Kebocoran data adalah masalah yang menyakitkan bagi layanan keamanan. Dan kini, karena sebagian besar orang bekerja dari rumah, risiko kebocoran menjadi jauh lebih besar. Inilah sebabnya mengapa kelompok penjahat dunia maya terkenal semakin menaruh perhatian pada protokol akses jarak jauh yang sudah ketinggalan zaman dan kurang aman. Dan menariknya, semakin banyak kebocoran data saat ini yang dikaitkan dengan Ransomware. Bagaimana, mengapa dan dengan cara apa - baca di bawah.
Mari kita mulai dengan fakta bahwa pengembangan dan distribusi ransomware adalah bisnis kriminal yang sangat menguntungkan. Misalnya, menurut FBI Amerika, selama setahun terakhir, dia memperoleh sekitar $1 juta per bulan. Dan penyerang yang menggunakan Ryuk menerima lebih banyak lagi - pada awal aktivitas grup, pendapatan mereka berjumlah $3 juta per bulan. Maka tidak mengherankan jika banyak chief information security officer (CISO) yang mencantumkan ransomware sebagai salah satu dari lima risiko bisnis utama mereka.
Acronis Cyber ββββProtection Operation Center (CPOC), yang berlokasi di Singapura, mengonfirmasi peningkatan kejahatan dunia maya di area Ransomware. Pada paruh kedua bulan Mei, 20% lebih banyak ransomware diblokir di seluruh dunia dibandingkan biasanya. Setelah sedikit menurun, kini di bulan Juni kita kembali melihat peningkatan aktivitas. Dan ada beberapa alasan untuk ini.
Masuk ke komputer korban
Teknologi keamanan terus berkembang, dan penyerang harus mengubah taktik mereka untuk bisa masuk ke sistem tertentu. Serangan Ransomware yang ditargetkan terus menyebar melalui email phishing yang dirancang dengan baik (termasuk rekayasa sosial). Namun, belakangan ini, pengembang malware menaruh banyak perhatian pada pekerja jarak jauh. Untuk menyerangnya, Anda dapat menemukan layanan akses jarak jauh yang tidak terlindungi dengan baik, seperti RDP, atau server VPN yang memiliki kerentanan.
Inilah yang mereka lakukan. Bahkan ada ransomware-as-a-service di darknet yang menyediakan semua yang Anda butuhkan untuk menyerang organisasi atau orang tertentu.
Penyerang mencari cara apa pun untuk menembus jaringan perusahaan dan memperluas spektrum serangan mereka. Oleh karena itu, upaya untuk menginfeksi jaringan penyedia layanan telah menjadi tren yang populer. Karena layanan cloud semakin populer saat ini, infeksi pada layanan populer memungkinkan untuk menyerang lusinan atau bahkan ratusan korban sekaligus.
Jika manajemen keamanan berbasis web atau konsol pencadangan disusupi, penyerang dapat menonaktifkan perlindungan, menghapus cadangan, dan membiarkan malware mereka menyebar ke seluruh organisasi. Omong-omong, inilah sebabnya para ahli merekomendasikan untuk melindungi semua akun layanan dengan hati-hati menggunakan autentikasi multifaktor. Misalnya, semua layanan cloud Acronis memungkinkan Anda memasang perlindungan ganda, karena jika kata sandi Anda dibobol, penyerang dapat meniadakan semua manfaat menggunakan sistem perlindungan cyber yang komprehensif.
Memperluas spektrum serangan
Ketika tujuan yang diinginkan tercapai, dan malware sudah berada di dalam jaringan perusahaan, taktik yang cukup standar biasanya digunakan untuk penyebaran lebih lanjut. Penyerang mempelajari situasi dan berusaha mengatasi hambatan yang diciptakan dalam perusahaan untuk melawan ancaman. Bagian penyerangan ini bisa dilakukan secara manual (lagipula, jika sudah terlanjur jatuh ke jaring, maka umpannya ada di kail!). Untuk ini, alat terkenal digunakan, seperti PowerShell, WMI PsExec, serta emulator Cobalt Strike yang lebih baru dan utilitas lainnya. Beberapa kelompok kriminal secara khusus menargetkan pengelola kata sandi untuk menembus lebih dalam ke jaringan perusahaan. Dan malware seperti Ragnar baru-baru ini terlihat dalam gambar mesin virtual VirtualBox yang sepenuhnya tertutup, yang membantu menyembunyikan keberadaan perangkat lunak asing di mesin tersebut.
Jadi, begitu malware memasuki jaringan perusahaan, malware tersebut mencoba memeriksa tingkat akses pengguna dan menggunakan kata sandi yang dicuri. Utilitas seperti Mimikatz dan Bloodhound & Co. membantu meretas akun administrator domain. Dan hanya ketika penyerang menganggap opsi distribusi sudah habis, ransomware diunduh langsung ke sistem klien.
