Ransomware sebagai layanan: Wajah baru kejahatan cyber di dunia industri

Model ransomware sebagai layanan telah memfasilitasi perbaikan dan industrialisasi yang cepat terhadap apa yang dapat dicapai oleh penjahat yang kurang ahli. Pada masa lalu, penjahat yang kurang canggih ini mungkin menggunakan program jahat komoditas yang mereka buat atau beli untuk melakukan serangan dengan cakupan terbatas, tetapi saat ini mereka bisa mendapatkan segala hal yang mereka perlukan, mulai dari akses ke jaringan hingga payload ransomware, yang berasal dari operator RaaS mereka (tentu saja dengan imbalan). Banyak program RaaS yang selanjutnya menggabungkan serangkaian penawaran dukungan pemerasan, termasuk hosting dan integrasi situs kebocoran menjadi catatan tebusan, serta negosiasi dekripsi, tekanan pembayaran, dan layanan transaksi mata uang kripto.

Ini artinya, dampak ransomware dan serangan pemerasan yang berhasil tetaplah sama tanpa memandang keterampilan penyerang.

Salah satu cara operator RaaS memberikan imbalan untuk afiliasinya adalah dengan memberikan akses ke jaringan yang telah disusupi. Penembus akses melalui internet memindai apakah ada kerentanan sistem yang bisa mereka susupi dan simpan untuk nantinya dimanfaatkan.

Agar berhasil, penyerang memerlukan kredensial. Kredensial yang disusupi sedemikian penting bagi penyerang ini sehingga ketika penjahat cyber menjual akses jaringan, pada banyak contoh, imbalannya mencakup jaminan akun administrator.

Yang dilakukan para penjahat dengan akses begitu didapatkan dapat sangat bervariasi tergantung grup dan beban kerja atau motivasi mereka. Waktu antara akses awal hingga penyebaran yang dilakukan oleh manusia dapat berkisar daro menit hingga hari atau lebih lama, tetapi jika keadaannya memungkinkan, kerusakan dapat terjadi seketika itu juga. Faktanya, waktu dari akses awal hingga penebusan penuh (termasuk pengalihan dari penembus akses ke afiliasi RaaS) teramati berlangsung kurang dari satu jam.

Begitu penyerang mendapatkan akses ke sebuah jaringan, mereka enggan untuk pergi, bahkan setelah mengumpulkan tebusan. Faktanya, membayar tebusan tidak benar-benar bisa mengurangi risiko pada jaringan yang terdampak dan mungkin hanya memberi uang cuma-cuma ke penjahat cyber, yang akan terus mencoba menguangkan serangannya dengan program jahat atau payload ransomware yang berbeda hingga mereka diusir.

Pengalihan yang berlangsung antara berbagai penyerang seiring terjadinya transisi dalam ekonomi penjahat cyber memiliki arti bahwa beberapa kelompok aktivitas dapat bertahan dalam suatu lingkungan menggunakan berbagai metode yang berbeda dari alat yang digunakan dalam serangan ransomware. Misalnya, akses awal yang diperoleh trojan perbankan mengarah pada penyebaran Cobalt Strike, tetapi afiliasi RaaS yang membeli akses tersebut dapat memilih untuk menggunakan alat akses jarak jauh seperti TeamViewer untuk menjalankan aksinya.

Teknik yang sering digunakan oleh para penyerang ransomware agar terhindar dari deteksi dan agar tetap berada di jaringan untuk waktu yang lebih lama adalah menggunakan alat serta pengaturan yang sah untuk bertahan melawan implan program jahat seperti Cobalt Strike.

Teknik lain yang digunakan penyerang adalah dengan membuat akun pengguna backdoor baru, baik lokal maupun di Active Directory, yang selanjutnya dapat ditambahkan ke alat akses jarak jauh seperti jaringan privat maya (VPN) atau Desktop Jarak Jauh. Penyerang ransomware juga diketahui mengedit pengaturan di sistem untuk mengaktifkan Desktop Jarak Jauh, mengurangi keamanan protokol, dan menambahkan pengguna baru ke grup Pengguna Desktop Jarak Jauh.

Salah satu sifat RaaS yang menjadikan ancaman itu sedemikian mengkhawatirkan adalah bagaimana RaaS mengandalkan penyerang manusia yang dapat membuat keputusan yang terukur dan memiliki informasi serta memberikan variasi pola serangan berdasarkan apa yang mereka temukan di jaringan tempat mereka berada sehingga memastikan mereka mencapai tujuan mereka.

Microsoft menciptakan istilah ransomware yang dioperasikan manusia untuk mendefinisikan kategori serangan ini sebagai rangkaian aktivitas yang berujung pada payload ransomware, bukan sebagai sekumpulan payload program jahat yang akan diblokir.

Meskipun sebagian besar proses tindakan akses awal bergantung pada pengintaian otomatis, begitu serangan beralih ke fase pengoperasian oleh manusia, penyerang akan menggunakan pengetahuan dan keterampilan mereka untuk berusaha mengalahkan produk keamanan yang ada di lingkungan.

Penyerang ransomware ingin mendapatkan keuntungan dengan mudah, jadi mempersulit mereka dengan meningkatkan keamanan adalah kunci untuk mengacaukan upaya tersebut. Pengambilan keputusan oleh manusia ini berarti bahwa meskipun produk keamanan mendeteksi tahapan serangan tertentu, penyerang itu sendiri tidak benar-benar diusir sepenuhnya; mereka terus berusaha jika tidak diblokir oleh kontrol keamanan. Pada banyak contoh, jika alat atau payload terdeteksi dan diblokir oleh produk antivirus, penyerang cukup mengambil alat yang berbeda atau memodifikasi payload mereka.

Penyerang juga waspada terhadap waktu respons pusat operasi keamanan (SOC) serta kemampuan dan batasan pada alat deteksinya. Saat serangan mencapai tahapan menghapus cadangan atau salinan bayangan, penyebaran ransomware hanya tinggal beberapa menit lagi. Musuh kemungkinan besar telah melakukan tindakan berbahaya seperti eksfiltrasi data. Pengetahuan ini adalah kunci bagi SOC merespons ransomware: menyelidiki deteksi seperti Cobalt Strike sebelum tahap penyebaran ransomware. Selain itu, melakukan prosedur respons insiden (IR) serta tindakan remediasi yang cepat sangat penting untuk menahan musuh manusia.