Ransomware, penyimpanan, dan pencadangan: Dampak, batasan, dan kemampuan
wpadminBUDI
Dalam dekade terakhir, ransomware telah berubah dari kejahatan yang relatif tidak jelas menjadi a industri bernilai miliaran dolardengan perusahaan terbesar dan bahkan pemerintah dalam pandangannya.
Kelompok kejahatan dunia maya terorganisir menuntut uang tebusan enam dan tujuh angka atau lebih dari korban mereka. Menggunakan kombinasi infiltrasi jaringan, malware, dan kriptografi, ransomware mengunci perusahaan dari data mereka dengan menyerang penyimpanan, mengenkripsi data, dan bahkan menonaktifkan backup.
Kelompok kejahatan dunia maya juga didorong oleh pertumbuhan mata uang kripto, yang memberi penjahat cara berisiko rendah untuk mengekstraksi pembayaran, dan dengan teknik yang melampaui enkripsi data. Ini termasuk serangan pemerasan ganda dan tiga kali lipat dan ancaman untuk merilis data sensitif.
Serangan ransomware seperti yang melanda Maersk, Colonial Pipeline, dan Eksekutif Layanan Kesehatan Irlandia telah mendominasi berita utama karena gangguan yang ditimbulkannya. Tetapi serangan ransomware sekarang sudah biasadan semakin sulit untuk dicegah.
Menurut para ahli di perusahaan keamanan data Kroll, antara 25% dan 45% investigasi perusahaan saat ini melibatkan serangan ransomware.
Laurie Iacono, direktur pelaksana asosiasi yang mencakup intelijen ancaman di Kroll, mengatakan sejumlah kecil kelompok ransomware sekarang berada di belakang sebagian besar serangan, dan sebanyak 86% serangan sekarang melibatkan eksfiltrasi data – bukan hanya enkripsi.
“Apa yang kami lihat adalah bahwa ransomware telah menjadi vektor serangan yang dominan,” katanya.
Bagaimana cara kerja serangan ransomware?
Jalur konvensional untuk ransomware ke dalam organisasi adalah melalui lampiran yang terinfeksi yang berisi file yang dapat dijalankan, atau dengan menipu pengguna untuk mengunjungi situs web yang berisi malware. Perangkat lunak yang disuntikkan itu menyebar di jaringan dan mencari targetnya.
Serangan pemerasan ganda dan tiga kali menciptakan pintu belakang ke dalam sistem yang memungkinkan penyerang untuk mengekstrak data. Semakin, ini berjalan seiring dengan menonaktifkan backup dan serangan terhadap layanan jaringan inti seperti Microsoft Active Directory.
Serangan ransomware generasi terbaru menargetkan sistem cadangan, peralatan, dan mesin virtual. “Mereka menargetkan peralatan fisik dan peralatan virtual,” kata Oisin Fouere, kepala respons insiden dunia maya di perusahaan konsultan KPMG.
“Banyak sistem cadangan dihosting di infrastruktur virtual. Mereka telah mulai menargetkan dan menghapus informasi tingkat sistem operasi pada sistem tersebut, serta mengejar tulang belulang sistem.”
Dan seperti yang ditunjukkan oleh Iacono dari Kroll, grup ransomware sering kali merekrut orang dengan pengetahuan teknis tentang sistem pencadangan.
Tapi pertama-tama, ransomware harus masuk ke jaringan perusahaan. Pendekatan konvensional – dan masih paling umum – adalah menggunakan serangan phishing atau bentuk rekayasa sosial lainnya untuk mengirimkan lampiran yang terinfeksi atau meyakinkan karyawan untuk mengklik tautan web yang terinfeksi.
Selama penguncian Covid, grup ransomware mengeksploitasi kelemahan dalam jaringan pribadi virtual dan sistem desktop jarak jauh, yang menyebabkan lonjakan kasus ransomware.
“Ada banyak pemaparan di sekitar sistem akses jarak jauh yang kurang terlindungi atau tidak terkonfigurasi dengan baik, yang berarti penyerang tidak perlu menghabiskan waktu untuk mencoba memecahkan masalah vektor intrusi,” kata Fouere dari KPMG. “Mereka hampir disajikan dengan skenario pintu depan-kiri-terbuka, dan itu adalah pilihan favorit selama beberapa tahun terakhir.”
