Ransomware adalah ancaman keamanan siber paling signifikan yang dihadapi organisasi saat ini. Namun baru-baru ini, para pemimpin dari Badan Keamanan Nasional dan FBI keduanya menunjukkan bahwa serangan menurun selama paruh pertama tahun 2022. Kombinasi sanksi terhadap Rusia, tempat banyak geng penjahat dunia maya berasal, dan jatuhnya pasar mata uang kripto mungkin berdampak, mempersulit geng ransomware untuk mengekstraksi dana dan mendapatkan pembayaran mereka.
Tapi kita belum keluar dari hutan. Meskipun mengalami penurunan sementara, ransomware tidak hanya berkembang tetapi juga berkembang. Saat ini, ransomware-as-a-service (RaaS) telah berevolusi dari model terkomoditas dan otomatis yang mengandalkan kit eksploit yang dikemas sebelumnya, menjadi operasi bisnis yang dioperasikan oleh manusia, sangat bertarget, dan canggih. Itulah alasan bisnis dengan ukuran apa pun harus diperhatikan.
Menjadi Raas
Diketahui secara luas bahwa penjahat dunia maya saat ini diperlengkapi dengan baik, bermotivasi tinggi, dan sangat efektif. Mereka tidak menjadi seperti itu secara kebetulan, dan mereka tidak begitu efektif tanpa terus menerus mengembangkan teknologi dan metodologi mereka. Motivasi keuntungan finansial besar-besaran adalah satu-satunya yang konstan.
Serangan ransomware awal adalah serangan sederhana berbasis teknologi. Serangan tersebut mendorong peningkatan fokus pada kemampuan pencadangan dan pemulihan, yang mengarahkan musuh untuk mencari cadangan online dan mengenkripsinya juga, selama serangan. Keberhasilan penyerang menyebabkan tebusan yang lebih besar, dan tuntutan tebusan yang lebih besar membuat kecil kemungkinan korban akan membayar, dan lebih mungkin penegakan hukum akan terlibat. Geng ransomware menanggapi dengan pemerasan. Mereka beralih ke tidak hanya mengenkripsi data, tetapi juga eksfiltrasi dan mengancam untuk mempublikasikan data yang sering sensitif dari pelanggan atau mitra korban, memperkenalkan risiko kerusakan merek dan reputasi yang lebih kompleks. Saat ini, bukan hal yang aneh bagi penyerang ransomware untuk mencari polis asuransi siber korban untuk membantu mengatur permintaan tebusan dan membuat seluruh proses (termasuk pembayaran) seefisien mungkin.
Kami juga melihat serangan ransomware yang kurang disiplin (tetapi sama-sama merusak). Misalnya, memilih untuk membayar tebusan pada gilirannya juga mengidentifikasi korban sebagai orang yang dapat diandalkan untuk serangan di masa mendatang, meningkatkan kemungkinan korban akan diserang lagi, oleh geng ransomware yang sama atau berbeda. Estimasi penelitian antara 50% untuk 80% (PDF) organisasi yang membayar uang tebusan mengalami serangan berulang.
Seiring berkembangnya serangan ransomware, teknologi keamanan juga berkembang, terutama di bidang identifikasi dan pemblokiran ancaman. Anti-phishing, filter spam, antivirus, dan teknologi pendeteksi malware semuanya telah disesuaikan untuk mengatasi ancaman modern guna meminimalkan ancaman penyusupan melalui email, situs web berbahaya, atau vektor serangan populer lainnya.
Pepatah permainan “kucing dan tikus” antara musuh dan penyedia keamanan yang memberikan pertahanan yang lebih baik dan pendekatan canggih untuk menghentikan serangan ransomware telah menghasilkan lebih banyak kolaborasi dalam lingkaran penjahat dunia maya global. Sama seperti spesialis safecracker dan alarm yang digunakan dalam perampokan tradisional, para ahli dalam pengembangan malware, akses jaringan, dan eksploitasi mendukung serangan hari ini dan menciptakan kondisi untuk evolusi selanjutnya dalam ransomware.
Model RaaS Hari Ini
RaaS telah berevolusi menjadi operasi canggih yang dipimpin manusia dengan model bisnis pembagian keuntungan yang kompleks. Operator RaaS yang mungkin telah bekerja secara independen di masa lalu sekarang membuat kontrak dengan spesialis untuk meningkatkan peluang sukses.
