Berpartisipasi dalam penyelamatan Anda sendiri: Serangan ‘Dual ransomware’ menyoroti urgensi kebersihan keamanan

Pemerintahan Biden baru-baru ini mengeluarkan daftar cucian perlindungan keamanan siber penting untuk diterapkan oleh organisasi sektor swasta. Daftar ini menjalankan keseluruhan yang harus dimiliki, termasuk otentikasi dua faktor, pencadangan data offline, menginstal patch sistem, dan memperbarui kata sandi.

Meskipun pengumuman itu secara nominal dipicu oleh perang di Ukraina dan intelijen ancaman yang menunjukkan potensi serangan siber Rusia, kenyataannya adalah bahwa rekomendasi ini telah menjadi taruhan meja selama bertahun-tahun. Itu tidak sedikit karena meningkatnya ancaman yang ditimbulkan oleh ransomware, yang sekarang menimpa hampir semua industri, mulai dari keuangan, pendidikan dan ritel hingga layanan kesehatan, energi, dan pemerintah.

Ransomware telah menjadi sangat menguntungkan bagi pelaku kejahatan sehingga, dalam beberapa kasus, mereka secara praktis bertemu satu sama lain. Desember lalu, satu organisasi kesehatan Kanada adalah diserang oleh dua kelompok ransomware yang berbeda secara bersamaan. Serangan “ransomware ganda” seperti ini belum menjadi hal biasa, tetapi ini adalah tren yang saya lihat semakin banyak buktinya saat meneliti laporan respons insiden.

Insiden beberapa penyerang menunjukkan masalah yang lebih dalam dan berkelanjutan: Banyak praktik keamanan siber yang penting dan mendasar masih belum diadopsi secara menyeluruh. Dalam menghadapi lanskap ancaman dunia maya yang semakin tidak bersahabat, organisasi sangat perlu untuk mulai berpartisipasi dalam penyelamatan mereka sendiri – dan itu dimulai dengan menerapkan praktik terbaik.

Penyerang dunia maya tersandung satu sama lain untuk menembus target

A survei menemukan bahwa meskipun total volume serangan ransomware sebenarnya telah menurun selama lima tahun terakhir, dampak dari serangan tersebut semakin parah, termasuk:

• Total biaya serangan ransomware lebih dari dua kali lipat dari tahun 2020 hingga 2021, terhitung rata-rata $1,85 juta.
• Banyak organisasi telah mengundurkan diri untuk diserang oleh ransomware dalam waktu dekat karena mereka merasa itu terlalu canggih untuk digagalkan.
• Dan ransomware “bergaya pemerasan”, di mana data organisasi yang ditargetkan dicuri dan terancam untuk dirilis atau dijual publik di web gelap dengan imbalan pembayaran, sedang meningkat.

Metode serangan ransomware yang berkembang ini telah diluncurkan pada industri penting, seperti perawatan kesehatan. Pandemi yang sedang berlangsung tidak menghalangi penyerang untuk mengejar rumah sakit atau penyedia layanan kesehatan. Faktanya, seperti dalam kasus penyedia layanan kesehatan Kanada yang diserang Desember lalu, kelompok ransomware lebih tak henti-hentinya dari sebelumnya.

Dalam insiden itu, kelompok ransomware bernama Karma menyebarkan serangan ransomware gaya pemerasan terhadap penyedia — tidak mengenkripsi sistem organisasi, tetapi mencuri data mereka dan menahannya untuk tebusan.

Namun, tanpa diketahui oleh penyedia dan kelompok Karma, serangan ransomware kedua terjadi seminggu kemudian. Serangan ini, oleh grup Conti, menyebarkan paket ransomware yang lebih umum yang mengenkripsi data target dengan imbalan pembayaran. Serangan Conti tidak hanya mengenkripsi data penyedia; itu juga mengenkripsi catatan tebusan Karma.

Penyedia layanan kesehatan bahkan tidak menyadari bahwa itu diperas dua kali karena catatan tebusan dari serangan pertama telah disembunyikan oleh yang kedua. Dua kelompok ransomware, dua serangan berbeda, satu lingkungan target, hanya berjarak seminggu.

