Ransomware adalah serangan keamanan siber yang dirancang untuk mengenkripsi sistem file komputer, dan penjahat cyber menuntut tebusan untuk memberikan kunci dekripsi.
Namun, membayar tebusan kepada penjahat siber tidak menyelesaikan masalah ini. CISO modern / CIO dipenuhi oleh serangan ransomware yang canggih. Telah berlalu hari-hari metode tradisional enkripsi file sederhana dalam serangan ransomware. Analis keamanan dan pemimpin saat ini berkelahi dengan penjahat siber canggih yang menggunakan metode yang disesuaikan dan kompleks dengan masyarakat kriminal yang mengendalikan operasi bisnis.
Cactus ransomware adalah serangan cyber yang canggih. Sejak penemuan cactus ransomware, itu telah mengambil dunia dengan badai, menyebabkan dampak global sebagai risiko keamanan siber.
Beberapa dampak dari Black Basta ransomware adalah sebagai berikut:
- Total jumlah pemerasan US$107 juta dalam bitcoin dilaporkan pada tahun 2023, dan kelompok ancaman di balik ini adalah Black Basta.
- Amerika Utara sendiri terutama diserang oleh insiden ini, diikuti oleh Eropa, yang menyumbang 18 persen.
- Ransomware Black Basta paling parah menyerang industri manufaktur, real estate, dan konstruksi. ia dikaitkan dengan 28 dari 373 insiden ransomware yang dilaporkan pada bulan April 2024.
- Penasihat keamanan siber yang dikeluarkan bersama oleh agen-agen AS, FBI, CISA, HHS, dan MS-ISAC menyoroti bahwa Black Basta, ransomware pada bulan November 2024, memukul 12 dari 16 sektor kritis.
- Sebuah laporan ancaman oleh Kaspersky mengatakan bahwa Black Basta ransomware berada di antara keluarga ransomware yang paling aktif ke-12 pada tahun 2023 dan menyaksikan peningkatan yang signifikan pada kuartal pertama 2024.
Karakteristik utama dari kaktus ransomware adalah pemerasan ganda. Aktor ancaman tidak memberikan kunci dekripsi bahkan setelah pembayaran tebusan. Mereka dapat mengekfiltrasi data dengan mencuri secara online. Namun, aktor ancaman di balik kaktus ransomware tidak jelas; para pembela keamanan percaya itu memiliki sumber dari kelompok hacker Malaysia.
A Look at the Cactus Attack Chains
Cactus ransomware bukanlah ancaman cyber rata-rata – ituhighly sophisticatedKelompok ancaman di balik serangan Cactus ransomware menggunakan proses serangan multi-tahap, menggabungkan rekayasa sosial (seperti pesan palsu Microsoft Teams), alat akses jarak jauh, dan implan malware yang dibuat khusus untuk menyusup ke sistem dan tetap tersembunyi.
Setelah itu memasuki sistem target, para pelaku ancaman tidak hanya mengunci file. mereka menavigasi melalui jaringan, meningkatkan hak istimewa, dan mempertahankan stealth, semua sambil mempersiapkan pukulan terakhir: enkripsi dan pemerasan. Bahkan jika enkripsi mereka diblokir, seperti dalam kasus baru-baru ini, mereka masih mengirimkan catatan tebusan yang mengancam melalui email — bukti bahwa mereka dapat beradaptasi dan melakukan serangan dari awal sampai akhir.
Sebagai kompromi awal, para pelaku ancaman ransomware sering memanfaatkan kerentanan yang tidak dipatch dalam perangkat lunak yang digunakan secara luas, seperti layanan VPN, protokol desktop remote, atau aplikasi web, untuk mendapatkan akses awal ke jaringan korban.
Di dalamEstablishing Persistence phase,Setelah di dalam, para penyerang mengimplementasikan alat manajemen jarak jauh yang sah atau implan berbahaya seperti trojan akses jarak jauh. Alat-alat ini memungkinkan akses berkelanjutan dan membantu dalam menghindari deteksi.
Setelah mendapatkan akses ke satu mesin, penyerang sering menggunakan alat pemindaian jaringan untuk mengidentifikasi perangkat rentan lainnya di jaringan sebagai gerakan lateral. pemindaian jaringan memungkinkan mereka untuk bergerak lateral di seluruh sistem dan mengakses target yang lebih tinggi.Setelah kerentanan diidentifikasi, ransomware dapat menyebar melalui jaringan dengan memanfaatkan SMB, RDP, atau memanfaatkan protokol yang tidak aman.
