Berita Informasi

Korban Ransomware menjadi sasaran tawaran hack-back palsu, bagaimana cara mengatasinya?

Beberapa organisasi yang terkena dampak kelompok ransomware Royal dan Akira telah menjadi mangsa ancaman baru, di mana seorang penipu yang menyamar sebagai peneliti keamanan telah menargetkan korbannya. Geng ransomware Royal dan Akira menggunakan taktik pemerasan ganda, yang melibatkan enkripsi sistem korban dan mengancam akan membocorkan informasi yang dicuri kecuali uang tebusan dibayarkan.

Menurut perusahaan keamanan siber Arctic Wolf, pihaknya telah menyelidiki beberapa kasus di mana korban yang telah membayar uang tebusan kepada dua kelompok ransomware tersebut didekati oleh seseorang yang mengaku sebagai peretas etis atau peneliti keamanan. Penipu ini, berjanji untuk meretas kembali penyerang asli dan menghapus data korban yang dicuri, meminta biaya hingga lima Bitcoin, setara dengan sekitar $190,000 pada saat itu.

Laporan Arctic Wolf merinci dua kasus dari Oktober dan November 2023, yang melibatkan organisasi yang sebelumnya disusupi oleh ransomware Royal dan Akira. Dalam kasus pertama, penipu menyamar sebagai ‘Ethical Side Group’ (ESG) dan awalnya salah mengaitkan serangan tersebut dengan geng ‘TommyLeaks’ sebelum mengubah narasinya untuk mengklaim akses ke server Royal. Khususnya, korban ini telah terlibat dalam negosiasi dengan pelaku ransomware setahun sebelumnya pada tahun 2022.

Dalam kejadian kedua, penipu yang menggunakan alias ‘xanonymoux’ menawarkan untuk menghapus file di server Akira atau memberikan akses ke server aktor. Namun, Akira telah berkomunikasi beberapa minggu sebelumnya, menyatakan bahwa mereka tidak mengambil data apa pun, dan serangan mereka hanya mengenkripsi sistem yang disusupi.

Taktik penipu (Arctic Wolf)

Arctic Wolf menyoroti bahwa kedua upaya komunikasi tersebut menggunakan sepuluh frasa umum melalui program pesan instan, yang menunjukkan keterlibatan individu yang sama dalam kedua kasus tersebut. Skema penipuan ini menggarisbawahi kompleksitas tambahan dalam serangan ransomware, sehingga menambah tantangan yang dihadapi oleh para korban dan menambah beban keuangan yang harus mereka tanggung selain krisis data terenkripsi dan pencurian.

Apa saja jenis serangan ransomware yang umum

Jenis serangan ransomware yang umum meliputi:

  1. Crypto Ransomware: Jenis ini mengenkripsi data korban dan meminta tebusan untuk kunci dekripsi. Ini adalah salah satu varian yang paling terkenal dan merusak.
  2. Locker Ransomware: Jenis ransomware ini mengunci pengguna dari sistem mereka, sering kali menampilkan pesan tebusan dan mencegah akses ke data hingga uang tebusan dibayarkan.
  3. Doxware atau Leakware: Varian ini mengancam untuk mendistribusikan informasi sensitif pribadi atau perusahaan secara online kecuali uang tebusan dibayarkan.
  4. Ransomware as a Service (RaaS): RaaS mengacu pada malware yang dihosting oleh peretas “profesional” yang menangani segala hal mulai dari mendistribusikan ransomware hingga mengumpulkan pembayaran dan memulihkan akses, dengan imbalan potongan keuntungan.
  5. Eksfiltrasi (Leakware): Jenis ini melibatkan pencurian data sensitif dan ancaman untuk mempublikasikannya kecuali uang tebusan dibayarkan.

Jenis serangan ransomware ini dapat dimulai melalui berbagai metode seperti email phishing, rekayasa sosial, eksploitasi kerentanan perangkat lunak, dan penyalahgunaan kepercayaan. Memahami jenis serangan ini dan metode yang digunakan untuk memulainya sangat penting bagi organisasi untuk mempersiapkan dan melindungi diri dari ancaman ransomware.

