Apa itu Ransomware? Bagaimana Cara Mencegahnya

Februari 16, 2022 ・0 comments

Definisi Ransomware

Ransomware adalah jenis perangkat lunak berbahaya (malware) yang mengancam untuk mempublikasikan atau memblokir akses ke data atau sistem komputer, biasanya dengan mengenkripsinya, hingga korban membayar biaya tebusan kepada penyerang. Dalam banyak kasus, permintaan tebusan datang dengan tenggat waktu. Jika korban tidak membayar tepat waktu, data hilang selamanya atau tebusan meningkat.

Apa itu Ransomware? Bagaimana Cara Mencegahnya

Serangan Ransomware terlalu umum akhir-akhir ini. Perusahaan-perusahaan besar di Amerika Utara dan Eropa sama-sama telah menjadi korbannya. Penjahat dunia maya akan menyerang konsumen atau bisnis apa pun dan korban datang dari semua industri.

Beberapa lembaga pemerintah, termasuk FBI, menyarankan agar tidak membayar uang tebusan agar tidak mendorong siklus ransomware, seperti halnya Proyek No More Ransom . Selanjutnya, setengah dari korban yang membayar uang tebusan kemungkinan akan menderita serangan ransomware berulang, terutama jika tidak dibersihkan dari sistem.

Sejarah Serangan Ransomware

Ransomware dapat ditelusuri kembali ke tahun 1989 ketika "virus AIDS" digunakan untuk memeras dana dari penerima ransomware. Pembayaran untuk serangan itu dilakukan melalui pos ke Panama, di mana kunci dekripsi juga dikirimkan kembali ke pengguna.

Pada tahun 1996, ransomware dikenal sebagai “pemerasan kriptoviral,” diperkenalkan oleh Moti Yung dan Adam Young dari Universitas Columbia. Ide ini, lahir di dunia akademis, menggambarkan perkembangan, kekuatan, dan penciptaan alat kriptografi modern. Young dan Yung mempresentasikan serangan kriptovirologi pertama pada konferensi Keamanan dan Privasi IEEE 1996. Virus mereka berisi kunci publik penyerang dan mengenkripsi file korban. Malware kemudian meminta korban untuk mengirim ciphertext asimetris ke penyerang untuk menguraikan dan mengembalikan kunci dekripsi—dengan biaya tertentu.

Penyerang telah tumbuh kreatif selama bertahun-tahun dengan meminta pembayaran yang hampir tidak mungkin dilacak, yang membantu penjahat dunia maya tetap anonim. Misalnya, ransomware seluler terkenal Fusob mengharuskan korban membayar menggunakan kartu hadiah Apple iTunes alih-alih mata uang normal, seperti dolar.

Serangan Ransomware mulai meningkat popularitasnya dengan pertumbuhan cyptocurrency, seperti Bitcoin. Cryptocurrency adalah mata uang digital yang menggunakan teknik enkripsi untuk memverifikasi dan mengamankan transaksi dan mengontrol pembuatan unit baru. Di luar Bitcoin, ada cryptocurrency populer lainnya yang diminta oleh penyerang untuk digunakan korban, seperti Ethereum, Litecoin, dan Ripple.

Ransomware telah menyerang organisasi di hampir setiap vertikal, dengan salah satu virus paling terkenal adalah serangan terhadap Presbyterian Memorial Hospital. Serangan ini menyoroti potensi kerusakan dan risiko ransomware. Lab, apotek, dan ruang gawat darurat terkena serangan.

Penyerang rekayasa sosial telah menjadi lebih inovatif dari waktu ke waktu. The Guardian menulis tentang situasi di mana korban ransomware baru diminta untuk meminta dua pengguna lain menginstal tautan dan membayar uang tebusan agar file mereka didekripsi.

Contoh Ransomware

Dengan mempelajari tentang serangan ransomware utama di bawah ini, organisasi akan mendapatkan dasar yang kuat dari taktik, eksploitasi, dan karakteristik sebagian besar serangan ransomware. Meskipun terus ada variasi dalam kode, target, dan fungsi ransomware, inovasi dalam serangan ransomware biasanya bersifat inkremental.