Data Exfiltration (Double Extortion)
Sebelum enkripsi file, kelompok ransomware mengekfiltrasi data sensitif atau berharga ke lokasi eksternal (cloud storage, command-and-control servers). serangan ransomware lanjutan menggunakan pemerasan ganda, di mana penjahat cyber menempatkan tekanan tambahan pada korban untuk membayar jumlah tebusan; jika tidak, mereka dapat mendistribusikan data yang dicuri ke forum publik atau web gelap.
Sebuah laporan dariAliansi Keamanan Siber Global (ISAGCA)Menekankan bahwa aktor ancaman modern telah berevolusi untuk menggunakan metode penyebaran serangan baru di lanskap ancaman cybersecurity, dan double extortion ransomware adalah salah satu metode canggih yang telah membuat judul sejak 2020.
File biasanya dienkripsi dengan algoritma enkripsi yang kuat dan berganti nama dengan ekstensi file yang unik, membuat pemulihan sulit tanpa kunci dekripsi. Beberapa strain ransomware menggunakan teknik spesifik seperti fragmentasi file atau enkripsi buffer untuk mempercepat proses enkripsi, membuat deteksi lebih sulit. Catatan tebusan (seringkali file teks atau halaman HTML) diturunkan pada sistem yang terinfeksi, menuntut pembayaran dalam cryptocurrency untuk mendekripsi file. Catatan ini biasanya mencakup ancaman kerugian data permanen atau paparan publik kecuali tebusan dibayar.
Ransomware sering menggunakan teknik seperti obfuscation kode atau packing (misalnya, UPX atau custom packers) untuk menghindari deteksi oleh alat keamanan tradisional. beberapa ransomware dirancang untuk mendeteksi jika itu berjalan di lingkungan sandbox, alat keamanan yang digunakan untuk menganalisis malware.
Analis keamanan dapat memantau ekstensi file yang tiba-tiba, tidak biasa atau pola penggantian nama file yang dapat menunjukkan aktivitas enkripsi. Pada beberapa tingkat, melacak lalu lintas jaringan yang mencurigakan untuk eksfiltrasi atau komunikasi dengan IP eksternal dapat menyoroti aktivitas ransomware. Mendeteksi eksekusi perintah yang tidak biasa, terutama yang terkait dengan dumping credential, alat gerakan lateral, atau alat akses jarak jauh, dapat menjadi indikator kunci. Penciptaan catatan tebusan di direktori atau penampilan file dengan ekstensi yang tidak biasa menunjukkan serangan ransomware. Ransomware sering memicu penggunaan sumber daya sistem (misalnya, CPU, IO disk) selama enkripsi, sehingga memantau metrik ini dapat membantu mendeteksi serangan.
Cactus's Tactics, Techniques, and Procedures (TTPs)
Aktivitas kelompok ini cocok dengan banyak teknik yang diketahui dalam kerangka kerja cybersecurity MITRE ATT&CK. Berikut adalah pembagian yang disederhanakan:
- Akses awal: Phishing (T1566.003), penyalahgunaan alat kolaborasi (T1199)
- Eksekusi: Eksekusi file berbahaya (.bpx archives) (T1204.002)
- Persistensi: Modifikasi Registry (T1547.001)
- Privilege Escalation: DLL sideloading (T1574.001)
- Pencegahan Pertahanan: Menyamarkan File (T1036.005), Menonaktifkan Firewall (T1562.004)
- Gerakan lateral: Menggunakan WinRM dan SMB (T1021.002, T1021.006)
- Komando & Kontrol: Saluran yang dienkripsi dengan implan BackConnect (T1071.001, T1571)
- Penghapusan file WinSCP (T1105)
- Dampak: enkripsi file (T1486), catatan tebusan, dan ancaman
Final Thoughts
Untuk mengurangi dan menanggapi serangan kaktus ransomware, setelah infeksi kaktus terdeteksi, mengisolasi mesin yang terkena dampak dari jaringan sangat penting untuk mencegah penyebaran lebih lanjut. Memiliki cadangan yang baik, terisolasi, dan up-to-date sangat penting untuk pemulihan. cadangan reguler memastikan sistem dapat dipulihkan tanpa membayar tebusan. Setelah serangan, melakukan analisis forensik dapat membantu menentukan vektor serangan, sistem yang terkena dampak, dan lingkup penyaringan data. Organisasi harus tetap waspada, memantau indikator kunci, dan memprioritaskan kesadaran keamanan siber dan perencanaan tanggapan untuk tetap di depan ancaman seperti Cactus.
Sukses dalam pertahanan ransomware bukanlah tentang mengimplementasikan alat-alat yang paling canggih; itu tentang menggunakan alat-alat yang tepat secara lebih komprehensif secara efektif sebagai bagian dari strategi keamanan.