Panduan Ransomware Singkat

Setiap tahun tantangan keamanan meningkat, semua bisnis dari berbagai skala menanggung beban ancaman yang sama, ancaman tersebut bernama ransomware.

Penjahat dunia maya telah menargetkan setiap industri dengan malware khusus yang dikenal sebagai malware pemeras atau ransomware, mengumpulkan jumlah uang tebusan yang tak terhitung jumlahnya dari aksinya.

Berikut merupakan panduan singkat padat tentang ransomware yang menjelaskan jenis serangan, vektor serangan umum, metode dan alat pencegahan, dan praktik terbaik untuk pemulihan.

Ransomware

Ransomware adalah bagian dari malware yang dapat mengunci dan mengenkripsi data di komputer korban. Pelaku kemudian memberi tahu korban bahwa eksploitasi telah terjadi dan data tidak akan dapat dibuka atau didekripsi hingga pembayaran diterima.

Untuk lebih jelasnya, malware adalah istilah umum untuk kode atau program jahat apa pun yang memberikan kontrol kepada peretas atas suatu sistem. Ransomware sendiri merupakan malware yang memblokir akses atau mengenkripsi data pada perangkat korban yang terinfeksi dan mengharuskan korban membayar sejumlah tebusan jika ingin mendapatkan akses.

Ransomware merupakan kejahatan pemerasan dunia maya, yang kemudian terus berkembang menjadi pemerasan ganda atau double extortion. Usai memeras untuk mendapatkan kunci dekripsi untuk membuka file yang dienkripsi/sandera, langkah berikutnya mereka memeras dengan mengancam akan membocorkan data yang sudah mereka curi.

Jenis Ransomware

Ransomware memiliki beberapa jenis yang digunakan aktor jahat untuk memeras uang tebusan. Jenis tradisional adalah kripto dan loker. Dua jenis yang lebih baru, pemerasan ganda dan ransomware sebagai layanan (RaaS) telah mendapatkan popularitas di kalangan pelaku kejahatan.

1. Locker memblokir akses ke komputer, dan penyerang memerlukan pembayaran untuk membuka kunci akses.
2. Crypto mengenkripsi semua atau beberapa file di komputer, dan pelaku memerlukan pembayaran sebelum menyerahkan kunci dekripsi.
3. Pemerasan ganda terjadi ketika penjahat dunia maya menuntut satu pembayaran untuk mendekripsi file dan yang lain untuk tidak mempublikasikannya.
4. Ransomware as a Service (RaaS) terjadi ketika penjahat dunia maya dapat mengakses atau menyewa ransomware dengan biaya tertentu dan bagi hasil yang menguntungkan.

Ransomware sering dikenal dengan nama kode strain malware, seperti AIDS Trojan, yang pertama kali muncul 30 tahun lalu. Sejak itu, nama-nama seperti GPcode, Achievus, Trojan WinLock, Reveton dan CryptoLocker telah menjadi berita utama untuk malapetaka yang mereka sebabkan. Dalam dekade terakhir, LockerPIN, Ransom32, WannaCry, Goldeneye dan Petya muncul. Dan baru-baru ini, geng kejahatan dunia maya menggunakan varian RaaS, REvil, untuk meminta tebusan $70 juta dari perusahaan teknologi perangkat lunak Kaseya.

Vektor ransomware

Ransomware menyusup ke organisasi melalui tiga vektor umum: phishing, attachment, Remote Desktop Protocol (RDP), dan penyalahgunaan kredensial serta kerentanan yang dapat dieksploitasi.

Phising

Phising, yang menargetkan perusahaan dengan menyematkan malware di email, tetap menjadi salah satu cara paling populer bagi penjahat dunia maya untuk mengirimkan muatannya. Email phising telah menjadi jauh lebih canggih, bahkan menggunakan bahasa Indonesia dengan baik, menarik bahkan pengguna yang paling cerdas bisa tertipu untuk mengklik tautan yang merusak.

Attachment

File yang dikirimkan pada email, seringkali menjadi vektor tercepat dalam penyebaran malware. Bila email tidak dilengkapi analisa malware, attachment yang berbahaya dapat dengan mudah masuk dan besar kemungkinan diklik oleh pengguna. Pada beberapa kasus ditemui penamaan file yg menyaru, seperti namafilesaya.pdf.exe yang sesungguhnya merupakan file exe. Umumnya, attachment yang berbahaya berupa file dengan ekstensi .rar .zip .exe .bat .scr .vbs .doc .xls. 

RDP dan penyalahgunaan kredensial

Penjahat dunia maya dapat menyuntikkan malware melalui RDP, yang merupakan protokol milik Microsoft untuk akses jarak jauh yang aman ke server dan desktop. Ketika lingkungan RDP dibiarkan tidak aman, peretas mendapatkan akses melalui brute force, kredensial sah yang dibeli melalui situs kriminal, dan isian kredensial.

Kerentanan dari praktik patching yang buruk

Pelaku mencari kerentanan yang dapat mereka eksploitasi, dan sistem yang tidak ditambal adalah pintu masuk yang menarik. Situs web, termasuk plugin, dan lingkungan perangkat lunak kompleks yang tertaut ke pihak ketiga memungkinkan malware untuk dimasukkan tanpa terdeteksi.

Gali lebih dalam tentang bagaimana malware dapat didistribusikan melalui kerentanan di situs web dan browser.

Target ransomware teratas

Meskipun tampaknya tidak ada industri yang terhindar dari ransomware, beberapa lebih rentan terhadapnya daripada yang lain. Misalnya, lembaga pendidikan sangat menderita di tangan para peretas. berikut 10 target ransomware teratas menurut industri:

• Pendidikan
• Eceran
• Layanan bisnis, profesional, dan hukum
• Pemerintah pusat (termasuk federal dan internasional)
• IT
• Manufaktur
• Infrastruktur energi dan utilitas
• Kesehatan
• Pemerintah lokal
• Jasa keuangan

Besar kecilnya perusahaan tidak selalu menjadi faktor penentu; sebaliknya, di situlah pelaku dapat mengekstrak dampak finansial maksimum.

Mengenali serangan ransowmare

Serangan Ransomware secara unik sulit dideteksi karena kode berbahaya sering disembunyikan di perangkat lunak yang sah, seperti skrip PowerShell, VBScript, Mimikatz, dan PsExec. Perusahaan harus menggunakan kombinasi alat keamanan otomatis dan analisis malware untuk mengungkap aktivitas mencurigakan yang dapat mengakibatkan serangan ransomware.

Berikut adalah tiga jenis teknik pendeteksian ransomware:

1. Ransomware berbasis tanda tangan membandingkan hash sampel yang dikumpulkan dari aktivitas mencurigakan dengan signature yang diketahui.
2. Ransomware berbasis perilaku memeriksa perilaku baru dalam kaitannya dengan data historis; dan
3. Penipuan menggunakan umpan seperti honeypot. Honeypot adalah sistem yang terhubung ke jaringan yang dibentuk sebagai umpan untuk memikat penyerang dunia maya dan mendeteksi, menangkis, dan mempelajari upaya peretasan untuk mendapatkan akses tidak sah ke sistem informasi. Fungsi honeypot adalah untuk menampilkan dirinya di internet sebagai target potensial bagi penyerang — biasanya, server atau aset bernilai tinggi lainnya — dan untuk mengumpulkan informasi dan memberi tahu para pembela tentang segala upaya untuk mengakses honeypot oleh pengguna yang tidak sah.

Serangan Ransomware terjadi dengan cepat, dan penting untuk dapat mendeteksi dan merespons dengan cepat. Baca tentang tiga insiden ransomware dan hasilnya.

Mencegah serangan ransomware

Organisasi dapat mengurangi kerentanan mereka terhadap serangan ransomware dan membatasi kerusakan yang ditimbulkannya dengan mengasumsikan postur keamanan siber yang kuat. Langkah-langkah untuk mencegah serangan ransomware:

• Mempertahankan program keamanan yang mendalam.
• Pertimbangkan teknologi perlindungan tingkat lanjut seperti zero trust dan endpoint detection and response (EDR)
• Mendidik karyawan tentang risiko social engineeringl.
• Patch/tambal secara teratur.
• Lakukan pencadangan data penting secara berkala.
• Jangan hanya bergantung pada cadangan.

Selain itu, perusahaan dapat menerapkan proses bisnis yang membatasi atau bahkan menghilangkan transaksi melalui email untuk membuat tautan dan lampiran lebih menonjol dan menjadi lebih mencurigakan bagi para profesional keamanan.

Cloud menawarkan perlindungan ransomware, karena organisasi dapat menggunakannya untuk strategi pencadangan dan pemulihan. Perusahaan dapat membuat cadangan terisolasi yang tidak dapat diakses dari lingkungan inti perusahaan tanpa membuat perubahan infrastruktur atau memerlukan banyak penyesuaian otentikasi/otorisasi administratif.

Memulihkan dari serangan ransomware

Setelah serangan ransomware terjadi, organisasi harus mengikuti rencana respons insiden ransomware yang idealnya telah mereka buat dan uji jauh sebelum serangan.

Organisasi ingin mencoba menghapus ransomware, tetapi itu bisa sangat menantang. Profesional keamanan harus memastikan mereka tidak mengizinkan malware menembus lebih jauh ke dalam sistem.

1. Isolasi perangkat yang terinfeksi.
2. Tentukan jenis ransomware untuk memungkinkan upaya perbaikan yang lebih bertarget.
3. Hapus ransomware, yang dapat mencakup pemeriksaan apakah dihapus, menggunakan perangkat lunak antimalware atau anti-ransomware untuk mengkarantinanya, meminta bantuan profesional keamanan eksternal, dan jika perlu menghapusnya secara manual.
4. Pulihkan sistem dengan memulihkan versi OS sebelumnya sebelum serangan terjadi.

Skema Pertahanan Terhadap Ransomware

Selain langkah perlindungan di atas, Prosperita menyarankan skema pertahanan berikut sebagai layer pertahanan dari ransomware:

• Cloud mail security sebagai pertahananan awal terhadap semua email sebelum sampai ke server, saat ini di indonesia sudah tersedia dan dapat digunakan gratis untuk umkm/startup seperti www.spamcleaner.id

• Email Server Security, pertahanan di sisi server untuk menyaring email sebagai pertahanan server email itu sendiri dan filter email. ESET menyediakan produk ESET Mail Security for Exchange untuk pengguna Microsoft Exchange

• Pertahanan di sisi server menggunakan endpoint yang dikhususkan untuk server. ESET menyediakan ESET Server Security yang dapat berjalan di sistem operasi Windows/Mac/Linux

• Monitoring di sisi jadingan LAN/WAN menggunakan Network Traffic Analysis yang didesain khusus dan memilki kemampuan untuk mengamati ancaman serangan digital seperti Greycortex

• Pertahanan di sisi endpoint yang wajib diinstall ke setiap perangkat tanpa kecuali, termasuk kontrol port USB. Layaknya sudah dilengkapi oleh cloud analysis dan sandboxing. ESET menyedianan produk ESET Protect yang sudah terintegrasi untuk kebutuhan ini.

• Edukasi semua pesonel terhadap bahaya malware, khususnya ransomware dengan memberikan informasi berkala. Situs https://news.prosperita.co.id dapat menjadi acuan untuk keperluan ini.