Perlu Diingat! 7 Tanda Perusahaan Kamu adalah Target Serangan Ransomware Selanjutnya

Bagaimana Seharusnya Perusahaan Menangani Ransomware?

Apa ancaman ransomware bagi perusahaan?

Menurut laporan Veeam 2022 Data Protection Trends Report, sebanyak 76% perusahaan telah mengalami percobaan penyerangan oleh ransomware selama tahun 2021. Jika kita coba lebih detailkan lagi seberapa banyak perusahaan mengalami serangan siber (cyber attacks), maka bisa dikatakan jumlahnya mendekati 100%. Beberapa alasan kenapa ransomware dengan mudah menyerang perusahaan adalah ROI yang tinggi dan biaya proses penyerangan yang termasuk murah.

Mari kita bongkar sedikit. Para pelaku menyerang tanpa batas, dari banyaknya serangan hanya butuh satu kali peluang untuk berhasil. Di masa sebelum trend cloud, para pelaku cyber attacks harus maintain data center mereka dengan koneksi internet yang high-performance, email server untuk mengirim spam, dan memiliki storage arrays untuk menyimpan data perusahaan yang berhasil diretas. Secara keseluruhan, ada hubungan biaya yang signifikan antara manusia dan teknologi.

Namun, ransomware sendiri memiliki evolusi yang menarik dalam melakukan penyerangan. Dalam beberapa tahun terakhir, Veeam melihat adanya peningkatan “pemerasan ganda” di mana data dieksripsi dan disalin ke repository penyimpanan dikendalikan oleh pelaku. Dari serangan tersebut, para pelaku sudah berada di jaringan korban.

Bagaimana cara kerja ransomware?

Ransomware adalah jenis malware yang mengenkripsi file korban kemudian meminta tebusan uang untuk mendekripsinya. Biasanya menyebar melalui lampiran email, tetapi bisa juga diunduh dari situs web atau dibagikan di platform media social seperti Facebook dan Twitter. Setelah korban membuka lampiran tersebut, software berbahaya akan menginfeksi devices korban dan mengunci semua data. Para pelaku kemudian meminta pembayaran atau uang tebusan kepada korban untuk mengembalikan data dan membuka kunci file.

Beberapa serangan ransomware yang paling umum di tahun 2022:

1. Lockbit
2. Conti Ransomware family
3. Serangan ransomare Blackcat
4. Serangan ransomware REvil
5. Ransomware PYSA

Langkah-langkah umum ketika menerima serangan ransomware

• Infeksi: Ransomware diinstal pada device korban, seringkali melalui serangan phishing atau mengeksploitasi kerentanan.
• Enkripsi: Ransomware mengenkripsi data pada device korban dan membuatnya tidak dapat diakses oleh pengguna.
• Ransom: Ransomware menampilkan pesan yang menuntut pembayaran untuk mendekripsi data.
• Pembayaran: Korban diharuskan membayar uang tebusan dan meyakinkan korban jika ini adalah satu-satunya cara untuk memulihkan data mereka.
• Dekripsi: Setelah pembayaran dilakukan, ransomware dapat mendekripsi data atau menghapusnya.

Tujuh tanda jika perusahaan menjadi target serangan ransomware:

1. Komputer menjadi tidak responsif atau macet
2. Menerima email yang tampaknya berasal dari rekan kerja di perusahaan tetapi berisi kode berbahaya
3. Jaringan perusahaan lambat atau bahkan tidak tersedia
4. Email dan file tidak bisa diakses
5. Dokumen tidak dapat dibuka
6. Akses ke dokumen file keuangan diblokir
7. Perusahaan kehilangan produktivitas karena downtime

Bagaimana perusahaan dapat menurunkan risiko dari serangan ransomware?

Teknologi pedeteksian seringkali tidak 100% akurat dan efektif, jadi cara terbaik adalah dengan membuat strategi yang mencakup respons terhadap serangan. Cybersecurity Infrastructure Security Agency (CISA) dapat membantu membangun program keamanan siber yang lebih tangguh dan proaktif. CISA telah membuat framework yang memungkinkan perusahaan merencanakan dan merespons serangan dengan tersrtuktur untuk mengurangi risiko dan membantu untuk recovery lebih cepat.

Beberapa rekomendasi ini termasuk meningkatkan kebersihan aplikasi secara keseluruhan, meningkatkan awareness pengguna, mengikuti praktik untuk penggunaan teknologi dan membuat rencana detail untuk merespon suatu insiden. Tujuan akhirnya adalah untuk mematangkan program keamanan dalam memahami taktik, teknik, dan prosedur (TTPs) yang digunakan terhadap perusahaan. Selain itu juga membangun threat intelligence program untuk mengenali model-model ancaman yang sering kali berubah seiring perkembangan waktu dan memprediksi serangan.

Apa yang harus kamu lakukan jika diserang?

Ada banyak checklist untuk merespon suatau insiden. Langkah-langkah yang nantinya kamu ikuti dipengaruhi oleh cyber insurance policies atau third-party incident response services yang telah bekerja sama dengan perusahaan. Memiliki layanan tersebut akan memberikan keahlian yang dibutuhkan secara cepat dalam menyelidiki insiden dan bernegosiasi dengan para pelaku jika diperlukan. Secara umum, kamu dapat mengikuti tujuha langkah berikut:

1. Hubungi tim yang terkait dalam hal ini dan mulailah melakukan triase sistem untuk bagian yang terkena dampak sehingga dapat melakukan restoration dan recovery
2. Tentukan sistem mana yang terkena dampak dan segera isolasi
3. Jangan membuat perubahan apa pun pada system, ini dapat memengaruhi pengumpulan bukti
4. Analisa integritas sistem Backup perusahaan untuk menentukan apakah data telah terkena atau mengandung malware
5. Hubungi tim hukum perusahaan dan beri tahu mereka apa yang terjadi
6. Hubungi keluarga kamu dan beri tahu mereka bahwa kamu akan bekerja lembur. Kami tahu ini harus masuk dalam list penting.
7. Tetap beri tahu management dan top management secara berkala. Stakeholder yang terkait bisa mencakup IT department, managed security service providers, cyber insurance company, shareholders, investors, suppliers, dan department lainnya.

