Penjahat dunia maya menjadi lebih strategis dan profesional ransomware. Mereka semakin meniru cara bisnis yang sah beroperasi, termasuk memanfaatkan rantai pasokan kejahatan dunia maya sebagai layanan yang terus berkembang.
Artikel ini menjelaskan empat tren ransomware utama dan memberikan saran tentang cara menghindari menjadi korban serangan baru ini.
1. IAB Naik Daun
Kejahatan dunia maya menjadi lebih menguntungkan, sebagaimana dibuktikan dengan pertumbuhan pialang akses awal (IAB) yang berspesialisasi dalam pembobolan perusahaan, mencuri kredensial, dan menjual akses tersebut ke penyerang lain. IAB adalah tautan pertama dalam rantai pembunuh kejahatan dunia maya sebagai layanan, ekonomi bayangan dari layanan siap pakai yang dapat dibeli oleh calon penjahat mana pun untuk membangun rantai alat canggih untuk mengeksekusi hampir semua pelanggaran digital yang bisa dibayangkan.
Pelanggan utama IAB adalah operator ransomware, yang bersedia membayar untuk akses ke korban siap pakai sementara mereka memfokuskan upaya mereka sendiri pada pemerasan dan meningkatkan malware mereka.
Pada tahun 2021, jumlahnya lebih dari 1,300 daftar IAB di forum kejahatan dunia maya utama yang dipantau oleh KELA Cyber โโIntelligence Center, dengan hampir setengahnya berasal dari 10 IAB. Dalam kebanyakan kasus, harga akses adalah antara $1,000 dan $10,000, dengan harga jual rata-rata $4,600. Dari semua penawaran yang tersedia, kredensial VPN dan akses administrator domain termasuk di antaranya yang paling berharga.
2. Serangan Tanpa File Terbang Di Bawah Radar
Penjahat dunia maya mengambil petunjuk dari ancaman persisten tingkat lanjut (APT) dan penyerang negara-bangsa dengan menggunakan teknik living-off-the-land (LotL) dan tanpa file untuk meningkatkan peluang mereka menghindari deteksi agar berhasil menyebarkan ransomware.
Serangan ini memanfaatkan perangkat lunak resmi yang tersedia untuk umum yang sering ditemukan di lingkungan target. Misalnya, 91% dari Ransomware DarkSide serangan melibatkan alat yang sah, dengan hanya 9% menggunakan malware, menurut laporan oleh Keamanan Picus. Serangan lain telah ditemukan yang 100% tanpa file.
Dengan cara ini, pelaku ancaman menghindari deteksi dengan menghindari indikator yang โdikenal burukโ, seperti nama proses atau hash file. Daftar yang diizinkan aplikasi, yang mengizinkan penggunaan aplikasi tepercaya, juga gagal membatasi pengguna jahat, terutama untuk aplikasi yang ada di mana-mana.
3. Grup Ransomware Menargetkan Target Profil Rendah
Profil tinggi Pipa Kolonial serangan ransomware pada Mei 2021 memengaruhi infrastruktur penting dengan sangat parah sehingga memicu serangan internasional dan tanggapan pemerintah atas.
Serangan yang menarik perhatian seperti itu memicu pengawasan dan upaya bersama oleh lembaga penegak hukum dan pertahanan untuk bertindak melawan operator ransomware, yang menyebabkan gangguan operasi kriminal, serta penangkapan dan penuntutan. Kebanyakan penjahat lebih suka menjaga aktivitas mereka di bawah radar. Mengingat banyaknya target potensial, operator dapat bersikap oportunistik sambil meminimalkan risiko terhadap operasi mereka sendiri. Pelaku ransomware menjadi jauh lebih selektif dalam menargetkan korban, dimungkinkan oleh firmografi terperinci dan terperinci yang disediakan oleh IAB.
4. Orang Dalam Tergoda Dengan Sepotong Pai
Operator ransomware juga menemukan bahwa mereka dapat meminta karyawan nakal untuk membantu mereka mendapatkan akses. Tingkat konversi mungkin rendah, tetapi hasilnya sepadan dengan usaha.
A survei oleh Hitachi ID diambil antara 7 Desember 2021 dan 4 Januari 2022, ditemukan bahwa 65% responden mengatakan karyawan mereka telah didekati oleh pelaku ancaman untuk membantu memberikan akses awal. Orang dalam yang terpancing memiliki alasan berbeda untuk bersedia mengkhianati perusahaan mereka, meskipun ketidakpuasan dengan atasan mereka adalah motivator yang paling umum.
Apa pun alasannya, penawaran yang dibuat oleh grup ransomware bisa menggiurkan. Dalam survei ID Hitachi, 57% karyawan yang dihubungi ditawarkan kurang dari $500,000, 28% ditawarkan antara $500,000 dan $1 juta, dan 11% ditawarkan lebih dari $1 juta.
Langkah Praktis Meningkatkan Proteksi
Taktik yang berkembang yang dibahas di sini meningkatkan ancaman operator ransomware, tetapi ada beberapa langkah yang dapat diambil organisasi untuk melindungi diri mereka sendiri:
- Ikuti praktik terbaik tanpa kepercayaan, seperti autentikasi multifaktor (MFA) dan akses dengan hak istimewa rendah, untuk membatasi dampak kredensial yang dikompromikan dan meningkatkan kemungkinan mendeteksi aktivitas anomali.
- Fokus pada mengurangi ancaman orang dalam, sebuah praktik yang dapat membantu membatasi tindakan jahat tidak hanya oleh karyawan tetapi juga oleh aktor eksternal (yang, bagaimanapun juga, tampak seperti orang dalam begitu mereka mendapatkan akses).
- Melakukan perburuan ancaman secara teratur, yang dapat membantu mendeteksi serangan tanpa file dan pelaku ancaman bekerja untuk menghindari pertahanan Anda lebih awal.
Penyerang selalu mencari cara baru untuk menyusup ke sistem organisasi, dan cara baru yang kami lihat tentu menambah keuntungan yang dimiliki penjahat dunia maya dibandingkan organisasi yang tidak siap menghadapi serangan. Namun, organisasi jauh dari tidak berdaya. Dengan mengambil langkah-langkah praktis dan terbukti yang diuraikan dalam artikel ini, organisasi dapat mempersulit IAB dan grup ransomware, terlepas dari rangkaian taktik baru mereka.
