Image credit: Magnific
FortiBleed Jalur Serangan Ransomware Baru – Firewall merupakan garis pertahanan pertama (first line of defense) dalam melindungi jaringan perusahaan dari ancaman siber. Namun, bagaimana jika perangkat yang seharusnya menjadi pelindung justru berubah menjadi alat mata-mata yang mencuri kredensial administrator dan pengguna?
Inilah yang terjadi pada operasi FortiBleed, sebuah operasi pencurian kredensial (credential harvesting) berskala global yang menargetkan perangkat Fortinet FortiGate. Berbeda dengan eksploitasi zero-day pada umumnya, FortiBleed tidak memanfaatkan kerentanan baru pada FortiOS.
Operasi ini mengombinasikan kredensial hasil kompromi sebelumnya, password yang lemah atau digunakan ulang, brute force, serta pemasangan alat penyadap (sniffer) untuk memperoleh akses yang sah ke jaringan korban.
Fortinet sendiri menyatakan bahwa aktivitas ini bukan berasal dari kerentanan baru pada produknya, melainkan memanfaatkan kredensial yang telah terekspos dan praktik keamanan identitas yang lemah.
Yang membuat FortiBleed sangat berbahaya adalah perannya sebagai Initial Access Broker (IAB) pihak yang memperoleh akses awal ke jaringan korban, kemudian menggunakan atau menjual akses tersebut kepada kelompok kejahatan siber lain, termasuk operator ransomware.
Dengan demikian, FortiBleed bukanlah akhir dari sebuah serangan, melainkan awal dari rangkaian intrusi yang dapat berujung pada pencurian data, pemerasan, hingga enkripsi massal oleh ransomware.
Apa Itu FortiBleed?
FortiBleed adalah nama yang diberikan kepada operasi global yang berfokus pada pencurian kredensial dari perangkat Fortinet FortiGate dan VPN Gateway yang terhubung ke internet.
Penelitian independen mengungkap bahwa operasi ini telah menargetkan ratusan ribu perangkat FortiGate di berbagai negara. Penyerang membangun ratusan pipeline otomatis untuk mengumpulkan dan memvalidasi kredensial, menghasilkan lebih dari 110 juta kredensial yang mencakup akun VPN, RADIUS, NTLM, Kerberos, dan berbagai mekanisme autentikasi lainnya.
Korban berasal dari berbagai sektor, antara lain:
- Pemerintahan
- Telekomunikasi
- Keuangan
- Kesehatan
- Pendidikan
- Energi
- Teknologi Informasi
- Penyedia Managed Service Provider (MSP)
Karena firewall berada di perbatasan jaringan (network perimeter), keberhasilan memperoleh kredensial administrator memberi peluang besar bagi penyerang untuk mengendalikan lalu lintas jaringan dan memperluas akses ke sistem internal.
|
Baca juga: Mengenal Malvertising |
Mengapa FortiBleed Sangat Berbahaya?
Berbeda dengan malware tradisional yang langsung merusak sistem, FortiBleed berfokus pada pencurian identitas digital.
Bagi penyerang modern, identitas lebih berharga daripada eksploitasi. Dengan menggunakan akun administrator yang sah, mereka dapat melewati banyak mekanisme keamanan tanpa memicu alarm.
Konsekuensinya meliputi:
- Akses administratif ke firewall.
- Pencurian kredensial vpn.
- Pemantauan lalu lintas autentikasi.
- Perubahan kebijakan firewall.
- Pembuatan akun administrator baru.
- Penonaktifan logging atau mekanisme keamanan tertentu.
- Penyusupan ke jaringan internal.
- Pencurian data sensitif.
- Persiapan serangan ransomware.
Karena aktivitas tersebut menggunakan kredensial yang valid, banyak solusi keamanan tradisional menganggapnya sebagai aktivitas pengguna normal.
Bagaimana FortiBleed Bekerja?
Dengan mengetahui cara kerja FortiBleed, ini akan membantu melihat alur serangan dengan detail sehingga bisa memberi gambaran bagaimana melakukan penanggulangannya.
