Courtesy of YahooFinance

Phishing Canggih Target Admin ScreenConnect Buka Jalan Masuk Ransomware

Menginformasikan tentang kampanye phishing yang menargetkan administrator ScreenConnect untuk mencuri kredensial super-administrator dengan tujuan memfasilitasi serangan ransomware yang dapat merugikan organisasi secara signifikan.

25 Agt 2025, 17.35 WIB

123 dibaca

Ikhtisar 15 Detik

Kampanye phishing yang menargetkan administrator ScreenConnect dapat membuka pintu bagi serangan ransomware.
Penggunaan teknik adversary-in-the-middle dan alat seperti EvilGinx mempermudah peretas untuk mendapatkan akses ke kredensial.
Kredensial yang dicuri memungkinkan peretas untuk melakukan serangan lateral di jaringan dan menyebarkan ransomware dengan lebih efisien.

Sebuah kampanye canggih telah berlangsung sejak 2022 dan menargetkan administrator cloud ScreenConnect dengan cara mencuri kredensial mereka melalui phishing. Serangan ini menggunakan akun Amazon Simple Email Service yang telah disusupi untuk mengirim email phishing yang sangat meyakinkan.

Target utama dari serangan ini adalah super-administrator ScreenConnect, yaitu administrator dengan hak akses paling tinggi yang dapat mengatur dan mengendalikan infrastruktur akses jarak jauh sebuah perusahaan. Dengan kredensial ini, penyerang bisa menguasai jaringan dan aset perusahaan secara luas.

Teknik yang digunakan termasuk menggunakan alat open-source bernama EvilGinx dan metode adversary-in-the-middle yang memungkinkan hacker melewati proses autentikasi dan bertahan dalam sistem korban tanpa terdeteksi.

Kelompok ransomware Qilin yang terkenal dengan serangan-serangan berprofil tinggi diduga terkait dengan kampanye ini. Mereka menggunakan akses yang didapat untuk memperluas serangan dan menyebarkan ransomware secara luas ke komputer-komputer dalam jaringan korban.

Ahli dari Sophos menyebutkan bahwa email phishing ini sangat mirip dengan notifikasi resmi dari ScreenConnect, sehingga sulit dikenali sebagai penipuan. Akibatnya, banyak sistem menjadi terekspos dan terkena serangan ransomware yang merugikan banyak perusahaan.

Referensi:
[1] https://finance.yahoo.com/news/credential-harvesting-campaign-targets-screenconnect-103513013.html

Analisis Ahli

Anthony Bradshaw

"Phishing yang mengatasnamakan alert ScreenConnect sangat efektif menipu administrator dan membuka jalan bagi serangan ransomware yang merusak."

Analisis Kami

"Serangan ini memperlihatkan betapa rentannya infrastruktur manajemen akses jarak jauh jika tidak diawasi dengan ketat terutama terhadap serangan phishing yang semakin kompleks. Organisasi harus memperkuat autentikasi multi-faktor dan pemantauan aktivitas administrator untuk mengurangi risiko eksploitasi semacam ini."

Prediksi Kami

Serangan siber yang menargetkan platform manajemen akses jarak jauh seperti ScreenConnect akan semakin meningkat, dengan metode phishing yang lebih canggih dan serangan ransomware yang lebih merusak di berbagai perusahaan.

Pertanyaan Terkait

Apa yang menjadi fokus utama kampanye yang diteliti oleh Mimecast?

Fokus utama kampanye yang diteliti oleh Mimecast adalah pengumpulan kredensial dari administrator cloud ScreenConnect.

Bagaimana peretas mendapatkan akses ke kredensial administrator di ScreenConnect?

Peretas mendapatkan akses ke kredensial administrator dengan menggunakan akun Amazon Simple Email Service yang telah dikompromikan untuk melakukan spear-phishing.

Apa yang dapat dilakukan peretas dengan kredensial super-administrator?

Dengan kredensial super-administrator, peretas dapat menginstal instance ScreenConnect yang mereka kendalikan di beberapa komputer sekaligus.

Siapa yang menjadi target utama dalam kampanye phishing ini?

Target utama dalam kampanye phishing ini adalah administrator TI senior yang memiliki hak akses tinggi di lingkungan ScreenConnect.

Apa hubungan antara Qilin dan kampanye credential-harvesting ini?

Qilin terlibat dalam aktivitas ransomware dan memiliki hubungan dengan kampanye credential-harvesting ini, yang memungkinkan mereka untuk meluncurkan serangan lebih lanjut.