Ketika datang ke ransomware (terbuka di tab baru) kebijaksanaan konvensional mengatakan Anda tidak boleh membayar. Namun seringkali, kenyataannya tidak sesederhana itu. Jika data tidak dapat diambil dari solusi cadangan Anda (terbuka di tab baru) atau jika informasi terenkripsi bersifat kritis bagi bisnis, perusahaan mungkin tidak punya banyak pilihan selain membayar. Menurut Kaspersky, lebih dari satu dari tiga organisasi membayar. Sayangnya bagi mereka itu belum tentu akhir dari cerita.
Tentang Penulis
Patrick Martin, Analis Intelijen Ancaman Senior, Skurio.
Ransomware modern tidak berhenti pada enkripsi data (terbuka di tab baru). Itu juga mengekstraksi data. Dengan ini muncul risiko yang sangat nyata dari akhirnya menemukan jalannya ke pasar gelap Web Gelap (terbuka di tab baru) untuk dibagikan atau dijual berulang kali. Sejauh yang dikhawatirkan para peretas, ransomware adalah vektor serangan yang terus memberi. Terhadap latar belakang ini, saran terbaik untuk bisnis adalah bersiap menghadapi yang terburuk dan tahu cara merespons.
Salah satu teknik yang paling efektif adalah dengan menyertakan data dummy yang diberi tag khusus di sistem Anda. Artinya, ketika serangan ransomware menyerang, Anda dapat menggunakan layanan pemantauan spesialis untuk melacak jika ada data watermark Anda yang ada di web gelap. Setelah dikonfirmasi, respons insiden yang cepat dan tegas serta langkah-langkah perbaikan dapat dilakukan.
Reputasi yang menakutkan
Dengan potensinya untuk menghentikan seluruh operasi bisnis, ransomware bisa dibilang salah satu yang paling ditakuti dari semua ancaman dunia maya (terbuka di tab baru). Reputasi ini telah disemen oleh fakta bahwa insiden ransomware besar tidak pernah jauh dari berita utama, biasanya disertai dengan jumlah hari yang hilang karena gangguan, permintaan tebusan, dan biaya pemulihan yang terus meningkat.
Memanfaatkan ketenaran ini, penjahat dunia maya menjadi semakin berani dan permintaan uang tebusan rata-rata telah meningkat menjadi £10.000. Angka ini meningkat lebih jauh setelah gangguan dan biaya pembersihan diperhitungkan. Dalam salah satu contoh yang menonjol, wabah serius yang diderita oleh kota Baltimore diperkirakan menelan biaya lebih dari £14 juta untuk memperbaiki dan hilangnya pendapatan saat sistem pembayaran sedang offline.
Perkembangan yang meresahkan
Taktik ransomware yang umum termasuk memblokir akses ke data korban atau mengancam untuk mempublikasikannya di situs web publik kecuali uang tebusan dibayarkan. Jika ini belum cukup untuk dikhawatirkan, ada tanda-tanda selama 12 bulan terakhir bahwa ancaman ransomware mungkin telah memasuki fase baru yang meresahkan. Penjahat dunia maya telah mulai meningkatkan tekanan dengan menambahkan eksfiltrasi data ke dalam serangan mereka. Strategi memasangkan serangan ransomware dengan eksfiltrasi data adalah perkembangan yang relatif baru, tetapi ini adalah salah satu yang mendapatkan daya tarik.
Ransomware teratas tahun 2019 – Ryuk, Maze, BitPyLocker, Trickbot, Revil/Sodinokibi, dan Emotet – semuanya menampilkan kemampuan eksfiltrasi data. Ryuk dan Sodinikibi sendiri menyumbang kenaikan 104% dalam pembayaran uang tebusan pada kuartal keempat (naik dari £32.000 di Q3 menjadi £65.000 di Q4).
Serangan dua arah
Sodinokibi, khususnya, mendapatkan banyak keburukan setelah malware tersebut (terbuka di tab baru) digunakan untuk mengganggu produsen suku cadang otomotif Jerman Gedia Automotive Group, yang terpaksa menutup jaringan TI-nya untuk melindungi infrastruktur industri yang terhubung. Gedia berdiri teguh dan menolak tunduk pada permintaan tebusan. Namun tak lama kemudian, kelompok yang mengaku bertanggung jawab atas serangan itu mulai beriklan di forum bawah tanah Rusia untuk penjualan lebih dari 50GB informasi sensitif, seperti cetak biru, yang dicuri dari Gedia.
