Ransomware GandCrab, merupakan Ransomware-as-a-Service (RaaS) yang menjadi ancaman terbesar pada 2018 dan paruh waktu awal di tahun 2019. Meskipun pengembang GandCrab menyatakan telah mematikan operasinya pada Mei, serangan yang tampak serupa terus melanda bisnis dan MSP di seluruh dunia.
GandCrab adalah contoh yang sangat terkenal dari ransomware-as-a-service (RaaS), yang meskipun secara resmi pensiun setelah serangan selama satu setengah tahun, dengan serangan aktif sejak Januari 2018, tampaknya telah kembali dengan nafsu makan yang ganas.
Beberapa di komunitas cybersecurity merasa bahwa GandCrab belum benar-benar pensiun dan hanya pengalihan isu dan bereinkarnasi dalam penampilan baru dengan beragam wajah seperti Sodinokibi, Sodin atau REvil.
Ketika melangkah agak jauh dari diskusi tentang atribusi dan evolusi ini, yang jelas adalah bahwa ransomware Sodinokibi, dengan semua kesamaannya, merupakan ancaman yang terus-menerus muncul bagi MSP. ESET mendeteksi pertama kalinya sebagai Win32/Filecoder.Sodinokibi pada bulan Mei.
Sodinikobi & MSP
Dalam survei baru-baru ini oleh ESET, 61% MSP mengidentifikasi ransomware sebagai salah satu tantangan keamanan terbesar yang pernah mereka temui. Ransomware Sodinokibi telah melanggar pertahanan MSP setidaknya pada tiga kesempatan yang berbeda di mana ia mendorong malware ke klien yang tidak curiga. Kerusakan yang ditinggalkan oleh Sodinokibi juga begitu signifikan, pelajaran serius yang harus menjadi perhatian bagi seluruh MSP.
Dalam kasus pertama, peretas mengeksploitasi Remote Desktop Protocol (RDP) dari setidaknya tiga MSP untuk mendapatkan akses ke alat Remote Monitoring and Management (RMM) mereka. Dari sudut pandang ini, para peretas dapat menghapus solusi perlindungan endpoint klien dan mendorong ransomware Sodinokibi.
Meskipun memiliki sistem pencadangan yang kuat biasanya akan mengurangi kerusakan dari serangan semacam ini, pelanggaran Sodinokibi kedua menunjukkan sebaliknya. DDS Safe, solusi cadangan data yang menyediakan layanan backup jarak jauh ke kantor dokter gigi, juga terkena dampak. Meskipun pencadangan kantor gigi ke cloud, offline, dan lokasi di kantor, Sodinokibi masih berhasil mengenkripsi data sistem klien yang terhubung, membuat pelanggan tanpa akses ke cadangan mereka.
Dan setiap kasus terlihat sama, karena Sodinokibi menginfeksi klien dengan membajak dashboard administrasi jarak jauh MSP mereka, MSP perlu menerapkan otentikasi dua faktor (2FA) dengan lebih baik. 2FA memerlukan kode satu kali di atas kredensial login yang biasa untuk memastikan bahwa pengguna yang mencoba untuk mendapatkan akses ke dasbor RMM benar-benar diotorisasi.
Pertahanan terbaik
Praktik terbaik anti-ransomware, selain menerapkan kebijakan 2FA, ada beberapa poin yang ESET sarankan untuk membangun pertahanan yang lebih baik untuk MSP Anda:
-
Gunakan Plugin Manajemen Endpoint Langsung untuk menyederhanakan fungsi administrasi keamanan di lingkungan klien Anda.
-
Nonaktifkan atau ubah port default untuk RDP pada mesin yang tidak memerlukan protokol ini.
-
Untuk mesin yang memerlukan RDP berjalan, kata sandi melindungi solusi keamanan yang diinstal pada semua endpoint. Ini akan mencegah peretas mencopot pemasangan atau menonaktifkan perlindungan endpoint.
-
Gunakan kata sandi yang berbeda dari kredensial masuk RDP Anda untuk melindungi solusi keamanan Anda.
-
Terapkan solusi pencadangan untuk semua data penting, termasuk setidaknya satu cadangan offline.
-
Dengan ransomware menjadi salah satu ancaman paling umum yang dihadapi MSP dan klien mereka, merupakan ide bagus untuk melacak perkembangan ini dan praktik yang digunakan untuk mengurangi masalah terkait.
