Cara Hacker Pastikan Tebusan Dibayar

Ransomware tetap menjadi salah satu ancaman keamanan dunia maya terbesar yang terus dihadapi organisasi dan pemerintah. Namun, peretas sedang merekayasa cara-cara baru untuk mendapatkan uang tebusan dari korban mereka karena perusahaan secara sadar menolak permintaan pembayaran uang tebusan. Berikut adalah cara hacker pastikan tebusan dibayar.

Dengan jatuhnya geng ransomware paling terkenal, Conti, pada Mei 2022, diasumsikan bahwa serangan ransomware akan mengalami penurunan besar. Namun, dalam sebuah riset ditemukan bahwa pelanggaran pada tahun 2022 akibat dari serangan ransomware hanya mengalami penurunan kecil dari tahun 2021.

Pembayaran dari korban ransomware, sementara itu, ikut mengalami penurunan pada tahun 2022 dan ini telah mendorong peretas untuk mengadopsi taktik yang lebih profesional dan memastikan pengembalian yang lebih tinggi.

Penjahat dunia maya semakin memiliki KPI dan target yang ingin dicapai. Ada target khusus yang perlu mereka tembus dalam jangka waktu tertentu. Ini telah menjadi kejahatan yang sangat terorganisir karena model bisnis yang diikuti oleh kelompok ransomware yang menyebabkan mereka mulai meningkatkan tekanan.

Baca juga: Panduan Ransomware Singkat

Taktik Pemerasan Ganda

Salah satu taktik yang semakin banyak digunakan oleh kelompok ransomware adalah pemerasan ganda. Dalam metode pemerasan ganda, grup ransomware, selain mengenkripsi file di sistem korban, juga mengunduh informasi sensitif dari mesin korban.

Ini memberi mereka lebih banyak pengaruh, karena sekarang pertanyaannya bukan hanya tentang mendekripsi data yang dikunci tetapi juga tentang membocorkannya, tapi juga bagaimana menyelamatkan data yang dicuri agar tidak tersebar.

Contohnya adalah geng ransomware BlackCat. Geng ransomware ini dapat mengenkripsi dan mencuri data dari mesin korban dan aset lain yang berjalan di dalamnya, misalnya server ESXi.

Pada bulan Maret, kelompok ransomware BianLian mengalihkan fokus utama serangannya dari mengenkripsi file korbannya menjadi lebih fokus pada pemerasan sebagai sarana untuk mengekstraksi pembayaran.

Metode Pemerasan Tiga Kali Lipat

Beberapa geng ransomware melangkah lebih jauh dan menerapkan metode pemerasan tiga kali lipat.

Dalam metode triple extortion, geng ransomware mengenkripsi file, mengekstrak data sensitif, dan kemudian menambahkan serangan denial-of-service (DDoS)

Kecuali tebusan dibayarkan, tidak hanya semua file akan tetap terkunci, tetapi bahkan layanan reguler akan terganggu melalui DDoS.

Sebelumnya, grup ransomware berfokus pada enkripsi tetapi sekarang dengan kolaborasi dengan grup lain, mereka terlibat dalam eksfiltrasi data serta membahayakan situs web organisasi korban atau melakukan serangan DDOS. Gagasan di balik ini adalah untuk menambah tekanan pada organisasi korban.

Baca juga: 3 Fase Serangan Ransomware

Menghubungi Pemangku Kepentingan Perusahaan Korban

Taktik lain yang digunakan kelompok ransomware untuk menambah tekanan pada perusahaan korban adalah secara langsung menghubungi pelanggan atau pemangku kepentingan perusahaan yang diserang.

Karena ini berdampak buruk pada reputasi perusahaan korban dan kadang-kadang dapat menyebabkan kerugian finansial yang jumlahnya bisa lebih tinggi dari uang tebusan yang sebenarnya, perusahaan korban cenderung membayar.

Grup ransomware secara pribadi mencari pelanggan korban melalui email atau telepon, contohnya adalah bagaimana grup ransomware Cl0p mengirim email kepada pemangku kepentingan dan pelanggan korban mereka, memberi tahu mereka bahwa bahkan data mereka akan bocor.

Cl0p juga memelihara situs web di mana daftar korban dan pemangku kepentingan mereka diperbarui setiap hari.

Ini memberi lebih banyak tekanan pada perusahaan korban, membuatnya terlihat cara tercepat untuk mengakhiri serangan adalah membayar jumlah uang tebusan.

Ransomware Lorenz dan LockBit juga membocorkan negosiasi tebusan mereka dengan perusahaan korban di situs kebocoran mereka.

Cara ini dapat semakin merusak reputasi perusahaan dan meningkatkan urgensi yang dirasakan dari permintaan uang tebusan.

Memodifikasi Anatomi Malware

Cara penulisan malware juga telah berubah, yang membuat pendeteksian menjadi sulit. Pengembang malware kini telah mulai menggunakan berbagai teknik untuk menghindari deteksi sandbox dan protokol respons insiden yang jauh lebih lambat.

Misalnya, ransomware BlackCat yang terlihat baru-baru ini hanya berjalan jika token akses 32 karakter diberikan ke executable.

Ini berarti bahwa sandbox otomatis akan gagal dalam menganalisis sampel, kecuali dan sampai argumen yang diperlukan diberikan.

Informasi ini hanya dapat ditemukan dengan analisis sampel secara manual, yang membutuhkan banyak waktu dan keahlian, sehingga memberikan tekanan yang besar pada perusahaan korban selama insiden terjadi.

Grup ransomware seperti Agenda, BlackCat, Hive, dan RansomExx juga telah mengembangkan versi ransomware mereka dalam bahasa pemrograman Rust.

Bahasa lintas platform ini memungkinkan grup menyesuaikan malware untuk sistem operasi seperti Windows dan Linux, yang banyak digunakan oleh bisnis.

Menggunakan bahasa pemrograman Rust membuatnya lebih mudah untuk menargetkan Linux dan lebih sulit bagi antivirus untuk menganalisis dan mendeteksi malware, membuatnya lebih menarik bagi pelaku ancaman.

Grup ALPHV yang terhubung dengan Rusia adalah ransomware pertama yang dikodekan dalam Rust. Grup ini, yang merupakan ransomware teraktif kedua pada tahun 2022,

Mereka juga membuat database yang dapat dicari di situs kebocorannya di mana karyawan dan pelanggan korbannya dapat mencari data mereka.

Kumpulan data tersebut diberi nama “Koleksi ALPHV” memungkinkan siapa saja menggunakan kata kunci untuk mencari informasi sensitif yang dicuri.

Grup ransomware lain, LockBit, bahkan memulai program hadiah bugnya sendiri. Program hadiah bug umumnya dijalankan oleh perusahaan yang mengundang peretas etis untuk mengidentifikasi kerentanan dalam perangkat lunak mereka dan memberi tahu mereka sebagai imbalan atas hadiah.

Baca juga: Ransomware, Rebranding dan Pemerasan Tiga Kali Lipat

Melindungi dari Serangan Ransomware

Sementara perusahaan menerapkan lebih banyak kontrol untuk melindungi aset yang menyimpan atau mengakses data penting.

Mereka pada dasarnya tidak menerapkan kontrol yang tepat di sekitar data, yang sangat penting untuk mempersulit pekerjaan peretas.

Agar perusahaan dapat merespons insiden ransomware secara efektif, solusi keamanan siber mereka harus responsif, gesit, dan mudah diskalakan dan ini paling baik dicapai melalui kombinasi analitik cloud dan mesin pembelajaran.

Lebih mudah untuk menghindari membayar uang tebusan jika Anda mendeteksi risiko sebelum enkripsi terjadi. Atau Anda dapat menghindari alur kerja respons ransomware sama sekali dengan memiliki strategi pencadangan titik akhir yang efektif.

Perusahaan harus mengambil langkah-langkah berikut untuk memastikan bahwa karyawan tidak menjadi korban peretas yang cerdik:

• Kurangi radius ledakan dengan meminimalkan kerusakan yang dapat dilakukan penyerang dengan mengunci akses ke data penting dan memastikan bahwa karyawan dan kontraktor hanya dapat mengakses data yang mereka perlukan untuk melakukan pekerjaan mereka;

• Temukan dan identifikasi data penting yang berisiko. Pindai semua yang dicari penyerang, termasuk data pribadi, data keuangan, dan kata sandi.

• Rangkullah otentikasi multifaktor. Mengaktifkan MFA membuat organisasi 99% lebih kecil kemungkinannya untuk diretas.

• Pantau apa yang paling penting. Pantau bagaimana setiap pengguna dan akun menggunakan data penting dan perhatikan aktivitas tidak biasa yang dapat mengindikasikan kemungkinan serangan dunia maya.cara hacker pastikan tebusan dibayar

Saran keamanan

Penting juga bagi perusahaan untuk memiliki SOP untuk menanggapi dan memulihkan insiden ransomware dan memiliki program kesadaran keamanan siber yang efektif untuk mengedukasi pengguna untuk mendeteksi dan melaporkan pelanggaran.

ESET menyarankan perusahaan membuat cadangan data penting dan menyimpannya di lokasi yang aman. Dengan cara ini, meskipun sistem mereka terinfeksi ransomware, mereka dapat memulihkan data Anda dari cadangan.

Peursahaan juga harus memastikan sistem operasi, perangkat lunak, dan alat keamanan mereka mutakhir dengan tambalan dan pembaruan keamanan terbaru. Mereka harus menggunakan perangkat lunak antivirus dan antimalware terkemuka dan memastikan bahwa itu diperbarui secara teratur.

Sumber berita:

WeLiveSecurity