Virus Ransomware, seperti jenis malware lainnya, berevolusi dan berubah selama bertahun-tahun - mulai dari loker sederhana yang mencegah pengguna masuk ke sistem, dan ransomware “polisi” yang mengancam penuntutan atas pelanggaran hukum fiktif, kami sampai pada program enkripsi. Malware ini mengenkripsi file di hard drive (atau seluruh drive) dan meminta tebusan bukan untuk mengembalikan akses ke sistem, namun untuk fakta bahwa informasi pengguna tidak akan dihapus, dijual di darknet, atau diekspos ke publik secara online. . Selain itu, membayar uang tebusan sama sekali tidak menjamin diterimanya kunci untuk mendekripsi file. Dan tidak, hal ini “sudah terjadi seratus tahun yang lalu”, namun hal ini masih menjadi ancaman saat ini.
Mengingat keberhasilan para peretas dan keuntungan dari jenis serangan ini, para ahli percaya bahwa frekuensi dan kecerdikan mereka akan semakin meningkat di masa depan. Oleh Cybersecurity Ventures, pada tahun 2016, virus ransomware menyerang perusahaan kira-kira sekali setiap 40 detik, pada tahun 2019 terjadi setiap 14 detik sekali, dan pada tahun 2021 frekuensinya akan meningkat menjadi satu serangan setiap 11 detik. Perlu dicatat bahwa uang tebusan yang diperlukan (terutama dalam serangan yang ditargetkan terhadap perusahaan besar atau infrastruktur perkotaan) biasanya jauh lebih rendah daripada kerusakan yang disebabkan oleh serangan tersebut. Oleh karena itu, serangan pada bulan Mei terhadap struktur pemerintahan di Baltimore, Maryland, Amerika Serikat, menyebabkan kerusakan lebih dari , dengan jumlah tebusan yang dinyatakan oleh peretas adalah 76 ribu dolar setara bitcoin. A , Georgia, merugikan kota sebesar $2018 juta pada Agustus 17, dengan uang tebusan yang diperlukan sebesar $52.
Spesialis Trend Micro menganalisis serangan menggunakan virus ransomware pada bulan-bulan pertama tahun 2019, dan dalam artikel ini kita akan membahas tren utama yang menunggu dunia di paruh kedua.
Virus Ransomware: berkas singkat
Arti dari virus ransomware sudah jelas dari namanya: mengancam untuk menghancurkan (atau, sebaliknya, mempublikasikan) informasi rahasia atau berharga bagi pengguna, peretas menggunakannya untuk meminta uang tebusan agar dapat mengembalikan akses ke informasi tersebut. Bagi pengguna biasa, serangan seperti itu tidak menyenangkan, tetapi tidak kritis: ancaman kehilangan koleksi musik atau foto liburan selama sepuluh tahun terakhir tidak menjamin pembayaran uang tebusan.
Situasinya terlihat sangat berbeda bagi organisasi. Setiap menit waktu henti bisnis memerlukan biaya, sehingga hilangnya akses ke sistem, aplikasi, atau data bagi perusahaan modern sama dengan kerugian. Itulah sebabnya fokus serangan ransomware dalam beberapa tahun terakhir secara bertahap bergeser dari menyerang virus menjadi mengurangi aktivitas dan beralih ke serangan yang ditargetkan terhadap organisasi di area aktivitas di mana peluang menerima uang tebusan dan ukurannya paling besar. Pada gilirannya, organisasi berupaya melindungi diri mereka dari ancaman dengan dua cara utama: dengan mengembangkan cara memulihkan infrastruktur dan basis data secara efektif setelah serangan, dan dengan mengadopsi sistem pertahanan siber yang lebih modern yang dapat mendeteksi dan menghancurkan malware dengan cepat.
Untuk tetap mengikuti perkembangan terkini dan mengembangkan solusi dan teknologi baru untuk memerangi malware, Trend Micro terus menganalisis hasil yang diperoleh dari sistem keamanan sibernya. Menurut Trend Mikro , situasi serangan ransomware dalam beberapa tahun terakhir terlihat seperti ini:
Pilihan Korban pada tahun 2019
Tahun ini, pelaku kejahatan siber jelas menjadi lebih selektif dalam memilih korban: mereka menargetkan organisasi yang kurang terlindungi dan bersedia membayar sejumlah besar uang agar dapat segera memulihkan operasi normal. Itu sebabnya, sejak awal tahun, tercatat beberapa serangan terhadap struktur pemerintahan dan administrasi kota-kota besar, termasuk Lake City (tebusan - 530 ribu dolar AS) dan Pantai Riviera (tebusan - 600 ribu dolar AS) .