Ransomware sebagai penutup
Mengingat seriusnya ancaman kehilangan data, setiap tahun semakin banyak perusahaan yang menerapkan apa yang disebut βrencana pemulihan bencanaβ. Berkat ini, mereka tidak perlu terlalu khawatir tentang data terenkripsi, dan jika terjadi serangan Ransomware, mereka tidak mulai mengumpulkan uang tebusan, tetapi memulai proses pemulihan. Namun para penyerang juga tidak tidur. Dengan berkedok Ransomware, terjadi pencurian data secara besar-besaran. Maze adalah kelompok pertama yang menggunakan taktik serupa secara massal pada tahun 2019, meskipun kelompok lain secara berkala menggabungkan serangan. Sekarang, setidaknya Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO dan Sekhmet terlibat dalam pencurian data secara paralel dengan enkripsi.
Terkadang penyerang berhasil menyedot puluhan terabyte data dari sebuah perusahaan, yang dapat dideteksi oleh alat pemantauan jaringan (jika alat tersebut telah diinstal dan dikonfigurasi). Lagi pula, transfer data paling sering terjadi hanya menggunakan skrip FTP, Putty, WinSCP, atau PowerShell. Untuk mengatasi DLP dan sistem pemantauan jaringan, data dapat dienkripsi atau dikirim sebagai arsip yang dilindungi kata sandi, sebuah tantangan baru bagi tim keamanan yang perlu memeriksa lalu lintas keluar untuk file tersebut.
Mempelajari perilaku pencuri informasi menunjukkan bahwa penyerang tidak mengumpulkan semuanya - mereka hanya tertarik pada laporan keuangan, database klien, data pribadi karyawan dan klien, kontrak, catatan, dan dokumen hukum. Malware memindai drive untuk mencari informasi apa pun yang secara teoritis dapat digunakan untuk pemerasan.
Jika serangan tersebut berhasil, penyerang biasanya menerbitkan teaser kecil yang menunjukkan beberapa dokumen yang mengonfirmasi bahwa data telah bocor dari organisasi tersebut. Dan beberapa kelompok mempublikasikan seluruh kumpulan data di situs web mereka jika waktu pembayaran uang tebusan telah habis. Untuk menghindari pemblokiran dan memastikan cakupan yang luas, data juga dipublikasikan di jaringan TOR.
Cara lain untuk memonetisasi adalah dengan menjual data. Misalnya, Sodinokibi baru-baru ini mengumumkan lelang terbuka di mana data diberikan kepada penawar tertinggi. Harga awal untuk perdagangan tersebut adalah $50-100K tergantung pada kualitas dan konten data. Misalnya, satu set 10 catatan arus kas, data bisnis rahasia, dan pindaian SIM dijual seharga $000. Dan dengan $100 seseorang dapat membeli lebih dari 000 dokumen keuangan ditambah tiga database file akuntansi dan data pelanggan.
Situs tempat kebocoran dipublikasikan sangat bervariasi. Ini bisa berupa halaman sederhana yang memuat segala sesuatu yang dicuri, tetapi ada juga struktur yang lebih kompleks dengan bagian dan kemungkinan pembelian. Namun yang terpenting adalah semuanya memiliki tujuan yang sama - untuk meningkatkan peluang penyerang mendapatkan uang sungguhan. Jika model bisnis ini menunjukkan hasil yang baik bagi para penyerang, tidak ada keraguan bahwa akan ada lebih banyak lagi situs serupa, dan teknik untuk mencuri dan memonetisasi data perusahaan akan semakin diperluas.
Seperti inilah tampilan situs-situs yang mempublikasikan kebocoran data saat ini:
Apa yang harus dilakukan jika terjadi serangan baru
Tantangan utama bagi tim keamanan dalam kondisi seperti ini adalah akhir-akhir ini semakin banyak insiden terkait Ransomware yang ternyata hanya sekedar pengalih perhatian dari pencurian data. Penyerang tidak lagi hanya mengandalkan enkripsi server. Sebaliknya, tujuan utamanya adalah mengatur kebocoran saat Anda memerangi ransomware.
Oleh karena itu, menggunakan sistem cadangan saja, bahkan dengan rencana pemulihan yang baik, tidak cukup untuk melawan ancaman berlapis. Tidak, tentu saja, Anda juga tidak dapat melakukannya tanpa salinan cadangan, karena penyerang pasti akan mencoba mengenkripsi sesuatu dan meminta uang tebusan. Intinya adalah sekarang setiap serangan yang menggunakan Ransomware harus dianggap sebagai alasan untuk melakukan analisis lalu lintas yang komprehensif dan meluncurkan penyelidikan terhadap kemungkinan serangan. Anda juga harus memikirkan fitur keamanan tambahan yang dapat:
- Deteksi serangan dengan cepat dan analisis aktivitas jaringan yang tidak biasa menggunakan AI
- Pulihkan sistem secara instan dari serangan Zero-day Ransomware sehingga Anda dapat memantau aktivitas jaringan
- Blokir penyebaran malware klasik dan jenis serangan baru di jaringan perusahaan
- Analisis perangkat lunak dan sistem (termasuk akses jarak jauh) untuk mengetahui kerentanan dan eksploitasi saat ini
- Cegah transfer informasi tak dikenal di luar batasan perusahaan
Hanya pengguna terdaftar yang dapat berpartisipasi dalam survei. , silakan.
Pernahkah Anda menganalisis aktivitas latar belakang selama serangan Ransomware?
-
20,0%Ya1
-
80,0%No4
5 pengguna memilih. 2 pengguna abstain.
Sumber: www.habr.com