Jakarta, PERHUTANI (22/07/2024) — Jutaan pengguna Windows di seluruh dunia mengalami masalah Blue Screen of Death (BSOD) yang menyebabkan sistem mati atau restart secara tiba-tiba. Penyebab gangguan diduga berasal dari sistem operasi Windows yang disematkan di produk antivirus CrowdStrike.
CrowdStrike secara aktif bekerja sama dengan pelanggan yang terkena dampak gangguan dalam pembaruan konten untuk host Windows, host Mac dan Linux tidak terpengaruh. “Ini bukan insiden keamanan atau serangan siber. Masalah telah diidentifikasi, diisolasi, dan perbaikan telah diterapkan,” tulis CEO George Kurtz di X, pada Jumat, 19 Juli 2024.
Apa Itu CrowdStrike?
Dikutip dari situs web CrowdStrike, perusahaan ini berfokus keamanan siber dengan platform cloud-native CrowdStrike untuk menjaga dari serangan siber, seperti malware. Didukung oleh CrowdStrike Security Cloud, CrowdStrike memanfaatkan indikator serangan real-time untuk memberikan deteksi yang akurat.
Dikutip dari Reuters, CrowdStrike berdiri pada 2011 dan berbasis di Austin, Texas. CrowdStrike beroperasi di lebih dari 170 negara. CrowdStrike menjadi mitra perusahaan teknologi termasuk Alphabet’s, Google, Amazon (AMZN.O), dan Intel (INTC.O).
CrowdStrike memiliki sekitar 29 ribu pelanggan di seluruh dunia, termasuk raksasa ritel Target (TGT.N), tim Formula One, Mercedes-AMG PETRONAS, dan Pemerintah Amerika Serikat. CrowdStrike bersaing dengan perusahaan seperti Palo Alto Networks (PANWO), Zscaler (ZS.O), dan Fortinet (FTNT.O)
CrowdStrike memanfaatkan aplikasi dengan teknik Endpoint Detection and Response (EDR). Hal ini menyediakan penawaran antivirus guna memastikan pencegahan. CrowdStrike berisi berbagai modul produk yang terhubung ke satu lingkungan SaaS. Solusi keamanan diterapkan oleh satu agen, yang dikenal sebagai CrowdStrike Falcon Sensor.
Platform Falcon dibagi menjadi Solusi Keamanan Endpoint, TI dan Operasi Keamanan, Intelijen Ancaman, Solusi Keamanan Cloud, dan Solusi Perlindungan Identitas. CrowdStrike dapat diinstal di sistem operasi Windows, Mac, atau Linux untuk platform desktop atau server. Platform ini mengandalkan solusi SaaS di cloud untuk mengelola kebijakan, mengontrol data pelaporan, mengelola, dan merespons ancaman.
CrowdStrike juga bekerja offline atau online untuk menganalisis file saat mencoba dijalankan di titik akhir. CrowdStrike Falcon, salah satu platform andalan CrowdStrike memungkinkan administrator untuk melihat informasi inventaris aset dan aplikasi secara real-time dan historis. Setelah itu mengingatkan administrator pada saat ada indikator ancaman.
CrowdStrike Falcon dibuat khusus untuk memberikan laporan terperinci tentang ancaman yang terlihat di lingkungan. Ini juga mengumpulkan data tambahan tentang pelaku ancaman di seluruh dunia. Adapun, fitur Intelijen CrowdStrike Falcon mampu menyelidiki insiden secara otomatis dan mempercepat respons peringatan. CrowdStrike Falcon beroperasi dalam hitungan detik.
Dikutip dari Acecloudhosting.com, CrowdStrike Falcon mengklaim bahwa teknologinya dapat mendeteksi 99 persen ancaman malware. Adapun cara kerja CrowdStrike Falcon memblokir kode berbahaya yang diketahui agar tidak dieksekusi. CrowdStrike Falcon mendeteksi ancaman baru sebelum menyebar melalui jaringan. Perangkat bisa menghentikannya sebelum menyebabkan kerusakan di sistem lain jaringan. Dikutip dari Independent, CrowdStrike dikenal setelah menyelidiki peretasan berskala besar pada Sony Pictures.
Detail Kejadian Blue Screen of Death (BSOD) dan Informasi Lebih Lanjut
Pada hari Jumat, CrowdStrike mengakui bahwa pembaruan konfigurasi sensor rutin yang diterapkan ke platform Falcon untuk perangkat Windows pada 19 Juli pukul 04:09 UTC secara tidak sengaja memicu kesalahan logika yang mengakibatkan Blue Screen of Death (BSoD), membuat banyak sistem tidak dapat dioperasikan dan mengirim bisnis menjadi kacau balau.
