Lima Langkah untuk Melawan Ransomware

Lima Langkah untuk Melawan Ransomware

Read Time:3 Minute, 47 Second

Selama tiga tahun terakhir, ransomware telah menjadi sorotan di lanskap ancaman dunia maya. Hingga saat ini, sebagian besar serangan ransomware hanya bersifat oportunistik dan sebagian besar memengaruhi komputer pengguna individu atau bisnis kecil. Tuntutan tebusan biasanya setara dengan beberapa ratus dolar untuk satu PC.

Tapi sekarang, penyerang telah mengarahkan pandangan mereka pada organisasi yang lebih besar yang memiliki anggaran lebih besar untuk membayar tuntutan tebusan yang lebih besar. Mereka juga memiliki file dan sistem komputer yang lebih penting yang sangat penting untuk operasi harian organisasi.

Memahami apa yang terjadi di setiap fase serangan ransomware, dan mengetahui indikator yang harus dicari, meningkatkan kemungkinan untuk berhasil mempertahankan — atau setidaknya mengurangi efek — serangan. Tahapan tersebut adalah:

Cara kerja Ransomware

Fase 1: Eksploitasi dan Infeksi
Agar serangan berhasil, file ransomware berbahaya harus dijalankan di komputer. Hal ini sering kali dilakukan melalui email phishing atau exploit kit — sejenis toolkit berbahaya yang digunakan untuk mengeksploitasi celah keamanan di aplikasi perangkat lunak untuk tujuan menyebarkan malware.

Tahap 2: Pengiriman dan Eksekusi
Setelah proses eksploitasi, ransomware aktual yang dapat dijalankan akan dikirim ke sistem korban. Biasanya, proses ini membutuhkan waktu beberapa detik, bergantung pada latensi jaringan. Kami sering melihat file yang dapat dijalankan ditempatkan di folder di bawah profil pengguna. Mengetahui hal ini untuk tujuan deteksi adalah hal yang baik, karena organisasi Anda dapat memantau peristiwa tersebut untuk menyiapkan garis pertahanan.

Tahap 3: Spoliasi Cadangan
Beberapa detik setelah malware dijalankan, ransomware menargetkan file cadangan dan menghapusnya untuk mencegah pemulihan dari cadangan. Ini unik untuk ransomware. Jenis crimeware lain dan bahkan APT tidak perlu repot-repot menghapus file cadangan. Varian ransomware akan mencoba dan menghapus semua cara yang dimiliki korban untuk pulih dari serangan tanpa membayar tebusan.

Tahap 4: Enkripsi File
Setelah cadangan dihapus sepenuhnya, malware akan melakukan pertukaran kunci aman dengan server perintah dan kontrol (C2), menetapkan kunci enkripsi yang akan digunakan pada sistem lokal. Sayangnya, sebagian besar varian saat ini menggunakan enkripsi yang kuat, seperti AES 256, sehingga korban tidak dapat memecahkan enkripsi mereka sendiri.

Tahap 5: Pemberitahuan dan Pembersihan Pengguna
Dengan file cadangan dihapus dan pekerjaan kotor enkripsi selesai, instruksi permintaan untuk pemerasan dan pembayaran disajikan. Seringkali, korban diberi waktu beberapa hari untuk membayar, dan setelah itu uang tebusan bertambah. Setelah dibayar, malware membersihkan dirinya sendiri dari sistem yang menjadi korban agar tidak meninggalkan bukti forensik yang signifikan yang akan membantu membangun pertahanan yang lebih baik terhadap malware.

Setelah Anda memahami cara kerja ransomware, Anda dapat melihat cara bertahan dari serangan semacam itu. Lima langkah pertahanan adalah:

Persiapan

Untuk mempersiapkan kemungkinan serangan yang sangat nyata, pertama-tama penting untuk menambal secara agresif sehingga kerentanan dapat dihilangkan dan rute akses dapat diatasi. Titik akhir perlu dilindungi secara memadai dengan alat yang dapat secara otomatis mendeteksi dan merespons infeksi sebelum menjadi insiden besar.

Deteksi

Jika perusahaan Anda terkena serangan, Anda dapat meminimalkan kerusakan jika Anda mendeteksi malware lebih awal. Gunakan sumber intelijen ancaman untuk memblokir atau setidaknya memperingatkan adanya anomali yang terkait dengan ransomware di lalu lintas jaringan Anda. Pastikan email disaring untuk tautan dan muatan berbahaya, dan gunakan aturan yang mencari file yang dieksekusi dari folder ransomware umum sehingga Anda dapat melihat ransomware sebelum file apa pun dienkripsi.

Penahanan

Setelah ransomware melakukan pekerjaan kotornya pada satu perangkat, ada beberapa langkah yang dapat Anda lakukan untuk menampungnya secara lokal. Memiliki sistem proteksi titik akhir yang mampu mencari eksekusi dan mematikan proses biasanya merupakan sarana penahanan terbaik. Host lokal perlu diblokir dan diisolasi dari jaringan, yang mencegah file tambahan di jaringan dienkripsi.

Pemberantasan

Setelah Anda mengetahui bahwa Anda telah mengalami insiden ransomware, dan insiden tersebut telah diatasi, Anda sekarang harus memberantasnya. Pilihan terbaik adalah mengganti mesin yang telah terpengaruh. Memang, sulit untuk mengetahui apakah file sisa disembunyikan di sistem dan dapat menginfeksi ulang perangkat.

Namun, untuk lokasi jaringan, seperti kotak surat atau berbagi file, terkadang lebih relevan untuk membersihkan lokasi tersebut, menghapus pesan email berbahaya atau instruksi ransomware. Jika Anda memilih untuk membersihkan daripada mengganti, terus pantau tanda tangan dan IOC lainnya untuk mencegah serangan muncul kembali.

Pemulihan

Untuk pemulihan, tugas nomor satu adalah memulihkan dari cadangan. Di sebagian besar penyelidikan ransomware, Anda biasanya ingin menyelesaikan fase pemulihan dengan melakukan penyelidikan lengkap terhadap vektor infeksi spesifik apa yang digunakan untuk melawan sistem.

Serangan ransomware terhadap organisasi baru saja mulai meningkat. Konsekuensi dari serangan yang berhasil jauh lebih luas daripada hanya biaya tebusan. Organisasi dapat menderita akibat hilangnya produktivitas, kehilangan bisnis, ketidaknyamanan bagi pelanggan, dan berpotensi kehilangan data secara permanen.

Keberhasilan organisasi Anda dalam bertahan dari serangan ransomware sangat bergantung pada tingkat persiapan dan alat yang Anda terapkan untuk memantau sistem Anda dan untuk mendeteksi, mematikan, dan berisi aktivitas yang mencurigakan.

sumber

Happy
Happy
0 %
Sad
Sad
0 %
Excited
Excited
0 %
Sleepy
Sleepy
0 %
Angry
Angry
0 %
Surprise
Surprise
100 %

Average Rating

5 Star
0%
4 Star
0%
3 Star
0%
2 Star
0%
1 Star
0%

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

This site uses Akismet to reduce spam. Learn how your comment data is processed.