Operator RaaS — yang memelihara alat ransomware khusus, berkomunikasi dengan korban, dan mengamankan pembayaran — sekarang akan sering bekerja bersama peretas tingkat tinggi, yang akan melakukan intrusi itu sendiri. Memiliki penyerang interaktif di dalam lingkungan target memungkinkan pengambilan keputusan langsung selama serangan. Bekerja sama, mereka mengidentifikasi kelemahan spesifik dalam jaringan, meningkatkan hak istimewa, dan mengenkripsi data paling sensitif untuk memastikan pembayaran. Selain itu, mereka melakukan pengintaian untuk menemukan dan menghapus cadangan online dan menonaktifkan alat keamanan. Peretas yang dikontrak akan sering bekerja bersama pialang akses, yang bertanggung jawab untuk menyediakan akses ke jaringan melalui kredensial curian atau mekanisme persistensi yang sudah ada.
Serangan-serangan yang dihasilkan dari kolaborasi keahlian ini memiliki nuansa dan tampilan "kuno", serangan gaya ancaman lanjutan yang disponsori negara, tetapi jauh lebih lazim.
Bagaimana Organisasi Dapat Mempertahankan Diri Sendiri
Model RaaS baru yang dioperasikan manusia jauh lebih canggih, bertarget, dan destruktif daripada model RaaS di masa lalu, tetapi masih ada praktik terbaik yang dapat diikuti organisasi untuk mempertahankan diri.
Organisasi harus disiplin tentang kebersihan keamanan mereka. TI selalu berubah, dan setiap kali titik akhir baru ditambahkan, atau sistem diperbarui, hal itu berpotensi menimbulkan kerentanan atau risiko baru. Tim keamanan harus tetap fokus pada praktik terbaik keamanan: menambal, menggunakan autentikasi multifaktor, menerapkan kredensial yang kuat, memindai Web Gelap untuk kredensial yang disusupi, melatih karyawan tentang cara menemukan upaya phishing, dan banyak lagi. Ini praktik terbaik membantu mengurangi permukaan serangan dan meminimalkan risiko bahwa broker akses akan dapat mengeksploitasi kerentanan untuk masuk. Selain itu, semakin kuat higiene keamanan yang dimiliki organisasi, semakin sedikit “kebisingan” bagi analis untuk memilah-milah di pusat operasi keamanan (SOC), memungkinkan mereka untuk fokus pada ancaman nyata ketika ada yang teridentifikasi.
Di luar praktik terbaik keamanan, organisasi juga harus memastikan bahwa mereka memiliki kemampuan deteksi dan respons ancaman tingkat lanjut. Karena pialang akses menghabiskan waktu melakukan pengintaian dalam infrastruktur organisasi, analis keamanan memiliki kesempatan untuk menemukan mereka dan menghentikan serangan pada tahap awal — tetapi hanya jika mereka memiliki alat yang tepat. Organisasi harus mencari solusi deteksi dan respons yang diperluas yang dapat mendeteksi dan menghubungkan lintas telemetri dari peristiwa keamanan di seluruh titik akhir, jaringan, server, sistem email dan cloud, serta aplikasi mereka. Mereka juga membutuhkan kemampuan untuk merespons di mana pun serangan itu teridentifikasi untuk menghentikannya dengan cepat. Perusahaan besar mungkin memiliki kemampuan ini di dalam SOC mereka, sedangkan organisasi menengah mungkin ingin mempertimbangkan model deteksi dan respons terkelola untuk pemantauan dan respons ancaman 24/7.
Terlepas dari penurunan serangan ransomware baru-baru ini, para profesional keamanan seharusnya tidak berharap ancaman tersebut akan punah dalam waktu dekat. RaaS akan terus berkembang, dengan adaptasi terbaru digantikan oleh pendekatan baru sebagai respons terhadap inovasi keamanan siber. Namun dengan fokus pada praktik terbaik keamanan yang dipasangkan dengan teknologi pencegahan, deteksi, dan respons ancaman utama, organisasi akan menjadi lebih tangguh terhadap serangan.
