Router DrayTek Dieksploitasi dalam Kampanye Ransomware Besar-Besaran: Analisis dan Rekomendasi

Ringkasan

• Laporan Dray:Break 2024 kami mengungkapkan 14 kerentanan baru pada perangkat DrayTek.
• Lihat presentasi kami yang akan datang di Black Hat Europe untuk informasi lebih lanjut.
• PRODAFT membagikan intelijen ancaman dari tahun 2023 tentang kampanye ransomware yang mengeksploitasi perangkat DrayTek.
• Ini adalah pertama kalinya kampanye ini dibahas secara publik.
• Analisis kami menunjukkan alur serangan canggih untuk menyebarkan ransomware, termasuk kemungkinan:
  • Kerentanan zero-day
  • Pencurian kredensial dan pembobolan kata sandi
  • Penyalahgunaan VPN dan tunneling

Panduan

• Pastikan visibilitas terhadap semua perangkat jaringan, terutama yang berada di perimeter.
• Terapkan praktik terbaik dalam pengelolaan kredensial untuk perangkat tersebut.
• Perbarui perangkat perimeter yang rentan sesegera mungkin.
• Segmentasi jaringan Anda untuk mencegah penyebaran pelanggaran.

• Perangkat jaringan perimeter telah menjadi target akses awal yang kritis bagi aktor ancaman tingkat lanjut. Operator ransomware semakin sering mengeksploitasi kerentanan pada router dan perangkat VPN. Analisis ini mengungkapkan kampanye terkoordinasi yang menargetkan perangkat DrayTek Vigor. Temuan kami menunjukkan ekosistem kolaborasi kriminal siber yang kompleks dan infiltrasi jaringan yang sistematis.

• Pada tahun 2022, Forescout Research – Vedere Labs melaporkan insiden di mana ransomware ALPHV digunakan setelah akses awal diperoleh melalui perangkat SonicWall SRA yang rentan. Berdasarkan temuan tersebut, penelitian kami menemukan kerentanan baru pada perangkat perimeter, termasuk router DrayTek, yang menyoroti potensi eksploitasi dalam kampanye ransomware mendatang.

• Saat kami bersiap mempresentasikan temuan kami tentang DrayTek di Black Hat Europe 2024, kami didekati oleh PRODAFT, penyedia intelijen ancaman, dengan wawasan unik tentang kampanye eksploitasi aktif terhadap DrayTek.

• Antara Agustus dan September 2023, PRODAFT mengidentifikasi kampanye terkoordinasi yang menargetkan lebih dari 000 perangkat DrayTek Vigor di seluruh dunia. Operasi ini mengeksploitasi kerentanan yang diduga sebagai zero-day, memungkinkan penyerang untuk menyusup ke jaringan, mencuri kredensial, dan menyebarkan ransomware.

• Beberapa insiden besar terkait dengan kampanye eksploitasi ini, termasuk serangan rantai pasokan Polisi Manchester. PRODAFT bekerja sama dengan beberapa Tim Tanggap Darurat Komputer (CERT) – termasuk CISA dan lembaga penegak hukum – untuk memberi tahu organisasi yang terdampak dan menilai cakupan kampanye ini secara menyeluruh.

• Dalam laporan ini, kami mengungkapkan aktivitas ini secara publik untuk pertama kalinya. Fokus kami adalah pada koordinasi di antara aktor ancaman dan implikasinya yang lebih luas terhadap keamanan siber.

Aktivitas Aktor Ancaman yang Teramati: Wawasan tentang Operasi Ransomware Canggih yang Mengeksploitasi Perangkat DrayTek

Kampanye yang dianalisis melibatkan tiga aktor ancaman yang berbeda—Monstrous Mantis (Ragnar Locker), Ruthless Mantis (PTI-288), dan LARVA-15 (Wazawaka)—yang mengikuti alur kerja yang terstruktur dan efisien sebagaimana ditunjukkan dalam gambar berikut:

Eksploitasi Monstrous Mantis

Monstrous Mantis memainkan peran sentral dalam kampanye ini, bertindak sebagai fasilitator alih-alih terlibat langsung dalam penyebaran ransomware. Mereka mengidentifikasi dan mengeksploitasi kerentanan, secara sistematis mengekstraksi kredensial, lalu mendekripsinya menjadi format teks biasa.

Dengan membagikan kredensial yang sudah didekripsi secara selektif kepada mitra tepercaya, Monstrous Mantis menjaga kendali ketat atas alokasi korban dan memastikan kerahasiaan operasional. Strategi ini memungkinkan mereka untuk mendapatkan keuntungan secara tidak langsung dari serangan ransomware yang dilakukan oleh mitra mereka, sekaligus meminimalkan risiko bagi diri mereka sendiri. Model yang sangat terspesialisasi dan transaksional ini mencerminkan kompleksitas ekosistem siber modern, di mana kelompok-kelompok berbeda bekerja sama untuk memaksimalkan efisiensi operasional dan meminimalkan risiko individu.

