Dunia keamanan siber kembali dikejutkan dengan gelombang serangan ransomware baru yang menargetkan server berbasis panel kontrol populer, cPanel. Serangan yang menggunakan identitas “Sorry” ini memanfaatkan celah kerentanan kritis untuk mengunci data pengguna dan melumpuhkan operasional web hosting secara massal.
Kronologi dan Modus Operandi
Serangan ini dimulai dengan eksploitasi pada kerentanan keamanan yang belum sempat ditambal (unpatched) oleh banyak administrator server. Penyerang menggunakan skrip otomatis untuk memindai IP server yang menjalankan versi cPanel tertentu yang rentan terhadap eksekusi kode jarak jauh (Remote Code Execution/RCE).
Setelah berhasil menembus lapisan pertahanan, ransomware “Sorry” bekerja dengan cara:
-
Enkripsi Data: Mengunci file dokumen, database (SQL), serta direktori publik (public_html) menggunakan algoritma enkripsi tingkat tinggi.
-
Modifikasi File: Menambahkan ekstensi tertentu (umumnya
.sorry) pada semua file yang terinfeksi. -
Pesan Tebusan: Mengganti halaman indeks situs atau menaruh file teks bernama
READ_ME.txtyang berisi instruksi pembayaran tebusan dalam bentuk mata uang kripto.
Mengapa cPanel Menjadi Target?
Sebagai salah satu panel kontrol hosting yang paling banyak digunakan di seluruh dunia, cPanel menyimpan data sensitif dari jutaan situs web. Satu kerentanan pada tingkat server (root) memungkinkan penyerang untuk menguasai ratusan akun shared hosting sekaligus, menjadikannya target yang sangat menguntungkan bagi aktor ancaman.
Langkah Mitigasi Darurat
Bagi para administrator sistem dan pemilik VPS yang menggunakan cPanel, berikut adalah langkah-langkah yang harus segera diambil:
-
Update Segera: Pastikan cPanel Anda berada pada versi paling stabil dan aman. Lakukan pembaruan melalui WHM (Web Host Manager) ke versi yang telah merilis security patch terbaru.
-
Audit Akses Root: Periksa aktivitas login yang mencurigakan. Ubah kata sandi akun Root dan gunakan autentikasi dua faktor (2FA).
-
Matikan Fungsi Berbahaya: Untuk sementara, batasi fungsi-fungsi PHP yang sering disalahgunakan untuk web shell seperti
exec(),shell_exec(), dansystem(). -
Backup Off-site: Pastikan Anda memiliki cadangan data (backup) yang disimpan di luar server yang bersangkutan. Ransomware “Sorry” seringkali turut mengincar direktori backup lokal di dalam server.
Penanganan Jika Terinfeksi
Jika server Anda sudah terlanjur terinfeksi, jangan terburu-buru membayar tebusan. Tidak ada jaminan bahwa kunci dekripsi akan diberikan. Langkah terbaik adalah melakukan instalasi ulang sistem operasi (clean install), memperketat keamanan, dan memulihkan data dari cadangan terakhir yang bersih.
Kesimpulan
Serangan ransomware “Sorry” menjadi pengingat keras bahwa pemeliharaan rutin dan pembaruan sistem bukanlah pilihan, melainkan keharusan. Di era di mana eksploitasi massal dapat terjadi dalam hitungan jam setelah kerentanan ditemukan, kewaspadaan proaktif adalah satu-satunya benteng pertahanan yang efektif.
Diterbitkan oleh: Tim Keamanan Siber & Informasi Teknologi Sumber Referensi: Security Bulletin & Technical Reports 2026