Apa saja taktik umum yang digunakan oleh penyerang ransomware

Penyerang Ransomware menggunakan berbagai taktik untuk menargetkan korban dan mendapatkan akses ke sistem mereka. Beberapa taktik umum meliputi:

  1. Email phishing: Phishing adalah metode populer yang digunakan oleh peretas untuk menyebarkan ransomware. Mereka mengirim email berbahaya yang berisi tautan atau lampiran yang mengarah ke pemasangan ransomware di sistem korban.
  2. Kerentanan perangkat lunak yang dapat dieksploitasi: Penyerang mengeksploitasi kerentanan dalam aplikasi perangkat lunak untuk mendapatkan akses tidak sah ke sistem dan menginstal ransomware.
  3. Serangan kredensial brute force: Penjahat dunia maya menggunakan alat dan teknik otomatis untuk menebak atau memecahkan kata sandi, memungkinkan mereka mendapatkan akses ke sistem dan menginstal ransomware.
  4. Rekayasa sosial: Penyerang menggunakan teknik rekayasa sosial untuk memanipulasi korban agar memberikan informasi pribadi atau mengeklik tautan jahat.
  5. Kredensial yang telah disusupi sebelumnya: Penjahat dunia maya dapat memperoleh akses ke kredensial yang telah disusupi dari pelanggaran sebelumnya dan menggunakannya untuk menyusup ke sistem dan memasang ransomware.
  6. Penyalahgunaan kepercayaan: Penyerang mengeksploitasi hubungan kepercayaan antara pengguna dan organisasinya, misalnya dalam kasus karyawan yang dirugikan oleh perusahaannya, untuk mendapatkan akses ke sistem dan memasang ransomware.
  7. Serangan tanpa file: Penyerang Ransomware menggunakan teknik tanpa file, seperti skrip PowerShell atau WMI, untuk melakukan tugas tanpa memerlukan file berbahaya untuk dijalankan di sistem target.
  8. Protokol Meja Jarak Jauh: Penyerang menggunakan Protokol Meja Jarak Jauh untuk mendapatkan akses tidak sah ke sistem dan menginstal ransomware.
  9. Malware-as-a-Service (MaaS): Penjahat dunia maya menggunakan MaaS untuk menyewa atau membeli kemampuan malware dan melancarkan serangan atas nama klien mereka.
  10. Unduhan drive-by: Penyerang menggunakan unduhan drive-by untuk mengunduh dan menginstal ransomware secara otomatis pada sistem korban ketika mereka mengunjungi situs web yang disusupi.

Untuk melindungi dari taktik ini, organisasi harus menerapkan praktik terbaik keamanan seperti pembaruan perangkat lunak secara berkala, manajemen kata sandi yang kuat, pelatihan karyawan, dan rencana respons insiden yang kuat.

Bagaimana perusahaan dapat melatih karyawannya untuk menghindari email phishing

Sebuah perusahaan dapat melatih karyawannya untuk menghindari email phishing melalui berbagai metode dan praktik terbaik. Beberapa pendekatan umum meliputi:

  1. Pelatihan Kesadaran Keamanan: Mengadakan sesi pelatihan kesadaran keamanan secara berkala untuk mengedukasi karyawan tentang berbagai bentuk serangan phishing dan cara mengidentifikasinya. Pelatihan ini harus mencakup topik-topik seperti mengenali email yang mencurigakan, memahami konsekuensi jika terkena penipuan phishing, dan melaporkan potensi upaya phishing.
  2. Identifikasi Sumber Daya Pelatihan yang Tersedia: Bisnis harus mengidentifikasi dan memanfaatkan sumber daya pelatihan yang tersedia untuk mendidik karyawan tentang cara mengenali phishing. Sumber daya ini dapat diperoleh dari penyedia TI, organisasi profesional/industri, atau nirlaba, dan dapat mencakup materi pelatihan siap pakai.
  3. Program Kesadaran Phishing: Menerapkan program kesadaran phishing yang menyimulasikan serangan phishing di dunia nyata untuk membantu karyawan mengenali dan merespons upaya phishing. Program-program ini dapat memberikan umpan balik langsung dan pelatihan tambahan kepada karyawan yang terkena serangan simulasi.
  4. Pelatihan Berbasis Peran: Sediakan sesi pelatihan yang disesuaikan dan berbasis peran untuk mengatasi ancaman phishing spesifik yang mungkin dihadapi oleh karyawan dengan peran berbeda. Pendekatan ini dapat membantu karyawan memahami bagaimana pelaku kejahatan siber menargetkan individu dalam peran spesifik mereka dan bagaimana cara mempertahankan diri dari serangan tersebut.
  5. Penggunaan Konten Interaktif: Memanfaatkan konten interaktif dalam pelatihan, termasuk simulasi phishing email, untuk melibatkan karyawan dan memberi mereka pengalaman langsung dalam mengidentifikasi dan merespons upaya phishing.
  6. Mendorong Kewaspadaan dan Kecurigaan: Mendorong karyawan untuk waspada dan curiga terhadap email yang tidak diminta, terutama email yang meminta informasi sensitif atau mendesak tindakan segera. Karyawan harus dilatih untuk memverifikasi keaslian email tersebut sebelum mengambil tindakan apa pun.

