Temuan Kaspersky mengungkapkan adanya modus operandi baru dalam serangan ransomware dengan konsekuensi lebih mengerikan dari sebelumnya.
Serangan ransomware, secara umum, dianggap sebagai salah satu jenis ancaman serius yang dihadapi perusahaan. Serangan ini tidak saja dapat mengganggu operasi bisnis yang bersifat kritis. Ransomware juga menimbulkan kerugian finansial yang besar, bahkan dalam beberapa kasus, menyebabkan kebangkrutan karena denda dan tuntutan hukum yang timbul sebagai akibat dari pelanggaran hukum dan peraturan. Misalnya, serangan WannaCry yang diperkirakan telah menyebabkan kerugian finansial lebih dari US$4 miliar.
Namun, kampanye ransomware yang lebih baru mengubah modus operandinya. Modus terbaru ini menggunakan ancaman mempublikasikan informasi perusahaan yang telah dicuri. Ragnar Locker dan Egregor adalah dua keluarga ransomware terkenal yang mempraktikkan metode pemerasan baru ini.
Ragnar Locker pertama kali ditemukan pada tahun 2019, tetapi baru dikenal pada paruh pertama tahun 2020 ketika saat itu terlihat menyerang organisasi besar. Serangan ransomware Ragnar Locker terpantau sangat bertarget dengan setiap sampel yang secara khusus disesuaikan dengan korban yang dituju. Jika menolak membayar, korban akan diancam dengan penyebarluasan data rahasianya pada bagian “Wall of Shame” di situs kebocoran milik para aktor ancaman tersebut. Jika korban melakukan percakapan dengan aktor ancaman dan kemudian menolak membayar, obrolan tersebut juga akan dipublikasikan. Sasaran utama ransomware ini adalah perusahaan di Amerika Serikat di berbagai industri.
Pada bulan Juli lalu, Ragnar Locker menyatakan bahwa mereka telah bergabung dengan kartel ransomware Maze, yang berarti keduanya akan berkolaborasi untuk berbagi informasi yang dicuri. Maze telah menjadi salah satu keluarga ransomware paling terkenal di tahun 2020.
Egregor sendiri jauh lebih baru daripada Ragnar Locker, pertama kali ditemukan September lalu tahun ini. Namun, ia menggunakan banyak taktik yang sama, dan juga memiliki kesamaan kode dengan Maze. Malware ini biasanya diluncurkan dengan cara menembus jaringan. Setelah data target dieksfiltrasi, korban akan diberikan waktu selama 72 jam untuk membayar uang tebusan sebelum informasi yang dicuri dipublikasikan. Jika korban menolak membayar, para aktor ancaman kemudian akan mempublikasikan nama-nama korban dan tautan untuk mengunduh data rahasia perusahaan di situs kebocoran mereka.
Radius serangan Egregor jauh lebih luas daripada Ragnar Locker. Serangan Egregor telah membidik korban di Amerika Utara, Eropa, hingga sebagian wilayah Asia Pasifik
“Apa yang kami lihat saat ini dapat menjadi awal kemunculan ransomware 2.0. Maksudnya, serangan menjadi sangat bertarget dan tidak hanya berfokus pada enkripsi; melainkan, proses pemerasan didasarkan pada publikasi data rahasia secara daring Tindakan tersebut tidak hanya membahayakan reputasi perusahaan, tetapi juga membuka tuntutan hukum jika data yang dipublikasikan melanggar peraturan seperti HIPAA atau GDPR. Terdapat lebih banyak hal yang dipertaruhkan, bukan hanya kerugian finansial," komentar Dmitry Bestuzhev, Head of Latin American Global Research and Analysis Team (GReAT), Kaspersky.
“Ini sebagai pengingat organisasi bahwa mereka perlu memikirkan tentang ancaman ransomware lebih dari sekadar jenis malware. Faktanya, sering kali, ransomware hanyalah tahap terakhir dari pelanggaran jaringan. Pada saat ransomware benar-benar digunakan, para aktor ancaman telah melakukan pengintaian jaringan, mengidentifikasi data rahasia dan mengeksfiltrasinya. Organisasi harus menerapkan seluruh rangkaian praktik terbaik keamanan siber mereka. Mengidentifikasi serangan pada tahap awal sebelum aktor ancaman beraksi, tindakan sederhana ini nyatanya dapat menghemat banyak uang,” tambah Fedor Sinitsyn, pakar keamanan, Kaspersky.
Untuk melindungi perusahaan dari ancaman ransomware, pakar Kaspersky merekomendasikan beberapa langkah. Misalnya, tidak mengekspos layanan desktop jarak jauh (seperti RDP) ke jaringan publik dan selalu menggunakan kata sandi yang kuat.
Kaspersky juga mengingatkan untuk selalu memperbarui perangkat lunak di semua perangkat dan memasang tool yang secara otomatis dapat mendeteksi kerentanan serta mengunduh dan menginstalasi patch. Untuk mengidentifikasi dan menghentikan serangan pada tahap awal, sebelum aktor ancaman menyelesaikan misi mereka, bisa menggunakan solusi, seperti Kaspersky Endpoint Detection and Response dan Kaspersky Managed Detection and Response.