Ransomware bukanlah ancaman baru di internet. Akarnya kembali bertahun-tahun. Ancaman ini hanya tumbuh lebih berbahaya dan kejam dari waktu ke waktu.
Kata “ransomware” telah mendapatkan pengakuan luas sebagai akibat dari serangan siber yang membuat banyak bisnis tidak dapat digunakan dalam beberapa tahun terakhir.
Semua file di PC Anda telah diunduh dan dienkripsi, lalu layar Anda menjadi hitam dan sebuah pesan dalam bahasa Inggris tersandung muncul.
YAnda harus membayar tebusan kepada penjahat siber topi hitam di Bitcoin atau mata uang kripto lain yang tidak dapat dilacak untuk mendapatkan kunci dekripsi atau mencegah data sensitif Anda dirilis di web gelap.
Tetapi lebih sedikit yang mungkin menyadari ransomware-as-a-Service, model bisnis dunia bawah yang terorganisir dengan baik yang dapat melakukan jenis serangan (atau RaaS) ini.
Alih-alih melakukan serangan sendiri, pembuat ransomware menyewakan virus mahal mereka kepada penjahat cyber yang kurang berpengalaman yang siap menanggung risiko yang terkait dengan melakukan operasi ransomware.
Bagaimana itu semua beroperasi? Siapa yang memimpin hierarki dan siapa yang berfungsi sebagai perantara? Dan mungkin yang lebih penting, bagaimana Anda dapat mempertahankan bisnis Anda dan diri Anda sendiri dari serangan yang melumpuhkan ini?
Lanjutkan membaca untuk mempelajari lebih lanjut tentang RaaS.
Apa itu Ransomware sebagai Layanan (RaaS)?
Ransomware-as-a-service (RaaS) adalah model bisnis perusahaan kriminal yang memungkinkan siapa saja untuk bergabung dan menggunakan alat untuk meluncurkan serangan ransomware.
Pengguna RaaS, seperti mereka yang menggunakan model as-a-service lainnya seperti software-as-a-service (SaaS) atau platform-as-a-service (PaaS), menyewa daripada memiliki layanan ransomware.
Ini adalah vektor serangan perangkat lunak sebagai layanan kode rendah yang memungkinkan penjahat untuk membeli perangkat lunak ransomware di web gelap dan melakukan serangan ransomware tanpa mengetahui cara membuat kode.
Skema phishing email adalah vektor serangan umum untuk kerentanan RaaS.
Ketika korban mengklik tautan berbahaya di email penyerang, ransomware mengunduh dan menyebar ke seluruh mesin yang terpengaruh, menonaktifkan firewall dan perangkat lunak antivirus.
Perangkat lunak RaaS dapat mencari cara untuk meningkatkan hak istimewa setelah pertahanan perimeter korban telah dilanggar, dan akhirnya menyandera seluruh organisasi dengan mengenkripsi file ke titik di mana mereka tidak dapat dijangkau.
Setelah korban diberitahu tentang serangan tersebut, program akan memberi mereka instruksi tentang cara membayar uang tebusan dan (idealnya) mendapatkan kunci kriptografi yang tepat untuk dekripsi.
Meskipun kerentanan RaaS dan ransomware melanggar hukum, penjahat yang melakukan serangan semacam ini bisa sangat sulit untuk ditangkap karena mereka menggunakan browser Tor (juga dikenal sebagai router bawang) untuk mengakses korban mereka dan meminta pembayaran tebusan bitcoin.
FBI mengklaim bahwa semakin banyak pembuat malware yang menyebarkan program LCNC (kode rendah/tanpa kode) berbahaya mereka dengan imbalan potongan hasil pemerasan.
Bagaimana cara kerja model RaaS?
Pengembang dan Afiliasi berkolaborasi untuk melakukan serangan RaaS yang efektif. Pengembang bertanggung jawab untuk menulis malware ransomware khusus, yang kemudian dijual ke afiliasi.
Kode ransomware dan instruksi untuk meluncurkan serangan disediakan oleh pengembang. RaaS mudah digunakan dan membutuhkan sedikit pengetahuan teknologi.