Dengan menerapkan metode pelatihan ini, bisnis dapat secara signifikan mengurangi risiko karyawan menjadi korban serangan phishing dan meningkatkan postur keamanan siber organisasi secara keseluruhan.

Apa saja tanda-tanda komputer atau jaringan telah terinfeksi ransomware

Beberapa tanda komputer atau jaringan telah terinfeksi ransomware antara lain:

  1. Email Mencurigakan: Email phishing adalah cara umum serangan ransomware dimulai. Peretas mengirimkan email rekayasa sosial yang tampaknya berasal dari perusahaan sah dengan lampiran atau tautan berbahaya.
  2. Pemindai Jaringan Tak Terduga: Aktivitas pemindaian jaringan yang tidak sah dapat mengindikasikan upaya untuk mengidentifikasi target potensial infeksi ransomware.
  3. Akses Tidak Sah ke Direktori Aktif: Setiap akses tidak sah ke Direktori Aktif, yang mengelola sumber daya jaringan, dapat menjadi tanda serangan ransomware.
  4. Aktivitas Disk Tidak Normal: Lonjakan aktivitas disk yang tidak normal, terutama saat sistem mengurai setiap folder untuk mengenkripsi data, dapat menjadi tanda serangan ransomware otomatis.
  5. Perilaku Sistem yang Glitchy: Sistem yang biasanya berfungsi dengan baik tiba-tiba tampak bermasalah atau tidak berfungsi bisa menjadi tanda serangan ransomware sedang berlangsung.
  6. Pembuatan Akun Baru dan Penginstalan Perangkat Lunak Tidak Sah: Pembuatan akun baru, terutama akun dengan hak istimewa, dan penginstalan perangkat lunak tidak sah merupakan tanda-tanda potensial serangan ransomware.
  7. Kehadiran Alat Peretasan: Kehadiran alat peretasan seperti MimiKatz, Process Explorer, atau PC Hunter dapat menjadi indikasi jelas adanya serangan ransomware.
  8. Sistem Operasi yang Belum Ditambal: Sistem operasi yang belum ditambal dapat menciptakan kerentanan yang mungkin dieksploitasi oleh penyerang ransomware untuk mendapatkan akses ke jaringan.

Jika salah satu dari tanda-tanda ini terlihat, penting untuk mengambil tindakan segera, seperti memutuskan sambungan dari jaringan, melaporkan kejadian tersebut, dan mencari bantuan profesional untuk mengurangi dampak dari kejadian tersebut.

Apa saja konsekuensi jika karyawan terjerumus ke dalam penipuan phishing

Karyawan yang terkena penipuan phishing dapat menimbulkan beberapa konsekuensi baik bagi individu maupun organisasi, termasuk:

  1. Kerugian Finansial: Serangan phishing yang berhasil dapat mengakibatkan kerugian finansial yang signifikan bagi organisasi, karena uang tebusan sering kali diminta dalam mata uang kripto atau metode pembayaran lain yang sulit dilacak.
  2. Kerusakan Reputasi: Reputasi perusahaan dapat rusak parah jika diketahui bahwa organisasi tersebut disusupi karena karyawannya terkena penipuan phishing.
  3. Akses Tidak Sah ke Informasi Pribadi: Serangan phishing dapat menyebabkan akses tidak sah ke data sensitif, seperti informasi pribadi, catatan pelanggan, atau kekayaan intelektual.
  4. Tindakan Hukum: Perusahaan dapat mengambil tindakan hukum terhadap karyawan yang terkena penipuan phishing, terutama jika karyawan tersebut memiliki akses ke informasi sensitif atau terlibat dalam transaksi keuangan.
  5. Tindakan Disiplin: Karyawan yang berulang kali terjerumus ke dalam penipuan phishing dapat menghadapi tindakan disipliner, seperti peringatan, denda, atau bahkan pemutusan hubungan kerja, tergantung pada kebijakan organisasi dan tingkat keparahan pelanggarannya.
  6. Penurunan Kesadaran Keamanan: Karyawan yang terkena penipuan phishing mungkin dianggap sebagai risiko keamanan, yang dapat menyebabkan berkurangnya akses ke sistem atau data sensitif, dan peningkatan pengawasan dari organisasi.

Untuk memitigasi risiko ini, organisasi harus berinvestasi dalam pelatihan kesadaran keamanan rutin, simulasi serangan phishing, dan kebijakan serta konsekuensi yang jelas bagi karyawan yang terjebak dalam penipuan phishing.

Apa sajakah praktik terbaik untuk pulih dari serangan ransomware

Beberapa praktik terbaik untuk pulih dari serangan ransomware meliputi:

  1. Mempersiapkan dan Mencegah: Siapkan cadangan yang tidak dapat diubah untuk digunakan jika terjadi infeksi dan gunakan alat pihak ketiga untuk mencegah ransomware memasuki dan menyerang sistem.
  2. Uji dan Validasi Cadangan: Jalankan pengujian validasi secara teratur untuk memeriksa kerusakan, virus, atau malware. Pastikan cadangan berfungsi dengan memasangnya di mesin virtual.
  3. Berinteraksi dengan Pakar Keamanan Siber: Hubungi spesialis dukungan TI dan perusahaan keamanan siber untuk mendapatkan dukungan darurat ransomware.
  4. Isolasikan Infeksi dan Pemulihan: Putuskan sambungan semua perangkat untuk membatasi efek ransomware, lalu gunakan pencadangan yang aman dan perangkat lunak yang andal untuk memulihkan komputer yang terinfeksi atau menyiapkan sistem baru dari awal.
  5. Simpan Cadangan Data Offline: Simpan cadangan di lokasi yang memiliki celah udara atau tidak dapat diakses dari jaringan untuk mencegah ransomware mengaksesnya.

Dengan mengikuti praktik terbaik ini, organisasi dapat meningkatkan kemampuan mereka untuk pulih dari serangan ransomware dan meminimalkan dampaknya terhadap operasi mereka.

Bagaimana mencegah serangan ransomware terjadi di masa depan

Serangan Ransomware dapat dicegah dengan mengikuti beberapa praktik terbaik. Hal ini mencakup pencadangan data secara rutin, memperbarui semua sistem dan perangkat lunak, memasang perangkat lunak antivirus dan firewall, serta memberikan pendidikan keamanan siber kepada karyawan. Penting juga untuk mengidentifikasi aset yang dapat dicari melalui alat online dan mengambil langkah-langkah untuk mengurangi paparan tersebut, berhati-hati dengan lampiran email, dan menerapkan program pelatihan keamanan siber yang komprehensif. Selain itu, organisasi harus mengembangkan rencana dan kebijakan, meninjau pengaturan pelabuhan, dan memperkuat infrastruktur. Sangat penting untuk memelihara cadangan dengan cermat dan melatih tim untuk mewaspadai email berbahaya. Terakhir, disarankan untuk menerapkan arsitektur zero-trust dan menguji rencana respons insiden. Dengan mengikuti praktik ini, individu dan organisasi dapat melindungi diri mereka dari serangan ransomware.