WannaCry: Eksploitasi Microsoft yang kuat dimanfaatkan untuk menciptakan worm ransomware di seluruh dunia yang menginfeksi lebih dari 250.000 sistem sebelum killswitch di-trip untuk menghentikan penyebarannya. Proofpoint terlibat dalam menemukan sampel yang digunakan untuk menemukan killswitch dan dalam mendekonstruksi ransomware. Pelajari lebih lanjut tentang keterlibatan Proofpoint dalam menghentikan WannaCry .

CryptoLocker: Ini adalah salah satu ransomware generasi pertama saat ini yang membutuhkan cryptocurrency untuk pembayaran (Bitcoin) dan mengenkripsi hard drive pengguna dan drive jaringan yang terpasang. Cryptolocker disebarkan melalui email dengan lampiran yang diklaim sebagai pemberitahuan pelacakan FedEx dan UPS. Alat dekripsi dirilis untuk ini pada tahun 2014. Tetapi berbagai laporan menunjukkan bahwa lebih dari $27 juta diperas oleh CryptoLocker.

NotPetya: Dianggap sebagai salah satu serangan ransomware yang paling merusak, NotPetya memanfaatkan taktik dari namanya, Petya , seperti menginfeksi dan mengenkripsi master boot record dari sistem berbasis Microsoft Windows. NotPetya memanfaatkan kerentanan yang sama dari WannaCry untuk menyebar dengan cepat, menuntut pembayaran dalam bitcoin untuk membatalkan perubahan. Ini telah diklasifikasikan oleh beberapa orang sebagai penghapus, karena NotPetya tidak dapat membatalkan perubahannya ke master boot record dan membuat sistem target tidak dapat dipulihkan.

Bad Rabbit: Dianggap sebagai sepupu NotPetya dan menggunakan kode dan eksploitasi serupa untuk menyebar, Bad Rabbit adalah ransomware yang terlihat menargetkan Rusia dan Ukraina, sebagian besar berdampak pada perusahaan media di sana. Tidak seperti NotPetya, Bad Rabbit mengizinkan dekripsi jika uang tebusan dibayarkan. Sebagian besar kasus menunjukkan bahwa itu menyebar melalui pembaruan pemutar Flash palsu yang dapat memengaruhi pengguna melalui drive demi serangan.

REvil: REvil ditulis oleh sekelompok penyerang yang termotivasi secara finansial. Itu mengekstrak data sebelum mengenkripsinya sehingga korban yang ditargetkan dapat diperas untuk membayar jika mereka memilih untuk tidak mengirim uang tebusan. Serangan itu berasal dari perangkat lunak manajemen TI yang dikompromikan yang digunakan untuk menambal infrastruktur Windows dan Mac. Penyerang mengkompromikan perangkat lunak Kaseya yang digunakan untuk menyuntikkan ransomware REvil ke sistem perusahaan.

Ryuk: Ryuk adalah aplikasi ransomware yang didistribusikan secara manual terutama digunakan dalam spear-phishing. Target dipilih dengan cermat menggunakan pengintaian. Pesan email dikirim ke korban yang dipilih, dan semua file yang dihosting di sistem yang terinfeksi kemudian dienkripsi.

Cara Kerja Ransomware

Ransomware adalah jenis malware yang dirancang untuk memeras uang dari korbannya, yang diblokir atau dicegah mengakses data di sistem mereka. Dua jenis ransomware yang paling umum adalah enkripsi dan pengunci layar. Encryptors, seperti namanya, mengenkripsi data pada suatu sistem, membuat konten tidak berguna tanpa kunci dekripsi. Loker layar, di sisi lain, cukup memblokir akses ke sistem dengan layar "kunci", menyatakan bahwa sistem dienkripsi.

Korban sering diberi tahu di layar kunci (umum untuk enkripsi dan loker layar) untuk membeli mata uang kripto, seperti Bitcoin, untuk membayar biaya tebusan. Setelah uang tebusan dibayarkan, pelanggan menerima kunci dekripsi dan mungkin mencoba mendekripsi file. Dekripsi tidak dijamin, karena berbagai sumber melaporkan berbagai tingkat keberhasilan dekripsi setelah membayar uang tebusan. Terkadang korban tidak pernah menerima kuncinya. Beberapa serangan memasang malware pada sistem komputer bahkan setelah uang tebusan dibayarkan dan data dilepaskan.

