Trik Pengembang Ransomware Menaklukkan Sasaran

Pakar keamanan memperkirakan laju serangan ransomware akan meningkat tahun ini karena operator terus berhasil memeras uang tebusan.

Saat kampanye tumbuh lebih terorganisir dan bertarget, dan alat yang mereka butuhkan menjadi lebih mudah diakses, masa depan tampak tidak menyenangkan bagi pengguna internet.

Tren utama yang diamati industri ini adalah pertumbuhan serangan pemerasan ganda. Operator menggunakan dua strategi: Mereka meminta tebusan untuk pengembalian data yang dicuri, kemudian mengancam akan menerbitkan data jika perusahaan tidak membayar.

Munculnya tren ini pada tahun lalu menunjukkan bahwa seiring waktu, semakin banyak korban yang menolak membayar tebusan karena perlindungan seperti backup data.

Banyak kampanye ransomware dimulai dengan email phising karena peretas berharap karyawan yang tidak menaruh curiga akan mengeklik tautan atau mengunduh muatan berbahaya. Jika ya, malware mencoba menghubungi server command-and-control (C2) pelaku dan menjelajahi lingkungan target.

Begitu masuk, mereka mencari aset, seperti akun dan sistem dengan akses ke data berharga. Jika mereka menemukan dan mengenkripsi data tersebut sebelum terdeteksi, ini bukan hari yang baik untuk bisnis.

Mengetahui bagaimana peretas beroperasi adalah kunci langkah pertama dalam bertahan melawan mereka. Di sini, ESET membahas berbagai cara operator mengevaluasi dan menargetkan organisasi dengan serangan ransomware.

Meneliti Korban Meningkatkan Efisiensi

Beberapa operator malware mencari korban sebelum menggunakan alat penyerang. Langkah ini membantu mereka menentukan apakah serangan dapat memberikan hasil yang mereka inginkan, seperti yang dicatat para peneliti, operasi malware yang menghasilkan serangan ransomware memiliki ROI yang lebih tinggi jika korbannya adalah bisnis, bukan konsumen individu.

Mekanisme pemeriksaan korban dimaksudkan untuk mengumpulkan data tentang korban dan menjawab pertanyaan seperti:

• Dengan domain apa titik akhir ini terhubung?
• Apa alamat IP dari titik akhir ini?
• Aplikasi apa yang berjalan di titik akhir ini?
• Siapa pengguna aktif endpoint?

Penyerang juga dapat mencoba menyebar secara lateral atau menggunakan Remote Access Trojan (RAT) untuk menemukan jawaban ini dan lainnya, kata para peneliti.

Dengan demikian, mereka juga dapat mengalokasikan sumber daya yang digunakan dalam serangan dengan lebih baik, menghindari jebakan, dan mengurangi peluang mereka untuk ditemukan.

Remote Desktop Tetap Menjadi Ancaman

Kerentanan Remote Desktop menduduki puncak prioritas patching pada tahun 2020, karena peningkatan jumlah CVE yang ditambal dan organisasi bergegas untuk melindungi tenaga kerja jarak jauh mereka yang baru.

Banyak serangan ransomware mendapatkan pijakan ke dalam organisasi target melalui kelemahan dalam perangkat lunak RDP atau cara penyebarannya.

Brute-forcing RDP adalah metode paling umum yang digunakan pelaku untuk mencoba mengakses sistem Windows dan mengeksekusi malware.

Penyerang menggunakan alat pemindaian port open source untuk menemukan port RDP yang terbuka secara online. Ketika mereka melakukannya, mereka mencoba membobol sistem dengan brute force atau kredensial yang dicuri.

Sistem dengan kredensial yang lemah adalah sasaran empuk. Jika berhasil, penyerang dapat menjual aksesnya secara online atau melemahkan keamanan sistem dengan menonaktifkan perangkat lunak keamanan, menghapus cadangan, atau mengubah pengaturan.

Aplikasi SaaS adalah Target Baru

Pengembang ransomware sedang mencari target baru untuk masuk ke dalam organisasi, dari sistem operasi server ke kelemahan dalam aplikasi dan framework Web dan aplikasi.

Laporan baru menemukan ransomware menargetkan alat CRM, alat open source, layanan cadangan, dan layanan akses jarak jauh. Ditemukan 18 CVE yang terkait dengan serangan ransomware di enam bagian utama dari ruang ini: WordPress, Apache Struts, Java, PHP, Drupal, dan ASP.net.

Pelaku juga menggunakan 19 kerentanan dalam alat open source umum dan proyek terkait, termasuk Jenkins, MySQL, OpenStack, TomCat, Elasticsearch, OpenShift, JBoss, dan Nomad.

