Serangan Clop Ransomware pada CentreStack adalah sebuah kampanye pemerasan siber terbaru di mana kelompok kriminal yang dikenal sebagai Cl0p menargetkan server file Gladinet CentreStack yang terekspos ke internet. Secara sederhana, ini adalah insiden pencurian data masif yang memanfaatkan celah keamanan pada sistem berbagi file perusahaan, di mana peretas menyusup, mencuri data, dan meninggalkan catatan tebusan.
Untuk memahami konteksnya, kalian perlu tahu dulu apa itu Gladinet CentreStack. Ini adalah perangkat lunak yang memungkinkan bisnis untuk berbagi file yang di-hosting di server lokal (on-premises) secara aman melalui browser web, aplikasi seluler, dan drive yang dipetakan tanpa memerlukan VPN. Jadi, sistem ini mempermudah akses kerja jarak jauh. Menurut Gladinet sendiri, solusi ini digunakan oleh ribuan bisnis di lebih dari 49 negara. Nah, karena fungsinya yang krusial sebagai pintu gerbang data perusahaan, server ini menjadi target yang sangat menggiurkan bagi geng ransomware seperti Clop.
Dalam kampanye terbarunya, geng kriminal siber Clop secara aktif memindai dan membobol server CentreStack yang terekspos secara online. Berdasarkan laporan dari Curated Intel, catatan tebusan atau ransom notes telah ditemukan tertinggal di server yang berhasil dikompromikan. Sayangnya, sampai saat ini informasinya masih agak simpang siur mengenai kerentanan spesifik apa yang dieksploitasi Clop Malware untuk meretas server-server ini. Belum jelas apakah ini adalah cacat zero-day (celah baru yang belum ada obatnya) atau bug lama yang sebenarnya sudah ada perbaikannya tapi pemilik sistem belum sempat melakukan patching. Rasanya sih, kelalaian dalam update sistem sering jadi pintu masuk utama.
Curated Intelligence memperingatkan bahwa mereka menemukan kampanye pemerasan baru ini menargetkan server file CentreStack yang menghadap ke internet (internet-facing). Dari data pemindaian port terbaru, sepertinya ada setidaknya 200 lebih IP unik yang menjalankan judul HTTP “CentreStack – Login”. Jumlah ini menjadikannya target potensial bagi Clop yang sedang mengeksploitasi CVE yang tidak diketahui (bisa jadi n-day atau zero-day) di sistem tersebut. Begitunya sistem ini terbuka, risiko data tersedot keluar jadi sangat tinggi.
Kalian juga perlu tahu kalau Clop punya rekam jejak panjang dalam menargetkan produk transfer file yang aman. Kuranglebihnya, polanya selalu sama. Di masa lalu, geng pemerasan ini berada di balik kampanye pencurian data lainnya yang menargetkan Accellion FTA, GoAnywhere MFT, Cleo, dan server berbagi file MOVEit Transfer. Kasus MOVEit bahkan berdampak pada lebih dari 2.770 organisasi di seluruh dunia. Kayaknya mereka memang spesialis mencari celah di aplikasi yang menyimpan banyak data sensitif perusahaan besar.
Yang lebih mengerikan, baru-baru ini mereka juga mengeksploitasi cacat zero-day Oracle EBS (CVE-2025-61882) untuk mencuri file sensitif dari banyak organisasi sejak awal Agustus 2025. Daftar pelanggan Oracle yang terkena dampak nggak main-main, mencakup Universitas Harvard, The Washington Post, GlobalLogic, Universitas Pennsylvania, Logitech, dan anak perusahaan American Airlines, Envoy Air. Setelah membobol sistem dan mengambil dokumen sensitif, Clop mempublikasikan data curian tersebut di situs bocoran dark web mereka dan membuatnya tersedia untuk diunduh melalui Torrent. Sebegitunya niat mereka untuk mempermalukan korban yang tidak mau bayar.
Pemerintah AS melalui Departemen Luar Negeri bahkan sampai menawarkan hadiah $10 juta untuk informasi apa pun yang dapat menghubungkan serangan geng kriminal siber ini dengan pemerintah asing. Ini menunjukkan betapa seriusnya ancaman yang dibawa oleh Clop. Sementara itu, pihak Gladinet sendiri sudah merilis pembaruan keamanan sejak April untuk mengatasi beberapa celah keamanan lain yang dieksploitasi dalam serangan, tetapi respons cepat dari pengguna sangat dibutuhkan.
Nah, rekan-rekanita, situasi ini menegaskan bahwa keamanan siber itu adalah proses yang nggak pernah berhenti. Serangan terhadap CentreStack ini menjadi pengingat keras bahwa sekecil apa pun celah pada server yang terekspos ke internet, pasti akan dimanfaatkan oleh pihak tak bertanggung jawab. Jadi, langkah mitigasi terbaik yang bisa kalian ambil saat ini adalah segera melakukan pembaruan atau patching pada sistem CentreStack jika kalian menggunakannya, serta membatasi eksposur server ke publik jika tidak benar-benar diperlukan. Kira-kiranya, lebih baik mencegah daripada harus berurusan dengan pemerasan data, bukan? Terimakasih sudah menyimak, tetap waspada dengan aset digital kalian.