Meskipun awalnya sebagian besar berfokus pada komputer pribadi, enkripsi ransomware semakin menargetkan pengguna bisnis, karena bisnis sering kali membayar lebih untuk membuka kunci sistem penting dan melanjutkan operasi harian daripada individu.

Infeksi atau virus ransomware perusahaan biasanya dimulai dengan email berbahaya. Pengguna yang tidak curiga membuka lampiran atau mengklik URL yang berbahaya atau telah disusupi.

Pada saat itu, agen ransomware diinstal dan mulai mengenkripsi file kunci di PC korban dan semua file terlampir yang dibagikan. Setelah mengenkripsi data, ransomware menampilkan pesan pada perangkat yang terinfeksi. Pesan tersebut menjelaskan apa yang telah terjadi dan bagaimana cara membayar para penyerang. Jika korban membayar, ransomware menjanjikan mereka akan mendapatkan kode untuk membuka kunci data mereka.

Siapa yang Berisiko?

Perangkat apa pun yang terhubung ke internet berisiko menjadi korban ransomware berikutnya. Ransomware memindai perangkat lokal dan penyimpanan apa pun yang terhubung ke jaringan, yang berarti bahwa perangkat yang rentan juga menjadikan jaringan lokal sebagai calon korban. Jika jaringan lokal adalah bisnis, ransomware dapat mengenkripsi dokumen penting dan file sistem yang dapat menghentikan layanan dan produktivitas.

Jika perangkat tersambung ke internet, perangkat tersebut harus diperbarui dengan patch keamanan perangkat lunak terbaru, dan perangkat tersebut harus memiliki anti-malware terinstal yang mendeteksi dan menghentikan ransomware. Sistem operasi usang seperti Windows XP yang tidak lagi dirawat memiliki risiko yang jauh lebih tinggi.

Dampak Bisnis dari Ransomware

Bisnis yang menjadi korban ransomware dapat kehilangan ribuan dolar dalam produktivitas dan kehilangan data. Penyerang dengan akses ke data akan memeras korban untuk membayar uang tebusan dengan mengancam akan merilis data dan mengekspos pelanggaran data, sehingga organisasi yang tidak membayar cukup cepat dapat mengalami efek samping tambahan seperti kerusakan merek dan litigasi.

Ransomware menghentikan produktivitas, jadi langkah pertama adalah penahanan. Setelah penahanan, organisasi dapat memulihkan dari cadangan atau membayar uang tebusan. Penegakan hukum terlibat dalam penyelidikan, tetapi melacak pembuat ransomware membutuhkan waktu penelitian yang hanya menunda pemulihan. Analisis akar penyebab mengidentifikasi kerentanan, tetapi keterlambatan dalam pemulihan berdampak pada produktivitas dan pendapatan bisnis.

Mengapa Ransomware Menyebar?

Dengan semakin banyaknya orang yang bekerja dari rumah, pelaku ancaman meningkatkan penggunaan phishing mereka. Phishing adalah titik awal utama untuk infeksi ransomware. Email phishing menargetkan karyawan, baik pengguna dengan hak istimewa rendah maupun pengguna dengan hak istimewa tinggi. Email tidak mahal dan mudah digunakan, sehingga menjadi cara yang nyaman bagi penyerang untuk menyebarkan ransomware.

Dokumen biasanya dikirimkan dalam email, sehingga pengguna tidak berpikir untuk membuka file dalam lampiran email. Makro jahat berjalan, mengunduh ransomware ke perangkat lokal, dan kemudian mengirimkan muatannya. Kemudahan menyebarkan ransomware dalam email adalah alasan serangan malware yang umum.

Siapa Aktor Jahat dibalik Ransomware itu?

Serangan canggih mungkin menggunakan ransomware dengan penulis yang membuat versi mereka sendiri. Varian menggunakan basis kode dari versi ransomware yang ada dan cukup mengubah fungsi untuk mengubah muatan dan metode serangan. Pembuat ransomware dapat menyesuaikan malware mereka untuk melakukan tindakan apa pun dan menggunakan sandi enkripsi pilihan.

Penyerang tidak selalu penulis. Beberapa pembuat ransomware menjual perangkat lunak mereka kepada orang lain atau menyewakannya untuk digunakan. Ransomware dapat disewa sebagai malware-as-a-service (MaaS) tempat pelanggan mengautentikasi ke dasbor dan meluncurkan kampanye mereka sendiri. Oleh karena itu, penyerang tidak selalu pembuat kode dan ahli malware. Mereka juga individu yang membayar penulis untuk menyewa ransomware mereka.