Kategori software-as-a-service (SaaS) memiliki CVE paling banyak terlihat menjadi tren dengan eksploitasi aktif di antara keluarga ransomware, sebuah tren yang menggarisbawahi bagaimana ancaman berkembang saat bisnis mengkonsumsi lebih banyak aplikasi SaaS.

Target Lebih Besar Menuntut Teknik Baru

berburu target besar menjadi trik lainnya yang dilancarkan oleh pengembang malware sejak 2016, dan di tahun 2020, trennya terus berlanjut.

Salah satu taktik ini adalah pengembangan dan penerapan biner ransomware ELF yang dapat diterapkan ke host ESXi dengan tujuan mengenkripsi sistem virtual. Teknik ini pertama kali terlihat dalam serangan oleh grup CrowdStrike yang disebut Sprite Spider, yang menyebarkan ransomware Defray777 pada Agustus 2020. Beberapa minggu kemudian, teknik ini digunakan oleh grup bernama Carbon Spider. Para peneliti mencatat bahwa penjahat sering berbagi teknik eksfiltrasi yang sama juga.

Kemampuan Alat Serangan

Beberapa operator ransomware, seperti keluarga ransomware Maze, RagnarLocker, dan RegretLocker, mendorong untuk memberikan alat mereka lebih banyak fungsi.

RagnarLocker, misalnya, menemukan cara baru untuk mengenkripsi file pada titik akhir yang mungkin memiliki perlindungan ransomware. Malware mengunduh gambar mesin virtual, memuatnya secara diam-diam, dan menggunakan mesin virtual tersebut untuk meluncurkan ransomware, mengakses file melalui “folder bersama”.

Keluarga malware ini menggunakan gambar Windows XP, yang menurut peneliti lebih kecil dan kemungkinan merupakan opsi yang lebih baik. Maze ransomware mengadopsi teknik yang sama tetapi menggunakan gambar Windows 10, yang lebih besar membutuhkan lebih banyak waktu, dan menghabiskan lebih banyak sumber daya.

Untuk melakukan ini, pelaku kemungkinan besar sudah perlu mengkompromikan titik akhir dan mengetahui kemampuan teknis sistem target: apakah ia dapat menjalankan VM misalnya.

RegretLocker tidak mencoba menjalankan VM pada sistem target, tetapi mencoba untuk mempercepat enkripsi file yang ditemukan pada file hard drive virtual, arsip besar yang menampung hard disk virtual dari mesin virtual.

Operatornya mencoba strategi baru untuk “memasang” hard disk virtual sehingga mereka dapat mengakses file dan mengenkripsi, mencuri, atau menghapusnya.

Old Is Gold

Dalam analisis tentang CVE yang dipersenjatai dalam serangan ransomware, ditemukan 213 dari 223, atau 96%, dilaporkan ke National Vulnerability Database (NVD) sebelum 2019. Dari 213 kekurangan, 120 secara aktif digunakan dalam ancaman ransomware yang sedang tren di masa lalu. 10 tahun dan 87 saat ini sedang tren.

Mudah untuk mengatakan bahwa sekali kerentanan terkait dengan ransomware, itu harus dianggap sebagai titik paparan berisiko tinggi, terlepas dari usianya.

Kerentanan lama teratas yang paling aktif dengan keluarga ransomware termasuk CVE-2012-0507, CVE-2012-1723, CVE-2012-4681, dan CVE-2013-0074.

Tim keamanan yang ingin mengurangi eksposur ransomware sebaiknya fokus pada CVE dari 2017, 2018, dan 2019, karena tahun-tahun ini adalah kontributor besar untuk kelemahan yang dipersenjatai dalam serangan ransomware.

Kelemahan Kode Dasar

Empat puluh persen CVE yang terkait dengan serangan ransomware terhubung ke lima Common Weak Enumeration (CWE)

Lima itu adalah:

• CWE-119: Pembatasan Operasi yang Tidak Tepat dalam Batas Buffer Memori
• CWE-20: Validasi Input yang Tidak Tepat
• CWE-264: Izin, Hak Istimewa, dan Kontrol Akses
• CWE-94: Kontrol yang Tidak Tepat dari Pembuatan Kode, atau Injeksi Kode
• CWE-200: Pengungkapan Informasi Sensitif ke Aktor yang Tidak Berwenang

Pengembang aplikasi dan vendor perangkat lunak yang menguji dan memperbaiki, CWE ini dapat mempersulit pengembang ransomware dan membatasi seberapa sering mereka menerapkan patch keamanan penting.