oleh para peneliti sebagai ESXiArgs. VMware ESXi Server adalah hypervisor bare metal (Tipe-1) yang dikembangkan untuk vSphere, perangkat lunak pengembangan aplikasi berbasis kontainer dan virtualisasi server VMware. Serangan ESXiArgs mulai muncul dalam skala besar pada bulan Februari tahun ini. Penyerang mengeksploitasi contoh yang belum ditambal dari kerentanan eksekusi kode jarak jauh (RCE) CVE-2021-21974 di server ESXi untuk menyebarkan file berbahaya, menyebabkan limpahan tumpukan di layanan OpenSLP.

Eksploitasi Kerentanan

Kerentanan, yang secara khusus memengaruhi layanan OpenSLP, dapat dieksploitasi melalui port UDP 427 oleh pelaku ancaman yang tidak diautentikasi untuk mendapatkan eksekusi kode jarak jauh dalam serangan dengan kompleksitas rendah. Pada rilis artikel ini, ada 2.453 server yang terpengaruh di seluruh dunia. CVE-2021-21974 memengaruhi versi VMware ESXi berikut:

Versi 7.x sebelum ESXi70U1c-17325551 6
Versi 6.7.x sebelum ESXi670-202102401-SG
Versi 6.5.x sebelum ESXi650-202102101-SG

Menurut intelijen ancaman, ESXi versi 6.0.x dan 5.5.x juga telah diserang. Namun, penasihat keamanan VMware tentang CVE-2021-21974 tidak menentukan bahwa versi ini terpengaruh.

2. Analisis Ransomware ESXiArgs

Analisis Sangfor FarSight Labs menunjukkan 5 file yang terlibat dalam serangan ransomware ESXiArgs. File-file ini terletak di folder /tmp/ dari server korban. Nama file berbahaya ini dan deskripsinya adalah sebagai berikut:

encrypt – enkripsi (file ELF)
encrypt.sh – file fungsi sebelum menjalankan encryptor
public.pem – kunci publik dalam algoritma enkripsi RSA yang digunakan untuk mengenkripsi file
motd – file catatan tebusan dalam format teks
index.html – file catatan tebusan dalam format HTML

Sampel dimulai dengan parameter, yang diverifikasi pada tahap awal peluncuran program. Setelah sampel dimulai dengan parameter yang benar, operasi berikut akan dijalankan.

Catatan Ransomware

Nama file catatan tebusan adalah “How to Restore Your Files.html”. Korban diminta untuk membayar uang tebusan dalam bitcoin dan mendapatkan kunci dekripsi di TOX_ID untuk memulihkan file terenkripsi mereka atau mencegah kebocoran data mereka.

encrypt.sh

Logika skrip shell encrypt.sh dirangkum dalam diagram berikut:

Ubah File Konfigurasi

Mengubah nama file VMDK (file disk mesin virtual) dan VSWP (file swap mesin virtual) untuk menambah kesulitan bagi korban untuk menemukan dan memulihkan data asli setelah file dienkripsi.

Enkripsi File

Semua volume penyimpanan pada host ESXi pertama kali disebutkan sehingga disk virtual yang tidak terpasang ke VM juga dapat terpengaruh.

Volume terenkripsi berisi file dengan ekstensi berikut:

*.vmdk
*.vmx
*.vmxf
*.vmsd
*.vmsn
*.vswp
*.vmss
*.nvram
*.vmem

Penghindaran Pertahanan

Untuk menghindari deteksi dan mencegah pemulihan data, ransomware mencoba melakukan operasi berikut: menghapus semua file log di sistem, menghapus tugas terjadwal, menghapus file cadangan, menghapus semua alamat IP yang ada di file konfigurasi port HTTP, dan menghapus toko/paket/ vmtools.py backdoor file dan file berbahaya awalnya diunggah ke direktori /tmp/.

Mulai Layanan SSH

Enkripsi (Enkripsi)

Perintah startup mencakup parameter startup berikut: file kunci RSA publik, jalur file yang akan dienkripsi, blok data untuk menghindari enkripsi, ukuran blok terenkripsi, dan ukuran file.

Ransomware mengeksekusi dan melakukan beberapa langkah untuk mengenkripsi file sistem.

