Kini, Ransomware Tak Pernah Benar-benar Meninggalkan Sistem Korbannya

Cyberthreat.id - Akhir-akhir ini operator ransomware mengamuk dengan serangan yang terus meningkat terhadap sektor bisnis serta dengan gigih menekan korban agar membayar tebusan dengan ancaman membocorkan data sampel (Data Dumping). Dalam insiden baru-baru ini, data yang bocor tidak lagi menjadi fokus serangan karena ada niat lain yang justru lebih jahat.

Beberapa pekan lalu operator ransomware Maze mengungkapkan serangan terhadap VT San Antonio Aerospace dengan taktik melakukan Data Dumping melalui situs yang mereka kelola sendiri.

Peneliti McAfee yang kemudian menggali data yang bocor menemukan dokumen berisi laporan departemen IT korban tentang serangan ransomware. Ini menyiratkan bahwa operator ransomware tidak pernah meninggalkan sistem yang diretas dan terus memata-matai saat penyelidikan serangan berlanjut.

Serangan ransomware biasanya adalah bisnis yang datang dan pergi. Namun, beberapa keluarga ransomware baru-baru ini diamati memperlihatkan kegigihan (bertahan) dalam jaringan korban sebelum meluncurkan serangan kembali.

SentinelOne memperlihatkan teknik infeksi baru yang digunakan oleh operator ransomware Ryuk sebagai kelompok yang pertama kali mencoba menyusup ke sistem korban menggunakan TrickBot. Dalam waktu rata-rata dua pekan, operator ini akan menentukan dan apakah korban layak dienkripsi atau tidak.

Bulan lalu, Microsoft memperingatkan jenis serangan baru ransomware yang dioperasikan manusia. Ransomware baru yang disebut PonyFinal cenderung tidak aktif selama beberapa pekan dan menunggu waktu terbaik untuk bergerak menyerang target. PonyFinal menggunakan serangan brute-force untuk merontokkan penjaga pertama diikuti dengan membuang (Dumping) skrip berbahaya.

Survei yang dilakukan Sophos menemukan 51% dari organisasi/perusahaan yang terkena ransomware di tahun 2019 memiliki tingkat keberhasilan enkripsi mencapai 73%. Sekarang, dengan teknik yang lebih tidak jelas (obscure) untuk bertahan di dalam sistem (persistent), kemungkinan operator ransomware menembus jaringan korban jauh lebih besar sehingga meningkatkan nilai tebusan.

Padahal, semua korban ransomware yang membayar tebusan dipastikan mengalami dua kali (double) kerugian. Setelah kehilangan uang untuk membayar tebusan diikuti dengan biaya berurusan seperti downtime bisnis, kehilangan pesanan, biaya operasional, dan banyak lagi.

Dalam lanskap ancaman siber saat ini, operator ransomware akan berusaha mendapatkan kegigihan (persistent); meningkatkan hak istimewa (privilege); dan mencuri data penting untuk mempertahankan kelangsungan operasi dalam suatu organisasi/perusahaan.

Sejauh ini, mematikan sistem yang terinfeksi dan menjadikan jaringan offline harus menjadi perhatian utama saat terkena serangan ransomware.

Selain itu, organisasi/perusahaan harus mempertimbangkan hal-hal seperti:

1. Pilihlah saluran komunikasi yang aman untuk membahas upaya respons insiden (IR) yang berkelanjutan.

2. Mengaktifkan otentikasi multi-faktor karena penyerang sebagian besar menginginkan kredensial.

3. Tinjau Active Directory (AD) dengan saksama untuk mengeluarkan (flush out) akun backdoor yang tersisa, yang bertanggung jawab atas malware yang bertahan (persistent).

4. Menginstal ulang mesin dan server kemudian segera mengubah password domain.

Saat ini banyak orang percaya ransomware akan meninggalkan sistem jika sudah membayar tebusan. Di masa yang akan datang pola pikir seperti itu tidak bisa lagi dipertahankan karena penyerang tidak selalu meninggalkan sistem korban setelah menyebarkan ransomware.

Operator Ransomware tetap mengintai di jaringan dan tentu saja selangkah lebih maju karena mengawasi setiap aktivitas.  Oleh karena itu, organisasi/perusahaan harus mengambil langkah yang tepat untuk menangkal ancaman tersebut.[]