Dipecah berdasarkan industri, vektor serangan utama terlihat seperti ini:
— 27% — lembaga pemerintah;
— 20% — produksi;
— 14% — layanan kesehatan;
— 6% — perdagangan eceran;
— 5% — pendidikan.
Penjahat dunia maya sering kali menggunakan OSINT (kecerdasan sumber publik) untuk bersiap menghadapi serangan dan menilai keuntungannya. Dengan mengumpulkan informasi, mereka lebih memahami model bisnis organisasi dan risiko reputasi yang mungkin diderita akibat serangan. Peretas juga mencari sistem dan subsistem terpenting yang dapat diisolasi atau dinonaktifkan sepenuhnya menggunakan virus ransomware - hal ini meningkatkan kemungkinan menerima uang tebusan. Yang terakhir namun tidak kalah pentingnya, keadaan sistem keamanan siber dinilai: tidak ada gunanya melancarkan serangan terhadap perusahaan yang spesialis TI-nya mampu menangkisnya dengan kemungkinan besar.
Pada paruh kedua tahun 2019, tren ini masih relevan. Peretas akan menemukan area aktivitas baru di mana gangguan proses bisnis menyebabkan kerugian maksimum (misalnya transportasi, infrastruktur penting, energi).
Metode penetrasi dan infeksi
Perubahan juga terus terjadi di bidang ini. Alat yang paling populer adalah phishing, iklan berbahaya di situs web dan halaman Internet yang terinfeksi, serta eksploitasi. Pada saat yang sama, “kaki tangan” utama dalam serangan masih merupakan pengguna karyawan yang membuka situs-situs ini dan mengunduh file melalui tautan atau email, yang memicu infeksi lebih lanjut di seluruh jaringan organisasi.
Namun, pada paruh kedua tahun 2019, alat-alat tersebut akan ditambahkan ke:
- penggunaan serangan yang lebih aktif menggunakan rekayasa sosial (serangan di mana korban secara sukarela melakukan tindakan yang diinginkan oleh peretas atau memberikan informasi, percaya, misalnya, bahwa ia sedang berkomunikasi dengan perwakilan manajemen atau klien organisasi), yang menyederhanakan pengumpulan informasi tentang karyawan dari sumber yang tersedia untuk umum;
- penggunaan kredensial yang dicuri, misalnya login dan kata sandi untuk sistem administrasi jarak jauh, yang dapat dibeli di darknet;
- peretasan dan penetrasi fisik yang memungkinkan peretas di lokasi menemukan sistem penting dan mengalahkan keamanan.
Metode untuk menyembunyikan serangan
Berkat kemajuan dalam keamanan siber, termasuk Trend Micro, deteksi keluarga ransomware klasik menjadi lebih mudah dalam beberapa tahun terakhir. Teknologi pembelajaran mesin dan analisis perilaku membantu mengidentifikasi malware sebelum menembus sistem, sehingga peretas harus menemukan cara alternatif untuk menyembunyikan serangan.
Sudah diketahui oleh para spesialis di bidang keamanan TI dan teknologi baru penjahat dunia maya ditujukan untuk menetralisir kotak pasir untuk menganalisis file mencurigakan dan sistem pembelajaran mesin, mengembangkan malware tanpa file dan menggunakan perangkat lunak berlisensi yang terinfeksi, termasuk perangkat lunak dari vendor keamanan siber dan berbagai layanan jarak jauh dengan akses ke jaringan organisasi.
Kesimpulan dan rekomendasi
Secara umum, kita dapat mengatakan bahwa pada paruh kedua tahun 2019 terdapat kemungkinan besar serangan yang ditargetkan terhadap organisasi besar yang mampu membayar uang tebusan dalam jumlah besar kepada penjahat dunia maya. Namun, peretas tidak selalu mengembangkan sendiri solusi peretasan dan malware. Beberapa di antaranya, misalnya, tim GandCrab yang terkenal kejam, sudah melakukannya , setelah memperoleh sekitar 150 juta dolar AS, terus bekerja sesuai dengan skema RaaS (ransomware-as-a-service, atau “ransomware virus as a service”, dengan analogi dengan antivirus dan sistem pertahanan siber). Artinya, distribusi ransomware dan crypto-locker yang sukses tahun ini dilakukan tidak hanya oleh pembuatnya, tetapi juga oleh “penyewa”.
Dalam kondisi seperti itu, organisasi perlu terus memperbarui sistem keamanan siber dan skema pemulihan data jika terjadi serangan, karena satu-satunya cara efektif untuk memerangi virus ransomware adalah dengan tidak membayar uang tebusan dan menghilangkan sumber keuntungan bagi pembuatnya.
Sumber: www.habr.com