Untuk mencegah serangan ransomware terjadi di masa depan, individu dan organisasi dapat mengambil langkah-langkah berikut:

  1. Pencadangan dan Pemulihan Data: Gunakan rencana pencadangan dan pemulihan data untuk semua informasi penting. Selalu perbarui sistem operasi dan perangkat lunak Anda dengan patch terbaru.
  2. Perangkat Lunak Keamanan: Pertimbangkan untuk menerapkan perangkat lunak keamanan untuk melindungi titik akhir, server email, dan sistem jaringan dari infeksi.
  3. Hak Istimewa Terkecil: Menerapkan prinsip “Hak Istimewa Terkecil” ke semua sistem dan layanan untuk membatasi hak istimewa dan mencegah malware berjalan atau membatasi kemampuannya untuk menyebar.
  4. Pencadangan Data Offline: Simpan cadangan data offline di lokasi dengan celah udara atau pada drive penyimpanan eksternal yang tidak terhubung untuk mencegah ransomware mengaksesnya.
  5. Selalu Perbarui Sistem: Selalu perbarui semua sistem dan perangkat lunak dengan patch keamanan terbaru dan pembaruan untuk menutup kerentanan yang diketahui.
  6. Instal Perangkat Lunak Keamanan: Pertimbangkan untuk menerapkan perangkat lunak keamanan untuk melindungi titik akhir, server email, dan sistem jaringan dari infeksi.
  7. Mendidik Pengguna: Mendidik pengguna untuk tidak mengeklik tautan tidak aman dalam pesan spam atau di situs web yang tidak dikenal. Hindari mengaktifkan makro dari lampiran email.
  8. Praktikkan Kebersihan Dunia Maya yang Baik: Menerapkan kebersihan dunia maya yang baik, seperti menggunakan kata sandi yang kuat, mengaktifkan autentikasi dua faktor, dan membatasi hak istimewa pengguna.
  9. Kembangkan Rencana dan Kebijakan: Kembangkan dan terapkan rencana dan kebijakan untuk merespons serangan ransomware.

Dengan menerapkan langkah-langkah ini, individu dan organisasi dapat mengurangi risiko menjadi korban serangan ransomware dan meminimalkan dampak serangan tersebut terhadap sistem dan data mereka.

Sumber:
https://www.rubrik.com/insights/how-to-recover-from-ransomware
https://www.veeam.com/blog/ransomware-recovery-what-you-need-to-know.html
https://www.sciencedirect.com/science/article/pii/S1361372319300284
https://www.reddit.com/r/sysadmin/comments/11srgt4/best_practices_for_recovery_from_sleeper/?rdt=38950
https://www.backblaze.com/blog/complete-guide-ransomware/
https://www.splashtop.com/blog/10-tips-employees-prevent-phishing
https://trustifi.com/blog/why-do-employees-continue-to-fall-for-phishing-attacks/
https://www.blumira.com/ransomware-warning-signs/
https://www.itprotoday.com/vulnerabilities-and-threats/how-spot-warning-signs-ransomware-attacks
https://security.berkeley.edu/faq/ransomware/
https://www.alanet.org/legal-management/2021/november-december/table-of-contents/how-to-spot-the-early-signs-of-a-ransomware-attack-and-take-action
https://www.lepide.com/blog/early-warning-signs-of-a-ransomware-attack/
https://www.techtarget.com/searchsecurity/feature/How-to-avoid-phishing-hooks-A-checklist-for-your-end-users
https://www.cisa.gov/secure-our-world/teach-employees-avoid-phishing
https://www.vadesecure.com/en/blog/phishing-awareness-training-8-things-employees-understand
https://www.titanhq.com/safetitan/employee-phishing-training/
https://www.mimecast.com/blog/ransomware-tactics-evolve/
https://www.paloaltonetworks.com/cyberpedia/ransomware-common-attack-methods
https://www.crowdstrike.com/cybersecurity-101/ransomware/how-ransomware-spreads/
https://www.picussecurity.com/resource/blog/top-5-ransomware-attack-techniques
https://www.crowdstrike.com/cybersecurity-101/ransomware/types-of-ransomware/
https://www.forenova.com/ransomware/types-of-ransomware
https://bluexp.netapp.com/blog/rps-blg-5-common-types-of-ransomware-attack-top-security-tips-for-it-teams
https://www.techtarget.com/searchsecurity/feature/4-types-of-ransomware-and-a-timeline-of-attack-examples
https://www.bleepingcomputer.com/news/security/ransomware-victims-targeted-by-fake-hack-back-offers/
https://twitter.com/BleepinComputer/status/1744828699193528613
https://www.bleepingcomputer.com/news/security/paraguay-warns-of-black-hunt-ransomware-attacks-after-tigo-business-breach/
https://www.justice.gov/usao-sdfl/pr/justice-department-disrupts-prolific-alphvblackcat-ransomware-variant