Siapa pun yang memiliki akses ke web gelap dapat memasuki portal, bergabung sebagai afiliasi, dan meluncurkan serangan dengan satu klik. Afiliasi memilih jenis virus yang ingin mereka sebarkan dan melakukan pembayaran menggunakan cryptocurrency, biasanya Bitcoin, untuk memulai.
Pengembang dan afiliasi membagi pendapatan ketika uang tebusan dibayarkan dan serangan berhasil. Jenis model pendapatan menentukan bagaimana dana dialokasikan.
Mari kita periksa beberapa strategi bisnis ilegal ini.
Afiliasi RaaS
Karena berbagai faktor, termasuk kesadaran merek grup ransomware, tingkat keberhasilan kampanye, dan kaliber serta berbagai layanan yang ditawarkan, program afiliasi bawah tanah telah menjadi salah satu bentuk RaaS yang paling terkenal.
Organisasi kriminal sering mencari peretas yang bisa masuk ke jaringan bisnis sendiri untuk mempertahankan kode ransomware mereka di dalam geng. Mereka kemudian memanfaatkan virus dan bantuan untuk melancarkan serangan.
Namun, seorang peretas bahkan mungkin tidak memerlukan ini mengingat maraknya penjualan akses jaringan perusahaan baru-baru ini di web gelap untuk memenuhi kriteria ini.
Peretas yang didukung dengan baik dan kurang berpengalaman meluncurkan serangan berisiko tinggi dengan imbalan bagi hasil daripada membayar biaya bulanan atau tahunan untuk menggunakan kode ransomware (tetapi terkadang afiliasi mungkin harus membayar untuk bermain).
Sebagian besar waktu, geng ransomware mencari peretas yang cukup terampil untuk masuk ke jaringan perusahaan dan cukup berani untuk melakukan pemogokan.
Dalam sistem ini, afiliasi sering menerima antara 60% dan 70% dari uang tebusan, dengan 30% hingga 40% sisanya dikirim ke operator RaaS.
RaaS berbasis langganan
Dalam taktik ini, scammers membayar biaya keanggotaan secara teratur untuk memiliki akses ke ransomware, dukungan teknis, dan pembaruan virus. Banyak model layanan berlangganan berbasis web, seperti Netflix, Spotify, atau Microsoft Office 365, sebanding dengan ini.
Biasanya, pelanggar ransomware menyimpan 100% pendapatan dari pembayaran tebusan untuk diri mereka sendiri jika mereka membayar layanan di muka, yang mungkin berharga $50 hingga ratusan dolar setiap bulan, tergantung pada pemasok RaaS.
Biaya keanggotaan ini merupakan investasi sederhana dibandingkan dengan pembayaran tebusan biasa sekitar $220,000. Tentu saja, program afiliasi juga dapat memasukkan elemen berbasis langganan bayar untuk bermain ke dalam rencana mereka.
Izin seumur hidup
Produsen malware dapat memutuskan untuk menawarkan paket untuk pembayaran satu kali dan menghindari mengambil kesempatan untuk terlibat langsung dalam serangan siber daripada mendapatkan uang berulang melalui langganan dan bagi hasil.
Penjahat dunia maya dalam hal ini membayar biaya satu kali untuk mendapatkan akses seumur hidup ke kit ransomware, yang dapat mereka gunakan dengan cara apa pun yang mereka anggap pantas.
Beberapa penjahat dunia maya tingkat rendah dapat memilih pembelian satu kali meskipun secara signifikan lebih mahal (puluhan ribu dolar untuk perangkat canggih) karena akan lebih sulit bagi mereka untuk terhubung ke operator RaaS jika operator ditangkap.
Kemitraan RaaS
Serangan siber menggunakan ransomware membutuhkan bahwa setiap peretas yang terlibat memiliki serangkaian kemampuan yang unik.
Dalam skenario ini, sebuah kelompok akan berkumpul dan memberikan berbagai kontribusi untuk operasi tersebut. Pengembang kode ransomware, peretas jaringan perusahaan, dan negosiator tebusan berbahasa Inggris diperlukan untuk memulai.
Tergantung pada peran dan signifikansi mereka dalam kampanye, setiap peserta, atau mitra, akan setuju untuk membagi pendapatan.
Bagaimana cara mendeteksi serangan RaaS?
Biasanya, tidak ada perlindungan serangan ransomware yang 100% efektif. Namun, email phishing tetap menjadi metode utama yang digunakan untuk melakukan serangan ransomware.
