Ransomware (terbuka di tab baru). Terlepas dari keakraban industri dengannya – lagipula, ini sudah ada selama bertahun-tahun – bisnis terus dihantam dengan taktik dan variasi baru dari kelompok eCriminal yang sangat terampil dan termotivasi.
Tentang Penulis
Zeki Turedi adalah CTO EMEA di CrowdStrike (terbuka di tab baru).
Itu tetap menjadi senjata pilihan pertama penjahat dunia maya yang sukses dan menjadi semakin menjadi masalah bagi bisnis di seluruh dunia. Faktanya, ini benar-benar pandemi global tersendiri, tumbuh sekitar 300% dari awal 2019 hingga akhir 2020. Para pemimpin bisnis teknologi perlu melihat pertahanan mereka karena ransomware menguasai industri, memukul organisasi demi organisasi, secara konsisten mengumpulkan judul demi judul.
Indeks eCrime CrowdStrike menunjukkan intensitas pasar kejahatan dunia maya dari waktu ke waktu, berdasarkan metrik musuh. Ini memberikan ukuran tingkat aktivitas aktor eCrime yang sibuk, giat, dan banyak akal. Kecerdasan ancaman menunjukkan bahwa, selama setahun terakhir, operator ransomware tumbuh lebih kuat.
Penargetan sistem perawatan kesehatan Irlandia baru-baru ini menggambarkan fakta bahwa, bahkan dalam kondisi operasi normal, perawatan kesehatan menghadapi ancaman signifikan dari kelompok kriminal yang menyebarkan ransomware, yang konsekuensinya dapat mencakup gangguan fasilitas perawatan kritis. Tahun lalu, ada ketakutan bahwa ransomware telah menyebabkan kematian pertama pasien yang sakit kritis di Jerman – meskipun penyelidikan selanjutnya menemukan bahwa gangguan akibat ransomware tidak dapat dibuktikan sebagai penyebab kematian yang pasti.
Namun, ransomware tidak secara khusus menargetkan layanan kesehatan atau sektor lainnya: Ini adalah alat pilihan untuk menyandera setiap organisasi tempat eCriminal ingin memeras uang. Dan musuh ini terus berinovasi model bisnis mereka dengan taktik ransomware baru untuk mendapatkan lebih banyak uang dari setiap korban yang ditargetkan. Operator ini berbagi tip dan ‘praktik terbaik’ kriminal. Organisasi mana pun yang tidak mengikuti perkembangan intelijen ancaman, atau memahami profil risiko dan kerentanan masing-masing, kemungkinan besar akan tertangkap basah oleh penjahat yang giat dan inovatif ini.
Musuh yang cerdik menjaga bisnis yang sah tetap berjalan
Bukti menunjukkan tingkat perencanaan yang cukup besar oleh kelompok seperti WIZARD SPIDER, yang menargetkan vertikal tertentu pada waktu-waktu tertentu dalam setahun ketika kampanye ransomware memiliki dampak paling signifikan. Musuh ini berfokus pada sektor akademik selama September-Oktober 2019 dan sekali lagi pada tahun 2020, saat para siswa kembali ke sekolah setelah liburan musim panas. Bahkan di tahun non-pandemi, penargetan Q4 sektor kesehatan akan bertepatan dengan dimulainya musim flu, ketika tekanan pada layanan meningkat.
‘Pemburu permainan besar’ (BGH) telah beradaptasi, mengadopsi data (terbuka di tab baru) metode pemerasan dalam satu tahun terakhir. Sejak musuh BGH asli, BOSS SPIDER, teridentifikasi pada Januari 2016, CrowdStrike Intelligence telah mengamati baik pelaku kriminal mapan (misalnya, INDRIK SPIDER dan WIZARD SPIDER) dan operator ransomware yang mengadopsi dan membayangkan ulang taktik BGH. Sepanjang tahun 2020, BGH terus menjadi ancaman luas bagi perusahaan di seluruh dunia di semua vertikal, dengan CrowdStrike Intelligence telah mengidentifikasi setidaknya 1.377 infeksi BGH unik. Yang perlu diperhatikan pada tahun 2020 adalah tren yang berkembang dari operator ransomware yang mengancam akan membocorkan data dari organisasi korban, dan dalam beberapa kasus secara aktif melakukannya. Taktik ini kemungkinan besar dimaksudkan untuk menekan korban agar melakukan pembayaran, tetapi kemungkinan juga merupakan tanggapan terhadap keamanan siber yang lebih baik (terbuka di tab baru) praktik oleh perusahaan yang dapat mengurangi enkripsi (terbuka di tab baru) file mereka dengan memulihkan dari cadangan.