1. Rekonsiliasi dan Identifikasi Target
Penyerang terlebih dahulu melakukan pemindaian internet untuk menemukan:
- Antarmuka administrasi fortigate yang terbuka.
- Portal ssl vpn.
- Layanan manajemen jarak jauh.
- Perangkat dengan konfigurasi yang terekspos.
Target kemudian diprioritaskan berdasarkan nilai organisasi dan potensi akses yang dapat diperoleh.
2. Serangan Berbasis Kredensial
Alih-alih mengeksploitasi kerentanan baru, pelaku memanfaatkan kombinasi:
- Credential stuffing.
- Password spraying.
- Brute force.
- Password yang digunakan ulang (password reuse).
- Kredensial hasil kebocoran sebelumnya.
Fortinet menegaskan bahwa operasi ini terutama memanfaatkan kebersihan kata sandi yang buruk dan belum diterapkannya autentikasi multi-faktor (MFA).
3. Pemasangan FortigateSniffer
Setelah memperoleh akses, penyerang memasang alat khusus berbasis Golang yang dikenal sebagai FortigateSniffer.
Tool ini menyalahgunakan fitur diagnostik bawaan FortiOS (diagnose sniffer packet) untuk menangkap lalu lintas autentikasi secara pasif.
Kemampuannya meliputi:
-
Memonitor puluhan protokol autentikasi.
-
Menangkap kredensial plaintext.
-
Mengumpulkan hash autentikasi.
-
Mengekstrak informasi login pengguna.
-
Mengirim hasil pencurian ke infrastruktur penyerang.
Dengan kata lain, firewall berubah fungsi menjadi “alat penyadap” bagi jaringan yang seharusnya dilindunginya.
4. Lateral Movement
Setelah memiliki banyak kredensial, penyerang mulai memperluas akses ke:
- Active directory.
- File server.
- Mail server.
- Database.
- Layanan cloud.
- Aplikasi bisnis.
- Endpoint pengguna.
Tahap ini sangat penting karena membuka jalan menuju aset-aset bernilai tinggi.
5. Eksfiltrasi Data
Sebelum ransomware dijalankan, data sensitif biasanya dicuri terlebih dahulu, antara lain:
- Dokumen perusahaan.
- Data pelanggan.
- Data keuangan.
- Informasi kontrak.
- Kredensial tambahan.
- Konfigurasi sistem.
Data ini kemudian menjadi alat pemerasan apabila korban menolak membayar tebusan.
Hubungan FortiBleed dengan Ransomware
Salah satu aspek paling penting dari FortiBleed adalah perannya sebagai penyedia akses awal.
Dalam ekosistem kejahatan siber modern, operator ransomware sering kali tidak lagi mencari korban sendiri. Mereka membeli akses dari Initial Access Broker yang telah berhasil memperoleh kredensial dan pijakan awal di jaringan korban.
Analisis terhadap infrastruktur dan artefak operasi menunjukkan bahwa akses yang diperoleh melalui FortiBleed telah dikaitkan dengan sejumlah intrusi lanjutan, termasuk penyebaran ransomware oleh kelompok seperti INC Ransom dan Lynx, setelah fase pencurian kredensial selesai.
Pola serangannya umumnya sebagai berikut:
- Memperoleh akses ke firewall.
- Mencuri kredensial administrator.
- Bergerak ke jaringan internal.
- Mencuri data penting.
- Menonaktifkan atau mengganggu sistem keamanan.
- Mengenkripsi server dan endpoint.
- Melakukan pemerasan dengan ancaman publikasi data (double extortion).
Dengan demikian, FortiBleed merupakan fase awal yang sangat menentukan dalam rantai serangan ransomware modern.
Operasi bagi Organisasi
Organisasi yang terdampak dapat mengalami:
- Kompromi akun administrator.
- Pencurian identitas digital.
- Penyusupan ke active directory.
- Kebocoran data pelanggan.
- Gangguan operasional.
- Kerugian finansial.
- Pemerasan melalui ransomware.
- Hilangnya kepercayaan pelanggan.
- Biaya pemulihan yang sangat besar.