Fungsi encrypt_file() selanjutnya memanggil fungsi encrypt_simple() untuk melakukan proses enkripsi. Gambar di bawah menunjukkan potongan kode dari fungsi encrypt_file(). Fungsi encrypt_simple terlihat seperti ini:

Proses enkripsi sosemanuk_encrypt adalah sebagai berikut:

Memeriksa apakah nilai yang disimpan dalam hasil kurang dari 0x4F. Ketika nilainya kurang dari 0x4F, operasi eksklusif atau (XOR) dilakukan pada 80LL – (a1 + 128) byte pertama dari teks biasa dengan status internal sandi Sosemanuk. Fungsi kemudian memasuki loop yang mengenkripsi teks biasa yang tersisa di blok 80LL byte setiap kali, memperbarui keadaan internal cipher Sosemanuk setelah setiap blok dienkripsi. Operasi XOR dilakukan pada blok terenkripsi dengan plaintext untuk menghasilkan ciphertext.

Enkripsi penuh untuk file yang lebih kecil dari 128MB
Enkripsi parsial untuk file yang lebih besar dari 128MB (1MB=1024KB)

Menghasilkan Stream Key

3. Indicators of Compromise (IOCs)

i. ESXiArgs ransomware payment address

https://gist.github.com/cablej/c79102960c4615396e8ffc712136744a

ii. MD5

encrypt.sh	d0d36f169f1458806053aae482af5010
encrypt	87b010bc90cd7dd776fb42ea5b3f85d3

4. Solusi

4.1 Saran Perbaikan

Nonaktifkan layanan OpenSLP di ESXi, atau tingkatkan ke ESXi 7.0 U2c, ESXi 8.0 GA, ESXi 7.0 U2c, atau ESXi 8.0 GA (OpenSLP dinonaktifkan secara default).
Periksa apakah file vmtools.py ada di direktori /store/packages/. Jika ditemukan, disarankan untuk segera menghapus file tersebut.
Instal perangkat lunak antivirus, lakukan pemindaian sistem secara teratur, hapus ancaman yang terdeteksi, serta perbarui dan tambal secepat mungkin.
Data penting harus dicadangkan di cloud

4.2 Herza Solutions

Seluruh layanan Baremetal / Dedicated Server Murah dari Herza Cloud telah dilindungi oleh Sangfor Next Generation Firewall dan diperkuat lagi dengan Sangfor Endpoint Secure (Endpoint Detection and Response) memberikan perlindungan terhadap Ransomware ESXiArgs dengan mendeteksi dan menghapus virus. Perbarui perangkat lunak dan basis data virus ke versi terbaru dan tetapkan kebijakan keamanan yang sesuai.

Jadi Anda tidak perlu khawati, untuk menggunakan VMware ESXi di Datacenter Herza Cloud. Hubungi Tim Pre-Sales kami sekarang untuk berkonsultasi.

Apa Itu Mikrotik – Istilah mikrotik mungkin sudah tidak asing lagi pada seseorang yang sering bekerja dan belajar hal-hal yang berkaitan dengan jaringan komputer.

Tapi tenang saja, untuk Anda yang pemula dan baru mengenal apa itu Mikrotik, kami akan berusaha menjelaskan sesederhana mungkin agar Anda mudah memahaminya.

Artikel ini akan membahas mulai dari pengertian, jenis, fungsi, manfaat beserta kelebihan & kekurangannya. Silakan simak sampai bawah!

Apa Itu Mikrotik?

Mikrotik adalah perusahaan yang berfokus pada pengembangan produk teknologi jaringan seperti router dan perangkat lunak routerOS.

Atau bisa diartikan juga mikrotik adalah perangkat lunak dan perangkat keras yang digunakan untuk mengelola jaringan komputer dan jaringan internet.

Dalam mengelola jaringan internet, mikrotik memiliki banyak produk yang dapat membantunya,

Misalnya RouterBoard dan RouterOS yang memiliki berbagai fitur seperti load balancing, hotspot, autentikasi user, dan banyak hal lain.

Produk Mikrotik banyak digunakan oleh perusahaan dan organisasi untuk mengelola jaringan mereka dan memastikan konektivitas dan keamanan jaringan.

Misalnya, jika perusahaan A membutuhkan hotspot atau akses melalui jaringan wireless, mikrotik dapat digunakan untuk membuat jaringan Wi-Fi gratis atau berbayar untuk perusahaan.

Misalnya lagi, jika perusahaan membutuhkan perlindungan jaringan dan keamanan data dari serangan cyber, mikrotik dapat digunakan sebagai router firewall untuk melindungi jaringan perusahaan dan data penting tersebut.

Jenis-Jenis Mikrotik

Perusahaan mikrotik mengeluarkan jenis mikrotik tidak hanya dalam satu jenis saja, umumnya ada jenis mikrotik yang sering digunakan, seperti :

1. Mikrotik RouterOS

Jenis mikrotik pertama ialah model RouterOS yaitu jenis mikrotik yang menggunakan UNIX sebagai sistem operasinya.