Oleh karena itu, perusahaan harus memberikan pelatihan kesadaran phishing untuk memastikan bahwa anggota staf memiliki pemahaman terbaik tentang cara mengenali email phishing.
Pada tingkat teknis, bisnis mungkin memiliki tim keamanan siber khusus yang bertugas melakukan perburuan ancaman. Perburuan ancaman adalah metode yang sangat sukses untuk mendeteksi dan mencegah serangan ransomware.
Sebuah teori dibuat dalam proses ini menggunakan informasi tentang vektor serangan. Firasat dan data membantu dalam pembuatan program yang dapat dengan cepat mengidentifikasi penyebab serangan dan menghentikannya.
Untuk mengawasi eksekusi file yang tidak terduga, perilaku mencurigakan, dll. di jaringan, alat pemburu ancaman digunakan. Untuk mengidentifikasi percobaan serangan ransomware, mereka menggunakan jam tangan untuk Indicators of Compromise (IOCs).
Selain itu, banyak model perburuan ancaman situasional digunakan, yang masing-masing disesuaikan dengan industri organisasi target.
Contoh RaaS
Penulis ransomware baru saja menyadari betapa menguntungkannya membangun bisnis RaaS. Selain itu, ada beberapa organisasi aktor ancaman yang mendirikan operasi RaaS untuk menyebarkan ransomware di hampir setiap bisnis. Ini adalah beberapa organisasi RaaS:
- Sisi gelap: Ini adalah salah satu penyedia RaaS paling terkenal. Menurut laporan, geng ini berada di balik serangan terhadap Colonial Pipeline pada Mei 2021. DarkSide diyakini telah dimulai pada Agustus 2020 dan memuncak dalam aktivitas selama beberapa bulan pertama 2021.
- Dharma: Dharma Ransomware awalnya muncul pada tahun 2016 dengan nama CrySis. Meskipun ada beberapa variasi Dharma Ransomware sepanjang tahun, Dharma pertama kali muncul dalam format RaaS pada tahun 2020.
- Membingungkan: Seperti banyak penyedia RaaS lainnya, Maze memulai debutnya pada tahun 2019. Selain mengenkripsi data pengguna, organisasi RaaS mengancam akan merilis data secara publik dalam upaya mempermalukan korban. Maze RaaS secara resmi ditutup pada November 2020, meskipun alasannya masih agak kabur. Beberapa akademisi, bagaimanapun, percaya bahwa pelanggar yang sama telah bertahan dengan berbagai nama, seperti Egregor.
- DoppelPaymer: Ini telah dikaitkan dengan sejumlah peristiwa, termasuk satu pada tahun 2020 terhadap sebuah rumah sakit di Jerman yang merenggut nyawa seorang pasien.
- Ryuk: Meskipun RaaS lebih aktif pada tahun 2019, diyakini telah ada setidaknya pada tahun 2017. Banyak perusahaan keamanan, termasuk CrowdStrike dan FireEye, telah membantah klaim yang dibuat oleh peneliti tertentu bahwa pakaian tersebut berlokasi di Korea Utara.
- KunciBit: Sebagai ekstensi file, organisasi mempekerjakan untuk mengenkripsi file korban, ".abcd virus," pertama kali muncul pada September 2019. Kapasitas LockBit untuk menyebar secara mandiri melalui jaringan target adalah salah satu fiturnya. Untuk calon penyerang, ini menjadikannya RaaS yang diinginkan.
- Jahat: Meskipun ada beberapa penyedia RaaS, itu adalah yang paling umum pada tahun 2021. Serangan Kaseya, yang terjadi pada Juli 2021 dan berdampak pada setidaknya 1,500 perusahaan, terkait dengan REvil RaaS. Organisasi tersebut juga diduga berada di balik serangan Juni 2021 terhadap produsen daging JBS USA, di mana korban harus membayar uang tebusan sebesar $11 juta. Itu juga ditemukan bertanggung jawab atas serangan ransomware pada penyedia asuransi cyber CNA Financial pada Maret 2021.
Bagaimana cara mencegah serangan RaaS?
