Penggajian Amerika teratas (terbuka di tab baru) penyedia layanan Kronos telah mengalami serangan ransomware besar yang mungkin disebabkan oleh cacat Log4Shell yang semakin terkenal.
Perusahaan mengungkapkan serangan telah melumpuhkan layanan menggunakan Cloud Pribadi Kronos – yaitu Pusat Tenaga Kerja UKG Kronos, UKG TeleStaff, dan layanan Solusi Penjadwalan Perbankan.
“Seperti yang kami komunikasikan sebelumnya, pada Sabtu malam, 11 Desember 2021, kami mengetahui aktivitas tidak biasa yang memengaruhi solusi UKG menggunakan Kronos Private Cloud. Kami segera mengambil tindakan untuk menyelidiki dan mengurangi masalah tersebut, dan telah menentukan bahwa ini adalah ransomware (terbuka di tab baru) insiden,” tulis perwakilan Kronos Leo Daley.
Minggu penundaan
“Saat ini, kami tidak mengetahui adanya dampak terhadap UKG Pro, UKG Ready, UKG Dimensions, atau produk atau solusi UKG lainnya, yang ditempatkan di lingkungan terpisah dan bukan di Kronos Private Cloud,” tambah Daley, lebih lanjut mengatakan bahwa mungkin diperlukan waktu hingga “beberapa minggu” untuk memulihkan ketersediaan sistem.
“Kami sangat menyarankan agar Anda mengevaluasi dan menerapkan protokol kesinambungan bisnis alternatif yang terkait dengan solusi UKG yang terpengaruh,” tutup Daley.
Meskipun perwakilan perusahaan tidak mengkonfirmasi bahwa ransomware datang sebagai hasil dari Log4Shell, mereka juga tidak menolak, yang semakin memicu spekulasi.
Log4Shell
Log4Shell adalah nama Log4j yang baru ditemukan (terbuka di tab baru) kerentanan, yang telah dijuluki sebagai ancaman paling serius yang pernah ada. Ini adalah titik akhir nol hari (terbuka di tab baru) kerentanan dalam kerangka logging Java yang populer, dengan potensi yang sangat besar. Ini memungkinkan aktor jahat untuk menjalankan hampir semua kode, dan dengan keahlian yang dibutuhkan untuk menggunakannya sangat rendah, para ahli mendesak perusahaan untuk segera menambal.
Cacat tersebut dibandingkan dengan peretasan Equifax 2017, di mana data pribadi hampir 150 juta orang terungkap.
Organisasi yang menggunakan Log4j dalam perangkat lunak mereka harus segera memutakhirkannya ke versi 2.15 terbaru yang tersedia dari Pusat Maven (terbuka di tab baru).
Layanan cloud Kronos sangat bergantung pada Java, kerangka perangkat lunak yang menjadi dasar Log4J, lapor Arstechnica.
Melalui: Arstechnica (terbuka di tab baru)