Mengapa Anda Tidak Harus Membayar Ransomware

Mengapa Anda Tidak Harus Membayar Ransomware

Setelah ransomware mengenkripsi file, itu menunjukkan layar kepada pengguna yang mengumumkan file dienkripsi dan jumlah uang yang harus dibayar. Biasanya, korban diberikan waktu tertentu untuk membayar atau uang tebusan meningkat. Penyerang juga mengancam untuk mengekspos bisnis dan mengumumkan bahwa mereka adalah korban ransomware secara terbuka.

Risiko pembayaran terbesar adalah tidak pernah menerima kunci sandi untuk mendekripsi data. Organisasi kehabisan uang dan masih belum memiliki kunci dekripsi. Kebanyakan ahli menyarankan agar tidak membayar uang tebusan untuk berhenti mengabadikan keuntungan moneter bagi penyerang, tetapi banyak organisasi dibiarkan tanpa pilihan. Pembuat Ransomware memerlukan pembayaran cryptocurrency, sehingga transfer uang tidak dapat dibatalkan.

Langkah-langkah untuk Menanggapi Serangan

Payload dari ransomware segera. Malware menampilkan pesan kepada pengguna dengan instruksi pembayaran dan informasi tentang apa yang terjadi pada file. Penting bagi administrator untuk bereaksi dengan cepat karena beberapa ransomware mencoba menyebar ke lokasi lain di jaringan dan menemukan file penting dalam pemindaian tambahan. Anda dapat mengambil beberapa langkah dasar untuk merespons ransomware dengan benar, tetapi perhatikan bahwa intervensi ahli biasanya diperlukan untuk analisis, pembersihan, dan investigasi akar penyebab.

  • Tentukan sistem mana yang terpengaruh. Anda harus mengisolasi sistem sehingga tidak dapat mempengaruhi lingkungan lainnya. Langkah ini merupakan bagian dari penahanan yang akan meminimalkan kerusakan lingkungan.
  • Putuskan sambungan sistem, dan matikan jika perlu. Ransomware menyebar dengan cepat di jaringan, sehingga sistem apa pun harus diputuskan baik dengan menonaktifkan akses jaringan atau mematikannya.
  • Prioritaskan pemulihan sistem sehingga yang paling kritis dapat kembali normal lebih cepat. Biasanya, prioritas didasarkan pada produktivitas dan dampak pendapatan.
  • Membasmi ancaman dari jaringan. Penyerang mungkin menggunakan pintu belakang, sehingga pemberantasan harus dilakukan oleh ahli yang terpercaya. Pakar membutuhkan akses ke log sehingga analisis akar penyebab akan mengidentifikasi kerentanan dan semua sistem yang terpengaruh.
  • Mintalah tinjauan profesional terhadap lingkungan untuk kemungkinan peningkatan keamanan. Sudah umum bagi korban ransomware untuk menjadi target serangan kedua. Jika kerentanan tidak ditemukan, dapat dieksploitasi lagi.

Ancaman Ransomware Baru

Penulis terus-menerus mengubah kode menjadi varian baru untuk menghindari deteksi. Administrator dan pengembang anti-malware harus mengikuti metode baru ini sehingga deteksi ancaman terjadi dengan cepat sebelum dapat menyebar ke seluruh jaringan. Berikut adalah beberapa ancaman baru:

pemuatan sisi DLL. Malware mencoba bersembunyi dari deteksi dengan menggunakan DLL dan layanan yang terlihat seperti fungsi yang sah.

Server web sebagai target. Malware di lingkungan shared hosting dapat memengaruhi semua situs yang dihosting di server. Ransomware seperti Ryuk menargetkan situs yang dihosting, terutama menggunakan email phishing.

Spear-phishing lebih disukai daripada phishing standar. Alih-alih mengirim malware ke ribuan target, penyerang melakukan pengintaian pada target potensial untuk akses jaringan dengan hak istimewa tinggi.

Ransomware-as-a-Service (RaaS) memungkinkan pengguna meluncurkan serangan tanpa sepengetahuan keamanan siber. Pengenalan RaaS telah menyebabkan peningkatan serangan ransomware.