Lanskap ancaman siber dipenuhi dengan aktor jahat yang siap, mau, dan mampu menyerang organisasi dari semua ukuran, di semua industri. Dan tingkat keberhasilan mereka tidak semata-mata karena taktik mereka yang sangat canggih. Banyak kelompok amatir dengan keterampilan tingkat rendah telah menemukan keberhasilan melanggar target mereka hanya karena begitu banyak organisasi belum melakukan minimal untuk melindungi diri mereka sendiri. Melanggar jaringan target menjadi sangat mudah sehingga penyerang praktis tersandung satu sama lain dalam terburu-buru untuk mengeksploitasi target yang rentan.

Tujuh cara untuk mulai berpartisipasi dalam penyelamatan Anda sendiri

Meskipun bukan pelanggaran data biasa, mengalami beberapa serangan ransomware yang hampir bersamaan adalah gejala terbaru dari masalah yang lebih luas: kurangnya perlindungan dan praktik terbaik keamanan siber yang diadopsi secara luas dan mendasar. Ini adalah panggilan bangun dan peluang emas bagi banyak organisasi.

Ada banyak praktik keamanan yang relatif mudah diterapkan, terlambat, dan sangat diperlukan yang dapat diterapkan oleh organisasi saat ini:

1. Mendidik karyawan tentang pentingnya membuat kata sandi yang unik, meminimalkan kata sandi yang mudah diretas dan berbagi kata sandi yang sama di beberapa aplikasi. Selain itu, mendidik karyawan tentang tanda-tanda serangan spear-phishing atau rekayasa sosial. Pastikan mereka tahu siapa yang harus diwaspadai jika mereka mencurigai mereka menjadi target serangan semacam itu.
2. Mandat otentikasi multifaktor di seluruh pengguna jaringan Anda.
3. Pastikan Anda terus memperbarui sistem dengan patch keamanan terbaru.
4. Cadangkan data di lokasi offline yang aman. Pertimbangkan metode “3-2-1”: tiga cadangan data, disimpan di dua lokasi, salah satunya di luar kantor. Tingkat redundansi ini membantu memastikan bahwa Anda memiliki beberapa opsi untuk dipilih untuk memulihkan data Anda setelah serangan.
5. Kembangkan rencana respons insiden sebelumnya sehingga Anda memiliki langkah-langkah kontinjensi yang siap untuk dilakukan jika terjadi serangan siber, alih-alih berebut saat ini untuk mencari tahu langkah selanjutnya.
6. Terapkan deteksi ancaman dan solusi berburu ancaman yang secara proaktif dapat mengidentifikasi penyusupan potensial dan menandainya berdasarkan prioritas dan urgensi.
7. Beri orang izin untuk mengatakan bahwa mereka membutuhkan bantuan. Di beberapa organisasi, mungkin ada satu orang yang bertanggung jawab atas semua hal teknologi dan keamanan informasi, yang hanya kekurangan bandwidth dan sumber daya untuk menerapkan perlindungan yang diperlukan. Orang-orang ini perlu merasa tidak apa-apa untuk mengatakan bahwa mereka tidak dapat melakukan semuanya sendiri dan bahwa mereka membutuhkan dukungan — sehingga perusahaan dapat memanfaatkan solusi luar, pakar, dan pusat operasi keamanan sesuai kebutuhan.

Ini adalah praktik keamanan dasar. Saat penyerang tumbuh lebih canggih, tidak ada organisasi yang mampu mengambil langkah untuk melindungi jaringan dan penggunanya. Melakukan pekerjaan ini sekarang membantu meminimalkan peluang Anda menjadi target di masa depan — dan, jika terjadi serangan, membantu Anda bangkit kembali dengan cepat.

Berpartisipasi dalam penyelamatan Anda sendiri. Jadikan organisasi Anda lebih tangguh daripada rekan-rekan Anda. Pada saat penyerang jatuh di atas satu sama lain untuk melanggar target, tidak ada waktu untuk disia-siakan.

John Shier adalah penasihat keamanan senior di Sophos Group plc, dengan lebih dari dua dekade pengalaman keamanan siber. Dia telah meneliti semuanya, mulai dari ransomware yang mahal hingga aktivitas web gelap ilegal, mengungkap wawasan yang diperlukan untuk memperkuat pertahanan keamanan siber yang proaktif. Dia menulis artikel ini untuk SiliconANGLE.

Gambar: TheDigitalArtist/Pixabay