Korban Ransomware Melonjak sebagai Pelaku Ancaman Beralih ke Eksploitasi Zero-Day

Jumlah organisasi yang menjadi korban serangan ransomware melonjak 143% antara kuartal pertama 2022 dan kuartal pertama tahun ini, karena penyerang semakin memanfaatkan kerentanan zero-day dan kelemahan satu hari untuk masuk ke jaringan target.

Dalam banyak serangan ini, pelaku ancaman tidak terlalu repot untuk mengenkripsi data milik organisasi korban. Sebaliknya, mereka hanya berfokus pada pencurian data sensitif mereka dan memeras korban dengan mengancam akan menjual atau membocorkan data tersebut kepada orang lain. Taktik tersebut membuat bahkan mereka yang memiliki proses pencadangan dan pemulihan yang kuat terpojok.

Lonjakan Korban

Peneliti di Akamai menemukan tren ketika mereka baru-baru ini menganalisis data yang dikumpulkan dari situs kebocoran milik 90 grup ransomware. Situs kebocoran adalah lokasi tempat grup ransomware biasanya merilis detail tentang serangan, korban, dan data apa pun yang mungkin telah mereka enkripsi atau ekstrak.

Analisis Akamai menunjukkan bahwa beberapa gagasan populer tentang serangan ransomware tidak lagi sepenuhnya benar. Salah satu yang paling signifikan, menurut perusahaan, adalah pergeseran dari phishing sebagai vektor akses awal ke eksploitasi kerentanan. Akamai menemukan bahwa beberapa operator ransomware utama berfokus pada memperoleh kerentanan zero-day — baik melalui penelitian internal atau dengan mendapatkannya dari sumber pasar abu-abu — untuk digunakan dalam serangan mereka.

Salah satu contoh penting adalah grup ransomware Cl0P, yang menyalahgunakan kerentanan injeksi SQL zero-day di perangkat lunak GoAnywhere Fortra (CVE-2023-0669) awal tahun ini untuk membobol banyak perusahaan terkenal. Pada bulan Mei, aktor ancaman yang sama menyalahgunakan bug zero-day lain yang ditemukannya — kali ini dalam aplikasi transfer file MOVEIt dari Progress Software (CVE-2023-34362) — untuk menyusup ke lusinan organisasi besar secara global. Akamai menemukan jumlah korban Cl0p melonjak sembilan kali lipat antara kuartal pertama 2022 dan kuartal pertama tahun ini setelah mulai mengeksploitasi bug zero-day.

Meskipun memanfaatkan kerentanan zero-day bukanlah hal baru, tren yang muncul di antara pelaku ransomware untuk menggunakannya dalam serangan skala besar adalah signifikan, kata Akamai.

“Yang paling memprihatinkan adalah pengembangan internal kerentanan zero-day,” kata Eliad Kimhy, kepala tim CORE riset keamanan Akamai. “Kami melihat ini dengan Cl0p dengan dua serangan besar mereka baru-baru ini, dan kami mengharapkan grup lain untuk mengikuti dan memanfaatkan sumber daya mereka untuk membeli dan mencari jenis kerentanan ini.”

Dalam kasus lain, pakaian ransomware besar seperti LockBit dan ALPHV (alias BlackCat) menyebabkan malapetaka dengan memanfaatkan kerentanan yang baru diungkapkan sebelum organisasi memiliki kesempatan untuk menerapkan perbaikan vendor untuk mereka. Contoh kerentanan "hari pertama" seperti itu termasuk Kerentanan PaperCut pada April 2023 (CVE-2023-27350 dan CVE-2023-27351) dan kerentanan di server ESXi VMware yang dieksploitasi oleh operator kampanye ESXiArgs.

Berputar dari Enkripsi ke Eksfiltrasi

Akamai juga menemukan bahwa beberapa operator ransomware — seperti yang ada di belakang kampanye BianLian — telah beralih sepenuhnya dari enkripsi data pemerasan melalui pencurian data. Alasan peralihan ini signifikan adalah bahwa dengan enkripsi data, organisasi memiliki peluang untuk mengambil kembali data mereka yang terkunci jika mereka memiliki proses pencadangan dan pemulihan data yang cukup kuat. Dengan pencurian data, organisasi tidak memiliki kesempatan itu dan sebagai gantinya harus membayar atau mengambil risiko pelaku ancaman membocorkan data mereka secara publik — atau lebih buruk lagi, menjualnya kepada orang lain.

Diversifikasi teknik pemerasan sangat terkenal, kata Kimhy. “Eksfiltrasi data telah dimulai sebagai pengaruh tambahan yang dalam beberapa hal merupakan sekunder dari enkripsi file,” catat Kimhy. “Saat ini kami melihatnya digunakan sebagai pengungkit utama untuk pemerasan, yang berarti cadangan file, misalnya, mungkin tidak cukup.”

Sebagian besar korban dalam kumpulan data Akamai — sekitar 65% dari mereka sebenarnya — adalah bisnis kecil hingga menengah dengan pendapatan yang dilaporkan mencapai $50 juta. Organisasi yang lebih besar, sering dianggap sebagai target ransomware terbesar, sebenarnya hanya mencapai 12% dari jumlah korban. Perusahaan manufaktur mengalami persentase serangan yang tidak proporsional, diikuti oleh entitas layanan kesehatan dan perusahaan jasa keuangan. Secara signifikan, Akamai menemukan bahwa organisasi yang mengalami serangan ransomware memiliki kemungkinan yang sangat tinggi untuk mengalami serangan kedua dalam waktu tiga bulan sejak serangan pertama.

Penting untuk ditekankan bahwa phishing masih sangat penting untuk dipertahankan, kata Kimhy. Pada saat yang sama, organisasi perlu memprioritaskan penambalan kerentanan yang baru terungkap. Dia menambahkan, “[T]rekomendasi yang sama yang telah kami buat masih berlaku, seperti memahami musuh, permukaan ancaman, teknik yang digunakan, disukai, dan dikembangkan, dan khususnya produk, proses, dan orang apa yang perlu Anda kembangkan untuk hentikan serangan ransomware modern.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Otomotif / EV, Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• BlockOffset. Modernisasi Kepemilikan Offset Lingkungan. Akses Di Sini.
• Sumber: https://www.darkreading.com/threat-intelligence/ransomware-victims-surge-as-threat-actors-pivot-to-zero-day-exploits