Peristiwa ini berdampak pada pelanggan yang menjalankan sensor Falcon untuk Windows versi 7.11 dan lebih tinggi, yang online antara pukul 04:09 dan 05:27 UTC (11.09 – 12.27 WIB).
Aktor jahat tidak membuang-buang waktu memanfaatkan kekacauan yang diciptakan oleh peristiwa tersebut untuk membuat domain salah ketik yang meniru CrowdStrike dan mengiklankan layanan kepada perusahaan yang terkena dampak masalah ini dengan imbalan pembayaran mata uang kripto.
Perusahaan keamanan siber CrowdStrike memperingatkan bahwa pelaku ancaman mengeksploitasi situasi tersebut untuk mendistribusikan Remcos RAT kepada pelanggannya di Amerika Latin dengan kedok menyediakan perbaikan terbaru.
Rantai serangan melibatkan pendistribusian file arsip ZIP bernama “crowdstrike-hotfix.zip,” yang berisi pemuat malware bernama Hijack Loader (alias DOILoader atau IDAT Loader) yang, pada gilirannya, meluncurkan muatan Remcos RAT.
Secara khusus, file arsip juga menyertakan file teks (“instrucciones.txt”) dengan instruksi berbahasa Spanyol yang mendesak target untuk menjalankan file yang dapat dieksekusi (“setup.exe”) untuk pulih dari masalah tersebut.
“Yang perlu diperhatikan, nama file berbahasa Spanyol dan instruksi dalam arsip ZIP menunjukkan bahwa kampanye ini kemungkinan menargetkan pelanggan CrowdStrike yang berbasis di Amerika Latin (LATAM),” kata perusahaan itu, menghubungkan kampanye tersebut dengan tersangka kelompok kejahatan elektronik.
Pelanggan yang terkena dampak disarankan untuk “memastikan mereka berkomunikasi dengan perwakilan CrowdStrike melalui saluran resmi dan mematuhi panduan teknis yang diberikan oleh tim dukungan CrowdStrike.”
Microsoft, yang telah bekerja sama dengan CrowdStrike dalam upaya remediasi, mengatakan krisis digital ini telah melumpuhkan 8,5 juta perangkat Windows secara global, atau kurang dari satu persen dari seluruh mesin Windows.
Perkembangan ini – yang sekali lagi menyoroti risiko yang terkait dengan ketergantungan pada rantai pasokan monokultural – menandai pertama kalinya dampak dan skala sebenarnya dari peristiwa dunia maya yang mungkin paling mengganggu dalam sejarah telah diumumkan secara resmi ke publik.
“Insiden ini menunjukkan keterkaitan ekosistem kita yang luas – penyedia cloud global, platform perangkat lunak, vendor keamanan dan vendor perangkat lunak lainnya, serta pelanggan,” kata raksasa teknologi itu. “Ini juga merupakan pengingat betapa pentingnya bagi kita semua di seluruh ekosistem teknologi untuk memprioritaskan pengoperasian dengan penerapan yang aman dan pemulihan bencana menggunakan mekanisme yang ada.”
Permohonan Maaf CrowdStrike
CEO CrowdStrike, George Kurtz, menyampaikan permohonan maaf atas gangguan teknologi informasi yang mempengaruhi perusahaan di berbagai sektor secara global pada Jumat, 19 Juli 2024.
“Kami sangat menyesalkan dampak yang kami sebabkan kepada pelanggan, para wisatawan, dan siapa pun yang terkena dampaknya, termasuk perusahaan kami,” kata Kurtz dalam laporan Channel News Asia, Jumat, 19 Juli 2024, dikutip Antara.
Kurtz mengatakan, CrowdStrike berupaya untuk menyelesaikan gangguan tersebut. Sistem bisa beroperasi setelah dinyalakan ulang. “Butuh waktu bagi sebagian sistem yang tidak pulih otomatis tapi kami akan memastikan seluruh sistem pelanggan pulih sepenuhnya,” kata Kurtz.
Remediasi Bagi Perangkat Terdampak
Crowdstrike telah menerbitkan laporan mengenai kejadian Blue Screen of Death (BSoD) serta cara remediasinya pada situs resmi Crowdstrike. Bagi pengguna yang memerlukan bantuan dalam melakukan proses pemulihan dari kejadian ini dapat menghubungi tim Perhutani-CSIRT dengan membuat laporan terlebih dahulu pada Helpdesk TI dengan Help Topik ‘Insiden Siber’ pada https://layanan.perhutani.co.id.
Sumber = The Hacker News, Tekno Tempo