Peretas RaaS paling sering menggunakan email spear-phishing canggih yang dibuat secara ahli agar tampak otentik untuk mendistribusikan malware. Pendekatan manajemen risiko yang solid yang mendukung pelatihan kesadaran keamanan berkelanjutan untuk pengguna akhir diperlukan untuk melindungi dari eksploitasi RaaS.
Perlindungan pertama dan terbaik adalah menciptakan budaya bisnis yang memberi tahu pengguna akhir tentang teknik phishing terbaru dan bahaya yang ditimbulkan serangan ransomware terhadap keuangan dan reputasi mereka. Inisiatif dalam hal ini meliputi:
- Upgrade perangkat lunak: Sistem operasi dan aplikasi sering dieksploitasi oleh ransomware. Untuk membantu menghentikan serangan ransomware, penting untuk memperbarui perangkat lunak saat patch dan pembaruan dirilis.
- Berhati-hatilah untuk mencadangkan dan memulihkan data Anda: Menetapkan strategi pencadangan dan pemulihan data adalah langkah pertama dan, mungkin, yang paling penting. Data menjadi tidak dapat digunakan untuk pengguna setelah enkripsi oleh ransomware. Dampak enkripsi data oleh penyerang dapat dikurangi jika perusahaan memiliki cadangan terkini yang dapat digunakan dalam prosedur pemulihan.
- Pencegahan phising: Phishing melalui email adalah metode serangan khas untuk ransomware. Serangan RaaS dapat dicegah jika ada semacam perlindungan email anti-phishing.
- Otentikasi beberapa faktor: Beberapa penyerang ransomware menggunakan isian kredensial, yang melibatkan penggunaan sandi curian dari satu situs ke situs lain. Karena faktor kedua masih diperlukan untuk mendapatkan akses, otentikasi multifaktor mengurangi dampak dari satu kata sandi yang digunakan secara berlebihan.
- Keamanan untuk titik akhir XDR: Keamanan titik akhir dan teknologi perburuan ancaman, seperti XDR, menawarkan lapisan pertahanan penting tambahan terhadap ransomware. Ini menawarkan peningkatan kemampuan deteksi dan respons yang membantu mengurangi bahaya ransomware.
- Pembatasan DNS: Ransomware sering menggunakan beberapa jenis server perintah dan kontrol (C2) untuk berinteraksi dengan platform operator RaaS. Permintaan DNS hampir selalu terlibat dalam komunikasi dari mesin yang terinfeksi ke server C2. Organisasi dapat mengenali saat ransomware mencoba berinteraksi dengan RaaS C2 dan mencegah komunikasi dengan bantuan solusi keamanan penyaringan DNS. Ini dapat bertindak sebagai jenis pencegahan infeksi.
Masa depan RaaS
Serangan RaaS akan menjadi lebih umum dan disukai di kalangan peretas di masa depan. Lebih dari 60% dari semua serangan siber dalam 18 bulan terakhir, menurut laporan baru-baru ini, berbasis RaaS.
RaaS menjadi semakin populer karena penggunaannya yang sederhana dan fakta bahwa tidak diperlukan pengetahuan teknis. Selain itu, kita harus bersiap untuk peningkatan serangan RaaS yang menargetkan infrastruktur vital.
Ini mencakup bidang kesehatan, administrasi, transportasi, dan energi. Peretas melihat industri dan institusi penting ini lebih terbuka dari sebelumnya, menempatkan entitas seperti rumah sakit dan pembangkit listrik dalam pandangan serangan RaaS sebagai supply chain masalah berlanjut hingga 2022.
Kesimpulan
Kesimpulannya, bahkan jika Ransomware-as-a-Service (RaaS) adalah ciptaan dan salah satu bahaya terbaru untuk memangsa pengguna digital, sangat penting untuk mengambil tindakan pencegahan tertentu untuk memerangi ancaman ini.
Selain tindakan pencegahan keamanan mendasar lainnya, Anda juga dapat mengandalkan alat antimalware mutakhir untuk lebih melindungi Anda dari ancaman ini. Sayangnya, RaaS tampaknya berada di sini untuk sementara waktu.
Anda akan memerlukan teknologi komprehensif dan rencana keamanan siber untuk melindungi dari serangan RaaS untuk mengurangi kemungkinan serangan RaaS yang berhasil.
Tinggalkan Balasan