Laporan: Ransomware-as-a-Service Adalah 'Industri Mandiri'

Sebuah laporan baru telah mengungkapkan seluk-beluk ekosistem ransomware internet, menyimpulkan bahwa aktor yang bekerja bersama kelompok ransomware menuntut lebih banyak perhatian daripada yang mereka dapatkan saat ini.

Laporan tersebut merinci bagaimana pelaku ancaman menggunakan segudang teknik pemerasan – seringkali bersamaan – untuk memaksa perusahaan bernegosiasi dan pada akhirnya membayar biaya untuk melindungi dan/atau mengambil data mereka.

Dengan memahami vektor serangan yang paling umum digunakan oleh kelompok ransomware, bisnis dapat mengambil tindakan untuk melindungi diri mereka sendiri. Pengelola kata sandi , misalnya, adalah salah satu cara untuk memastikan karyawan bisnis Anda tidak memberikan jalan masuk yang mudah dengan kredensial akun yang lemah.

Ransomware-as-a-Layanan Booming

Laporan Tenable menjelaskan bahwa alasan utama di balik ledakan ransomware baru-baru ini adalah “munculnya ransomware‑as‑a‑service (RaaS).”

Intinya, RaaS adalah model layanan, sama seperti Software-as-a-Service. Kelompok Ransomware membuat perangkat lunak, tetapi kemudian aktor lain akhirnya membobol sistem dan menyebarkannya.

Sebelum ini, kelompok ransomware itu sendiri yang akan melakukan setiap tindakan dalam prosesnya, tetapi sekarang, sistemnya jauh lebih kompleks dan ada berbagai tahapan di mana aktor yang lebih kecil dapat menghasilkan uang.

Ekosistem Ransomware Dijelaskan

Tenable menjelaskan bahwa ekosistem ransomware, yang penting, tidak hanya terdiri dari grup ransomware. Grup Ransomware adalah pencipta dan pemilik "produk" dan pada gilirannya menerima banyak perhatian, tetapi secara keseluruhan, perusahaan mengidentifikasi tiga 'peran' utama yang berperan dalam sebagian besar serangan ransomware: IAB, Afiliasi, dan grup ransomware.

Initial Access Brokers (IABs) adalah “kelompok khusus penjahat dunia maya yang bertanggung jawab untuk mendapatkan akses ke organisasi melalui berbagai cara.”

Alih-alih menggunakan akses mereka yang tidak beralasan untuk mengatur serangan ransomware mereka sendiri, laporan tersebut menjelaskan, IAB “mempertahankan kegigihan dalam jaringan organisasi korban dan menjualnya kepada individu atau kelompok lain dalam ekosistem kejahatan dunia maya.”

Pasar untuk IAB bernilai $1,6 juta pada 2019, tetapi tumbuh menjadi $7,1 juta pada 2021 (Group-IB). Ini angka yang jauh lebih kecil daripada uang yang diperoleh di tempat lain dalam rantai ransomware, hanya karena risikonya jauh lebih kecil.

Pasar untuk Initial Access Brokers (IABs) bernilai $1,6 juta pada 2019, tetapi tumbuh menjadi $7,1 juta 2021 – Group-IB

Setelah IAB masuk, aktor yang dikenal sebagai Afiliasi akan membeli akses yang telah mereka gali dengan harga antara beberapa ratus dan beberapa ribu dolar. Atau, mereka akan menggunakan vektor serangan seperti sistem protokol desktop jarak jauh yang memaksa, phishing, kerentanan sistem, atau kredensial yang dicuri untuk masuk ke server perusahaan.

Laporan tersebut mengatakan para pelaku ini bekerja seperti pemasar afiliasi yang menemukan petunjuk dalam praktik bisnis yang normal dan sah – mereka menginfeksi sistem dan membiarkan kelompok ransomware “menutup kesepakatan” dan memulai proses negosiasi.

Afiliasi sering di bawah instruksi dari grup ransomware sendiri, membantu menguji dan memanfaatkan kreasi mereka.

Bagaimana Pemerasan “Double”, “Triple” dan “Quadruple” Membuat Perusahaan Membayar

Secara tradisional, grup ransomware akan mengenkripsi file perusahaan dan membuat mereka membayar untuk mendekripsinya. Namun saat ini, sebagian besar perusahaan memiliki cadangan file yang aman, sehingga metode ini menjadi semakin tidak efektif.

Namun, selama beberapa tahun terakhir, "pemerasan ganda" telah menjadi standar bagi banyak kelompok ransomware. Ini terdiri dari "mengeluarkan data dari organisasi korban dan menerbitkan penggoda" di forum web gelap dan situs web bocor. Perusahaan takut bahwa informasi pribadi dan rahasia akan bocor secara online kemudian membayar.

Pada tahun 2021, REvil mendapatkan pembayaran $ 11 juta dari JBS, meskipun sistem perusahaan "beroperasi penuh" pada saat pembayaran.

Namun, taktik ini sekarang berusia beberapa tahun, dan Tenable mengatakan bahwa teknik lain sedang digunakan bersama-sama dalam upaya pemerasan "tiga kali lipat" atau bahkan "empat kali lipat".

Metode termasuk menghubungi pelanggan yang merujuk pada data yang dicuri, mengancam akan menjual data yang dicuri kepada penawar tertinggi, dan memperingatkan korban agar tidak menghubungi lembaga penegak hukum.

Fokus Di Luar Grup Ransomware

Laporan tersebut menunjukkan bahwa peran penting yang dimainkan oleh IAB dan afiliasinya dalam ekosistem ransomware harus lebih diperhatikan.

Kelompok Ransomware, pada dasarnya, tidak kekal. Semakin sukses mereka, semakin banyak afiliasi ingin berporos ke arah mereka dan menggunakan perangkat lunak mereka, tetapi kemudian, pada gilirannya, semakin banyak lembaga penegak hukum berusaha melacak mereka.

Banyak grup ransomware "terkenal" yang menjadi berita utama saat ini, seperti grup Conti , adalah penerus grup ransomware lainnya. Jika Anda memulai penyelidikan ke dalam sebuah grup, itu mungkin tidak akan ada setahun dari sekarang. IAB dan afiliasinya, bagaimanapun, akan melakukannya.

Apa yang Dapat Dilakukan Bisnis untuk Melindungi Diri Sendiri?

Tenable menawarkan sejumlah langkah mitigasi berbeda yang dapat dilakukan bisnis untuk memastikan mereka tidak menjadi korban berikutnya dari serangan ransomware yang berlebihan. Ini termasuk menggunakan otentikasi multi-faktor, terus mengaudit izin pengguna untuk akun, menambal aset yang rentan di jaringan Anda, memperkuat protokol desktop jarak jauh, dan menggunakan perangkat lunak antivirus yang sesuai .

Daftar tersebut juga mencakup penguatan kata sandi karyawan Anda, dan menyarankan bahwa "persyaratan kata sandi mencakup kata-kata yang panjang dan non-kamus". Salah satu cara untuk memastikan bahwa kata sandi cukup panjang tanpa harus mengingatnya adalah dengan menggunakan pengelola kata sandi , yang juga memungkinkan staf Anda membuat kata sandi unik untuk semua akun yang mereka miliki daripada menggunakannya kembali.

Dengan pasar RaaS – dan kelompok jahat yang berpartisipasi di dalamnya – tidak menunjukkan tanda-tanda melambat, mengambil tindakan pencegahan sepenuhnya dengan data Anda tidak pernah lebih penting.