Tahap-tahap Serangan Ransomware

Tahap-tahap Serangan Ransomware

Di dunia siber saat ini, seperti sudah menjadi konsensus bersama bahwa ransomware diberi stempel sebagai ancaman paling utama. Dengan perkembangannya yang terus semakin kompleks dan profesional dengan peningkatan teknologi yang terus mengikuti perkembangan jaman, frekuensi serangan ransomware semakin membahayakan dan tertarget.

Meskipun biaya untuk membayar tebusan mungkin besar, biaya pemulihan selanjutnya dan waktu henti yang diakibatkannya bisa 10-15 kali lebih besar daripada tebusan itu sendiri.

Oleh karena itu, sangat penting bagi perusahaan untuk melindungi bisnis mereka, dan tempat yang baik untuk memulai adalah mencari tahu bagaimana serangan ransomware dilakukan sehingga perusahaan dapat menopang area mana pun yang mungkin memiliki kelemahan.

Ransomware memiliki pola serangannya sendiri, dan dalam banyak kasus hanya perlu beberapa menit untuk mengeksekusi. Bahkan tindakan yang paling tidak berbahaya pun dapat menyebabkan endpoint menjadi korban ransomware, dengan data sensitif atau file penting bisnis disandera. Berikut 3 fase serangan ransomware.

Baca juga: Trik Perubahan Serangan Ransomware

Tahap 1: Akses Awal

Pelaku mencari cara untuk masuk ke dalam jaringan

Pada tahap pertama serangan, penjahat siber mencari pijakan di jaringan perusahaan. Dalam sebagian besar insiden, akses diperoleh menggunakan salah satu dari vektor berikut:

  1. Pencurian kata sandi,

  2. Brute force.

  3. Kerentanan perangkat lunak.

  4. Phising.

Setelah menyelinap masuk, pelaku akan mencoba menemukan identitas penting dan mendapatkan kredensial login yang memungkinkan mereka terus bergerak maju, melewati perlindungan tradisional.

Serangan ransomware umum menggunakan berbagai bentuk malware, seperti malware siap pakai atau malware khusus (diunduh untuk digunakan kembali atau dibeli).

Malware biasanya disebarkan melalui email spear phising yang memiliki lampiran berbahaya. Lampiran ini seringkali berupa trojan dalam bentuk dokumen Microsoft Office atau PDF dengan ransomware yang disematkan di dalamnya.

Setelah dibuka, dan jika eksekusi makro diizinkan, itu dapat menjalankan muatannya dan mencoba memuat malware di komputer tempat dokumen dibuka. Ransomware sering terlihat berasal dari sumber yang sah, termasuk lembaga keuangan, badan pemerintah, atau pengguna dalam organisasi.

Banyak insiden ransomware dimulai dengan pelaku mengeksploitasi kerentanan dalam layanan yang terpapar internet. Ini sering terjadi pada sistem akses jarak jauh seperti Remote Desktop Protocol (RDP), jaringan pribadi virtual (VPN), dan sistem operasi lain atau kerentanan perangkat lunak pihak ketiga.

Beberapa pelaku juga mencoba memaksa kredensial untuk menargetkan nama pengguna dan kata sandi yang lemah dan mudah ditebak. Sebagian besar varian ransomware menggunakan beberapa vektor infeksi.

Baca juga: Mengurai Serangan Ransomware pada Server VMware

Tahap 2: Konsolidasi dan Persiapan

Pelaku mencoba mendapatkan akses ke endpoint

Begitu mereka mendapatkan akses awal ke jaringan, pelaku memerlukan berbagai alat untuk melakukan serangan. Mereka masuk dengan malware yang berisi paket semua alat yang diperlukan untuk serangan itu atau, setelah intrusi, mereka mengunduh alat yang diperlukan dengan membangun komunikasi dengan server command dan control (C2) untuk bergerak maju dengan langkah serangan berikutnya.

Komunikasi ini sebagian besar dilakukan melalui lalu lintas tepercaya seperti DNS. server C2 juga dapat digunakan untuk mengarahkan penemuan endpoint lain di jaringan, menetapkan persistensi pada perangkat, dan mengaburkan aktivitas ini.

Peretas Menggunakan Banyak Alat untuk Melakukan Serangan:

  1. Alat pengintaian seperti Nmap, Process Hacker, dan BloodHound membantu pelaku memahami di mana mereka berada di jaringan dan akun apa yang dapat ditargetkan lebih jauh.

  2. Alat dumping kredensial seperti Mimikatz dan ProcDump membantu mengkompromikan kredensial login dari akun istimewa lainnya, yang dapat digunakan penyerang untuk bergerak secara lateral di dalam jaringan.

  3. Peneliti keamanan menemukan bahwa program bawaan seperti Windows Management Instrumentation (WMI) dan perintah PSExec digunakan untuk menghapus salinan cadangan lokal, dan PowerShell digunakan untuk membuat bacckdoor berbahaya.

Gerakan Lateral dan Eskalasi Hak Admin

Penjahat dunia maya bergerak secara lateral dalam jaringan untuk menemukan akun istimewa yang rentan. Setelah pelaku mendapatkan akses ke akun, jaringan, atau sumber daya, mereka meningkatkan serangan dengan memanfaatkan akses tersebut untuk berpindah melalui infrastruktur.

Pada tahap ini, pelaku biasanya membuka jalur ke data paling penting dengan menerobos lapisan keamanan dan mengumpulkan hak istimewa tambahan.

Salah satu teknik paling umum yang diamati dalam serangan ransomware adalah eksploitasi akun administrator. Akun admin adalah target penting karena organisasi cenderung memiliki satu kata sandi yang sama untuk semua akun admin lokal mereka.

Dengan mendapatkan hak istimewa admin, pelaku dapat mengutak-atik konfigurasi keamanan dalam solusi AV dan EDR tradisional untuk menonaktifkan kontrol keamanan, menghindari deteksi, serta mengunduh dan memasang muatan ke endpoint korban.

Akses ke pengontrol domain juga akan memungkinkan mereka melepaskan malware ke semua sistem di jaringan dalam satu kesempatan. Pelaku memiliki berbagai taktik untuk mendapatkan hak admin domain, termasuk teknik seperti Kerberoasting, serangan pass-the-hash, dan mencuri kata sandi yang disimpan di folder SYSVOL.

Baca juga: Ransomware Paling Mematikan

Tahap 3: Dampak terhadap Target

Pelaku mencuri dan mengenkripsi data, lalu meminta uang tebusan

Pada tahap akhir serangan ini, ransomware telah diunduh dan dipasang di sistem korban dan sekarang mulai melakukan apa yang dirancang untuk dilakukannya.

Setelah pelaku menonaktifkan perlindungan kritis sistem, mereka akan berusaha mengekstraksi informasi sensitif di endpoint, menghancurkan cadangan data perusahaan, dan akhirnya mengenkripsi sistem dan data.

Pada titik ini, catatan tebusan atau layar kunci mengarahkan korban ke permintaan pembayaran peretas (biasanya cryptocurrency) dan detail lainnya untuk memastikan korban mematuhi instruksi peretas.

Perincian ini seringkali mencakup sejumlah mata uang kripto sebagai imbalan atas akses ke file korban atau pembayaran kedua untuk mencegah pelaku membocorkan atau menjual data.

Hentikan Ransomware

Dengan meningkatnya ransomware, sekarang, lebih dari sebelumnya, Anda harus memastikan bisnis Anda dapat bertahan dari segala jenis serangan.

ESET memiliki serangkaian solusi keamanan endpoint komprehensif yang dirancang untuk mencegah serangan siber apa pun.

 

Baca lainnya: