Tonton pengarahan digital Cyber Signals yang menampilkan Vasu Jakkal, CVP Microsoft Security, mewawancarai ahli inteligensi ancaman terkemuka terkait ekonomi ransomware dan bagaimana organisasi dapat membantu melindungi diri.
Seperti kebanyakan industri yang beralih ke pekerja "gig" untuk mendapatkan efisiensi, penjahat cyber juga menyewakan atau menjual alat ransomware untuk mendapatkan bagian keuntungan, daripada melakukan serangan sendiri.
RaaS dapat menurunkan hambatan masuk dan mengaburkan identitas penyerang saat mereka meminta tebusan. Beberapa program memiliki lebih dari 50 “afiliasi”. Afiliasi di sini adalah pengguna layanan mereka, dengan berbagai alat, keahlian, dan tujuan. Sama seperti orang yang memiliki mobil dapat menawarkan layanan berbagi tumpangan, siapa saja yang memiliki laptop dan kartu kredit yang ingin menelusuri web gelap untuk mencari alat pengujian penetrasi atau program jahat siap pakai dapat bergabung dalam ekonomi ini.
Industrialisasi kejahatan cyber ini telah menciptakan peran-peran khusus, seperti broker akses yang menjual akses ke jaringan. Satu penyusupan sering kali melibatkan beberapa penjahat dalam berbagai tahap intrusi.
Kit RaaS mudah didapatkan di dark web dan diiklankan dengan cara yang sama seperti barang lain di internet.
Kit RaaS mungkin mencakup dukungan layanan pelanggan, paket penawaran, ulasan pengguna, forum, dan fitur lainnya. Penjahat cyber dapat membeli kit RaaS, sementara kelompok lain yang menjual RaaS dengan model afiliasi akan mendapatkan keuntungan dari hasil penjualan tersebut.
Serangan ransomware selalu disesuaikan dengan tiap konfigurasi jaringan dari setiap korban, meskipun memiliki payload ransomware yang sama. Hasil akhir dari serangan ransomware dapat mencakup eksfiltrasi data dan dampak lainnya. Karena ekonomi kejahatan cyber yang saling terhubung, intrusi yang tampaknya berjalan mandiri dapat berkembang dengan cara yang saling melengkapi. Infostealer yaitu program jahat yang mencuri kata sandi dan cookie sering dianggap bukan serangan yang serius, tetapi penjahat cyber dapat menjual kata sandi tersebut untuk melancarkan serangan lainnya.
Serangan ini mengikuti pola akses awal melalui infeksi program jahat atau eksploitasi kerentanan, lalu pencurian kredensial untuk mendapatkan lebih banyak hak istimewa dan untuk masuk lebih jauh ke dalam sistem. Industrialisasi telah memungkinkan penyerang tanpa keterampilan tingkat lanjut melancarkan serangan ransomware yang dapat menyebabkan kerusakan besar dan berdampak tinggi. Sejak Conti berhasil dimusnahkan, kami telah melihat perubahan dalam lanskap ransomware. Beberapa afiliasi yang sebelumnya menyebarkan Conti berpindah ke payload dari ekosistem RaaS yang sudah ada seperti LockBit dan Hive, sementara afiliasi lainnya secara bersamaan menyebarkan payload dari beberapa ekosistem RaaS.
RaaS baru seperti QuantumLocker dan Black Basta mengisi kekosongan yang ditinggalkan oleh Conti. Karena sebagian besar liputan Ransomware berfokus pada payload dan bukan pada pelakunya, peralihan payload ini kemungkinan besar akan membuat pemerintah, penegak hukum, media, peneliti keamanan, dan staf keamanan kesulitan mengetahui dalang dari serangan tersebut.
Membuat laporan terkait jumlah ransomware seperti tidak ada habisnya. Namun, sebenarnya pelakunya tidaklah banyak tetapi menggunakan berbagai teknik.
