Hacker Menyerang Kata Sandi Default IPMI Untuk Menyebarkan Ransomware Di Server Linux


BleepingComputer baru-baru ini mengekspos varian Ransomware yang disebut JungleSec yang mempengaruhi server Linux melalui IPMI (Intelligent Platform Management Interface). Aktor ancaman menargetkan IPMI tanpa jaminan untuk mengakses dan mengoperasikan sistem korban dari jarak jauh

Serangan itu
Aktor ancaman pertama-tama menemukan sistem tanpa IPMI aman dan kemudian mendapatkan akses melalui kata sandi default. Peretas kemudian dapat mengontrol dan mengoperasikan komputer. Selanjutnya, mereka me-reboot sistem menjadi mode pengguna-tunggal. Akhirnya, file dienkripsi dan pengguna diarahkan ke file bernama ENCRYPTED.md, yang merupakan catatan permintaan.

Catatan ini menuntut 0,3 Bitcoin dari pemilik sistem yang terkena dampak, untuk mendekripsi data. Catatan permintaan memperingatkan pemilik komputer agar tidak menggunakan Brute Force atau metode lain untuk mendapatkan kembali akses. Bahkan, pesan selanjutnya menyatakan bahwa setiap perubahan dalam byte yang menunjukkan upaya tersebut, akan mengakibatkan hilangnya data terenkripsi secara permanen.

Menurut laporan, korban tertentu melakukan pembayaran Bitcoin, tetapi tidak menerima kunci dekripsi.

Solusinya
Konsol Jarak Jauh IPMI adalah antarmuka standar yang memungkinkan akses resmi ke perangkat keras sistem. Alat ini sangat berguna untuk mengoperasikan server dari jarak jauh.

Namun, JungleSec hanya menjadi perhatian bagi mereka yang menggunakan kata sandi default IPMI. Pencegahan terbaik terhadap serangan JungleSec Ransomware adalah dengan hanya mereset kata sandi IPMI Anda ke sesuatu yang lebih aman, atau mempertimbangkan menonaktifkan / membatasi jika tidak diperlukan.