Alasan utama peningkatan ancaman menggunakan ransomware adalah pekerjaan jarak jauh. Pandemi memperkenalkan cara baru bekerja secara global. Tenaga kerja di rumah jauh lebih rentan terhadap ancaman. Pengguna rumahan tidak memiliki keamanan siber tingkat perusahaan yang diperlukan untuk melindungi dari serangan canggih, dan banyak dari pengguna ini melengkapi perangkat pribadi mereka dengan perangkat kerja. Karena ransomware memindai jaringan untuk mencari perangkat yang rentan, komputer pribadi yang terinfeksi malware juga dapat menginfeksi mesin bisnis yang terhubung ke jaringan.

Pencegahan dan Deteksi Ransomware

Pencegahan serangan ransomware biasanya melibatkan penyiapan dan pengujian cadangan serta penerapan perlindungan ransomware di alat keamanan. Alat keamanan seperti gateway perlindungan email adalah garis pertahanan pertama, sedangkan titik akhir adalah pertahanan sekunder. Intrusion Detection Systems (IDS) terkadang digunakan untuk mendeteksi perintah-dan-kontrol ransomware untuk memperingatkan terhadap sistem ransomware yang memanggil server kontrol. Pelatihan pengguna itu penting, tetapi pelatihan pengguna hanyalah salah satu dari beberapa lapisan pertahanan untuk melindungi dari ransomware, dan pelatihan ini mulai berlaku setelah pengiriman ransomware melalui email phish .

Langkah mundur, jika pertahanan pencegahan ransomware lainnya gagal, adalah menimbun Bitcoin. Ini lebih umum di mana kerugian langsung dapat berdampak pada pelanggan atau pengguna di perusahaan yang terpengaruh. Rumah sakit dan industri perhotelan berada pada risiko tertentu dari ransomware, karena kehidupan pasien dapat terpengaruh atau orang dapat dikunci di dalam atau di luar fasilitas.

Cara Mencegah Serangan Ransomware

Pertahankan email Anda dari Ransomware: Email phishing dan spam adalah cara utama penyebaran serangan ransomware. Gateway Email Aman dengan perlindungan serangan yang ditargetkan sangat penting untuk mendeteksi dan memblokir email berbahaya yang mengirimkan ransomware. Solusi ini melindungi dari lampiran berbahaya, dokumen berbahaya, dan URL dalam email yang dikirimkan ke komputer pengguna.

Pertahankan perangkat seluler Anda dari Ransomware: Produk perlindungan serangan seluler , bila digunakan bersama dengan alat manajemen perangkat seluler (MDM), dapat menganalisis aplikasi pada perangkat pengguna dan segera memperingatkan pengguna dan TI untuk aplikasi apa pun yang mungkin membahayakan lingkungan.

Pertahankan penjelajahan web Anda dari Ransomware: Gerbang web yang aman dapat memindai lalu lintas penjelajahan web pengguna untuk mengidentifikasi iklan web berbahaya yang mungkin mengarahkan mereka ke ransomware.

Pantau server, jaringan, dan sistem kunci cadangan Anda: Alat pemantauan dapat mendeteksi aktivitas akses file yang tidak biasa, virus, lalu lintas C&C jaringan, dan beban CPU, mungkin tepat waktu untuk memblokir ransomware agar tidak aktif. Menyimpan salinan gambar lengkap dari sistem penting dapat mengurangi risiko mesin mogok atau terenkripsi yang menyebabkan kemacetan operasional yang krusial.

Cara Menghapus Ransomware

Hubungi penegak hukum federal dan lokal: Sama seperti seseorang akan memanggil agen federal untuk penculikan, organisasi perlu menghubungi biro yang sama untuk ransomware. Teknisi forensik mereka dapat memastikan sistem tidak terganggu dengan cara lain, mengumpulkan informasi untuk melindungi organisasi dengan lebih baik ke depan dan mencoba menemukan penyerang.

Pemulihan Ransomware

Pelajari tentang sumber anti-ransomware: Portal No More Ransom dan Bleeping Computer, saran, dan bahkan beberapa dekripsi untuk serangan ransomware tertentu.

Pulihkan data: Jika organisasi telah mengikuti praktik terbaik dan menyimpan cadangan sistem, mereka dapat memulihkan sistem mereka dan melanjutkan operasi normal.

 

Posting Komentar

If you can't commemt, try using Chrome instead.