Karena firewall berada di pusat lalu lintas jaringan, kompromi terhadap perangkat ini sering kali memberikan visibilitas luas kepada penyerang.
|
Baca juga: Menyelami Kebenaran Mitos Enkripsi |
Mengapa Banyak Organisasi Menjadi Korban?
Sebagian besar korban memiliki satu atau lebih kondisi berikut:
- Password administrator yang lemah.
- Penggunaan password yang sama di berbagai layanan.
- Akun vpn tanpa mfa.
- Antarmuka administrasi yang dapat diakses dari internet.
- Perangkat belum diperbarui atau belum menerapkan rekomendasi keamanan sebelumnya.
- Pemantauan aktivitas administrator yang kurang memadai.
Hal ini menunjukkan bahwa ancaman terbesar sering kali berasal dari pengelolaan identitas yang kurang baik, bukan semata-mata dari adanya kerentanan baru.
Strategi Mitigasi
Apabila organisasi menggunakan FortiGate, langkah-langkah berikut perlu segera dilakukan:
- Hentikan seluruh sesi administrator dan vpn yang sedang aktif.
- Lakukan rotasi seluruh password administrator dan vpn.
- Aktifkan mfa untuk seluruh akun administrator dan pengguna vpn.
- Perbarui fortios ke versi yang direkomendasikan.
- Batasi akses antarmuka administrasi hanya dari jaringan tepercaya.
- Tinjau log autentikasi untuk mendeteksi login yang tidak wajar.
- Periksa kemungkinan adanya akun administrator yang tidak dikenal.
- Lakukan audit konfigurasi firewall secara menyeluruh.
- Lakukan threat hunting untuk mendeteksi indikasi lateral movement atau persistence.
Rekomendasi Keamanan
FortiBleed memberikan pelajaran penting bahwa perlindungan perangkat perimeter tidak cukup hanya dengan memperbarui firmware. Keamanan identitas harus menjadi prioritas utama.
- Organisasi sebaiknya menerapkan pendekatan Zero Trust.
- Memastikan seluruh akses administratif dilindungi MFA.
- Menerapkan kata sandi yang kuat dan unik.
- Membatasi eksposur antarmuka manajemen ke internet.
- Serta melakukan pemantauan berkelanjutan terhadap aktivitas autentikasi dan konfigurasi perangkat.
- Integrasi firewall dengan sistem SIEM, EDR/XDR.
- Termasuk integrasi dengan layanan threat intelligence.
Jika hal ini semua dilakukan akan mempercepat deteksi aktivitas mencurigakan sebelum berkembang menjadi insiden ransomware.
Perlunya Pengelolaan Keamanan Komprehensif
FortiBleed menunjukkan perubahan besar dalam lanskap ancaman siber. Fokus penyerang tidak lagi hanya mengeksploitasi perangkat, tetapi memperoleh identitas digital yang sah untuk mengendalikan infrastruktur korban.
Operasi ini memperlihatkan bagaimana sebuah firewall dapat diubah menjadi alat pencuri kredensial dan bagaimana akses yang diperoleh kemudian dimanfaatkan sebagai pintu masuk menuju serangan ransomware, pencurian data, dan pemerasan.
Bagi organisasi, insiden ini menjadi pengingat bahwa keamanan jaringan modern harus dibangun di atas kombinasi perlindungan perangkat, pengelolaan identitas yang kuat, pemantauan berkelanjutan, dan kesiapan merespons insiden secara cepat.
Langkah-langkah tersebut akan secara signifikan mengurangi peluang penyerang mengubah akses awal menjadi kompromi yang berdampak luas.
Baca artikel lainnya:
- Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
- Enkripsi Hibrid
- Enkripsi Jarak Jauh
- Rorschach Raja Enkripsi Tercepat
- Enkripsi Linux
- Enkripsi Intermiten
- Memilih Opsi Enkripsi untuk Perangkat Anda
- Enkripsi Proteksi Berlapis Keamanan Data
- ENKRIPSI Kenali Lebih Rinci
- Enkripsi Kebutuhan atau Kewajiban?
Sumber berita:
