Credit image: Pixabay
Strategi serangan ransomware kembali mengalami evolusi, belakangan ini muncul tren baru dalam serangan ransomware ganda untuk mengenkripsi di bawah dua hari.
Dalam serangan ransomware di mana berbagai jenis ransomware disebarkan ke jaringan korban untuk mengenkripsi sistem targetnya.
|
Baca juga: Panduan Ransomware Singkat |
Serangan Ransomware Ganda
Afiliasi dan operator ransomware diamati menggunakan dua varian berbeda ketika menargetkan organisasi korban. Varian yang digunakan dalam serangan ransomware ganda ini di antaranya:
-
AvosLocker.
-
Diamond.
-
Hive.
-
Karakurt.
-
LockBit.
-
Quantum.
-
Royal.
Penggunaan varian ransomware ganda ini mengakibatkan kombinasi enkripsi data, eksfiltrasi, dan kerugian finansial akibat pembayaran uang tebusan.
Sementara serangan ransomware kedua terhadap sistem yang sudah disusupi dapat membahayakan entitas korban secara signifikan.
|
Baca juga: 3 Fase Serangan Ransomware |
48 Jam Serangan
Berbeda dengan masa lalu, ketika kelompok ransomware biasanya membutuhkan waktu minimal 10 hari untuk melakukan serangan tersebut. Kini sebagian besar insiden ransomware yang menargetkan korban yang sama terjadi hanya dalam rentang waktu 48 jam.
Enkripsi ganda telah menjadi hal yang umum, dengan beberapa perusahaan menghadapi pemerasan ulang karena pelaku tidak menyediakan dekripsi untuk kedua serangan ransomware tersebut.
Ada beberapa kelompok pelaku yang sengaja menggunakan dua varian berbeda pada setiap serangan. Misalnya, MedusaLocker dan Globemposter digunakan secara bersamaan oleh pelaku ancaman yang sama pada satu korban.
Situasi tersebut terjadi karena broker akses awal menjual akses ke jaringan kepada dua afiliasi ransomware berbeda yang menggunakan merek ransomware berbeda. Kedua afiliasi tersebut kemudian berada dalam jaringan, memengaruhi mesin dalam jarak yang berdekatan satu sama lain.
Selain itu, FBI mengatakan bahwa mulai awal tahun 2022, beberapa geng ransomware mulai menambahkan kode baru ke alat pencurian data khusus, wiper, dan malware mereka untuk menghindari deteksi.
Dalam insiden lain, malware yang berisi fungsi penghapusan data dikonfigurasikan untuk tetap tidak aktif pada sistem yang disusupi hingga waktu yang telah ditentukan. Pada saat itu, ia akan menghancurkan data di jaringan target secara berkala.
Dibobol dan Diperas Berulang
Dalam salah satu serangan yang dimulai tahun lalu, pada bulan April, sebuah pemasok otomotif dibobol tiga kali oleh afiliasi LockBit, Hive, dan ALPHV/BlackCat hanya dalam waktu dua bulan.
Saat perusahaan korban sibuk memulihkan sistem yang dienkripsi dengan ransomware LockBit dan Hive setelah pelanggaran pertama.
Afiliasi ALPHV/BlackCat terhubung ke perangkat yang sebelumnya disusupi untuk mencuri data dan sekali lagi mengunci file dengan enkripsi mereka sendiri.
Lebih buruk lagi, petugas tanggap insiden menemukan bahwa beberapa file korban telah dienkripsi hingga lima kali.
|
Baca juga: Anatomi Serangan Ransomware |
Menghadapi Ancaman
Para peneliti keamanan disarankan untuk menerapkan langkah-langkah mitigasi yang termasuk dalam FBI Private Industry Notification yang diterbitkan pada hari Kamis untuk membatasi penggunaan sistem umum dan teknik penemuan jaringan oleh pelaku dan mengurangi risiko serangan ransomware.
Mereka didesak untuk selalu memperbarui semua sistem dan melakukan pemindaian menyeluruh terhadap infrastruktur mereka untuk mengidentifikasi potensi backdoor atau kerentanan yang ditimbulkan oleh pelaku sebagai pengaman yang memungkinkan mereka mendapatkan kembali akses ke jaringan jika akses mereka diblokir.
Tim IT harus mengamankan layanan seperti VNC, RDP, dan solusi akses jarak jauh lainnya yang dapat diakses dari sumber eksternal.
Akses harus dibatasi hanya melalui VPN dan secara eksklusif diberikan kepada akun dengan kata sandi yang kuat dan penerapan autentikasi multi-faktor (MFA).
Praktik lain yang direkomendasikan mencakup segmentasi jaringan, di mana server penting diisolasi dalam VLAN untuk meningkatkan keamanan.
Selain itu, melakukan pemindaian dan audit komprehensif di seluruh jaringan sangat penting untuk mengidentifikasi perangkat yang rentan terhadap eksploitasi karena kurangnya patch yang diperlukan.
Sumber berita:
