Tidak Main-main Ransoware Mulai Serang SaaS

Serangan ransomware mulai lebih banyak menargetkan aplikasi perangkat lunak, tool open source, dan web dan aplikasi framework karena peretas mencari jalur yang lebih langsung ke penyimpanan data terbesar dan terpenting organisasi.

Dari lanskap ancaman ransomware telah terlihat pertumbuhan yang luar biasa dalam beberapa tahun terakhir saja. Para penjahat dunia maya ini mendiversifikasi target mereka, mereka menargetkan Software as a Service (SaaS) dan teknologi jarak jauh.

Ransomware sekarang mengambil inisiatif menyerang aplikasi, perubahan yang menunjukkan bagaimana mereka beradaptasi saat bisnis memindahkan lebih banyak operasi mereka ke cloud.

Yang lebih menarik adalah tidak hanya menyentuh aplikasi SaaS, software open source, dan pustaka open source. Tidak cukup sampai di situ, mereka juga mulai mengejar teknologi perimeter, seperti VPN, layanan akses jarak jauh, dan zero trust.

Awalnya masih diperlukan waktu beberapa tahun bagi peretas untuk mulai menargetkan lapisan aplikasi. Namun, hanya dalam dua tahun terakhir para peneliti memperhatikan jenis eksploitasi yang digunakan peretas, dan lapisan yang mereka targetkan telah berubah secara dramatis.

Aplikasi padat data adalah target utama. SaaS memiliki jumlah kerentanan tertinggi yang terlihat menjadi tren dengan eksploitasi aktif di antara keluarga ransomware.

Para peneliti keamanan siber menemukan 18 CVE yang terkait dengan ransomware yang ditemukan di WordPress, Apache Struts, Java, PHP, Drupal, dan ASP.net, yang semuanya merupakan komponen utama dari web dan ruang kerangka aplikasi.

Open source dan proyek terkait juga menjadi target, 19 CVE yang terkait dengan ransomware ada di Jenkins, MySQL, OpenStack, TomCat, Elasticsearch, OpenShift, JBoss, dan Nomad. Apa pun yang menyimpan banyak data, atau bertanggung jawab atas penyebaran data, telah menarik perhatian bagi para penjahat digital.

Di mana pun ada kepadatan data, ransomware mulai terlihat mengancam: tool CRM, tool open source yang digunakan di pipeline data Anda, termasuk layanan pencadangan, layanan akses jarak jauh.

Bagaimana Mereka Mendobrak

Penjahat digital juga mencari kerentanan yang lebih parah untuk mencapai target ini, yaitu, yang mampu mengeksekusi kode jarak jauh (RCE) atau eskalasi hak istimewa (PE) saat dieksploitasi.

Antara 2018 dan 2020, lebih dari 25% CVE yang digunakan dalam serangan ransomware dianggap “berbahaya”, yang berarti CVE atau PE dapat digunakan dan memiliki eksploitasi yang dipersenjatai.

Mereka tidak membutuhkan campur tangan manusia lagi. Mereka dapat melihat kerentanan yang dapat dieksploitasi dari jarak jauh, kerentanan yang memungkinkan mereka meningkatkan hak istimewa. Tren yang sangat menarik sudah mulai terlihat sejak tahun lalu.

Hampir semua (96%) kerentanan yang digunakan dalam serangan ransomware dilaporkan dalam Basis Data Kerentanan Nasional (NVD) AS sebelum 2019. Dari jumlah tersebut, 120 secara aktif digunakan dalam serangan ransomware yang menjadi tren dalam 10 tahun terakhir, dan 87 sedang menjadi tren (2018) -2020). Kontributor terbesar dalam serangan ransomware adalah kerentanan yang diungkapkan pada 2017, 2018, dan 2019.

Apa yang bisa kita lihat adalah ransomware berhasil menggunakan kelemahan perangkat lunak, kesalahan konfigurasi, dan kesalahan pengkodean yang tidak diperhatikan orang. Sementara beberapa peretas menggunakan zero-days.

Keluarga ransomware tumbuh

Peneliti mengidentifikasi 125 keluarga ransomware menggunakan 223 CVE. Beberapa keluarga yang lebih menonjol termasuk Crypwall, yang menggunakan 66 CVE, Locky (64), Cerber (62), Cryptesla (56), GandCrab (51), Cryptomix (50), Reveton (46), dan Waltrix (45). Dari keluarga ransomware yang terdeteksi, 42 hanya menggunakan kerentanan yang dilaporkan pada 2019 atau lebih awal, dengan cacat tertua yang dilaporkan pada 2010.

Jumlah keluarga ransomware terus bertambah seiring masuknya pemain baru, bergabung dengan grup lama yang terus beroperasi. Beberapa, seperti Cobralocker dan Lokibot, telah berjalan sejak 2012 dan tidak menunjukkan tanda-tanda pensiun, catat para peneliti.

Kelompok-kelompok ini tetap relevan dengan menambahkan kerentanan dan eksploitasi baru ke gudang senjata mereka. Pertumbuhan luar biasa dalam kelompok ransomware menunjukkan ada banyak target, dan banyak peluang, agar operasi ransomware berhasil.

Karena itu disarankan agar organisasi dapat bertahan dari ancaman ransomware yang berkembang, mereka terlebih dahulu harus memahami eksposur mereka. Mengetahui di mana mereka rentan adalah kunci langkah pertama dalam pertahanan ransomware.