Anatomi serangan ransomware
Pergeseran kekuatan ini mengubah anatomi serangan ransomware.
Sebelumnya, serangan sering kali bersifat oportunistik dan memanfaatkan perilaku seperti worm (WannaCry), dengan fokus pada rute paling langsung menuju monetisasi serangan.
Dalam model bagi hasil, pelaku ancaman mengadopsi taktik, teknik, dan prosedur dari kelompok ancaman persisten tingkat lanjut (APT).
Fokusnya adalah memaksimalkan damage dan tekanan, bukan pada kecepatan serangan.
Penyerang dapat menghabiskan waktu berminggu-minggu atau berbulan-bulan untuk mempersiapkan eksekusi serangan.
Akibatnya, ransomware modern hanyalah jenis muatan lain, yang disebarkan pada tahap akhir kill chain setelah persiapan yang ekstensif.
Arsitektur pertahanan mendalam adalah strategi yang telah terbukti, dan perlindungan terbaik masih diberikan oleh kontrol keamanan pencegahan berkualitas tinggi, ditingkatkan dengan deteksi dan respons hebat dengan fokus pada respons cepat dan meminimalkan kesalahan positif.
Diagram berikut mengilustrasikan anatomi serangan ransomware biasa.
Seorang pengguna menerima email phishing, setelah membukanya, mesin terinfeksi (Initial) .
Membalikkan shell ke server perintah-dan-kontrol (C&C) dibuat (Staging) .
Afiliasi Ransomware menjalankan sistem pengintaian, pengidentifikasian, dan kompromi (Expansion) .
Akhirnya, setelah data dieksfiltrasi, ransomware dikerahkan, dan korban dihubungi oleh operator ransomware (Extortion)
Mari kita lihat bagian berbeda dari rantai pembunuh ransomware modern.
Vektor infeksi awal seringkali tergantung pada ukuran dan kematangan keamanan target.
Umumnya, serangan otomatis digunakan untuk perusahaan kecil, sementara perusahaan besar ditargetkan oleh kampanye spear-phishing.
Upaya yang diinvestasikan oleh aktor ancaman ke dalam serangan sebanding dengan potensi pendapatan.
Untuk perusahaan besar dengan pengawasan dan proses keamanan yang matang, phishing dan rekayasa sosial tetap menjadi vektor infeksi utama.
Vektor infeksi lainnya adalah serangan rantai pasokan – untuk target yang menguntungkan, lebih mudah untuk fokus pada sisi yang rentan daripada menyerang gerbang depan yang terlindungi dengan baik.
Perusahaan kecil dan menengah dapat menjadi sasaran pelaku ancaman yang canggih sebagai bagian dari operasi yang lebih besar.
Untuk perusahaan kecil dan menengah, perlindungan akses jarak jauh yang tidak memadai adalah salah satu vektor serangan yang paling umum.
Ini biasanya berarti akses melalui RDP, menggunakan kredensial yang dicuri atau ditebak.
Vektor awal umum lainnya adalah sistem yang menghadap ke internet yang belum ditambal.
Penyerang menargetkan sistem pihak ketiga dengan kerentanan yang diketahui, seperti VPN dan solusi akses jarak jauh.
Otentikasi yang kuat memainkan peran penting dalam mitigasi risiko ransomware.
Setelah mendapatkan akses awal, pelaku ancaman perlu menyiapkan lingkungan pementasan untuk serangan tersebut.
Biasanya ada dua tujuan untuk tahap ini – meningkatkan hak istimewa dan membangun persistensi, sambil menghindari deteksi.
Peningkatan hak istimewa sering kali melibatkan penggunaan alat eksploitasi atau penetrasi seperti Mimikatz atau Cobalt Strike.
Untuk beberapa aktor ancaman, membangun akses persisten adalah tujuan akhir.
Pialang akses dapat menjual akses ini di pasar dark web ke pelaku ancaman lain, seperti afiliasi yang terkait dengan salah satu grup ransomware.
Perluasan melibatkan lebih banyak pengintaian dan gerakan lateral di seluruh jaringan.
Sementara alat seperti BloodHound dapat digunakan pada tahap ini, penyerang profesional mencoba untuk tidak menonjolkan diri dengan menggunakan alat dan perintah yang asli dari lingkungan.
Ini sering disebut sebagai “Living off the Land” (LOL) dan termasuk penggunaan alat seperti WMIC atau PowerShell.
Praktik umum lainnya adalah mengidentifikasi alat yang digunakan oleh administrator sistem – misalnya, PsExec atau perangkat lunak kendali jarak jauh populer seperti TeamViewer atau AnyDesk .
Oleh karena itu pada tahap ini, pelaku ancaman seringkali hanya dapat dideteksi oleh perilaku mereka dan bukan oleh alat jahat yang mereka gunakan.
Untuk mencapai tebusan ini, pelaku ancaman difokuskan untuk memaksimalkan tekanan pada korban mereka.
Enkripsi sederhana dari data acak tidak lagi cukup – pemerasan ganda atau tiga kali lipat menjadi praktik standar.
Serangan ransomware dapat dikombinasikan dengan eksfiltrasi data (untuk tujuan pemerasan), DDOS, atau pelecehan terhadap eksekutif, mitra, dan pelanggan.
Pemahaman yang lebih baik tentang keuangan bisnis dan perusahaan memainkan peran penting selama fase pemerasan – pelaku ancaman sering kali memahami dampak tindakan mereka, mengetahui informasi mana yang berharga, terbiasa dengan prosedur respons insiden, dan memahami cakupan asuransi siber Anda.
Sebelum muatan ransomware dikirimkan, pelaku ancaman menemukan dan menghancurkan semua cadangan yang tersedia.
Payload ransomware sebenarnya dapat dikirimkan menggunakan berbagai metode, tetapi penyebaran biasanya bergantung pada alat yang umum, sederhana, dan andal, seperti PsExec / WMIC, Kebijakan Grup, atau bahkan alat manajemen seperti Microsoft System Center Configuration Manager. (bersambung part 3)
Recent Comments