Beberapa hal lebih menimbulkan ketakutan di jantung CISO daripada prospek ransomware besar (terbuka di tab baru) wabah. Hanya satu klik pada tautan atau file yang salah dapat menyebabkan infeksi ransomware menyebar ke seluruh perusahaan, membuat organisasi bertekuk lutut karena sistem dan aset kritisnya terkunci rapat.
Tentang Penulis
Ed Williams, Direktur EMEA SpiderLabs di Trustwave (terbuka di tab baru).
Pada tahun 2020, serangan di seluruh dunia meningkat sebesar 64 persen, jika dibandingkan dengan tahun 2019, mencapai lebih dari 304 juta. Gabungkan ini dengan peningkatan 171 persen dalam jumlah perusahaan yang menyerah dan membayar uang tebusan berarti ini adalah lingkaran setan – semakin banyak korban yang membayar, semakin banyak penjahat didorong untuk melancarkan serangan, dan akan semakin banyak korban. Bahkan jika bisnis menolak membayar, serangan ransomware menimbulkan biaya besar melalui penyelidikan, perbaikan, dan hilangnya waktu operasional.
Kelompok kriminal terus menggunakan taktik yang lebih canggih, termasuk ransomware bertarget yang membidik sistem kritis, dan serangan multi-cabang yang menggabungkan enkripsi (terbuka di tab baru) dengan eksfiltrasi data. Pelaku ancaman juga semakin menyerang melalui rantai pasokan, dicontohkan oleh serangan Kaseya VSA yang membahayakan lebih dari 60 Penyedia Layanan Terkelola (MSP) dan mengunci lebih dari satu juta pengguna.
Karena serangan ransomware dapat datang dari segala arah dan menyebabkan kerusakan parah hanya dalam hitungan detik, penting bagi organisasi untuk memiliki pedoman respons yang solid untuk menghadapi wabah.
Seperti kata pepatah, berharap yang terbaik dan merencanakan yang terburuk.
Apa prioritas dalam 30 hari pertama setelah serangan?
Sebagai buntut dari serangan ransomware, mudah terjebak dalam tantangan langsung untuk membuat bisnis kembali berjalan. Namun, rencana respons juga harus menyertakan tindakan jangka panjang untuk mengurangi risiko serangan yang tertunda atau berulang.
Segera setelah serangan, semuanya tentang forensik digital dan respons insiden. Sangat penting untuk melacak sumber wabah, menentukan bagaimana serangan itu dimulai, dan menutup celah keamanan yang memungkinkan.
Setelah ini selesai, upaya harus fokus pada memburu malware apa pun (terbuka di tab baru) masih bersembunyi di dalam sistem. Banyak serangan ransomware menggunakan malware lain sebagai mekanisme pengiriman, memungkinkan pelaku untuk memicu infeksi lain setelah wabah awal ditangani. Dridex, Trickbot, Emotet, dan Qakbot adalah beberapa malware modular paling umum yang kami temui.
Kami telah melihat kasus di mana serangan kedua dipicu lebih dari enam bulan setelah serangan awal. Beberapa penjahat bahkan mungkin menjual akses ke pintu belakang malware kepada orang lain melalui web gelap.
Melakukan perburuan ancaman secara proaktif adalah salah satu cara paling efektif untuk menemukan instruksi yang lebih tersembunyi dan canggih. Pemburu ancaman adalah profesional keamanan berpengalaman yang berpikir seperti penjahat dunia maya untuk mengidentifikasi pola, jalur serangan, dan kerentanan yang terlewatkan oleh pemindaian otomatis.
Melakukan audit TI secara teratur akan membantu membangun gambaran yang jelas tentang seperti apa “normal” itu. Aplikasi daftar putih (terbuka di tab baru) akan membantu melukiskan gambaran yang jelas tentang sistem apa yang sedang berjalan dan membuatnya lebih mudah untuk menemukan aktivitas yang tidak biasa ketika ancaman muncul.
Memahami musuh
Setelah infeksi yang tersisa ditangani, upaya harus beralih ke mitigasi risiko serangan di masa mendatang. Bahkan tanpa malware modular tersembunyi untuk menyediakan pintu belakang, banyak pelaku ancaman akan mencoba menyerang target yang sama lagi nanti. Dan dengan jutaan serangan yang terjadi setiap tahun, ada kemungkinan sebuah organisasi akan menjadi sasaran kelompok yang tidak terkait.
Kunci mitigasi adalah memahami bagaimana serangan itu terjadi. Sebagian besar serangan akan disebarkan melalui email phishing atau eksploitasi kontrol akses jarak jauh yang lemah. Ingat, muatan ransomware adalah langkah terakhir dari rantai pembunuhan.
Serangan yang lebih canggih membutuhkan infiltrasi, pengintaian, dan gerakan lateral. Mampu memperlambat atau menghentikan musuh di titik mana pun dalam rantai pembunuhan meningkatkan kemungkinan untuk mendeteksi dan mencegah serangan sebelum dapat menjatuhkan organisasi.
Mengurangi ancaman masa depan
Pertama dan terpenting, mitigasi berarti menutup jalur serangan yang mudah. Banyak wabah ransomware dan serangan dunia maya dimungkinkan karena kerentanan sistem yang belum ditambal. Menerapkan irama reguler dengan alat manajemen tambalan (terbuka di tab baru) akan meningkatkan kemungkinan penutupan kerentanan sebelum dieksploitasi.
Demikian pula, semua organisasi harus memastikan mereka memiliki antivirus (terbuka di tab baru) solusi di tempat. Meskipun solusi AV tradisional bukan tandingan teknik yang lebih canggih, mereka akan memberikan lapisan pertahanan dasar untuk menghentikan banyak serangan tingkat rendah. Bahkan ransomware yang paling dasar pun dapat memukul dengan keras.
Email dan keamanan akses jarak jauh juga harus menjadi prioritas karena merupakan jalur serangan ransomware yang disukai. Kombinasi pelatihan kesadaran keamanan dan email aman (terbuka di tab baru) gateway akan memitigasi risiko phishing, sambil membatasi akses jarak jauh dan memantau titik masuk jarak jauh akan membantu mengidentifikasi aktor jahat sejak awal siklus hidup serangan.
Mengambil langkah-langkah dasar ini akan mengurangi ancaman yang ditimbulkan oleh sebagian besar serangan ransomware oportunistik yang umum. Namun, aktor ancaman yang lebih canggih dan gigih, pada akhirnya akan menembus pertahanan yang paling kuat sekalipun. Dengan menangani kemungkinan serangan ransomware sebagai kasus “kapan, bukan jika” dan merencanakannya dengan tepat, organisasi dapat meminimalkan kerusakan dan bangkit kembali dengan cepat bahkan tanpa mempertimbangkan untuk membayar uang tebusan.