Dalam dunia keamanan siber yang terus berkembang, seringkali ancaman paling efektif bukanlah yang paling rumit secara teknis—melainkan yang paling opportunistik. Salah satu kampanye terbaru yang menggarisbawahi hal ini adalah kampanye yang dianalisis oleh tim Riset Ancaman dari Imperva, berjudul “Imperva Detects and Mitigates Rejetto HFS Spray-and-Pray Ransomware/Trojan Campaign”.
Artikel ini akan membahas secara mendalam bagaimana kampanye tersebut bekerja, mengapa sangat berbahaya, implikasi terhadap organisasi, dan langkah-strategis mitigasi yang bisa diambil.
Latar Belakang: Sistem Tua yang Masih Digunakan
Meski sudah ada teknologi yang jauh lebih modern, banyak organisasi masih menggunakan server file lama atau open-source file server seperti Rejetto HFS (HTTP File Server) versi 2.x yang tidak lagi mendapatkan update keamanan. Imperva mencatat bahwa pada 19 Juli 2025, tim mereka mendeteksi lonjakan pemeriksaan HTTP (HTTP probes) yang menargetkan instans HFS 2.x yang terekspos ke internet.
Server-server tersebut ternyata menjadi sasaran kampanye “spray-and-pray”—istilah yang merujuk pada strategi di mana penyerang melakukan pemindaian massal dan eksploitasi terhadap banyak target secara serentak, berharap sejumlah besar akan rentan. Dalam hal ini, server HFS 2.x yang terekspos ke publik dan belum dipatch menjadi sasaran empuk.
Modus Operandi Kampanye
Berikut beberapa aspek teknis dari kampanye tersebut:
-
Kerentanan utama yang dieksploitasi adalah CVE-2024-23692, sebuah server-side template injection (SSTI) di HFS 2.x dengan CVSS 9.8 yang memungkinkan eksekusi kode jarak jauh tanpa autentikasi.
-
Penyerang memulai dengan pemindaian massal (“spray”) terhadap instans HFS yang terekspos; begitu target ditemukan, injeksi dilakukan yang kemudian mengeksekusi payload malware, termasuk trojan unduh-lanjur dan ransomware.
-
Payload yang dilaporkan meliputi trojan seperti Farfli, Zenpak, dan ransomware jqvtd yang diturunkan melalui server yang dieksploitasi.
-
Infrastruktur C2 (Command & Control) dan host peluncuran tersebar di banyak blok kelas C, menunjukkan bahwa kampanye ini berskala global dan otomatis.
Kenapa Kampanye Ini Berbahaya?
Ada beberapa faktor yang menyebabkan kampanye ini sangat signifikan bagi organisasi:
-
Rentan karena sistem tua: Banyak instans HFS 2.x yang “dimaintain” secara minim atau sudah tidak up-to-date, tapi masih online dan dapat diakses publik.
-
Strategi massal: Teknik “spray-and-pray” memungkinkan penyerang memiliki banyak target dengan upaya minimal per target.
-
Eksploitasi layanan yang sah: Server file sharing umum seperti HFS kadang dipakai untuk sharing internal/non-prod—tapi bila terekspos, bisa menjadi pintu masuk besar.
-
Deteksi sulit: Karena proses awal adalah injeksi kode dan eksekusi tanpa interaksi pengguna, banyak kontrol standar endpoint atau gateway mungkin tidak mendeteksi.
-
Dampak produksi: Ransomware atau trojan yang diunduh bisa mengenkripsi data, mencuri, atau mengganggu operasi secara langsung.
Implikasi bagi Organisasi
Organisasi yang mengabaikan server lama atau layanan file sharing publik bisa menghadapi beberapa risiko besar:
-
Kebocoran data jika trojan mencuri informasi dari server yang terekspose.
-
Penyebaran ransomware dari instans yang dieksploitasi, yang kemudian menjangkau ke sistem lain.
-
Reputasi dan regulasi: bila data pelanggan atau mitra bocor akibat server rentan, organisasi bisa terkena denda atau litigasi.
-
Biaya pemulihan besar: penghapusan malware / ransomware, forensik, penggantian sistem, audit keamanan.
Langkah Mitigasi & Praktik Terbaik
Berdasarkan panduan dari Imperva dan riset lainnya, berikut langkah yang harus dipertimbangkan organisasi:
-
Inventarisasi semua instans file sharing publik dan server lama yang masih terhubung ke Internet.
-
Segera patch atau decommission HFS 2.x: naik ke HFS 3.x atau layanan yang disupport. Imperva mengingatkan bahwa HFS 2.x adalah end-of life.
-
Terapkan segmentasi jaringan: jangan letakkan instans file sharing langsung publik tanpa firewall atau akses terbatas.
-
Monitor trafik HTTP/HTTPS untuk pola seperti
search=.*%url%.*}{\.exec|yang disebut sebagai indikator injeksi SSTI di HFS. -
Batasi akses outbound ke IP atau domain yang tidak dikenal—karena host exploit mungkin mencoba download payload atau menghubungi C2.
-
Aktifkan logging dan deteksi anomali di host, seperti eksekusi proses tidak wajar, download file eksekusi, koneksi ke IP asing.
-
Lakukan latihan incident-response untuk skenario server tereksploitasi: pengecekan backup, pemulihan, isolasi cepat.
Tabel Pendukung – Rangkuman Temuan & Rekomendasi
| Aspek | Temuan Utama | Rekomendasi Utama |
|---|---|---|
| Kerentanan | CVE-2024-23692 SSTI di HFS 2.x memungkinkan RCE tanpa autentikasi. | Segera patch atau hapus instans HFS 2.x |
| Strategi Penyerang | Pemindaian massal (“spray-and-pray”) banyak instans rentan. | Audit instans publik dan segmentasi jaringan |
| Payload & Dampak | Trojan (Farfli, Zenpak) dan ransomware (jqvtd) dikerahkan setelah exploit. | Monitoring aktivitas download/eksekusi dan backup reguler |
| Skala Kampanye | Infrastruktur global host C2 & banyak blok kelas C digunakan. | Batasi outbound, blok domain/IP asing, logging jaringan |
| Deteksi & Monitoring | Pola HTTP injeksi template ada di trafik – perlu pemantauan khusus. | Gunakan IDS/IPS untuk HTTP anomaly, log HTTP evaluate |
Kesimpulan
Kampanye ransomware/trojan menargetkan layanan file sharing usang seperti Rejetto HFS 2.x dengan metode “spray-and-pray” menegaskan bahwa kelemahan lama (legacy systems) masih merupakan pintu masuk utama bagi pelaku siber. Riset dari Imperva menunjukkan bahwa server yang sangat rentan dan sering diabaikan bisa menjadi basis operasi untuk serangan skala besar.
Organisasi yang ingin melindungi diri harus mengambil langkah proaktif: inventory dan patch sistem, segmentasi jaringan, monitoring trafik dan perilaku, serta latihan respons insiden. Tidak cukup hanya menaruh firewall atau antivirus—kebutuhan sekarang adalah kontrol akses, visibilitas dan respons cepat terhadap pola yang mungkin kecil namun memiliki potensi besar untuk eskalasi.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Imperva Indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi imperva.ilogoindonesia.id untuk informasi lebih lanjut!