Taktik seperti ini memungkinkan penyerang mengancam targetnya dengan pukulan ganda. Jika korban menolak untuk memenuhi permintaan tebusan, mereka harus menghadapi kemungkinan bahwa sejumlah besar informasi pribadi yang sangat rahasia dapat didistribusikan di Web Gelap. Namun, bahkan jika mereka mematuhi dan membayar, tidak ada jaminan bahwa penjahat tidak akan membiarkan sistem mereka terkunci atau menjual data yang diambil. Data yang dicuri umumnya digunakan sebagai pengaruh tambahan untuk memaksa pembayaran. Pakar industri menyarankan agar tidak pernah menyerah pada permintaan tebusan.
Alasannya adalah bahwa meskipun penjahat sepenuhnya memulihkan sistem dan data yang dicuri, setiap orang yang membayar hanya berfungsi untuk mengabadikan masalah ransomware sebagai pemintal uang yang efektif bagi penjahat dunia maya. Nasihat yang sangat masuk akal, sampai Anda tiba-tiba menemukan diri Anda di pihak penerima.
Rencanakan yang terburuk
Sampai saat itu, pertahanan bukti masa depan terhadap ransomware dapat ditemukan, organisasi hanya memiliki sedikit alternatif selain merencanakan yang terburuk. Ini berarti mereka harus menghadapi kemungkinan bahwa data rahasia bisnis dapat diekstraksi dan didistribusikan ke web dalam untuk diperdagangkan di forum Dark Web. Tidak ada yang dapat mencegah pelaku hanya menggertak tentang berhasil mengekstraksi file penting selama serangan. Bahkan jika pencuri membagikan sampel data yang dicuri, itu bukan bukti konklusif yang diambil selama serangan ransomware, atau bahwa mereka memiliki salinan dari semua data lain yang diklaim mereka simpan. Sebaliknya, data tersebut mungkin telah dicuri pada waktu lain, atau bahkan dari pihak ketiga. Oleh karena itu, langkah pertama harus memastikan apakah data tersebut benar-benar telah dicuri.
Cara efektif untuk memverifikasi apakah data berasal dari sistem Anda adalah dengan memberi tag pada set data tertentu terlebih dahulu dengan informasi dummy. Teknik ini melibatkan penyemaian database karyawan dan pelanggan (terbuka di tab baru) dengan identitas sintetik – informasi yang berkaitan dengan persona buatan yang hanya berada di dalam basis data sistem Anda. Watermarking data bersama dengan kombinasi teknik investigasi otomatis dan manual adalah cara yang pasti untuk melacak paparan risiko digital Anda jauh di luar batas jaringan Anda. Alat otomatis dapat dengan cepat mendeteksi tanda air di sumber web terbuka dan forum bawah tanah yang kurang aman, sementara penyelidikan manual diperlukan untuk forum Web Gelap yang dikontrol lebih ketat.
Akses ke banyak forum Dark Web hanya diperuntukkan bagi pengguna yang telah menerima undangan atau rekomendasi pribadi dari anggota komunitas lainnya. Pendatang baru berada di bawah pengawasan ketat untuk setiap perilaku yang menunjukkan motif mereka. Misalnya, secara terbuka mencari kumpulan data tertentu dapat menjadi semua yang diperlukan untuk membunyikan alarm bahwa pengguna dapat menjadi penyelidik rahasia yang bekerja untuk perusahaan yang dilanggar. Namun, mencari nama tertentu – identitas bertanda air misalnya – lebih cenderung luput dari perhatian. Melangkah lebih jauh, dimungkinkan untuk mengambil snapshot data di forum dan kemudian mencarinya secara offline. Ini berarti tidak ada jejak pencarian yang tersisa untuk dideteksi oleh komunitas kriminal. Sangat penting bahwa tidak ada jejak yang tersisa. Naif untuk berasumsi bahwa tidak ada yang akan memperhatikan apa yang Anda cari secara online. Oleh karena itu mengapa Anda harus mencari secara offline.
Singkatnya, ransomware menimbulkan ancaman signifikan bagi bisnis yang tidak siap dan dapat menjadi mahal bahkan untuk organisasi yang dipertahankan dengan baik – terutama dengan tambahan baru eksfiltrasi data yang mempersulit pemulihan. Menanam tanda air terpisah dalam kumpulan data mereka dan secara proaktif memantau bukti bahwa data yang dilanggar beredar secara online membantu organisasi memahami sejauh mana paparan risiko mereka dan mengambil tindakan cepat untuk mengambil kembali kendali situasi.