Mikrotik jenis ini dapat diinstall pada komputer atau perangkat keras Mikrotik lainnya.

Model RouterOS juga telah menyediakan fitur-fitur yang memungkinkan penggunanya untuk mengelola dan mengatur jaringan komputer, seperti mengatur aliran traffic, mengatur akses internet, menjalankan hotspot, mengatur VPN, dan banyak lagi.

Selain itu, dalam penggunaannya pun terbilang cukup mudah karena model RouterOS memiliki antarmuka berbasis CLI (Command Line Interface) dan GUI (Graphic User Interface) yang mempermudah pengguna dalam mengatur jaringan.

2. Mikrotik RouterBoard

Berbeda dengan jenis mikrotik RouterOS di atas, jenis mikrotik RouterBoard merupakan jenis perangkat keras mikrotik yang dapat digunakan sebagai router jaringan.

Router jaringan adalah sebuah perangkat jaringan yang fungsinya untuk menghubungkan beberapa jaringan lokal (LAN) atau Wide Area Network (WAN) yang akan memungkinkan komunikasi antar jaringan.

Atau secara mudahnya, Mikrotik RouterBoard ini berupa hardware mikrotik yang dapat digunakan untuk menghubungkan beberapa jaringan lokal (LAN) atau Wide Area Network (WAN).

Walaupun model RouterBoard ini berupa perangkat keras, ukurannya terbilang cukup kecil sehingga dapat dengan mudah dibawa kemana saja.

Adapun model RouterBoard sendiri terdiri dari processor, RAM, ROM serta flash memory.

Dengan menggunakan model Routerboard pengguna dapat menginstal RouterOS dalam RouterBoard.

Baca juga artikel kami tentang Jenis-jenis mikrotik dengan pembahasan yang lebih lengkap.

Apa Saja Fungsi Mikrotik?

Setelah mengetahui jenis mikrotik di atas, kami telah merangkum apa saja fungsi dari mikrotik sendiri.

Terdapat 5 fungsi yang harus Anda tahu jika Anda tertarik menggunakan ini, yaitu :

1. Mengkonfigurasi Jaringan Lokal

Fungsi pertama mikrotik ialah mampu mengkonfigurasi jaringan lokal.

Dalam hal ini, Mikrotik dapat membantu mengelola aliran data antar perangkat yang terhubung ke jaringan, seperti komputer, laptop, dan perangkat lainnya.

Mikrotik juga dapat membantu menentukan alamat IP, mengelola paket data, dan memastikan bahwa paket data diteruskan ke tujuan yang benar.

2. Berperan Menjadi Hotspot

Fungsi yang kedua ialah mikrotik bisa digunakan untuk hotspot.

Mikrotik dapat membantu mengelola akses pengguna terhadap jaringan Wi-Fi dan memastikan bahwa setiap pengguna mendapatkan bandwidth yang cukup.

Fitur ini sangat berguna perusahaan bisnis yang menyediakan akses Wi-Fi untuk pelanggan atau perusahaan yang ingin memastikan bahwa jaringan internet tetap efisien.

3. Sebagai Sistem Otentikasi

Fungsinya yang ketiga ialah mikrotik juga dapat berfungsi sebagai sistem otentikasi.

Di dalam mikrotik sudah disediakan fitur yang berguna untuk menjaga keamanan jaringan.

Fitur otentikasi ini akan memungkinkan administrator jaringan untuk mengontrol siapa saja yang bisa mengakses jaringan dan apa saja yang bisa mereka akses.

Hal ini akan memastikan bahwa hanya pengguna yang sah, yang bisa mengakses jaringan dan memblokir situs-situs yang berbahaya atau tidak diinginkan.

Fitur ini juga berguna bagi perusahaan atau organisasi yang ingin memastikan bahwa jaringan mereka tetap aman dan tidak terganggu oleh serangan peretas atau malware.

4. Mengelola Sistem Jaringan Internet

Fungsi selanjutnya ialah mikrotik dapat membantu memsentralisasi atau mempusatkan jaringan internet sehingga mempermudah pengelolaan dan pengaturan jaringan.

Dengan mikrotik pengelolaan jaringan bisa lebih mudah dan efisien, seperti dalam hal alokasi bandwidth, akses jaringan, dan memantau kinerja jaringan.

Hal ini juga akan memastikan bahwa administrator dapat memantau dan mengelola jaringan secara efektif dan memastikan bahwa jaringan bekerja dengan optimal.

Fitur-fitur ini sangat berguna bagi perusahaan atau organisasi yang mengandalkan jaringan internet untuk membantu menjalankan bisnis mereka secara efisien dan produktif.

5. Membuat PPPoE

Fungsi terakhir ialah mikrotik dapat membuat PPPoE (Point-to-Point Protocol over Ethernet) server.

PPPoE adalah protokol yang digunakan untuk menghubungkan perangkat seperti modem atau router dengan jaringan internet.

Dengan menggunakan Mikrotik, administrator jaringan dapat membuat server PPPoE dan memastikan bahwa semua perangkat dalam jaringan dapat terhubung ke internet dengan mudah dan efisien.

Manfaat Mikrotik

Beberapa fungsi di atas akan menghasilkan manfaat yang akan dirasakan penggunanya, seperti :

1. Fleksibilitas

Mikrotik memiliki banyak fitur dan alat yang membantu mengelola jaringan dengan lebih fleksibel dan efisien.

Hal ini akan memastikan administrator dapat menyesuaikan pengaturan jaringan sesuai dengan kebutuhan organisasi.

2. Kontrol Bandwidth

Mikrotik memiliki fitur yang membantu mengelola dan membagi bandwidth antar perangkat dalam jaringan.

Hal tersebut memastikan bahwa semua perangkat dalam jaringan memiliki akses yang sama terhadap internet.

3. Keamanan

Mikrotik memiliki fitur keamanan yang kuat, seperti firewall, untuk membantu melindungi jaringan dari serangan cyber.

Fitur ini memastikan bahwa jaringan dapat bekerja dengan aman dan tidak terganggu oleh serangan cyber.

Baca artikel kami juga tentang cara melindungi router mikrotik dari ransomware.

4. Monitoring

Mikrotik memiliki fitur monitoring yang membantu administrator jaringan memantau dan mengelola jaringan dengan lebih efisien.

Fitur ini memastikan bahwa jaringan bekerja dengan baik dan dapat diidentifikasi dengan mudah jika ada masalah.

5. Skalabilitas

Mikrotik memiliki fitur scalability yang membantu jaringan menyesuaikan dengan kebutuhan kebutuhan perusahaan atau organisasi

Hal tersebut akan memastikan bahwa jaringan dapat bekerja dengan baik dan efisien seiring dengan pertumbuhan perusahaan.

Baca juga artikel kami tentang fungsi dan kegunaan mikrotik lengkapnya.

Kelebihan Kekurangan Mikrotik

Setelah membahas jenis, fungsi dan manfaat mikrotik ada beberapa kelebihan dan kekurangan Mikrotik yang telah kami rangkum untuk Anda

Kelebihan Mikrotik

Harga yang cukup murah
Fitur canggih yang ditawarkan (seperti fitur yang telah dijelaskan di atas sebelumnya)
Tidak memakan banyak tempat
Terdapat garansi jika terjadi kerusakan pada RouterBoard
Tampilan program yang mudah digunakan dan dipahami oleh pengguna
Memiliki dukungan untuk berbagai jenis port dan jaringan internet

Kekurangan Mikrotik

Memiliki jumlah slot ethernet yang terbatas, sehingga perlu menambahkan hub atau switch sebagai perangkat tambahan
Jika penggunaannya dalam skala yang besar membutuhkan keahlian dan pemahaman yang baik mengenai jaringan komputer dan konfigurasi router.
Beberapa fitur web proxy internal mungkin tidak dapat digunakan dengan baik pada Mikrotik.
Bila terjadi kerusakan pada Mikrotik dan tidak dapat diperbaiki, maka pengguna harus membeli yang baru sehingga menambah biaya tambahan.

Kesimpulan

Setelah mengetahui pembahasan mengenai apa itu mikrotik, Anda mungkin bisa menyimpulkan bahwa mikrotik adalah sebuah perangkat lunak dan perangkat keras yang digunakan untuk mengelola jaringan komputer dan jaringan internet yang memiliki beberapa fitur, seperti router, firewall, VPN, hotspot dan lainnya.

Jenis mikrotik pun tidak hanya dalam satu jenis, untuk itu Anda bisa menyesuaikan kebutuhan jenis mikrotik mana yang Anda butuhkan.

Herza Cloud telah menyediakan VPS Mikrotik Indonesia dan Singapore yang murah dengan Lisensi P1.

Semua Paket VPS Mikrotik Murah kami dengan Performa dan Teknologi Terkini, menggunakan 100% SSD dengan konfigurasi RAID 10 untuk keamanan data anda, generasi terkini dari Intel CPU dan 99.5% Garansi Uptime dan berlokasi di Data Center Indonesia.