Gambar di bawah ini diperoleh dari percakapan antar penyerang. Gambar tersebut menunjukkan cuplikan dari “manual” yang dibuat oleh Monstrous Mantis dan dibagikan kepada kelompok mitra, berisi instruksi tentang cara menggunakan kredensial yang dibagikan untuk membuat profil VPN baru dan membangun saluran koneksi.

Pengamatan PRODAFT: Strategi dan Kolaborasi Monstrous Mantis

PRODAFT juga mengamati cuplikan percakapan di mana kelompok tersebut menyebut kerentanan sebagai zero-day dan secara eksplisit menginstruksikan orang lain untuk tidak membagikannya. Namun, kami belum dapat mengonfirmasi apakah kerentanan tersebut benar-benar merupakan eksploitasi zero-day, karena banyak masalah serupa memengaruhi endpoint “mainfunction.cgi” yang rentan, dan kami tidak memiliki akses penuh ke seluruh payload eksploitasi. Beberapa kerentanan berulang ini akan dibahas pada bagian berikutnya.

Monstrous Mantis menyediakan kredensial yang sudah didekripsi kepada kolaborator tepercaya mereka, memungkinkan kelompok lain seperti Ruthless Mantis (PTI-288) dan LARVA-15 (Wazawaka) untuk menyusup ke lingkungan korban. Namun, Monstrous Mantis menahan eksploitasi itu sendiri, mempertahankan kendali eksklusif atas fase akses awal. Struktur yang terencana ini memungkinkan mereka untuk meraih keuntungan secara tidak langsung, karena operator ransomware yang berhasil memonetisasi intrusi diwajibkan berbagi sebagian hasil mereka.

Aktivitas kampanye yang berlangsung bersamaan menunjukkan bahwa Monstrous Mantis mungkin telah menyediakan kredensial kepada kelompok lain di luar Ruthless Mantis dan LARVA-15. Meskipun identitas kelompok tambahan ini belum dikonfirmasi, penyebaran yang lebih luas ini mengindikasikan kemungkinan adanya jaringan kolaborator yang lebih besar.

Operasi Ruthless Mantis

Ruthless Mantis, sebuah kelompok ransomware yang sangat canggih dengan akar dari operasi REvil sebelumnya, menggunakan kredensial yang disediakan oleh Monstrous Mantis untuk menargetkan korban secara independen. Fokus mereka terutama pada organisasi di Inggris dan Belanda. Berdasarkan data atribusi PRODAFT, mereka berhasil menyerang setidaknya 337 organisasi.

Kelompok ini menunjukkan pendekatan yang sistematis dan metodis dengan memanfaatkan kredensial curian untuk mendapatkan akses awal, meningkatkan hak akses di dalam jaringan yang dikompromikan, dan menyebarkan varian ransomware seperti Nokoyawa dan Qilin. Profil korban mereka mencakup mulai dari perusahaan besar hingga UKM, yang mengindikasikan eksploitasi jaringan yang terpapar secara sembarangan untuk memaksimalkan dampak.

Serangan Serentak oleh LARVA-15

DrayTek Routers Exploited in Massive Ransomware Campaign – Forescout

LARVA-15 menjalankan aktivitas eksploitasi paralel menggunakan kredensial yang disediakan oleh Monstrous Mantis, dengan target korban yang tersebar secara geografis. Operasi mereka mencakup Inggris, Belanda, Australia, Taiwan, Italia, Polandia, Prancis, Jerman, dan Türkiye.

Berbeda dengan Ruthless Mantis, LARVA-15 mengkhususkan diri sebagai Initial Access Broker (IAB), menghasilkan uang dengan menjual akses yang dikompromikan kepada aktor ancaman lainnya.

Model operasional ini menegaskan peran mereka dalam memfasilitasi jaringan serangan yang lebih luas, sekaligus menggambarkan sifat saling terhubung dari ekosistem kejahatan siber.

Kerentanan yang Dieksploitasi: Menelusuri Masalah Baru dan Berulang pada Perangkat DrayTek

Kampanye yang diamati memanfaatkan kerentanan pada router DrayTek untuk mendapatkan akses awal, dengan secara spesifik menargetkan halaman web “mainfunction.cgi” di antarmuka WebUI. WebUI adalah antarmuka administratif berbasis peramban yang digunakan untuk mengonfigurasi router DrayTek, dan sering kali terekspos ke internet meskipun ada panduan dari vendor untuk membatasi akses tersebut.

Sesuai laporan Dray:Break, aplikasi web DrayTek telah menghadapi berbagai masalah keamanan selama empat tahun terakhir, termasuk setidaknya 18 kerentanan yang memungkinkan Remote Code Execution (RCE). Beberapa masalah ini memengaruhi halaman web yang sama, seperti:

• CVE-2020-8515
• CVE-2020-14472
• CVE-2020-14993
• CVE-2020-15415
• CVE-2020-19664
• CVE-2021-42911
• CVE-2021-43118
• CVE-2023-1162
• CVE-2023-24229

Dari daftar ini, CVE-2020-8515 dan CVE-2020-15415 tercatat dalam katalog Known Exploited Vulnerabilities (KEV) milik CISA.

Halaman “mainfunction.cgi” dan fungsi terkaitnya hanya terbatas pada model DrayTek yang sudah tidak dijual, seperti Vigor300B, Vigor2960, dan Vigor3900. Pada model yang lebih baru, fungsi ini telah dihapus, sehingga vektor serangan ini tidak berlaku lagi untuk perangkat yang masih didukung. Bahkan untuk model lama, kerentanan seperti CVE-2020-8515 telah diperbaiki beberapa tahun lalu. Oleh karena itu, munculnya upaya eksploitasi yang berhasil pada tahun 2024 menjadi kejutan besar.

Kemungkinan Eksploitasi Zero-Day

Berdasarkan komunikasi penyerang yang berhasil dicegat, kami menyimpulkan bahwa kampanye ini kemungkinan menggunakan eksploitasi 0-day. Hipotesis ini semakin kuat setelah laporan Dray:Break kami, ketika 22 entri CVE baru terkait “mainfunction.cgi” diterbitkan di National Vulnerability Database (NVD). Setiap entri merujuk pada laporan yang diunggah di GitHub pada 21 Oktober 2024, dengan entri pertama NVD muncul pada 4 November 2024.

Laporan dan entri NVD menunjukkan bahwa bahkan versi firmware yang diperbaiki untuk CVE-2020-8515 (v1.5.3) masih rentan terhadap masalah baru yang teridentifikasi. Oleh karena itu, kami percaya bahwa kampanye eksploitasi yang diamati oleh PRODAFT mungkin memanfaatkan salah satu dari 22 kerentanan yang belum terdokumentasi ini.

Sebagian besar kerentanan baru ini memiliki akar penyebab yang mirip dengan CVE-2020-8515 dan sesuai dengan masalah yang ditemukan dalam penelitian DrayTek kami, seperti CVE-2024-41592. Kemunculan kembali kerentanan serupa dalam kode yang sama menunjukkan kurangnya analisis akar masalah yang mendalam, pencarian varian, dan tinjauan kode yang sistematis oleh vendor setelah setiap pengungkapan kerentanan. Meskipun sebelumnya ini hanya spekulasi, munculnya kerentanan baru ini memberikan bukti tambahan.

Firmware Terbaru dan Ketidakpastian Perbaikan

Versi firmware terbaru untuk perangkat yang tidak lagi dijual adalah v1.5.6, yang tersedia sejak Maret 2024. Namun, masih belum jelas apakah masalah baru yang terdokumentasi ini akan diperbaiki di masa mendatang.

Rekomendasi Mitigasi

DrayTek menjadi contoh nyata bagaimana kerentanan yang berulang terus memengaruhi basis kode kritis—dan sering kali terekspos ke internet. Laporan Dray:Break sebelumnya telah menyoroti eksploitasi oleh beberapa Advanced Persistent Threats (APTs). Kini, melalui kolaborasi dengan PRODAFT, kami mengungkap bagaimana operator ransomware canggih mengeksploitasi masalah yang belum terdokumentasi.

Kegigihan kerentanan serupa menunjukkan tren yang mengkhawatirkan: Selama kelemahan ini tidak ditangani, eksploitasi kemungkinan akan terus terjadi, tidak hanya pada perangkat DrayTek tetapi juga pada platform lainnya. Untuk mengurangi risiko ini, mitigasi proaktif sangatlah penting. Kami merekomendasikan langkah-langkah berikut:

1. Pastikan Visibilitas Jaringan Perimeter
   Memastikan visibilitas penuh terhadap perangkat perimeter jaringan, termasuk perangkat lunak yang mereka jalankan dan pola komunikasi mereka.
2. Pahami Profil Risiko Perangkat
   Pahami tingkat risiko perangkat, terutama yang berkaitan dengan kerentanan, konfigurasi lemah, eksposur internet, dan faktor lainnya.
3. Gunakan Kredensial yang Kuat dan Unik
   Ganti kredensial bawaan atau yang mudah ditebak dengan kata sandi yang kuat dan unik untuk setiap perangkat.
4. Segera Perbarui Perangkat
   Patch perangkat secara tepat waktu dan pertimbangkan untuk mengganti perangkat yang telah mencapai akhir masa pakainya jika tidak lagi dapat diperbarui.

Segmentasi Jaringan
Lakukan segmentasi jaringan untuk memastikan bahwa jika aktor ancaman mendapatkan akses awal melalui router, mereka tidak dapat langsung mengakses semua perangkat penting dalam jaringan Anda.