Pengerasan titik akses ini berada di belakang penurunan insiden ransomware baru-baru ini – tetapi ini bukan alasan untuk berpuas diri, para ahli memperingatkan.
Keith Chappell, pakar keamanan dunia maya di PA Consulting, mengatakan kita melihat “serangan yang lebih disengaja, lebih terarah, dan diteliti dengan lebih baik yang sebenarnya memiliki tujuan, baik untuk mengganggu operasi … atau memeras untuk menghasilkan uang”.
Bagaimana serangan ransomware memengaruhi penyimpanan dan pencadangan?
Serangan ransomware ditetapkan untuk menolak akses ke data. Serangan generasi awal menargetkan disk drive, seringkali pada PC individu, dengan metode enkripsi tingkat rendah. Korban bisa mendapatkan kode dekripsi untuk beberapa ratus dolar.
Namun, serangan modern lebih selektif dan lebih merusak. Penyerang semakin banyak menggunakan pengintaian untuk menemukan target bernilai tinggi. Ini termasuk data yang dapat diidentifikasi secara pribadi (PII), seperti pelanggan, catatan komersial atau kesehatan, atau kekayaan intelektual. Ini adalah file yang paling ditakuti oleh perusahaan untuk dirilis ke publik.
“Seringkali, serangan phishing atau serangan tebusan dapat digunakan sebagai teknik penyamaran untuk hal lain yang sedang terjadi, atau dapat disamarkan dengan melakukan hal lain”
Keith Chappell, Konsultan PA
Tetapi penyerang juga menargetkan jaringan dan identitas serta mengakses data manajemen, sistem operasional, termasuk teknologi operasional, dan aliran data langsung, serta cadangan dan arsip. Serangan pemerasan ganda dan tiga kali lipat yang mengejar pencadangan atau pemulihan bencana dan sistem kelangsungan bisnis menawarkan peluang pembayaran terbesar. Tanpa kemampuan untuk memulihkan sistem atau memulihkan data dari cadangan, perusahaan mungkin tidak punya banyak pilihan selain membayar.
Penyerang juga mencari akun yang dapat disusupi dan digunakan untuk meningkatkan hak istimewa, untuk melakukan serangan lebih jauh atau lebih dalam. Jadi, tim keamanan tidak hanya perlu mengamankan penyimpanan data utama, tetapi juga sistem administrasi.
“Sangat sering, serangan phishing atau serangan tebusan dapat digunakan sebagai teknik penyamaran untuk hal lain yang sedang terjadi, atau dapat disamarkan dengan melakukan hal lain,” kata Chappell dari PA Consulting.
Bagaimana penyimpanan dan pencadangan membantu jika terjadi serangan ransomware?
Meskipun peretas kriminal secara aktif menargetkan cadangan, ini tetap menjadi pertahanan terbaik melawan ransomware.
Perusahaan perlu memastikan bahwa mereka mengambil cadangan reguler dan ini benar kekal, disimpan di luar lokasi, atau idealnya, keduanya. “Anda harus mencadangkan data setiap hari, mingguan, dan bulanan, dan Anda harus menyimpan cadangan di lokasi yang terpisah secara fisik dan tidak terhubung, idealnya dalam format yang berbeda,” kata Chappell.
Banyak yang telah dikatakan tentang perlunya “celah udara” data dari sistem yang mungkin diserang, dan tidak ada tempat yang lebih penting daripada menyimpan salinan cadangan. Namun, media cadangan yang lebih lama, seperti tape, seringkali terlalu lambat untuk memungkinkan pemulihan penuh dalam skala waktu yang diminta oleh bisnis.
“Organisasi menyadari bahwa mereka tidak dapat menunggu beberapa bulan untuk memulihkan backup tape ini,” kata Fouere dari KPMG. Sebaliknya, klien mencari ketahanan dan pemulihan berbasis cloud, terutama untuk kecepatan, katanya.
