Sebuah geng ransomware baru-baru ini bergabung dalam serangan siber yang tengah berlangsung dengan memanfaatkan rantai kerentanan di Microsoft SharePoint. Kampanye eksploitasi ini telah menyebabkan pelanggaran keamanan terhadap setidaknya 148 organisasi di berbagai negara.
Menurut laporan dari Palo Alto Networks' Unit 42, para peneliti menemukan varian ransomware bernama 4L4MD4R, yang dikembangkan berdasarkan kode open-source Mauri870. Ransomware ini ditemukan dalam insiden yang memanfaatkan kerentanan SharePoint dalam serangkaian eksploitasi yang dijuluki ToolShell.
Ransomware 4L4MD4R pertama kali terdeteksi pada 27 Juli 2025, setelah penyelidikan terhadap malware loader yang mengunduh dan mengeksekusi ransomware dari theinnovationfactory[.]it (145.239.97[.]206). Loader ini terpantau setelah upaya eksploitasi gagal yang menampilkan perintah PowerShell berbahaya, yang dirancang untuk menonaktifkan sistem pemantauan keamanan di perangkat target.
"Analisis payload 4L4MD4R mengungkapkan bahwa muatan tersebut dikemas dalam UPX dan ditulis dalam GoLang. Setelah dieksekusi, sampel mendekripsi encrypted payload AES di memori, mengalokasikan memori untuk memuat file PE yang telah didekripsi, dan membuat thread baru untuk mengeksekusinya," ujar Unit 42.
Ransomware 4L4MD4R ini mengenkripsi file pada sistem korban dan menuntut pembayaran sebesar 0,005 Bitcoin, meninggalkan catatan tebusan serta daftar file yang telah terenkripsi.
Serangan ToolShell ini telah dikaitkan dengan kelompok peretas yang didukung oleh pemerintah Tiongkok. Microsoft dan Google menyebutkan bahwa ada tiga kelompok berbeda yang terlibat: Linen Typhoon, Violet Typhoon, dan Storm-2603. Microsoft melaporkan bahwa Linen Typhoon dan Violet Typhoon aktif mengeksploitasi server SharePoint yang terhubung ke internet, sementara Storm-2603 juga terlibat dalam eksploitasi yang sama. Investigasi lebih lanjut terhadap pelaku lainnya masih berjalan.
Serangan ini telah menyasar berbagai target penting, termasuk Administrasi Keamanan Nuklir Nasional AS, Departemen Pendidikan AS, Departemen Pendapatan Negara Bagian Florida, Majelis Umum Rhode Island, dan beberapa jaringan pemerintah di Eropa dan Timur Tengah.
"Microsoft telah mengamati dua aktor negara Tiongkok yang telah disebutkan namanya, Linen Typhoon dan Violet Typhoon, mengeksploitasi kerentanan ini dengan menargetkan server SharePoint yang terhubung ke internet," ujar Microsoft. "Selain itu, kami juga mengamati aktor ancaman lain yang berbasis di Tiongkok, yang dilacak sebagai Storm-2603, yang mengeksploitasi kerentanan ini. Investigasi terhadap aktor lain yang juga menggunakan eksploitasi ini masih berlangsung."
Eksploitasi ToolShell pertama kali terdeteksi oleh perusahaan keamanan siber Belanda, Eye Security, yang mengidentifikasi dua kerentanan zero-day: CVE-2025-49706 dan CVE-2025-49704. Pada awalnya, Eye Security mencatat 54 organisasi yang telah disusupi, termasuk lembaga pemerintah dan perusahaan multinasional. Penelitian dari Check Point kemudian menemukan tanda-tanda bahwa eksploitasi sudah terjadi sejak 7 Juli, dengan target meliputi sektor pemerintahan, telekomunikasi, dan organisasi teknologi di Amerika Utara serta Eropa Barat.
Microsoft telah menambal dua celah keamanan tersebut melalui pembaruan Patch Tuesday pada Juli 2025, serta memberikan dua ID CVE baru: CVE-2025-53770 dan CVE-2025-53771, untuk zero-day yang dieksploitasi untuk membahayakan server SharePoint yang telah di perbaiki sepenuhnya.
Kepala Teknologi Eye Security, Piet Kerkhofs, menyatakan bahwa dampak serangan ini jauh lebih luas dari yang diperkirakan. Berdasarkan data terbaru, setidaknya 400 server di dalam jaringan 148 organisasi telah terinfeksi malware, dengan banyak sistem yang telah disusupi untuk waktu yang lama.
Menanggapi ancaman ini, Cybersecurity and Infrastructure Security Agency (CISA) telah memasukkan CVE-2025-53770—kerentanan eksekusi kode jarak jauh—ke dalam katalog kelemahan yang aktif dieksploitasi. CISA juga memerintahkan lembaga federal untuk segera mengamankan sistem mereka dalam waktu 24 jam sejak pengumuman.
0 Comments
