Magento Menjadi Sasaran Ransomware Baru

Ransomware baru yang disebut KimcilWare menargetkan situs yang menggunakan perangkat lunak e-commerce Magento, seperti yang digunakan oleh Vizio, Olympus, dan Nike. Menurut para ahli keamanan dari komunitas online BleepingComputer, hacker mengeksploitasi kerentanan dalam Magento dan menginstalasi ransomware KimcilWare pada web server. Setelah terinstal, hacker menggunakan Rijndael untuk mengenkripsi file website dan menuntut pembayaran menggunakan Bitcoin, mulai dari $140 sampai $415 untuk dekripsi.

Magento digunakan oleh lebih dari 200.000 perusahaan menurut websitenya, menawarkan solusi e-commerce termasuk manajemen backend order, solusi ritel online, dan community tools.

“Meskipun ada laporan yang beredar tentang ransomware yang difokuskan pada Magento, kami tidak percaya bahwa ada vektor serangan baru, kami juga tidak percaya bahwa masalah ini adalah khusus untuk Magento,” pernyataan Magento kepada ThreatPost.

Siapa di balik serangan dan bagaiamana mereka menembus platform Magento masih tidak diketahui. Namun, MalwareHunterTeam telah menemukan beberapa petunjuk seperti penyerang memperoleh akses ke server yang ditargetkan melalui web shell. “Penyerang menggunakan web shell yang biasanya digunakan oleh alat penyerang otomatis, dan jika web shell berhasil diunggah, penyerang menerima email,” tulis MalwareHunterTeam.

Web shell adalah program kecil atau script yang dapat dipasang oleh penyerang pada web server yang rentan. Penyerang kemudian dapat menggunakan web shell untuk menjalankan perintah sistem melalui browser.

Malware ini mudah dikenali, mengenkripsi semua data di server Magento dengan ekstensi .kimcilware. Penyerang kemudian memasukkan file index.html yang berisi tuntutan tebusan, menurut BleepingComputer, perusahaan keamanan lain yang telah mendokumentasikan serangan.

BleepingComputer tidak tahu asal-usul yang tepat dari KimcilWare, tapi percaya terkait dengan sampel ransomware open source yang disebut Hidden Tear. Hidden Tear dirilis pada bulan Agustus 2015 untuk tujuan pendidikan oleh peneliti keamanan Turki, Utku Sen. MalwareHunterTeam menunjukkan, “KimcilWare dikodekan dalam PHP dan menargetkan website. Ada ransomware lain dari individu ini, yang disebut MireWare, yang merupakan varian dari Hidden Tear.”

Magento mengatakan kepada ThreatPost bahwa mereka telah menerapkan semua patch yang tersedia untuk perangkat lunak. “Kami mengirim update reguler tentang masalah keamanan potensial di pusat keamanan kami dan mendorong pengguna untuk memeriksa berita tentang masalah apapun.”

ThreatPost

You may also like...