Pada gilirannya, pemasok cadangan dan penyedia layanan cloud kini menawarkan cadangan yang tidak dapat diubah sebagai lapisan perlindungan ekstra. Sistem kontinuitas bisnis kelas atas, aktif-ke-aktif tetap rentan terhadap ransomware karena data disalin dari sistem utama ke sistem cadangan. Jadi, perusahaan memerlukan cadangan yang solid dan cara untuk memindai volume malware sebelum digunakan untuk pemulihan, dan idealnya, saat data disimpan.
Tetapi organisasi TI juga perlu mengambil langkah untuk melindungi sistem cadangan itu sendiri. “Mereka juga rentan, sama seperti produk perangkat lunak lainnya,” kata Iacono dari Kroll. “Anda harus memastikan bahwa sistem cadangan ditambal. Kami memiliki kasus di mana pelaku ancaman memanfaatkan kerentanan dalam sistem cadangan untuk membantu mereka dengan eksfiltrasi data atau untuk menghindari deteksi.”
Beberapa tim TI melangkah lebih jauh. Dengan kelompok ransomware menghabiskan lebih banyak waktu untuk pengintaian, perusahaan mengaburkan nama server dan volume penyimpanan. Ini adalah langkah sederhana dan berbiaya rendah untuk menghindari penggunaan label yang jelas untuk penyimpanan data bernilai tinggi, dan ini mungkin mengulur waktu yang berharga untuk menghentikan serangan.
Berapa batas penyimpanan dan cadangan sebagai perlindungan terhadap ransomware?
Disiplin yang baik seputar pencadangan data telah mengurangi efektivitas serangan ransomware. Ini mungkin menjelaskan mengapa kelompok kejahatan dunia maya beralih ke serangan pemerasan ganda dan tiga kali lipat, menargetkan sistem cadangan dan mengekstraksi data.
“[Backup systems] juga rentan, sama seperti produk perangkat lunak lainnya. Anda harus memastikan [they] ditambal. Kami memiliki kasus di mana pelaku ancaman memanfaatkan kerentanan dalam sistem cadangan untuk membantu mereka dengan eksfiltrasi data atau untuk menghindari deteksi.”
Laurie Iacono, Kroll
Menggunakan cadangan yang tidak dapat diubah bersama dengan penyimpanan disk atau cloud tetap meminimalkan dampak ransomware. Tetapi perusahaan perlu memastikan bahwa semua bagian dari sistem kritis dilindungi sepenuhnya – dan ini termasuk pengujian. Bahkan jika penyimpanan data utama dicadangkan, sistem dapat gagal memulihkan jika data operasional atau administrasi dienkripsi karena tidak disertakan dalam rencana pencadangan.
Perusahaan juga perlu mengizinkan pemulihan data jika ada cadangan yang baik. Bahkan dengan alat pencadangan dan pemulihan terbaru, ini masih merupakan proses yang mengganggu.
Selain itu, cadangan yang tidak dapat diubah tidak akan mencegah eksfiltrasi data. Di sini, perusahaan perlu berinvestasi dalam enkripsi aset data. Mereka hanya dapat melakukan ini jika mereka memiliki pemahaman yang akurat dan terkini tentang keberadaan data mereka. Organisasi harus melihat alat pemantauan yang dapat mendeteksi pergerakan data yang tidak biasa dan berinvestasi dalam melindungi akun pengguna yang memiliki hak istimewa.
Dengan sebagian besar ransomware masih disebarkan melalui phishing dan rekayasa sosial, perusahaan dapat mengambil langkah teknis untuk melindungi perimeter mereka.
Tetapi melatih staf untuk menemukan email, tautan, dan lampiran yang mencurigakan, ditambah dengan autentikasi multifaktor, adalah pertahanan terkuat melawan ransomware. Untuk ransomware, seperti bentuk penipuan dan kejahatan online lainnya, kesadaran akan keamanan merupakan bagian penting dari pertahanan secara mendalam.
Indonesian
Arabic
Chinese (Simplified)
Dutch
English
French
German
Italian
Portuguese
Russian
Spanish