Tujuan serangan ransomware adalah untuk memeras korbannya. Sebagian besar program RaaS saat ini juga membocorkan data yang dicuri, yang dikenal sebagai pemerasan ganda. Karena perlawanan dari pihak berwenang telah berhasil mendisrupsi lebih banyak operator ransomware, beberapa kelompok tidak lagi mengincar uang tebusan dan justru melakukan pemerasan data.
Dua grup yang berfokus pada pemerasan adalah DEV-0537 (alias LAPSUS$) dan DEV-0390 (mantan afiliasi Conti). Intrusi DEV-0390 dimulai dari program jahat, tetapi menggunakan alat sah untuk mengambil data dan melakukan pemerasan. Mereka menyebarkan alat pengujian penetrasi seperti Cobalt Strike, Brute Ratel C4, dan utilitas manajemen jarak jauh Atera yang sah untuk mempertahankan akses ke korbannya. DEV-0390 akan meningkatkan hak istimewa dengan mencuri kredensial, menemukan data sensitif (biasanya pada cadangan perusahaan dan server file), dan menggunakan utilitas cadangan file untuk mengirim data ke situs berbagi file cloud.
DEV-0537 menggunakan strategi dan keahlian yang sangat berbeda. Akses awal diperoleh dengan membeli kredensial dari kelompok kriminal bawah tanah atau dari karyawan di organisasi target.
Dengan memahami sifat saling terhubung dari identitas dan hubungan kepercayaan dalam ekosistem teknologi modern, para penjahat cyber menargetkan perusahaan telekomunikasi, teknologi, layanan TI, dan dukungan untuk memanfaatkan akses dari satu organisasi demi mendapatkan akses ke jaringan mitra atau pemasok. Serangan yang hanya berisi pemerasan menunjukkan bahwa staf keamanan harus lebih memahami ransomware dan tetap waspada terhadap penyelundupan data dan pergerakan lateral.
Jika pelaku ancaman berencana memeras suatu organisasi dengan alasan menjaga kerahasiaan data, payload ransomware bukanlah bagian penting dalam strategi serangan mereka. Pada akhirnya, operator serangan bebas memilih apa yang ingin mereka sebarkan, dan ransomware tidak selalu menjadi tujuan utama yang dicari oleh semua pelaku ancaman.
Meskipun ransomware atau pemerasan ganda tampak seperti masalah yang tak terelakan dari penyerang canggih, ransomware adalah masalah yang dapat dihindari. Ketergantungan para penyerang pada kelemahan keamanan menandakan bahwa investasi dalam kebersihan cyber dapat memberikan manfaat yang besar.
Visibilitas unik Microsoft memberi kita gambaran tentang aktivitas pelaku ancaman. Daripada mengandalkan postingan forum atau pesan obrolan, tim ahli keamanan kami meneliti taktik ransomware baru dan mengembangkan inteligensi ancaman untuk memberikan solusi keamanan.
Perlindungan terhadap ancaman yang terintegrasi di seluruh perangkat, identitas, aplikasi, email, data, dan cloud membantu kami mengidentifikasi serangan yang dapat dianggap sebagai serangan multi-pelaku, yang sebenarnya merupakan sekelompok penjahat cyber. Digital Crimes Unit kami yang terdiri dari ahli teknis, hukum, dan bisnis terus bekerja sama dengan penegak hukum untuk memberantas kejahatan cyber
Microsoft memiliki rekomendasi mendalam di https://go.microsoft.com/fwlink/?linkid=2262350.
Dengarkan dari Analis Inteligensi Ancaman Emily Hacker tentang bagaimana timnya terus mengikuti perubahan ransomware sebagai lanskap layanan.
Metodologi: Untuk data snapshot, platform Microsoft, termasuk Defender dan Azure Active Directory, serta Digital Crimes Unit kami menyediakan data anonim tentang aktivitas ancaman, seperti akun email berbahaya, email pengelabuan, dan pergerakan penyerang dalam jaringan. Wawasan tambahan berasal dari 43 triliun sinyal keamanan harian yang diperoleh di seluruh Microsoft, termasuk cloud, titik akhir, edge cerdas, dan Tim Deteksi dan Respons kami serta Praktik Pemulihan Keamanan Ancaman.
Ikuti Microsoft Security