Haruskah perusahaan membayar uang tebusan?

Jawaban singkatnya tentu TIDAK, karena tidak ada jaminan bahwa pelaku akan menghadirkan alat dekripsi meskipun sudah membayar tebusannya. Bisa jadi juga membayar uang tebusan akan muncul masalah hukum yang lebih besar terkait dengan regulasi perundangan yang diberlakukan. Kemungkinan lain adalah perusahaan akan dijadikan target kembali di masa mendatang karena kemudahan dalam menerima tawaran untuk menebusnya.

FBI sendiri tidak mendukung pembayaran uang tebusan sebagai respon atas serangan ransomware. Dengan membayar uang tebusan tidak menjamin perusahaan akan mendapatkan kembali semua data.

Pada kenyataannya adalah bahwa banyak organisasi belum siap menghadapi situasi darurat, sehingga para security expert menekankan perlunya persiapan untuk meminimalisir risiko jika menjadi target pencurian data.

Kemana perusahaan bisa melaporkan bila terjadi kejadian peretasan?

Laporkan serangan ransomware ke penegak hukum. Bila di AS memiliki FBI dan Crime Complaint Center, di Indonesia sendiri memiliki Polisi Siber di bawah naungan Mabes Polri. Menghubungi pihak berwenang dapat membantu mengumpulkan bukti untuk penyelidikan dan membangun cyber insurance policy claim.

Apa yang harus dilakukan selanjutnya?

Veeam dan Berca percaya bahwa proses recovery yang cepat dan andal adalah bagian dari keseluruhan proses dalam merespon keamanan siber dan harus direncakan dengan matang seperti arsitektur keamanan lainnya. Pada akhirnya, data perusahaan adalah asset yang paling berharga dan harus dilindungi dengan solusi secure backup yang tidak hanya fleksibel dalam membangun ketangguhan tetapi juga mampu memverifikasi pekerjaan backup dan memastikan data aman bebas malware saat proses recovery. Veeam dan Berca percaya bahwa proses backup yang aman menjadi pertahanan terakhirmu.

Salah satu solusi yang ditawarkan  Veeam Backup & Replication v11 memperkenalkan Hardened Repository sebagai lokasi yang aman untuk menyimpan data setelah dibackup dan dikonfigurasi secara permanen. Dengan Hardened Repository, Veeam membuat pilihan penyimpanan WORM untuk Veeam Backups. Hal baiknya lagi adalah dapat digunakan di server Linux tanpa mengunci aksesmu ke hardware lainnya.

Sebagai informasi, Veeam melibatkan Cohasset Associates sebagai pihak ketiga yang independen, Hardened Repository sudah memenuhi persyaratan kepatuhan untuk regulasi utama di industry keuangan AS. Ketika dikonfigurasi dengan benar, Hardened Repository memenuhi persyaratan untuk penyimpanan yang non-rewriteable dan non-eraseable seperti yang ditentukan oleh peraturan SEC 17a-4(f), FINRA 4511(c) dan CFTC 1,31(c)-(d).

Hasil laporan penilaian kepatuhan sudah tersedia dan dapat diunduh di sini. Laporan penilaian ini memang dibuat untuk pihak kepatuhan dan mungkin sedikit sulit ketika dibaca oleh professional IT. Itulah mengapa Veeam membuat whitepaper tambahan untuk administrator Veeam agar persyaratan lebih mudah dipahami. Pada Bab “Konfigurasi untuk SEC Rule 17a-4(f), FINRA Rule 4511 dan CFTC Rule 1.31 (c)-(d) compliance” berisi pilihan konfigurasi Veeam yang dibutuhkan. Whitepaper bisa diunduh di sini.

Pada laporan tersebut juga dijelaskan bahwa Cohasset menentukan Hardened Repository sesuai dengan peraturan WORM ketika digunakan secara standalone dan bukan bagian dari Scale-out Backup Repository. Ini dimaksudkan agar Capacity Tier Move policy dapat berfungsi, Veeam tidak dapat membuat file GFS backup yang permanen untuk jangka waktu lama dari Move policy window.

Namun, berdasarkan masukan dari Cohasset, Veeam telah menerapkan perubahan untuk memastikan bahwa Hardened Repository, yang merupakan bagian dari Scale-out Backup Repositories menggunakan Copy policy remain terbaru.

Fungsi baru ini merupakan langkah besar bagi customer yang bekerja dibeberapa industri seperti financial services, broker dealers, healthcare, dll. Customer juga dapat menyimpan backups di Veeam Hardened Repository sesuai dengan peraturan yang ada. Tetapi tentu saja, hal terpenting adalah dapat melindungi data customer dari ransomware dan ancamana siber lainnya.

Informasi lebih lanjut tentang solusi Veeam Backup & Replication v11 dalam meningkatkan pertahanan ransomware, hubungi ke marketing@berca.co.id atau ke 0812 8074 1890.