Pemerasan data adalah taktik yang telah dicoba dan benar, dan bahkan tindakan menggabungkan pemerasan data dengan operasi ransomware bukanlah hal baru di tahun 2020. OUTLAW SPIDER pertama kali menggunakan taktik ini pada Mei 2019. Apa yang menandai keberangkatan dari operasi BGH sebelumnya adalah percepatan adopsi teknik pemerasan data dan pengenalan situs kebocoran khusus (DLS) yang terkait dengan keluarga ransomware tertentu. Pendekatan ini diadopsi oleh setidaknya 23 operator ransomware pada tahun 2020.
Tetap aman terhadap momok ransomware
Mengingat bahwa penggunaan ransomware begitu lazim oleh eCriminals, dan bahwa jumlah bisnis yang terkena dampak terus bertambah, jelas bahwa para pemimpin bisnis perlu mengubah sikap dan perilaku mereka untuk melawan gelombang ini dan menjaga keamanan organisasi mereka.
Kerentanan konsekuensial yang diamati sepanjang tahun 2020 ditandai dengan eksploitasi mereka terhadap layanan jarak jauh yang terpapar internet. Kerentanan ini menarik bagi pelaku negara-bangsa dan eCrime untuk berpotensi memberikan akses awal ke jaringan target.
Selama tahun 2020, kami mengamati eksploitasi berulang kali terhadap beberapa VPN yang berbeda (terbuka di tab baru) layanan dan aplikasi web seperti Microsoft SharePoint. Kompromi dari layanan ini pada gilirannya memungkinkan “exploit chaining” dengan kerentanan lain untuk tujuan peningkatan hak istimewa dan perputaran jaringan. Dari jumlah tersebut, kerentanan yang diketahui di Microsoft Exchange Server dan Windows Netlogon sering berfungsi untuk mengaktifkan penyebaran jaringan dan pergerakan lateral.
Organisasi didorong untuk mendapatkan visibilitas. Untuk keamanan (terbuka di tab baru) tim, visibilitas dan kecepatan sangat penting untuk memblokir penyerang dengan kemampuan dan niat untuk mencuri dan mengganggu. Keamanan harus mengamankan cloud (terbuka di tab baru) lingkungan, sama seperti sistem on-premise.
Organisasi harus mempertimbangkan autentikasi multifaktor (MFA) di semua layanan dan portal. Selain itu, proses manajemen akses hak istimewa yang kuat akan membatasi kerusakan yang dapat dilakukan musuh jika mereka masuk, mengurangi kemungkinan pergerakan lateral. Solusi Zero Trust juga harus diterapkan untuk mengelompokkan dan membatasi akses data.
Investasikan dalam perburuan ancaman. Serangan interaktif menggunakan teknik diam-diam atau baru yang dirancang untuk melewati pemantauan dan deteksi otomatis. Perburuan ancaman terus menerus adalah cara terbaik untuk mendeteksi dan mencegah serangan canggih atau terus-menerus.
Hadapi penyerang dengan intelijen ancaman. Ini membantu Anda memahami motivasi, keterampilan, dan keahlian penyerang sehingga Anda dapat menggunakan pengetahuan ini untuk mencegah dan bahkan memprediksi serangan di masa mendatang.
Jangan pernah berhenti menumbuhkan budaya keamanan siber. Pengguna akhir tetap menjadi penghubung penting dalam rantai untuk menghentikan pelanggaran. Program kesadaran pengguna membantu memerangi ancaman berkelanjutan dari phishing dan teknik rekayasa sosial terkait.
