Musuh siber dari segala jenis terus mengeksploitasi permukaan serangan digital yang diperluas dengan cara dan skala yang belum pernah terjadi sebelumnya. Secara khusus, pergeseran cepat ke kerja jarak jauh dan kerja dari mana saja (WFA) yang berkelanjutan bagi banyak organisasi telah menjadi peluang berkelanjutan bagi penjahat siber untuk menargetkan karyawan yang terhubung ke sumber daya perusahaan dari jaringan dan perangkat rumah yang sering kali tidak diamankan dengan baik. Musuh-musuh ini terus menargetkan dan mengeksploitasi para pekerja ini hingga sekarang, bertahun-tahun setelah peralihan ke WFA dimulai.
Serangan ransomware yang paling umum sering kali dimulai dengan rekayasa sosial. Pada dasarnya, strategi rekayasa sosial yang dilakukan dengan benar, biasanya dalam bentuk phishing atau spear-phishing, dapat mengelabui pengguna untuk membocorkan informasi penting, mulai dari kata sandi, akun keuangan, hingga informasi yang dapat diidentifikasi secara pribadi (PII). Saat ini, rekayasa sosial digabungkan dengan teknik peretasan dan distribusi malware untuk memperkuat serangan yang semakin merusak seperti yang ditunjukkan oleh penelitian FortiGuard Labs baru-baru ini.
Dalam serangan ransomware, peretas menggunakan phishing atau cara lain untuk memasukkan malware ke dalam sistem komputer korban yang kemudian menyebar ke seluruh jaringan. Setelah cukup banyak sistem yang disusupi, peretas memicu malware untuk mengenkripsi semua sistem yang terinfeksi, membuat file dan data pada perangkat tersebut tidak dapat diakses oleh organisasi. Peretas kemudian mencoba untuk mengekstrak pembayaran uang dari organisasi dengan imbalan kunci yang diperlukan untuk mendekripsi file yang disusupi.
Ketika pelaku ancaman menggunakan ransomware untuk menahan data Anda, asumsinya adalah bahwa Anda akan membayar berapapun untuk mendapatkan kembali kendali. Apabila tidak membayar, peretas akan menjual data Anda di darknet. Namun, tidak jarang banyak kasus di mana korban membayar uang tebusan tetapi tidak pernah mendapatkan kunci dekripsi yang diperlukan untuk memulihkan jaringan mereka. Atau pada kasus yang lebih brutal lagi, ransomware melanjutkan dan menghancurkan jaringan dengan menghapus disk dari desktop dan server meskipun mereka telah membayar uang tebusan.
Mengatasi Serangan Ransomware dengan Penipuan
Melindungi perusahaan dari serangan ransomware memerlukan penyimpanan cadangan terbaru dari file-file penting di luar jaringan dan pemindaian perangkat yang mencari akses jaringan untuk mencari infeksi malware. Akan sangat membantu jika kita juga memahami cara kerja ransomware karena begitu kita memahami apa yang sedang terjadi, ada cara-cara yang efektif untuk memeranginya.
Penjahat siber sering kali menggunakan teknik dan taktik canggih untuk menembus sebuah organisasi dan mengkompromikan titik akhir dengan tujuan utama untuk mengenkripsi file Anda. Daripada melawan proses ini, apa yang akan terjadi jika Anda secara diam-diam mengarahkan ransomware untuk hanya mengenkripsi file palsu – file yang sengaja Anda buat dan tempatkan di jaringan untuk memikat para calon penyerang? Dengan mencoba mengenkripsi file-file palsu ini, para peretas itu akan mengekspos diri mereka sendiri dan niat mereka, serta mengungkapkan keberadaan malware mereka, sebelum mereka dapat melakukan kerusakan apa pun. Dengan kata lain, strategi serangan balik yang sangat ampuh adalah menipu ransomware agar menyerang target jinak yang kita pilih untuk memicu peringatan dan mengungkapkan niat kriminalnya. Kita bisa mencapai hal ini dengan menggunakan teknologi penipuan dunia maya.
Penipuan siber memungkinkan organisasi untuk dengan cepat membuat jaringan palsu (palsu) yang secara otomatis menyebarkan umpan dan iming-iming yang menarik yang tidak dapat dibedakan dengan lalu lintas dan sumber daya yang digunakan dalam jaringan yang sah. Jaringan semu ini kemudian diintegrasikan secara mulus dengan infrastruktur TI/OT yang ada untuk memancing penyerang agar membuka diri.
Teknologi penipuan tidak memasang agen apa pun di titik akhir, tidak memerlukan perubahan jaringan apa pun, dan tidak bergantung pada tanda tangan atau mesin anomali apa pun. Pertanyaannya adalah, bagaimana teknologi penipuan siber menemukan dan memitigasi ransomware? Jawabannya adalah, kita menggunakan aktivitas enkripsi ransomware terhadap dirinya sendiri.
Penipuan Dunia Maya Melawan Serangan Ransomware
- Solusi penipuan dimulai dengan menyiapkan dan menggunakan drive bersama jaringan palsu di setiap titik akhir/server di jaringan perusahaan. Jaringan semu ini disembunyikan dari pengguna yang sah untuk menghindari mengklik sistem umpan dan menghasilkan peringatan palsu.
- Drive jaringan palsu ini juga berisi file dan alur kerja palsu yang ada untuk mengekspos penyerang dan/atau ransomware berbahaya.
- Drive jaringan palsu dipetakan menggunakan umpan jaringan yang bertindak sebagai server file palsu, lengkap dengan lalu lintas dan file palsu.
- Alat penipuan dunia maya apa pun yang berharga harus dapat sepenuhnya terintegrasi ke dalam alat keamanan pihak ketiga Anda, seperti firewall, solusi kontrol akses jaringan, dan AV generasi mendatang, sehingga semua aktivitas berbahaya yang teridentifikasi dapat dimitigasi dengan cepat.
- Setelah ransomware menyusup ke titik akhir dan mulai mengenkripsi drive lokal dan jaringan, umpan (server file jaringan palsu) dapat segera mendeteksi aktivitas jahatnya. Kemudian dia memperlambat proses enkripsi, sambil memanfaatkan salah satu alat keamanan yang ada untuk secara otomatis membatasi atau mencegah kerusakan. Server palsu secara bersamaan mengisolasi titik akhir yang terinfeksi untuk segera melindungi seluruh jaringan.
Teknologi penipuan dunia maya menggunakan teknik dan taktik ransomware sendiri terhadap dirinya sendiri untuk memicu deteksi, dan menyingkap taktik, alat, dan prosedur (TTP) penyerang yang menyebabkan pijakan yang berhasil di jaringan, sehingga kerentanan tersebut dapat dimitigasi pada tingkat arsitektur keamanan. Penipuan yang efektif memberikan intelijen ancaman kontekstual yang dapat digunakan untuk melacak bagaimana penyerang membahayakan organisasi – misalnya melalui kredensial yang lemah atau dicuri atau titik akhir atau server yang rentan yang memungkinkan ransomware menyebar – sehingga celah-celah perlindungan tersebut dapat ditutup.
Jika perusahaan Anda tertarik dengan pencegahan ransomware, tim kamu dapat hubungi tim Berca di Marketing@berca.co.id dan WhatsApp